记一次针对某高校的渗透测试【超详细!】

0x01 信息搜集

www.edu.cn 222.206.X.X 官网mail.xx.edu.cn 222.206.X.X 邮箱系统采用腾讯的企业邮箱chuangye.xx.edu.cn 222.206.X.X 前台无交互zsb.xx.edu.cn 222.206.X.X 招生办jf.xx.edu.cn 222.206.X.X 缴费系统 后发现注入jwxt.xx.edu.cn/ 222.206.X.X 正方教务系统 无0day222.206.X.X/24222.206.X.X:8087 教材系统222.206.X.X 泛微OA222.206.X.X 进销存系统

“这里针对信息搜集这块如果要做到更全面可以针对域名做一下敏感文件、目录扫描，或者进行whois做更一步的资产收集”

没有cdn

说一下高校的渗透思路，重要围绕以下几点：

弱口令、学号、身份证号、敏感信息泄露 、OA、学工/教务系统 、水卡/饭卡系统、SQL注入

开始信息收集，学校有很多文件，不脱敏很容易导致信息泄露，从而对我们渗透测试达到意想不到效果。

site:xxx.edu.cn 使用指南|工号|学号|系统|vpn|手册|默认密码｜

目前可知的系统

单单从信息收集，所掌握的情况有：

OA系统（泛微OA），教务系统地址，信息管理QQ群，信息部邮箱，电话，姓名，学生姓名学号，密码规则。

后针对官网做了简单的测试，发现编辑器为kindeditor，看了看版本无法利用。

后又针对缴费系统做了一波测试，发现存在SQL注入，如图：

虽然是DBA权限，但由于是Oracle数据库且是缴费系统拿不了shell，于是验证了一下漏洞就没再继续深入。

根据上面搜索到的网站信息和信息系统管理QQ群以及信息中心的老师姓名，于是尝试混入其中，加群的申请就写：信息中心XXX；个人觉得写的越少越好

0x01 信息搜集

www.edu.cn 222.206.X.X 官网mail.xx.edu.cn 222.206.X.X 邮箱系统采用腾讯的企业邮箱chuangye.xx.edu.cn 222.206.X.X 前台无交互zsb.xx.edu.cn 222.206.X.X 招生办jf.xx.edu.cn 222.206.X.X 缴费系统 后发现注入jwxt.xx.edu.cn/ 222.206.X.X 正方教务系统 无0day222.206.X.X/24222.206.X.X:8087 教材系统222.206.X.X 泛微OA222.206.X.X 进销存系统

“这里针对信息搜集这块如果要做到更全面可以针对域名做一下敏感文件、目录扫描，或者进行whois做更一步的资产收集”

没有cdn

说一下高校的渗透思路，重要围绕以下几点：

弱口令、学号、身份证号、敏感信息泄露 、OA、学工/教务系统 、水卡/饭卡系统、SQL注入

开始信息收集，学校有很多文件，不脱敏很容易导致信息泄露，从而对我们渗透测试达到意想不到效果。

site:xxx.edu.cn 使用指南|工号|学号|系统|vpn|手册|默认密码｜

目前可知的系统

单单从信息收集，所掌握的情况有：

OA系统（泛微OA），教务系统地址，信息管理QQ群，信息部邮箱，电话，姓名，学生姓名学号，密码规则。

后针对官网做了简单的测试，发现编辑器为kindeditor，看了看版本无法利用。

后又针对缴费系统做了一波测试，发现存在SQL注入，如图：

虽然是DBA权限，但由于是Oracle数据库且是缴费系统拿不了shell，于是验证了一下漏洞就没再继续深入。

根据上面搜索到的网站信息和信息系统管理QQ群以及信息中心的老师姓名，于是尝试混入其中，加群的申请就写：信息中心XXX；个人觉得写的越少越好

结果没过一会就加了进去，由于当时怕被踢出去第一时间找到群文件进行一通下载，结果不出意外，发现了官网的后台账号密码：

现在QQ更新之后，加群之后都会有个自我介绍， 于是我填的申请信息就会在审核通过后自动发到群里，导致惊动了一些其他人，后没过一会就被踢出群聊，翻了下下载的文件，整体也就一个学校官网的账号密码，当时加的另一个信息管理系统群挺可惜的，第一时间进去我没有注意到，等到想去翻文件的时候却发现被踢了 🙁

既然拿到了官网账号，索性登录后台尝试getshell

搞了半天发现网站有安全狗，问题不大

尝试绕过（空文件名）不确定是否绕过，官网的防护也挺严格的，burp没有返回文件路径且前台无法查看文件地址，导致最终没有getshell。

尝试了很多上传点，要么是waf绕过但是有白名单要么是上传成功没有绝对路径且文件名是随机的，暂且不针对文件名做爆破，点到为止。

“后来问了信息科老师，去服务器上看了下代码，发现上传处确实是白名单写死的。”

最终Getshell失败。

0x03 Getshell

自从上次拿到官网普通用户权限之后，就一直在想办法在后台Getshell，可无奈上传点都做了过滤在加上系统比较敏感就没在继续深入，继续把目光转向教材管理系统 222.206.X.X:8087

打开之后是一个登录页面，输入admin发现不存在用户名，他是那种先检测用户名是否存在再去输入密码的一种机制，如图：

二话不说，直接上字典爆破，如图：

密码123456直接就登录进去，本以为是个测试账号，没有什么上传点之类的，登录进去之后发现有头像上传和教材查询，后面跑了跑注入发现存在一个布尔的注入，但是准备跑用户直接把网站跑死了😅...

后面在文件上传处拿了shell，没有任何过滤，直接上图：

直接administrator权限，成功拿到一台机器，搭建VPN隧道进内网。

0x04 内网渗透

这里说个技巧，探测IP段的时候针对.1 .254 .253进行扫描，比如：

172.16.1.254172.16.2.254192.168.1.1192.168.100.110.150.30.254

下面是内网的方面，打内网第一步就是应该先找到存活IP段，办公网我们可能是访问不到的，但是业务内网可能是通的，本身还想拿工具探测一波存活IP的，后想到由于之前进到了学校官网的后台，后台主页有显示服务器的IP为：172.16.XX.XX 是内网IP，于是直接进行一波信息收集