卧底两载黑进学校后台

处于好奇，刚入学的每节下课我都会去学校周围转转，找找学校的机房位置，在此过程中零零碎碎的又发现了很多台内网电脑，但都是透过门缝，或窗户，始终没能触及。

内网碰不到，打算从外网黑进去，于是我打开了百度，搜索母校的官网

呈现出来的是母校学校独有的cms主页，接着浏览一下前台主页，用户注册完则是一个权限比较小的会员，上传点无用，无权限，而后开始信息收集

在whosi中，查到了注册商的一些信息，后期可以做社工来用，然而注册人信息却是少之又少，而后开始对服务器的指纹进行采集

无waf，无cdn，一马平川，而后我打开扫描器对网站一通扫描，无果，前台权限太死，换做后台会快很多，然后我用域剑扫到了学校后台页面，果断跳转过去

弱口令admin/admin 小测一下无果，直接按f12进行前台代码审计，敏感的js文件一个不落的都看了一遍，无果，而后猜测可能会有逻辑漏洞，点击忘记密码，用户名admin，需要答案，而后开始对其验证逻辑代码进行审计

其中验证逻辑js文件，有一处函数的调用很是有问题，

在第147到151行内，对 Answer的事件声明调用cookie验证，却在验证的时候没有进行调用，也就是说，没有这个事件，便能触发找回功能，因为服务器没有进行验证身份

然后我把 Answer事件删掉，点击找回密码，密码便直接弹了出来输入用户名和密码直接登录进去，期待已久的后台，漏出了面目，简单浏览一下，寻找上传点，直接拿webshell

由于是学校外包给某公司开发的一套cms，开发初期也就没有想到过后台的防护，在某处浏览了一下大质主页

可以看到有很多的目录，后台对上传文件也未做任何限制，随便找一处上传点，直接传了个aspx大马

远程访问免杀大马，再去对应目录下直接访问，可以打开而后输入大马web密码3389，

直接进入马子，拿到webshell，而后的操作权限就很高，学校内网的8台电脑，一台域控，分布在图书楼3楼和4楼的没间办公室里，而那里则是学校最隐蔽的地方，内网的敏感，促使我没再往下了，而是盯上了另一个系统

关注微信公众号找到分班查询系统，由于我已不是新生，没办法去看里面的内容，对其前台进行漏洞检测，验证码处点进去有一个参数t

当t等于4验证码等于一个数，改成t等于3，看看有无变化

验证码有所改变，我把包文件丢到sqlmap里跑，有某盾，简单编写payload绕过后，很快跑出来了一个注入点

数据库信息直接爆了出来，接着我去查询其权限

Administrator权限，而后便看到了所有新生的个人信息，学校漏洞导致全校学生身份信息泄露，中危

整理好漏洞，提交到了edusrc，没多久这个漏洞就被修复了，而我的webshell还在，也就启动了自杀模式杀掉了该有的马子

我是城南，一名热爱生活的少年
注:本次渗透测试获得edusrc授权
     在给定测试范围内开展渗透
   任何未授权渗透测试都是违法