潜伏两余年黑入学校后台

处于好奇，刚入学的每节下课我都会去学校周围转转，找找学校的机房位置，在此过程中零零碎碎的又发现了很多台内网电脑，但都是透过门缝，或窗户，始终没能触及。

内网碰不到，打算从外网黑进去，于是我打开了百度，搜索母校的官网

呈现出来的是母校学校独有的cms主页，接着浏览一下前台主页，用户注册完则是一个权限比较小的会员，上传点无用，而后开始信息收集

在whosi中，查到了注册商的一些信息，后期可以做社工来用，然而注册人信息却是少之又少，而后开始对服务器的指纹进行采集

无waf，无cdn，一马平川，而后我打开扫描器对网站一通扫描，没有任何信息，转到前台无奈权限太死，换做后台漏洞点应该会很多，然后我用域剑扫到了学校后台页面，果断跳转过去

弱口令admin/admin 小测一下，密码错误，直接按f12进行前台代码审计，敏感的js文件一个不落的都看了一遍，无果，而后猜测可能会有逻辑漏洞，点击忘记密码，用户名admin，需要答案，这里尝试绕过

其中验证逻辑js文件，有一处函数的调用很是有问题，在第147到151行内，对 Answer的事件声明调用cookie验证，却在验证的时候没有进行调用，也就是说，没有这个事件，便能绕过验证，触发找回功能

按着这个思路走，我把 Answer事件删掉，点击找回密码，密码便直接弹了出来输入用户名和密码直接登录进去，期待已久的后台，漏出了面目

由于是学校外包给某公司开发的一套独立cms，开发初期也就没有想到过后台的防护，浏览了一下大致主页

可以看到有很多的目录，后台对上传文件也未做任何限制，随便找一处上传点，直接传了个aspx大马过去

远程访问免杀大马，可以打开，服务器连个火绒都没有，普通的马子直接可以进到shell界面

拿到webshell，而后的操作权限就很高，学校内网的8台电脑，一台域控，分布在图书楼3楼和4楼的每间办公室里，而那里是学校最隐蔽的地方，内网的敏感，促使我没再往下了，而是盯上了另一个系统

校微信公众号上为新生提供了分班查询系统，由于我已不是新生，没办法去看里面的内容，对其前台进行漏洞检测，让我发现了一处漏洞，验证码处点进去有一个参数t

当t等于4验证码等于一个数，改成t等于3，看看有无变化

验证码有所改变，我把包文件丢到sqlmap里跑，有某盾，简单编写payload绕过后，很快跑出来了一个注入点

数据库信息直接爆了出来，接着我去查询其权限

root权限，而后便看到了所有新生的个人信息

整理好漏洞，提交到了edusrc，没过多久这个漏洞就被学校修复了，而我的webshell还在，也就启动了自杀模式，杀掉了本该有的马子

我是城南，一名热爱生活的少年
注:本次渗透测试获得edusrc授权
     在给定测试范围内开展渗透