渗透｜某高校的一次授权检测

  今日更新主题：拿权限不是目的，只要能达到目标需求就可以。灵活！

N年前的一个活了，就记得好像是监管部门协同当地的高校搞了次演习，检测是否存在学籍信息泄露的风险，事情过去很久了，而且很多环节已经失效，可以拿出来讲讲整个思路

山重水复

分到我的是一所民办高校的学籍管理系统，域名为http://x.a.cn，域名无法打开

先看下解析IP，解析在8.8.8.88，起手先搜集一下C段，高校一般公网IP比较集中

几乎全是目标相关的资产，找到了一个xx集

团OA（http://8.8.8.55:7001/）

查了一下相关新闻，该集团是目标高校的“金主”

top500姓名+姓名密码字典直接爆破进了oa

liyang/liyang123

Mr.Li在一家印刷公司就职，金主果然家大业大，旗下还有个印刷公司

先看看目标高校在不在这个OA里面，查看一下组织架构

真·家大业大

旗下这么多公司，好在目标高校也在其中

先来一波通讯录

差不多管事的都在通讯录里面

再找找相关文件，找到一个《企业邮箱使用规范及使用操作手册.docx》

在文件中找到了目标高校领导们的邮箱账号

登录地址和初始密码

登录地址为http://mail.集团.cn，

初始密码a123456*

挨个登录领导们的邮箱，掏出我的iphone6s

（很久以前的案例，所以忘了什么原因必须用手机登录了）

找了一圈发现没啥用
领导们不太习惯用邮箱

集团这条线就没啥价值了😭

柳暗花明

回到刚才搜集的C段资产，有一个http://i.a.cn，是目标高校的统一认证

登录页面提示

工号相对麻烦一些，先搞个学生的账号进去摸摸情况

大学生扎堆的地方在哪儿呢。。

感谢两位吧友，祝福你们

根据两位吧友提供的学号规则，生成了一波，然后按键精灵爆破一发（有前端加密，写解密时间上划不来了）

大概冰阔乐喝多了有点凉,一个都没成

看了一下找回密码处

这里只有邮箱找回和短信找回两种方式，短信就算了，邮箱找回必须先输入自己的邮箱（右边的图后面再说）

先批量枚举一波有邮箱找回的

email为1的是存在邮箱找回的，但返回的数据中，竟然有大量的密保问题，前台F12只能看到短信找回和邮箱找回的表单

分析了一下，找到一个可以仅通过账号就可以重置任意用户密码0day（开发该“祭天”了）

先重置一个学生的

进去瞧瞧

wtf？？？这兄弟是退学了吗？？？

想起来刚才测试发现test账号存在

重置一下试试

唉，冰阔乐真不能多喝，好凉

终于试进去了一个能用的学生账号

注意看，这个男人叫小帅

直接在应用中访问学籍系统

跳转到http://s.a.cn，目标信息给下发错了。。

虽然进来了，但只能看自己的信息

这下试着找找有权限的老师的账号，配合刚才那个0day，就可以拿到全部的信息了

先统一认证中看看哪些应用外网能打开

找到一个人力资源管理系统，但小帅很明显没有权限登录

试了简单的弱口令没能进去

F12看下

呦，多不好意思，这开发真实在

Console执行一下doRegister()，直接跳转到注册页面

账号用rlzygl（人力资源管理），姓名用个最常见的张伟，剩下的瞎填一下

然后登录

里面有个发消息的功能，选择收件人时，可以拿到全部的教职工通讯录，姓名是教职工姓名，账号是工号

把所有教职工信息导出来

然后去官网找教务处的老师

先看看罗老师

然后通过统一认证免密登录学籍系统

尴尬，罗老师不管这个

再试试他们主任

主任只管经济困难的学生。

又试了两个教务处的老师账号，还是不行 QAQ~

换换思路，学校一般啥系统要改个啥，都是信息处的老师在弄，试试信息处的老师

第一个就把权限拉满了，还得信息处啊！

看看学生基本信息维护

毕业的没毕业的都在这里了，目标达成！

  这次渗透全程围绕着学籍信息进行，先从外部搜集资产信息，然后通过oa、统一认证去摸索学籍系统的相关信息，不拿一个多余的shell权限，最后兵不血刃的拿下目标，达成目的。

欢迎老板们打赏小鱼干💰

原文始发于微信公众号（Wax Today）：渗透｜某高校的一次授权检测