挖洞实战 | edu证书站合集！

edu证书站合集！

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

序言

  回想这几年，入行也有了不少年头，研究方向一直偏向于实战型红队，刚入门网络安全那会，漏洞挖掘只会爆破，记得当时一位师傅给了我一个edusrc的邀请码，这条路走的一发不可收拾，随愿国庆抽了点时间把之前的部分站点整理成合集，希望能给大家技术增长上有些许帮助，文章细枝末节处可能很拙劣，如有瑕疵烦请斧正。

锦集

上某交通大学-sql注入漏洞-Bypass
检测过程：通过子域名信息收集收集到某系统，目标:https://demo.demo.edu.cn/因为是asp.net的站点，这里我会更倾向于目录未授权，js代码审计，sql注入，网站上有一则通知点进去发现url张这样，/Message/Message.aspx?id=1&yxdm=1&type=1

id，type两个参数强类型转换掉了，yxdm参数由于没有做强类型转换加个单引号报错，这里可以使用特殊语法爆出来@@version数据库版本信息，使用if not来做延迟判断，payload：

if%20not%20(substring((select%20@@version),25,1)%20=%200)waitfor%20delay%20%270:0:8%27%20--

成功延迟，接下来可以跑python脚本对数据库二分法注入

上某交通大学-shiro反序列化
检测过程：针对目标进行外网互联网段整理，在某教育段一个IP处发现结算系统

点击登陆返回包内发现remeberme字段，为shiro依赖组件，使用shiroscan跑key

然后使用反序列化工具尝试命令执行，反弹shell或者打内存马都可以

福某师范大学-Sql注入-Getshell
检测过程：使用fofa对目标进行信息收集发现目标站点如下

List.aspx页面的id参数可控，这里实际是不存在sql注入的

供应链获取到源码可以看到id参数传过来之后被Convert.ToInt32强类型转换了，这里的Int类型强类型转换一般用于数据绑定上面，通常的asp.net会使用DataSet来进行数据集的绑定，这种写法是很常见的，在页面下存在管理员登陆跳转

黑盒转为白盒代码审计，通过Admin_Login.aspx去审计后端cs源码，由于这套代码没有使用mvc的dll方法封装也就不用反编译dll文件的，很方便

登陆逻辑的第70行存在sql语句拼接，这里是存在sql注入的

使用sqlmap测试username参数存在sql注入全类型，尝试开启xp_cmdshell插件执行ehco命令写入base64冰蝎webshell

厦某大学-供应链-Getshell
检测过程：目标域名demo.edu/login为本次目标的二级域名

使用强口令账号密码登陆后台，这里登陆错误三次以上是会加载验证码的，理论上不存在被爆破的可能，当然要是对接验证码识别平台api也是可以的

附件上传处添加.php扩展名一路绿通直接抓包上传免杀webshell

发包过后返回了文件路径，使用哥斯拉连接即可

成功getshell，后渗透部分为数据库信息收集

当前站点目录下的db.config.php文件内存放的有数据库字符串，连接即可

某旦大学-0day-内网沦陷
检测过程：供应链泄露运维vpn信息，使用某旦专用vpn连进内网

进内网之后不要使用任何fscan扫描的工具防止触发内网态势感知告警，高权限系统内能看到内网IP地址分布直接访问

使用任意用户添加0day加入管理员用户进入后台

log修改处存在任意文件上传，直接发包即可getshell

我们可以根据接口或者上传路径查看当前代码位置，这里看到logo文件上传路径是赋值给了tmpuploadpath，跟过去

这里的是最终文件路径的拼接，查看一下file参数做了哪些限制，继续往下跟

当actionType等于img的时候会进入后缀文件名检查，file的类型检查则没有做过多判断，这里只要我们更改actionType的类型不为img即可上传成功

还有很多处文件上传点但都不能用，具体表现在以下

例如这里重命名文件名为.xlsx，这是我们不想看到的，后渗透方面，发现当前权限比较低为linux的www权限，centos内核使用exp提权到root权限获取宝塔管理权限

内网发现一处禅道OA校园信息化系统

使用任意用户添加漏洞进入后台

获取数据库字符串使用adminer连接数据库获取数据库权限和所有用户hash，其他漏洞主机权限全打包了

某开大学-敏感信息泄露
检测过程：信息收集到目标的一处Djiango框架，这里对js进行代码审计fuzz接口发现一处未授权页面

通过这个页面能直接添加管理员用户进去，普通用户hash可解部分可登陆，文件上传处能上传pdf xss没什么用

对管理员密码hsh解开尝试撞mysql数据库成功连接

某汉大学-未授权-Sql注入
检测过程：对目标进行信息收集发现一处aspx站点，

这里可以注册用户，是有两套系统库是工用的，使用baidu语法在body内找到学号注册账号进来

添加单引号导致报错

添加payoload使其回显出数据库版本信息

另一处敏感信息泄露为某二级域名下的一处可以登陆/注册的地方

老思路先看一下js内有没有敏感信息或者接口

这里很多接口都包含bladex字符串，它是springbladex框架的强特征，该框架存在多个接口未授权访问

尝试fuzz一下子

找到一处未授权接口/api/blade-develop/datasource/list，这里泄露了所有的数据库连接字符串

使用navicat连接即可，后渗透部分为查找敏感信息获取到了Minlo信息

某川大学-信息泄露-供应链
检测过程：通过之前打的供应链发现存在目标相关信息

供应链预设管理账号，没什么好说的

某华理工-信息泄露-供应链
检测过程：通过之前打的供应链发现存在目标相关信息

同上

某东大学-代码审计-0day
检测过程：旧中旧代码是很早很早的代码了

home路由下的Merdata接口开启了Http远程访问，接收了两个参数sdate，toaccount，由于旧中旧是Mvc开发思想且把dll打包，直接使用反编译工具逆向一下dal这个文件即可

GetTestList方法内可以看到两个string的方法，这个类型的设定很重要如果是int类型直接没办法造成sql注入，stringBuilder方法加载的sql语句有些长，我们看后半部分

这里的toaccount参数被直接拼接进来的造成了SQL注入，只不过后面还有一处拼接，这里打延迟的话是双倍的时间

还有一处任意文件上传getshell，在其二级域名下的某站点

润尼尔套件，直接发包上传getshell