梦里挖edu src的步骤

目标：https://www.xxxxxx.edu.cn/

https://www.xxxx.edu.cn/xxxx/info/1017/1222.htm(可以看出是主站泄露了同学的sfz，然后我们再利用该信息，反查xh，这样就可以利用sfz和学号的弱口令进入webvpn，然后开始挖掘漏洞）

访问帮助文档时，我们可能会发现初始密码被明确记录：

我们信息收集的也很顺利，其中很多账号都是默认口令，于是开始对系统一一进行测试：

利用这些信息，我们对系统进行了逐一测试。测试的重点包括人事系统、学生管理系统等关键领域。首先尝试入侵的是人事系统，鉴于该学校似乎缺乏足够的安全措施，我们预测该系统的大多数账户也可能采用弱口令。结合之前收集到的教职工与学生账户数据，实施了抓包爆破攻击。不出所料，验证了我们的假设——该校所有师生账户均使用了简单的弱口令：“66xx66”。

信息全部泄露：

经过对学校信息系统的审查，发现由于弱密码政策导致大量敏感信息被泄露。尽管其他部分如逻辑测试和一些非关键的跨站脚本攻击（XSS）未详细描述，但学工系统的安全问题尤为突出。该系统的登录界面位于 http://xx.xxx.xxx.xxx:8312/admin/login/index ，并且存在弱密码问题，即用户名与密码相同。

我们使用学生账号登录成功后，对于该系统进行测试，没有上传点，sql注入的waf也挺严的，于是我只有考虑逻辑漏洞，没想到，这个系统对于权限控制的很无语，可以水平和垂直

越权：（此处直接修改id即可越权，然后此系统中每个功能点都能如此越权，也可以直接越权到管理员权限。）

此系统还有一个有趣的地方就是任意密码重置，可以直接将管理员密码重置：

进行抓包，然后修改数据包即可：

然后退出尝试登录，一发不可收拾：获取管理员权限后，然后又是再一次泄露全校师生个人信息。

拿下系统管理员权限后，进去可以获取管理员的路径url，然后使用学生权限的账号也可以直接越权访问

然后继续测试考试系统，此系统也是无数个漏洞。

漏洞，越权添加管理员：

url为http://10-20-100-236.webvpn1.xxxxx.edu.cn:8125

使用之前获取的学生账号登录后，来到用户管理，添加用户，填写用户信息。账号001 密码123456 点击保存

抓包，将ddlRole参数值改为0，然后放包

退出登录，然后登录刚刚创建的管理员账户001 密码123456

成功添加，此处还有一个修改返回包可以到达任意用户登录的漏洞我就不简单叙述了，到此还有很系统都存在如此的逻辑漏洞，我就不继续浪费大家的时间了，如果对一个学校就这样测试肯定就显得很没有意思了，在我测试逻辑测试到无聊的时候，我又返回到了学工系统，因为这个系统我用管理员账号登录的时候发现了文件上传点。

使用管理员账户登录该系统时，发现其中的文件上传功能存在CGI解析漏洞。利用这一漏洞，可以直接上传Web Shell（图片木马），并通过特定路径访问实现远程控制。

直接上传图片马然后访问加上/.php即可，此漏洞简单我就不讲述原理了：

进入门户网站后，对每一个系统都认真的测试，因为逻辑漏洞太多太多了，本文也算是对逻辑漏洞的一种叙述，到这里我就被闹钟叫醒了，又开始了我的搬砖生涯