浪浪宝贝：记录一次证书站从信息收集到突破cas的过程

前言：

本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的；文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。

第一部分：打点

一个风和日丽的下午，正在上课刷短视频的浪浪，邮箱突然收到了edusrc的一封邮件：

哇塞，居然有新的证书上新了，闲着无聊，那我们随便看看呗。

1.1小程序：

由于浪浪对挖掘小程序有一定的经验，所以优先去看了小程序端，看看能不能不能出货。

直接小程序搜索该学校的名字，很好，官方的小程序一个都没有（出师不利啊，铁铁），不过平时测试的时候可以多关注小程序这里，因为大部分小程序都可以一键登录，这样你就得到一个入口，去测试内部系统，而不是在web登录框苦苦徘徊，同时小程序反编译以后可能存在key泄露，且小程序waf比较少（基于作者的经验而言）。

既然没有小程序，那浪浪难道就此放弃？还有办法吗？哈基浪你这个家伙。

有的兄弟有的，像小程序这样的方法浪浪还有九种不同的方法。

1.2挂载第三方网站

按照浪浪的经验来说，学校的wx公众号一般都会挂载该校使用的第三方的链接，从而方便学生使用，举个例子：

那浪浪去vx直接搜该目标学校的官方账号，果然是有东西的。

但是当时是手机上操作的，只是粗略的点开看了一下各个系统，看看有没有什么特殊的点，打开这第一个系统加载的是厂商的支付平台：

这个系统很常见，支持用户名+密码或者证件号+姓名两种登录方式。那这不是就来了吗？随便找一个sfz登录就一个弱口令了，但是浪浪这里没交啊，因为这个意义不大。（不过记住这个系统，后面要考，记不住的叉出去，哈哈）

然后浪浪又看了另外的几个系统，教务系统是某方的，前台不用看，当然浪浪也看不了，因为浪浪用的手机，嘻嘻。

让我们来做一个登录框战士吧——分享浪浪对于登录框的思路：

1.弱口令 2.爆破 3.sql注入 4.万能密码 5.逻辑绕过 6.看看js 7.横向突破

但是正如刚才所说，某方的系统，还是别看了。

1.3 官方公众号自吐信息

给目标站点点关注，然后进去聊天框，说不定会有意外收获欧！

大家可以多搜一下与目标站点挂钩的子公众号。比如目标站点下的二级学院啊，某系统啊。

为什么这样做呢？因为有一些边缘资产会部署在这些二级学院里面，作为学院的专属，所以一般的测绘语法是测绘不到这些资产的。

举个例子：之前公众号搜索某大学的后勤部，关注之后，自吐了该学校的一些系统的默认密码和一张访客系统二维码，浪浪凭借此二维码打到第三方系统，然后打到统一身份认证，嘻嘻。

分享一下自己常用的几个系统关键词：

访客系统后勤部访客预约心理部门校友平台... 

1.4 善用短视频平台

因为后期想打目标系统，肯定大部分系统都是要登录的，那就离不开对一些铭感信息的收集工作，这个时候，浪浪一般会掏出自己的万能宝典合集————短视频平台、某书、腾讯视频、腾讯文档、yuque、qq频道、qq群....。

这些方法屡试不爽，一般都会得到我想要的，嘻嘻。

这次测试也是通过某短视频平台得到了敏感信息，进而打开的入口。

1.5 语法测绘

以上的这些都是基于浪浪使用的是手机，下课后浪浪跑回宿舍迫不及待的掏出了自己的大宝贝。打开测产测绘平台对目标站点进行收集，浪浪常用的就是hunter、fofa、360quake。

浪浪一般喜欢使用备案号去检索资产：

icp.number="xxxx号"&&(web.body="登录"||web.body="注册")

前期的打点还有很多方式，但是我对目标站点没做过深的收集，就到这里吧。。

第二部分：迂回突破cas

测绘发现目标站点的挺多系统的，点开查看后发现都经过了302重定向到统一身份认证，必须得经过cas才能访问，也就是cas起了聚合的作用，将内部系统聚合在一起，只要突破该cas就能突破她的心了。

怎莫办怎末办？浪浪曾经尝试过打cas，但是绕不过啊，呜呜。

对于302重定向：浪浪曾经通过卡包来绕过cas的登录，但是该目标站点尝试后并不可以。

没办法了，只能正视cas了，希望像对她一样对我温柔点吧，

主页：

较为敏感,不放图了（望理解）

我的思路是先看看"常见问题”，看看有没有写默认密码，然后通过信息收集到的信息进行弱口令登录，

如果不行，尝试爆破，这都再不行，看看js，看看“忘记密码”,再不行，提桶跑路吧 ！宝宝，毕竟我也是菜狗。

何必在这里吊死，第一眼看到这个框架的时候其实已经不报太大希望了，因为这个系统我打到几次，孩子硬是一点东西没出啊。不过，上天眷顾我这个菜狗，发现该目标站点居然开放了”账号申诉“,你知道我多高兴吗？这可是打了这么多cas以来，第一次开放的，呜呜，，不容易啊。

这个开放的本意是好的，但是却导致了一个问题，那就是可以通过这里对任意用户的密码进行重置。只需要对其进行信息收集就行了。

收集收集发现虽然是得到了sfz，但是没有学号啊，愁死宝宝了，难道还是突破不了cas？不行，我要打！！

继续收集，但是该目标站点的录取通知书没有学号，这想要收集对应学生的xh还是有点难度啊，想过钓鱼（但是不合规，没做），峰回路转，冷静一下后想到打点打到的那套支付平台，还是比较熟悉的，想到这里面会有学号，果断登录进去查看，嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻，搞到学号了。

 那就重置一下密码吧（报备一下）：

返回登录，使用学号或者后六位登录一直登录不上，完了，难道是强口令策略？？？？？？

不对劲不对劲，赶紧百度一下，贴吧老哥是一个很给力的团队（嘻嘻嘻嘻嘻）：

尝试登录，我终于进来了！！！！

第三部分：迷茫期

进是进来了，怎末没有功能点？怎么和我想的不一样？我的应用中心跑哪里去了？？怎么全是一些申请文档啊？？功能点呢？功能点呢？

某方的系统，我哭死。。。发现个人中心，抓包看看会不会有什么好东西，好家伙，都是脱敏的sfz，，玩个屁啊，不玩了，呜呜。

突然翻到一个教师的工号+手机号，既然学生权限没有东西，那么是不是可以提高一下权限。

对该教师展开信息收集，得到sfz，过程省略，也是成功突破该cas。

不再迷茫。嘻嘻

第四部分：产出

既然有了功能点，那就慢慢测试呗。

展示一部分： 

上传点白名单，支持zip和pdf还有一些其他的，如果是白盒测试，通过代码审计，说不定能通过zip传shell解压后getsell，参考（CVE-2024-33752emlog后台插件任意文件上传）但是这里我打不出来，只是提出一个思路。

水一个pdfxss。

这个还没审核且是外部系统，就不放图了。

因为时间比较匆忙，而且证书已经混到了，不打了....

第五部分：总结

这些洞到最后写完其实并没有多少的含金量，这篇文章主要是想和大家分享我平时打点的一些方法和思路，对于我这种彩笔宝宝，自己越挖越觉得自己菜，这是很正常的，大家可以自己多去实战一下，这样可以快速的发现自己的不足，从而制定属于自己的学习计划。

借用认识的师傅的名言：“大家都是普通人，没什么傲人的天赋 ，惊艳的智慧，只有坚持，当故事定格，你永远是那个坚持的人，就够了。”

原文始发于微信公众号（SecurePulse）：浪浪宝贝：记录一次证书站从信息收集到突破cas的过程