高校网络攻防实录：从灯塔扫描到数据泄露的72小时渗透笔记

一、午夜屏幕的幽蓝荧光：一次非典型渗透的开端

2024年10月的某个深夜，我盯着屏幕上跳动的灯塔扫描进度条，咖啡杯在键盘旁凝结着冷意。目标是某所知名高校的网络系统，起因是朋友偶然提起该校官网曾出现过短暂的信息泄露。本着技术研究的心态，我决定尝试从公开渠道进行合规渗透测试，未曾想这次看似常规的操作，却在数据海洋中捞出了意想不到的“大鱼”。

（一）资产测绘的迷雾与路标

首先映入眼帘的是灯塔工具生成的资产地图：121个站点、137个子域名、81个IP地址，像一张错综复杂的蛛网铺展在屏幕上。不同于以往攻击企业的经验，教育网的资产往往带着独特的标识——大量以.edu.cn结尾的域名，以及隐藏在二级目录下的内部系统。我习惯性地先查看“文件泄露”模块，这里曾让我在某次实战中发现过企业的配置文件，而这次，它果然没有让人失望。

当扫描到/templates路径时，返回的301状态码引起了我的注意。通常这类静态资源目录不会触发重定向，除非存在路径重构或历史版本残留。顺着重定向链追踪，竟发现了一个早已废弃的旧版登录页面，虽然功能早已失效，但页面源码中残留的spring-boot关键词，为后续的技术研判埋下了伏笔。

二、子域名海洋中的暗礁：从Spring Boot到若依系统的跳跃

在逐一排查子域名时，一个标注着8080端口的地址进入视线——xxx.edu.cn:8080/en，不同于主站的中文界面，这个英文版本的首页加载异常缓慢。尝试用spring-boot-scan工具扫描，却意外得到“无敏感信息泄露”的反馈。正当准备放弃时，地址栏中prod-api的路径突然让我想起近期频发的若依框架漏洞，那个在安全圈被反复讨论的后台管理系统。

（一）路径拼接的盲盒游戏

输入xxx.edu.cn:8080/prod-api/，页面直接报错“404 NOT_FOUND”，但返回的500状态码却透露出服务端的异常。尝试删除路径中的prod-api，经典的若依登录界面突然弹出，那一刻的惊喜堪比在废墟中发现完整的文物。注册页面的细节更是耐人寻味：除了常规的账号密码，还要求填写工号/学号、身份证号等敏感信息，这在教育系统中并不罕见，却为后续的数据泄露埋下了隐患。

按照常规流程注册用户时，发现邮箱验证码功能存在延迟，而手机号验证码却能即时收到。这种差异让我怀疑开发团队可能在测试环境中简化了验证逻辑，于是尝试用同一手机号重复注册，竟发现系统仅校验了格式，未做唯一性限制——这个漏洞虽然微小，却成为后续权限提升的关键支点。

三、个人中心的裂缝：从用户遍历到数据喷涌

登录后的个人中心页面看似普通，直到在抓包时发现/prod-api/system/user/profile接口返回的数据包中，包含了当前用户的部分敏感信息。尝试将URL中的profile替换为list、page等常见后缀，均返回权限不足，但错误信息中“java.lang.Long类型参数”的提示，却像一把钥匙指向了参数注入的方向。

（一）参数篡改的链式反应

抱着试试看的心态，将URL中的用户ID从默认的0改为1，奇迹般地获取了超级管理员的信息：工号、邮箱、身份证号清晰可见。这种简单的数字遍历攻击，在严格校验的系统中本应被拦截，却在这个看似完善的若依实例中畅通无阻。更令人惊讶的是，系统对user和role接口的参数校验存在漏洞，当传入非数字参数时，返回的错误信息竟直接暴露了接口的底层逻辑，为进一步攻击提供了详细的指引。

在遍历用户ID的过程中，发现部分账号的注册时间停留在2018年，对应的密码字段虽然经过加盐处理，但身份证号、手机号等信息却未做任何脱敏。这些数据像散落的拼图，逐渐拼出了该校教职工和学生的信息全貌，而此时，距离首次发现若依系统仅过去了4个小时。

四、权限边界的试探：从普通用户到数据收割

随着用户ID的不断递增，数据量呈指数级增长：500、1000、5000，每个数字背后都是一个真实的个体信息。尝试访问/system/user/list接口时，依然返回权限不足，但通过修改请求头中的Authorization字段，竟短暂获取了管理员级别的令牌——这个漏洞本应在版本更新中被修复，却因为系统未及时打补丁而成为“时间炸弹”。

（一）漏洞利用的现实困境

虽然获取了大量敏感信息，但密码字段的加盐处理让破解工作举步维艰。这种矛盾的处境恰恰反映了网络安全的现实：攻击者可能在瞬间突破防线，却受制于后续的加密措施；防守者看似筑牢了某道屏障，却在其他角落留下了致命缺口。在尝试多种破解工具无果后，不得不将重点转向未加密的个人信息，这些数据在社工攻击中同样具有极高价值。

在遍历过程中，发现一个ID为50001的账号，用户名显示为“test_user”，注册时间为2024年10月16日，恰好是灯塔扫描启动的当天。这个明显用于测试的账号，其个人信息竟包含完整的身份证号和银行卡后四位，推测是开发团队在部署时遗留的调试账户。这种低级错误，往往比复杂的技术漏洞更具破坏力。

五、攻防之外的思考：教育系统的安全盲区

当整理完5000余条敏感信息时，窗外已泛起鱼肚白。这次渗透测试并非恶意攻击，却意外揭开了教育系统网络安全的诸多痛点：老旧的框架版本、未及时修补的漏洞、开发过程中遗留的测试数据，这些问题在高校中普遍存在，却往往因为“非核心业务”而被忽视。

（一）技术与管理的双重悖论

若依系统本身具备完善的权限管理机制，但在实际部署中，管理员可能为了方便而降低安全级别；灯塔等资产测绘工具能有效发现表面漏洞，却无法洞察人为疏忽造成的安全隐患。这种技术与管理的脱节，形成了网络安全的“灰色地带”，让攻击者有机可乘。

教育系统的特殊性在于，其用户群体涵盖了从学生到教职工的各个年龄段，对网络安全的认知水平参差不齐。当攻击者通过社会工程学手段获取到姓名、工号等信息后，辅以此次泄露的身份证号，几乎可以伪造出完整的个人身份，这种风险远超过单纯的账号密码泄露。

六、渗透测试的终点与起点

此次渗透在获取关键数据后戛然而止，按照合规测试的流程，已第一时间向目标单位提交了漏洞报告。但这次经历留下的思考远未停止：在数据成为核心资产的时代，每个组织都应建立动态的安全防护体系，不仅要抵御外部攻击，更要管控内部的安全隐患。

（一）漏洞修复的时间哲学

从发现若依系统到获取敏感信息，整个过程不超过24小时，而修复这些漏洞可能需要数周甚至数月。这种时间差正是网络安全攻防的核心矛盾——攻击者只需要找到一个弱点，而防守者却要保护所有可能的攻击面。

技术工具可以扫描漏洞，却无法扫描人性的弱点。当开发团队为了赶工期而忽略安全校验，当管理员为了方便而保留测试账号，这些看似微小的行为，最终都可能成为数据泄露的导火索。网络安全的最后一道防线，永远是人的安全意识。

尾声：数字时代的攻防永不停歇

收拾设备时，屏幕上的灯塔扫描日志仍在滚动，新的资产信息不断涌入。这次渗透测试不是终点，而是一次对教育系统网络安全的全面体检。它提醒我们，在数字校园建设的热潮中，不能只关注技术的先进性，更要筑牢安全的基石。每个漏洞背后，都是一次对安全体系的拷问；每次数据泄露，都是对所有人的警示——在网络空间中，没有绝对的安全，只有持续的攻防与改进。

当清晨的阳光照亮屏幕，那些曾在深夜闪烁的IP地址和代码，终将回归平静。但网络安全的战场永远不会沉寂，下一次攻击可能就在下一个转角，而我们能做的，就是不断提升防御能力，让每个数据都得到应有的守护。这或许就是渗透测试的真正意义：不是为了突破防线，而是为了让防线更加坚固。