某次211大学的渗透测试过程

admin
admin
admin
138971
文章
114
评论
2025年4月21日22:56:53评论1 views字数 2255阅读7分31秒阅读模式

前言:分享我常用的渗透方法,实战拿下一个证书站的经历,欢迎交流学习

一些废话
一直不太想打证书站,因为有很多人盯着,总感觉漏洞早已经被挖掘完了,不会轮到我,但是真的很想要一个证书啊,于是试了一下,虽然困难重重,但最终还是挖到了一个高危,可以换证书了

渗透测试流程

信息收集

首先需要获得尽可能多的资产,不要硬刚,寻找可能存在漏洞的资产

域名收集

首先使用工具进行域名收集,这样可以在域名收集的过程中做一些其他的收集

我一般使用以下两个工具同时进行收集
subfinder -d **.edu.cn -all -o subdomains.txt
amass enum -d **.edu.cn -dir amass4owasp

敏感信息收集

敏感信息收集相当重要,通常都能成为我的突破口

  • 默认密码
使用Google语法,以下是一些简单的实例
site:**.edu.cn 默认密码 工号
site:**.edu.cn 密码
site:**.edu.cn 手册 filetype:pdf
使用github搜索

某次211大学的渗透测试过程
GitHub搜索很幸运的找到了一个用户的账号密码

某次211大学的渗透测试过程
默认密码:
00000
身份证后6位
工号
部门号

账号凭据
用户名:20****
密码:SY****

  • 学号和工号

    site:**.edu.cn 学号 名单
    site:**.edu.cn 学号 公示
    site:**.edu.cn 学号 转专业
    site:**.edu.cn 学号 助学金
    至于工号的话一般泄露的不多,可以看一下邮箱是否是工号开头的
    site:**.edu.cn 邮箱 @**.edu.cn

    某次211大学的渗透测试过程
    按照以上方法找到一些学号
    2024124013
    2024124051
    2024124039
    2023123972

但是没有找到工号

做完以上的步骤差不多子域名也收集完了,我一般会使用其他的方法进行一些补充

子域名补充

使用如下的网站
https://www.virustotal.com/

virustotal不仅可以分析病毒,还可以帮助收集资产

比如我收集下百度的资产
某次211大学的渗透测试过程
将所有的资产复制到一个文件subdomains1.txt中,然后使用如下命令将不重复的资产添加到我的子域名收集列表subdomains.txt中

cat subdomains1.txt | ./anew subdomains.txt

然后使用如下工具添加更多的资产

assetfinder **.edu.cn | ./anew subdomains.txt

导出amass找到的子域名到文件sundomains2.txt中,然后将新的添加到sundoamins.txt中

oam_subs -names -d **.edu.cn -dir amass4owasp | tee subdomains2.txt
cat subdomains2.txt | ./anew subdomains.txt

资产识别

子域名收集差不多后了,判断存活,一般是使用Ehole直接判断存活加资产识别了,平时遇到的没有的资产也会添加到库中,使用起来非常方便

ehole.exe finger -l subdomains.txt -o result.xlsx

ehole可以快速帮我找到重要的资产,并且输出一个xlsx表格,方便我们筛选数据

现在的edu网站大多数防护做的已经很不错了,waf+统一认证,没有一个账户真的寸步难行

某次211大学的渗透测试过程
可以发现大多数都是403

ip资产收集

根据之前得到的ip,使用各种测绘引擎收集

  • shodan
    net:192.168.1.1/24
  • zoomeye
    cidr:"192.168.1.1/24"
  • fofa
    ip="192.168.1.1/24"
  • censys

资产分类

将result.xlsx中的所有的404资产收集放入文件404.txt中,403资产放入403.txt中

然后进行目录爆破、403探测等等操作均无果

挖掘逻辑漏洞

目标的网站大多是需要经过统一身份认证才能访问,而且还都有waf,之前的常规测试都没有发现漏洞,所以使用之前收集得到的账号登录统一身份认证系统看下里面的资产
找到一个资产需要统一身份认证才能访问,正好登陆看看
https://sas.**.edu.cn

某次211大学的渗透测试过程
使用burp抓包,到以下这一步可以看到,获取设置了用户的roleid,09应该是学生的权限

某次211大学的渗透测试过程
然后经过几个包后,转到了要测试的网站发包

某次211大学的渗透测试过程
可以看到这是将https://sas.**.edu.cn网站将roleid设置为09

到这里我就有些怀疑可能存在越权漏洞了,先进去看看有什么功能

可以查询个人的信息,学号、qq号什么的,没什么价值

某次211大学的渗透测试过程
修改成另外的学号,发现果然做了鉴权,并不能查看

某次211大学的渗透测试过程
想起来之前的参数roleid,退出登录,重新登录,burp抓包统一身份认证登陆的那一步,将roldid修改成01

某次211大学的渗透测试过程
一直放包,然后找到查询个人信息的哪那里,改成其他人的学号

某次211大学的渗透测试过程
发现jwt中的参数roleid变成了01,并且可以查询别人的信息了,确认存在越权,但是泄露的信息不够敏感,没有价值,需要在寻找一些有没有更加敏感的接口

在页面点击找寻了一阵,发现以下的页面可以查看自己和父母的身份证号等敏感信息
https://sas.**.edu.cn/student/studetails

某次211大学的渗透测试过程
如果这里也存在越权的话,那危害应该足够了

按照之前的方法,将roleid修改成01,然后使用抓到的包发包,如下

某次211大学的渗透测试过程
果然存在越权,使用如上的数据包发送任何人的学号都可以查到他的身份证号等敏感信息,如此这次的漏洞挖掘也告一段落
最后也成功换到证书

某次211大学的渗透测试过程
某次211大学的渗透测试过程
原文链接:https://xz.aliyun.com/news/16182,如有侵权请联系删除。

原文始发于微信公众号(蓝云Sec):某次211大学的渗透测试过程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月21日22:56:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某次211大学的渗透测试过程https://cn-sec.com/archives/3972374.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息