完整记录一套学生智慧平台渗透全流程

免责声明

本报告仅用于安全研究和授权测试，未经授权的渗透测试行为是违法的，切勿用于其他用途，请确保在合法授权的情况下进行安全测试，出现任何后果与本人无关。

看功能点

刚开始统一跳进来之后能走的功能点并不多，只有个欠费报道查看，这边走了走没啥产出

敏感信息泄露1

点击工作代理这个功能点，能查询返回用户

抓包看看，有敏感信息，身份证，手机号等但是不知道多少

key=0或者其他，都只能查询到一部分，并不知道具体用户数量。

尝试将key=制空，或者key=a-z，或者key="星号键“，都不返回

最后将key删除，返回了所有用户数据。一共一千多点用户。

批量请求js路径

敏感信息泄露2

继续挖，被动插件jsrouterscan提供了许多接口

直接一起放到intruder模块批量请求，爆红出货啦

SQL注入

跟js跟到下面接口：/yxkvkshSet，一个统计大屏界面，可以操控

点击大屏显示的功能点

SQL延时注入

跟到下面的请求包，存在延时注入，轻松绕过

每一个模块均存在延时注入，由于edusrc同类型只收三个，所以提交了三个接口

poc如下：

pcid=%27and%28select*from%28select%2F**%2Fsleep%286%29%29a%2F**%2Funion%2F**%2Fselect%2B1%29%3D%27

查指纹打同类型站点扩大危害

还记得刚开始我们是统一跳进来的，但是这个学校功能点太少了，作为一个学生智慧平台不太可能，去查询指纹打点同类型的站看看有没有新的产出。

通用资产查找

我没有写过找通用的文章，这里找了个若依的 举例补充一下

通用查找方式 1：icon（不全）

F12 检查来到网络，刷新一下页面，会加载一个.ico

访问 ico 的链接下载下来

用资产测绘平台检索，可以检索到同样存在这个 ico 的资产

这里不推荐，拿学校举例，学校会把这个 ico 换成自己学校的图标，这样 ico 检索就检索不到了。

通用查找方式 2：静态资源

这种比较特殊的接口，和这种一看就感觉有点特殊的 css，js 或者接口啥的，也都可以作为指纹来检索,可以多尝试，这里随便举个例子

包括查看网页源代码，这种比较特殊的文字内容，都可以作为指纹

检索出来一打开也都很明显是若依框架，查 ico 就查不出来的

通用查找方式 3：厂家官网合作

知道开发商是谁后，直接查他们的官网，他们官网一般也都会有合作单位的案例，然后直接 hunter 定向检索就行，或许会有其他收获

登录其他院校

找到其他学校，站点登录不跳到统一去登录，有忘记密码功能点

发现重置密码只需要用户名和身份证号，记下来忘记密码的接口

我们在这个接口能查到超级管理员的账号和身份证

重置超管的账号密码

记录不用统一登录的接口

拼到我们重置了超管的学校，发现自动跳转到cas统一登录

卡住跳转统一的请求包'

输入重置的超管的账号密码，成功接管超管用户

添加超管用户功能点抓包

普通用户请求，发现提升权限包没做鉴权，可以直接提升任意用户为超级管理员，通杀接管超管

拿下其他学校超管用户

一些简单的改id越权太多了，就不再赘述了

意外收获nacos

继续跟同类型站点，没想到在一个xx学院还跟到了nacos

直接打历史漏洞

历史漏洞太多了，不再一一赘述，拿到管理员密码

cmd5解密 拿到密码admin123

登录拿下 nacos

意外收获env+heapdump

nacos下还有env和heapdump

JDumpSpider解heapdump

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

总的来说还是有一点收获的，并不难，跟js以及去跟指纹总会有一些意想不到的收获。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.