记一次校园内网的edusrc漏洞挖掘
2022-7-18 09:10:13 Author: 编码安全研究(查看原文) 阅读量:89 收藏

文章来源:先知社区(鼹鼠Yanshu)

原文地址:https://xz.aliyun.com/t/11074

CSDN地址:https://blog.csdn.net/weixin_45887311

以下提及的漏洞都提交到edusrc平台进行修复

0x01 WebVpn突破

受到en0th师傅文章启发,对学校WebVpn进行了一次SRC漏洞挖掘测试

账号为学号,密码规则在Web页面也给出来了,搜索开源信息,能搜索到学号和对应的人名

0x02 内网资产

进入内网系统后,发现点击相应的链接可以访问相应的内网资源

对相应的内网域名及ip访问会经过WebVpn加密后再次拼接,如果想获取更多内网资源,就必须知道ip和域名的加密规则

 https://webvpn.xxxx.edu.cn/http/77726476706e69737468656265737421a1a013d2756326012c5ac7f8ca/

通过页面源码的关键字搜索,发现了公开的WebVpn的url加解密流程,经过测试发现Key和iv都是默认的

//安装aes-js库
npm install aes-js

//引入库,从cmd终端输入读取weburl来进行加密
const weburl = process.argv.slice(2)[0];
var aesjs = require('aes-js');

         
 //加密代码,然后输出
console.log(encrypt(weburl,wrdvpnIV,wrdvpnKey));}

调用Nodejs来运行加密脚本,获取到url拼接内容

python编写脚本,调用os.popen()读取控制台加密的url,对WebVpn界面显示的210.xxx 、121.xxxx等网段进行一次扫描,Request发包可以对内网存在的Web资源进行一次扫描

import os 

cmd = 'node wrdvpn.js ' + url
pipeline = os.popen(cmd)
result = pipeline.read().strip()
print(result)


除此之外,WebVpn还可以拼接端口和协议,类似规则为/http-xxx/ /https-xxxx/

0x03 漏洞挖掘

扫描得到了很多内网的资产

简单查看其中一些资产,发现了一个科研管理系统的资产,发现网上都有公开的POC

存在Orcale SQL注入漏洞,但是Sqlmap无法进一步获取数据,漏洞危害比较小

未授权任意文件下载,无需登录,遍历id就可以对科研文件进行下载

推荐阅读   

【入门教程】常见的Web漏洞--XSS

【入门教程】常见的Web漏洞--SQL注入

sql注入--入门到进阶

短信验证码安全常见逻辑漏洞

最全常见Web安全漏洞总结及推荐解决方案

常见的Web应用的漏洞总结(原理、危害、防御)

代码审计常见漏洞总结

Web安全漏洞的靶场演示

13 款 Linux 比较实用的工具

xss攻击、绕过最全总结

   学习更多技术,关注我:   

觉得文章不错给点个‘再看’吧


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDY1MDc2Mg==&mid=2247491173&idx=1&sn=fb2fdda441d5d59589a11ef5ef766493&chksm=ce674d00f910c416d7eb0c8b4360031cba8fb2dc9426bcb3ee2fa116e840371583ab1dbb6f4b#rd
如有侵权请联系:admin#unsafe.sh