实战 | 校园内网的edusrc漏洞挖掘
2023-1-7 00:2:22 Author: 橘猫学安全(查看原文) 阅读量:73 收藏

以下提及的漏洞都提交到 edusrc平台进行修复

webvpn 突破

受到 en0th师傅文章 启发,对学校 webvpn 进行了一次src漏洞挖掘测试

账号为学号,密码规则 在web页面也给出来了,搜索开源信息,能搜索到学号和对应的人名

内网资产

进入内网系统后,发现点击相应的链接可以访问相应的内网资源

对相应的内网域名及ip访问 会经过webvpn加密后再次拼接,如果想获取更多内网资源,就必须知道ip和域名的加密规则

https://webvpn.xxxx.edu.cn/http/77726476706e69737468656265737421a1a013d2756326012c5ac7f8ca/

通过页面源码的关键字 搜索,发现了 公开的webvpn 的url加解密流程,经过测试发现key和iv都是默认的

//安装aes-js库
npm install aes-js

//引入库,从cmd终端输入读取weburl来进行加密
const weburl = process.argv.slice(2)[0];
var aesjs = require('aes-js');

//加密代码,然后输出

console.log(encrypt(weburl,wrdvpnIV,wrdvpnKey));


调用nodejs来运行 加密脚本,获取到url拼接内容

用python 编写脚本 ,调用 os.popen() 读取控制台加密的url,对webvpn界面显示的210.xxx 、121.xxxx 等网段进行一次扫描, request 发包可以对内网存在的web资源进行一次扫描

import os 

cmd = 'node wrdvpn.js ' + url
pipeline = os.popen(cmd)
result = pipeline.read().strip()
print(result)

除此之外,webvpn 还可以拼接端口和协议,类似规则为 /http-xxx/ /https-xxxx/

漏洞挖掘

扫描得到了很多内网的资产

简单查看其中一些资产,发现了一个科研管理系统的资产,发现 网上都有公开的POC

存在Orcale SQL注入漏洞,但是 Sqlmap 无法进一步获取数据,漏洞危害比较小


未授权任意文件下载,无需登录,遍历id就可以对科研文件进行下载

还有很多校园内网资产,后面再慢慢看

参考链接:

https://xz.aliyun.com/t/11007

https://blog.csdn.net/lijiext/article/details/110931285

作者:鼹鼠Yanshu原文地址:https://xz.aliyun.com/t/11074

声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权否则需自行承担,本公众号及原作者不承担相应的后果.

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247502786&idx=2&sn=d06e9294655e5825e907d16288dd5ab1&chksm=c04d4cfcf73ac5ea18681bf127217d4caffe21adae62e38e7601be6f5fc73a362b0303387d3b#rd
如有侵权请联系:admin#unsafe.sh