记一次对学校的渗透测试
2023-5-6 09:11:3 Author: 编码安全研究(查看原文) 阅读量:92 收藏

文章来源:先知社区(我想学安全)

原文地址:https://xz.aliyun.com/t/9025

0x01 前言

此次渗透测试较为基础,有很多不足的地方,希望各位大佬能够指正。

0x02 过程

首先打开学校的官网:http://www.xxxx.edu.cn,嗯,直接干。。。

这里直接进行子站查找,一般主站不会让你打进去的(大佬当我没说 ^..^)。

进行了一番查找,找到了一个学校的图书馆系统

需要学号和密码,学号一般通过谷歌语法来搜集就可以,默认密码打一发123456

一发入魂,然后想到固定密码,然后跑一发学号这样准确率会高很多


根据学号推测,例如:2019**,一般是根据入校年数+专业+班级+**来设定的,随后按照猜想构造学号,开始遍历

302 都是成功跳转的,成功拿到学生的图书馆系统
当然不能够忘记我最喜欢的SQL注入了,根据谷歌语法来搜集一波 site:xxx.edu.cn inurl:?= ,皇天不负有心人,打开站点

刚开始我是有点懵的,随后才想到会不会是 MTE= 进行了加密,随后

试试单引号

啊这,sqlmap 一把梭,调用base64的脚本,base64encode.py

读到管理员用户名和密码,随后一处任意文件上传拿到了shell

期间还发现了一个站点,进行目录扫描后发现

属实不知道这是个啥,上面还有数据库执行语句。。。随后通过ip扫描找到一个阅卷系统

通过查看js发现

尝试通过修改返回包来测试——————失败


Fuzz出了 test 用户名和密码,发现并没有什么值得利用的

Burp抓包发现在newpass参数存在注入

Sqlmap 一把梭,现实却给了我一片红。。。发现目标存在安全狗,调用 equaltolike,space2mysqldash 来实现绕过,感谢我junmo师傅帮我绕狗

sqlmap.py -r c:/2.txt --dbms mssql --skip-waf --random-agent --technique SBT -v 3 -p newpass --tamper equaltolike,space2mysqldash

不是dba 。。。没找到后台,然后继续寻找到一处dba权限的sql,因为也有安全狗,所以用脏数据来消耗内存

然后在一处继续教育平台也发现了一处sql

而且这里存在一处逻辑绕过

抓包将这里的响应修改为1即可绕过

至此对该学校的渗透结束

0x03 总结

这次的渗透测试来说没有什么很技术性的东西,有的只是个人经验这次挖掘的这么多的漏洞主要是信息和资产搜集,所以说搜集信息真的很重要遇到可疑点就要多测测,宁可浪费一千也不可漏掉一个

侵权请私聊公众号删文

   学习更多技术,关注我:   

觉得文章不错给点个‘再看’吧


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDY1MDc2Mg==&mid=2247503203&idx=1&sn=55da98917229c141c20811b19c3e4065&chksm=ce649e06f9131710504640fea648e1c8a3731135b7446455bf6d17972187ca18cbe7dcc2bcd9#rd
如有侵权请联系:admin#unsafe.sh