某次211大学的渗透测试过程

本文链接：https://blog.csdn.net/2401_83799022/article/details/143429636

渗透测试流程

信息收集

首先需要获得尽可能多的资产，不要硬刚，寻找可能存在漏洞的资产

域名收集

首先使用工具进行域名收集，这样可以在域名收集的过程中做一些其他的收集

我一般使用以下两个工具同时进行收集
subfinder -d **.edu.cn -all -o subdomains.txt
amass enum -d **.edu.cn -dir amass4owasp

敏感信息收集

敏感信息收集相当重要，通常都能成为我的突破口

默认密码

使用Google语法，以下是一些简单的实例
site:**.edu.cn 默认密码 工号
site:**.edu.cn 密码
site:**.edu.cn 手册 filetype:pdf
使用github搜索

GitHub搜索很幸运的找到了一个用户的账号密码

默认密码：
00000
身份证后6位
工号
部门号

账号凭据
用户名：20****
密码：SY****

学号和工号site:**.http://edu.cn 学号名单 site:**.http://edu.cn 学号公示 site:**.http://edu.cn 学号转专业 site:**.http://edu.cn 学号助学金至于工号的话一般泄露的不多，可以看一下邮箱是否是工号开头的 site:**.http://edu.cn 邮箱 @**.http://edu.cn

按照以上方法找到一些学号
2024124013
2024124051
2024124039
2023123972

但是没有找到工号

做完以上的步骤差不多子域名也收集完了，我一般会使用其他的方法进行一些补充

子域名补充

使用如下的网站
https://www.virustotal.com/

virustotal不仅可以分析病毒，还可以帮助收集资产

比如我收集下百度的资产

将所有的资产复制到一个文件subdomains1.txt中，然后使用如下命令将不重复的资产添加到我的子域名收集列表subdomains.txt中

cat subdomains1.txt | ./anew subdomains.txt

然后使用如下工具添加更多的资产

assetfinder **.edu.cn | ./anew subdomains.txt

导出amass找到的子域名到文件sundomains2.txt中，然后将新的添加到sundoamins.txt中

oam_subs -names -d **.edu.cn -dir amass4owasp | tee subdomains2.txt
cat subdomains2.txt | ./anew subdomains.txt

资产识别

子域名收集差不多后了，判断存活，一般是使用Ehole直接判断存活加资产识别了，平时遇到的没有的资产也会添加到库中，使用起来非常方便

ehole.exe finger -l subdomains.txt -o result.xlsx

ehole可以快速帮我找到重要的资产，并且输出一个xlsx表格，方便我们筛选数据

现在的edu网站大多数防护做的已经很不错了，waf+统一认证，没有一个账户真的寸步难行

可以发现大多数都是403

ip资产收集

根据之前得到的ip，使用各种测绘引擎收集

shodan
net:192.168.1.1/24
zoomeye
cidr:"192.168.1.1/24"
fofa
ip="192.168.1.1/24"
censys

资产分类

将result.xlsx中的所有的404资产收集放入文件404.txt中，403资产放入403.txt中

然后进行目录爆破、403探测等等操作均无果

挖掘逻辑漏洞

目标的网站大多是需要经过统一身份认证才能访问，而且还都有waf，之前的常规测试都没有发现漏洞，所以使用之前收集得到的账号登录统一身份认证系统看下里面的资产
找到一个资产需要统一身份认证才能访问，正好登陆看看
https://sas.**.edu.cn

使用burp抓包，到以下这一步可以看到，获取设置了用户的roleid，09应该是学生的权限

然后经过几个包后，转到了要测试的网站发包

可以看到这是将https://sas.**.edu.cn网站将roleid设置为09

到这里我就有些怀疑可能存在越权漏洞了，先进去看看有什么功能

可以查询个人的信息，学号、qq号什么的，没什么价值

修改成另外的学号，发现果然做了鉴权，并不能查看

想起来之前的参数roleid，退出登录，重新登录，burp抓包统一身份认证登陆的那一步，将roldid修改成01

一直放包，然后找到查询个人信息的哪那里，改成其他人的学号

发现jwt中的参数roleid变成了01，并且可以查询别人的信息了，确认存在越权，但是泄露的信息不够敏感，没有价值，需要在寻找一些有没有更加敏感的接口

在页面点击找寻了一阵，发现以下的页面可以查看自己和父母的身份证号等敏感信息
https://sas.**.edu.cn/student/studetails

如果这里也存在越权的话，那危害应该足够了

按照之前的方法，将roleid修改成01，然后使用抓到的包发包，如下

果然存在越权，使用如上的数据包发送任何人的学号都可以查到他的身份证号等敏感信息，如此这次的漏洞挖掘也告一段落
最后也成功换到证书