前言:
本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的;文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。
第一部分:打点
一个风和日丽的下午,正在上课刷短视频的我,邮箱突然收到了edusrc的一封邮件:
哇塞,居然有新的证书上新了,闲着无聊,那我们随便看看呗。
1.1小程序:
由于我对挖掘小程序有一定的经验,所以优先去看了小程序端,看看能不能不能出货。
直接小程序搜索该学校的名字,很好,官方的小程序一个都没有(出师不利啊,铁铁),不过平时测试的时候可以多关注小程序这里,因为大部分小程序都可以一键登录,这样你就得到一个入口,去测试内部系统,而不是在web登录框苦苦徘徊,同时小程序反编译以后可能存在key泄露,且小程序waf比较少(基于作者的经验而言)。
既然没有小程序,那我难道就此放弃?还有办法吗?
有的兄弟有的,像小程序这样的方法我还有九种不同的方法。
1.2挂载第三方网站
按照我的经验来说,学校的wx公众号一般都会挂载该校使用的第三方的链接,从而方便学生使用,举个例子:
那我去vx直接搜该目标学校的官方账号,果然是有东西的。
但是当时是手机上操作的,只是粗略的点开看了一下各个系统,看看有没有什么特殊的点,打开这第一个系统加载的是厂商的支付平台:
这个系统很常见,支持用户名+密码或者证件号+姓名两种登录方式。那这不是就来了吗?随便找一个sfz登录就一个弱口令了,但是我这里没交啊,因为这个意义不大。(不过记住这个系统,后面要考,记不住的叉出去,哈哈)
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
然后我又看了另外的几个系统,教务系统是某方的,前台不用看,当然我也看不了,因为我用的手机。
让我们来做一个登录框战士吧——分享我对于登录框的思路:
1.弱口令 2.爆破 3.sql注入 4.万能密码 5.逻辑绕过 6.看看js 7.横向突破
但是正如刚才所说,某方的系统,还是别看了。
1.3 官方公众号自吐信息
给目标站点点关注,然后进去聊天框,说不定会有意外收获!
大家可以多搜一下与目标站点挂钩的子公众号。比如目标站点下的二级学院啊,某系统啊。
为什么这样做呢?因为有一些边缘资产会部署在这些二级学院里面,作为学院的专属,所以一般的测绘语法是测绘不到这些资产的。
举个例子:之前公众号搜索某大学的后勤部,关注之后,自吐了该学校的一些系统的默认密码和一张访客系统二维码,我凭借此二维码打到第三方系统,然后打到统一身份认证。
分享一下自己常用的几个系统关键词:
访客系统 后勤部 访客预约 心理部门 校友平台…
1.4 善用短视频平台
因为后期想打目标系统,肯定大部分系统都是要登录的,那就离不开对一些铭感信息的收集工作,这个时候,我一般会掏出自己的万能宝典合集————短视频平台、某书、腾讯视频、腾讯文档、yuque、qq频道、qq群…。
这些方法屡试不爽,一般都会得到我想要的。
这次测试也是通过某短视频平台得到了敏感信息,进而打开的入口。
1.5 语法测绘
以上的这些都是基于我使用的是手机,下课后我跑回宿舍迫不及待的掏出了自己的大宝贝。打开测产测绘平台对目标站点进行收集,我常用的就是hunter、fofa、360quake。
| hunter | https://hunter.qianxin.com/ |
|---|---|
| fofa | https://fofa.info/ |
| 360quake | https://quake.360.net/quake/#/index |
我一般喜欢使用备案号去检索资产:
icp.number=“xxxx号”&&(web.body=“登录”||web.body=“注册”)
前期的打点还有很多方式,但是我对目标站点没做过深的收集,就到这里吧。。
第二部分:迂回突破cas
测绘发现目标站点的挺多系统的,点开查看后发现都经过了302重定向到统一身份认证,必须得经过cas才能访问,也就是cas起了聚合的作用,将内部系统聚合在一起,只要突破该cas就能突破她的心了。
怎莫办怎末办?我曾经尝试过打cas,但是绕不过啊。
对于302重定向:我曾经通过卡包来绕过cas的登录,但是该目标站点尝试后并不可以。
没办法了,只能正视cas了,希望像对她一样对我温柔点吧,
主页:
较为敏感,不放图了(望理解)
我的思路是先看看"常见问题”,看看有没有写默认密码,然后通过信息收集到的信息进行弱口令登录,
如果不行,尝试爆破,这都再不行,看看js,看看“忘记密码”,再不行,提桶跑路吧 !毕竟我也是菜狗。
何必在这里吊死,第一眼看到这个框架的时候其实已经不报太大希望了,因为这个系统我打到几次,孩子硬是一点东西没出啊。不过,上天眷顾我这个菜狗,发现该目标站点居然开放了”账号申诉“,你知道我多高兴吗?这可是打了这么多cas以来,第一次开放的,不容易啊。
这个开放的本意是好的,但是却导致了一个问题,那就是可以通过这里对任意用户的密码进行重置。只需要对其进行信息收集就行了。
收集收集发现虽然是得到了sfz,但是没有学号啊,愁死我了,难道还是突破不了cas?不行,我要打!!
继续收集,但是该目标站点的录取通知书没有学号,这想要收集对应学生的xh还是有点难度啊,想过钓鱼(但是不合规,没做),峰回路转,冷静一下后想到打点打到的那套支付平台,还是比较熟悉的,想到这里面会有学号,果断登录进去查看,搞到学号了。
那就重置一下密码吧(报备一下):
返回登录,使用学号或者后六位登录一直登录不上,完了,难道是强口令策略??????
不对劲不对劲,赶紧百度一下,贴吧老哥是一个很给力的团队:
尝试登录,我终于进来了!!!!
第三部分:迷茫期
进是进来了,怎末没有功能点?怎么和我想的不一样?我的应用中心跑哪里去了??怎么全是一些申请文档啊 ??功能点呢?功能点呢?
某方的系统,我哭死。。。发现个人中心,抓包看看会不会有什么好东西,好家伙,都是脱敏的sfz,,玩个屁啊,不玩了,呜呜。
突然翻到一个教师的工号+手机号,既然学生权限没有东西,那么是不是可以提高一下权限。
对该教师展开信息收集,得到sfz,过程省略,也是成功突破该cas。
不再迷茫。
第四部分:产出
既然有了功能点,那就慢慢测试呗。
漏洞一:敏感信息共计14W+人
展示一部分:
漏洞二:存储xss(没收)
上传点白名单,支持zip和pdf还有一些其他的,如果是白盒测试,通过代码审计,说不定能通过zip传shell解压后getsell,参考(CVE-2024-33752 emlog后台插件任意文件上传)但是这里我打不出来,只是提出一个思路。
水一个pdfxss。
漏洞三:越权
漏洞四:弱口令
这个还没审核且是外部系统,就不放图了。
因为时间比较匆忙,而且证书已经混到了,不打了…
展示成果:
第五部分:总结
这些洞到最后写完其实并没有多少的含金量,这篇文章主要是想和大家分享我平时打点的一些方法和思路,对于我这种菜逼,自己越挖越觉得自己菜,这是很正常的,大家可以自己多去实战一下,这样可以快速的发现自己的不足,从而制定属于自己的学习计划。
借用认识的师傅的名言:“大家都是普通人,没什么傲人的天赋 ,惊艳的智慧,只有坚持,当故事定格,你永远是那个坚持的人,就够了。”
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
