edusrc挖掘技巧总结(全)

edusrc挖掘技巧总结

一：

对于新人刚开设挖edusrc的时候需要花大量的时间来找系统和信息收集，当你遇见的系统又waf的时候可以适当的放弃别再这上面花时间了，列入sql注入，一个单引号尝试报错和闭合（最多就是把简单的绕过尝试一下）如果不行，那就果断放弃，xss的话在edu的模块是不需要花大量时间，但是为了后面的企业src可以更好的理解xss可以尝试挖掘一些（在控制台弹窗测试，因为未授权，出了问题别找我）这就是对于top10漏洞的技巧。
主要还是说一些系统的收集方法：

1. 利用fofa 语句：“系统” && org=“China Education and Research Network Center”

我们可以看见红色框内是有很多图标，这些有可能就是系统的指纹，fofa直接给你归纳好的，接着点进去查看即可：

现在我们只需要一个一个图标打开然后用傻瓜式渗透顺序打一通：

例如上图所示，我们可以看见独立的xx条ip那么就是说这个系统有xx个用户在使用，点击查看：

标准的某某系统后台，而且暴露出用户手册。
第一个就是弱口令操作：admin /admin admin/123456 admin/admin888 这样的，最好的方法就是自己积累一个常用字典，当然还可以去全网寻找这一套模板的管理员手册，在后面就是github去寻找一下，最后都没有办法的话,那就放弃
第二个自然就是top10：万能密码（sql）、xss漏洞的挖掘
第三个：逻辑漏洞分析
首先还是先使用f12查看页面源码，说不定管理员密码写在页面中的！
然后可以注意到功能点是密码重置点

那么我们可以简单的两个操作，首先就是获取登录数据包进行修改返回包看看是否可以成功登录，如果登录成功就是逻辑一个，不能登录成功那就绕开进行下一步测试，第二个操作就是我们分析js，查找重置密码的接口，看看接口是否存在未授权
这个功能点没有的的话，那就换下一个功能点：

显而易见的是查询功能，那么第一反应是sql注入，如果有waf,可以轻微尝试绕过，因为edu中的系统相对于企业中就脆弱多了，当然sql注入理解的越深入，那么你挖sql注入的概率越大，任然常规操作，可以看看逻辑漏洞是否可以直接爆出密码这些。
当所有功能点和方法都尝试完后，你都没有收获，那么你可以进行下一个操作，信息收集来获取管理密码进入后台（这个后面讲，前面也有讲过）
案例：
使用语法，这里需要自己灵活收关键字，只要组织对应是edu，那么站点都是可以收纳的，我们可以看出来是41个独立ip，那就是有41个学校在使用

下一步任意点进去可以看见是一个系统后台：

常规的都操作了，这里就是这么简单，修改返回包：

这也是我第一个在edu的通杀，当然今天在写这个文章的时候二开了他，有想法的师傅的自己测试

二：

此方法可以加上第一个方法综合使用：
随着edu平台的跟新，我发现他多了一个开发商排行，这样等于是给我们列出来了edu用户的系统公司，就可以节省我们的时间再去查找开发商来找对应的系统

那么我们知道这些开发商后，我们只需要把这些开发商是产品进行收集，然后某安全搜索引擎进行产品查找不就可以达到系统通杀的效果呢？
我们任意看几个：

可以看见对于系统的弱口令通杀还是通杀挺多的，当你通过弱口令进入后台后，继续挖掘可以扩大rank值

具体操作：

1. 先对应排行榜确定厂商：

2. 然后使用某安全引擎进行系统查找

对于这些都是属于网瑞达公司的这个产品，点进去你可以发现全是教育网段的！
3. 确定系统寻找手册弱口令：
你也可以先尝试常见弱口令，比如admin/admin admin/123456一类的，不成功就是寻找手册
关键字查找方法：xxxxx（公司名部分关键字任意组合）xxxxx（某某系统）操作手册、默认密码、管理员手册（这里自己补充能涉及密码的关键词）

可以看见有很多文档，需要自己花自己整理，找到有效的数据。

可以看见很多关键信息：

在我们的眼里这些是弱口令，但是在运维眼里这些密码均为强口令了，给自己减少工作量，有多少运维会去改密码呢？

当然如果你没办法找到手册，那就自己构造密码：方法也很简单，通过企查查一类的网站对公司信息收集：

可以得知网站命令习惯：wrd wrdtech webvpn 这一类信息（这里的信息你收集的越多，构造的字典爆破的机会越大，其余同理，自己扩展）
我们就可以利用wrd这些来组合密码，比如wrd@123 wrd@admn123456 wrd!@#qwe123 这样构造弱口令去爆破，这里你可以花1–2天 如果一旦突破那么就是一个通杀！相对于还是划算，没成功就等于锻炼了信息收集能力。
第三个地方：github直接找关于这个公司的仓库，收集关于密码的样式，如果能直接找到，那最好，找不到密码就看看能不能遇见一些命名格式然后通过第二个方法自己构造字典
进入后台后，剩下的操作就靠你自己了

三：

上述两种是对于通杀系统的打法：下面是通过信息收集获取重要信息进入门户的打法：
于我们在挖edusrc的时候遇见最大的问题就是如何突破一站式服务大厅的网站，要突破这一点，我们就需要拥有教师的gh 、sfz和 学生的sfz、 xh这些个人隐私信息，所以我们就需要做好信息收集：

1. 利用好谷歌语法查找敏感信息：
   site:xxx.edu.cn
   这个语句是寻找这个学校的相关域名的站点，但是在这个后面加一些敏感信息就可以指定查找了，比如：site:xxx.edu.cn sfz site:xxx.edu.cn xh 这样的等条件

如上图一样，直接可以从这个pdf中获取很多信息，一般隐私信息都会以doc pdf xls 这些文件发布到网上，所以造成信息泄露（如果你不追求什么漏洞，上上rank 这一个都够你上几百rank 就谷歌收：site:.edu.cn sfz filetype: pdf|xls|doc 即可。
如果以上没有找到自己想要的信息，你就可以去找所在学校相关的教育局站点，因为助学金等奖励都会通过当地教育局进行展开，这样在相关教育局站点我们也可以收集到我们需要的信息，当然你也可以加入班群，表白墙等容易泄露信息的地方。
（如果你雨雀玩的好，你可以通过雨雀去查找重要信息）
2. 利用谷歌语法查找脆弱的系统获取信息：
site:xxx.edu.cn 初始密码
利用上面的语法可以查找许多相关弱口令系统，然后利用上面收集的信息，进行登录，从这些能登录进去的系统，我们也可以获取很多有用的信息，在进一步说，至少我们有学生权限的账号了，可以测试水平或者垂直漏洞，毕竟后台漏洞是要比前台多：

然后利用我们收集的信息大量尝试登录即可
（这是写文章随手挖的）：

然后再利用我们的初始密码解说去大量爆破弱口令用户：

此次是很顺利的获取的sfz 和xh 这些信息所以这个系统轻松登录，如果二者缺一可以思考如何获取，这一点自己思考：

后面继续正常漏洞即可，不管出货不出货都可以获取自己想要的信息，上面即可看出大量的信息泄露。

这里在我们进入一站式服务大厅后，我们可以尝试登录vpn，如果可以进入vpn那么我们可以直接使用fscan对网段进行扫码（当然如果未授权最后就别这样了）
案例2：
目标：https://www.xxxxxx.edu.cn/

确定目标之后就是对于该学校的信息收集，主要收集：xh、SFZ、gh、电话号码等信息，因为信息收集是渗透的核心，如果信息收集几分钟，那么你挖洞就是几个星期或者几个月都不会出货，如果信息收集够多，那么挖洞就会很快出货。

1. 信息收集：
   对于高校，一般可以利用谷歌语法：filetype:xls site:xxx.edu sh gh SFZ 这些去收集我们所需要的东西，也可以去当地的教育局官网查看有没有敏感信息泄露，比如贫困生补助，奖学金补助等等文件很容易泄露重要信息的，再者就是在学校官网查看看有没有信息泄露，一般有公示文件，这些文件也特别容易泄露信息，最后最后就是sg了，当然这个我可不介意哈哈哈哈哈（虽然wo特别喜欢，毕竟一个证书大学一个女朋友嘿嘿嘿）
   此次突破就是该学校的官网泄露，造成此次的渗透事件，所以高校在发文时一定要做好脱敏处理
   https://www.xxxx.edu.cn/xxxx/info/1017/1222.htm(可以看出是主站泄露了同学的sfz，然后我们再利用该信息，反查xh，这样就可以利用sfz和学号的弱口令进入webvpn，然后开始挖掘漏洞）

2. 信息收集搞好后，就可以开始渗透之旅了，利用收集好的账号和sfz对官网一站式服务大厅进行爆破（高校网络安全意识差，肯定存在弱口令的），找到门户服务网站此时一定要注意门户网站的帮助说明这些，因为这里会告诉你默认密码的情况：

当我们点开帮助说明的时候，几乎就可以露出笑容了：很清楚的写出来了初始密码：

我们信息收集的也很顺利，其中很多账号都是默认口令，于是开始对系统一一进行测试：

然后开始对每一个系统都开始进行测试，当然，进去后我最喜欢的系统一般是人事系统，学生管理系统等等，这个懂的都懂：
所以我第一个打的就是人事系统了，可以继续猜测，这个学校没有任何安全意识，于是这个人事系统也可以猜测大多数为弱口令，加上刚才收集的老师和学生账号开始测试：直接抓包爆破，果然在我猜测之中，该系统全体师生都是弱口令：66xx66

当进入这个系统后，就可以宣判这个学校结束了（当然这时候才是开始）全校师生的个人的信息全部泄露：
此系统因为弱口令泄露了很多信息，其余逻辑都测试和一些不重要的xss我就不写了，然后进行学工系统的测试（当然这个系统也是全校学校师生弱口令）
url为 http://xx.xxx.xxx.xxx:8312/admin/login/index
弱密码登录，密码是账号
我使用的测试账号为202121 输入密码202121 然后第一次登录系统会自动进行密码重置，重置密码为Test123#
此处提供一个未重置密码的测试账号20212121 密码2007002(此处全是虚假信息）

我们使用学生账号登录成功后，对于该系统进行测试，没有上传点，sql注入的waf也挺严的，于是我只有考虑逻辑漏洞，没想到，这个系统对于权限控制的很无语，可以水平和垂直越权：（此处直接修改id即可越权，然后此系统中每个功能点都能如此越权，也可以直接越权到管理员权限，此处不一一上图了）

此系统还有一个有趣的地方就是任意密码重置，可以直接将管理员密码重置：

进行抓包，然后修改数据包即可：

然后退出尝试登录，一发不可收拾：获取管理员权限后，然后又是再一次泄露全校师生个人信息，此系统共15个越权点和数不清的存储xss（这个就不截图了）

拿下系统管理员权限后，进去可以获取管理员的路径url，然后使用学生权限的账号也可以直接越权访问，由于毕竟无聊，我就不截图了，其实还是我比较懒。。。
然后继续测试考试系统，此系统也是无数个漏洞，此文章我就写一个我个人感觉有点意思的漏洞，越权添加管理员：
url为http://10-20-100-236.webvpn1.xxxxx.edu.cn:8125
使用之前获取的学生账号登录后，来到用户管理，添加用户，填写用户信息。账号001 密码123456 点击保存

抓包，将ddlRole参数值改为0，然后放包

退出登录，然后登录刚刚创建的管理员账户001 密码123456

成功添加，此处还有一个修改返回包可以到达任意用户登录的漏洞我就不简单叙述了，到此还有很系统都存在如此的逻辑漏洞，我就不继续浪费大家的时间了，如果对一个学校就这样测试肯定就显得很没有意思了，在我测试逻辑测试到无聊的时候，我又返回到了学工系统，因为这个系统我用管理员账号登录的时候发现了文件上传点（不想拿shell 的渗透测试人员都不是好的人员）
1.学工系统文明寝室评选管理文件上传存在cgi解析漏洞

直接上传图片马然后访问加上/.php即可，此漏洞简单我就不讲述原理了：

当然这个解析漏洞只能命令执行不能上webshell，然后我在继续测试的过程中发现可以直接上传php马子，这就让我无语了，我抓包修改后缀没有上传成功，但是我直接上传php的哥室拉马子反而成功，这是我到现在都很迷的：（其余马子都不能上传，一句话木马可以命令执行但是链接不了webshell管理器）

当拿下shell后，确定了不是在云服务器上，我就心想，上线cs看看内网如何

于是接下来的就是常规操作，上线cs和搭建隧道进行内网渗透，内网也是漏洞百出，下文就不再写了，在edusrc中也是违规操作了，所以如果想上分的小伙伴可以像我这样定点打击目标系统，进入门户网站后，对每一个系统都认真的测试。
四
第四个方法就是代码审计来上大分，这肯定需要你自己的代码能力强劲，一般的源码获取地方都在是咸鱼，百度网盘，github等地方可以看看是否能获取，或者直接审计各类oa，这些oa的源码通常都可以在官网获取，下面讲述一个老方法：
我们关注的漏洞库：比如peiqi文库：http://www.i-dock.net/

我们可以看见这里面有各类oa的历史漏洞或者hw期间爆出的新漏洞，你就利用peiqi文库的payload找一个站点然后获取即可，找到源码后，就看你自己的审计的本事了，能出货，那么就是上大分！
以上是edusrc挖掘中上大分的几个常用方法
免责声明：
请勿使用该星球分享的技术进行违法乱纪的事情，由于传播、利用本星球所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本星球及作者不为此承担任何责任，一旦造成后果请自行承担！

注：来源于网络。侵权私删