|
|
本次为授权测试
特此声明
嘿大家好,我是小北。白帽一百底层小弟(小编表示其实是个大佬~)。
这次分享的是我对于我大学网站做的渗透测试,其中一部分过程也是我的导论课作业,最终导致本人导论课免考核直接优秀,所以赶紧学安全吧。
本次测试之后,我校就被我在的安全公司拉去做等保了,为避免我校受到各位师傅的补刀,关键处都打码了,并且用户名密码都是乱打的密码并对关键细节做了部分虚构。因为仅做分享。
开 始
首先,是对学校网站:http://www.fuck.edu.cn进行基础信息扫描,然后做信息整理与采集。采集信息包括各网站cms指纹,C段(主要是内网),各子域名以及其程序所曝光的网络安全问题等等。后来发现我校网站一般是用webplus做了站群,所以大部分相似的站点可以忽略。
得到了一些比较独立比较有用的网站: .
- http://webplusadmin.fuck.edu.cn(现在所使用的web后台)
- http://cmsadmin.fuck.edu.cn(已废弃的后台)
- http://gladmin.fuck.edu.cn(锐捷路由管理)
- http://zsadmin.fuck.edu.cn(招生管理系统,打开显示403 ,但是推测有后台,因为招生网有个接口来源于此网站某个aspx程序,没后台数据库哪来的接口啊)
其他关于教务系统等大多是使用的正方教务,我们学校很变态,什么漏洞都修了,所以不做尝试以免浪费时间。
分 析
- Webplus 后台 没有找到什么漏洞,也没有收录过漏洞(最新系统)
- Gl后台 白嫖弱口令失败
- Zs网站 扫描得到后台 fuckadmin (爆破了很久,改了后台地址,这里看运气)
- 老后台采用的程序非常老,估计有很多bug,先从这个网站入手
针对cms后台的渗透测试
这个网站用的siteserver程序,前台找回密码文件都没有,只有一个登陆的login.aspx。怀疑修改了找回密码的aspx文件名。本人下载了一份同版本源码进行代码审计,一开始没有看百度分享的,毕竟想提高一下自己,实在不会再百度。
漏洞文件:siteserver/platform/background_log.aspx至于为什么是这个文件,是因为我校把很多文件给删了我是先判断文件存不存在再去审计的
关键代码:
分析:可以发现对username只是进行了是否为空的判断,不为空然后再拼接上了keyword参数和dateform参数还有dateto参数,完全没有进行过滤。
于是构造:
http://cmsadmin.fuck.edu.cn/siteserver/platform/background_log.aspx?UserName=fuck&Keyword=fuck&DateFrom=20191217%27%20and%20@@version=1%20and%201=%27fuck&DateTo=fuck
访问后:
可以看到是有注入的,接着我直接用sqlmap跑,也是成功的。
但是….跑不出数据库数据表,我真的不知道哪里做错了。
算了算了,我浏览了互联网发现漏洞基本一致,基于我不太会sqlserver的手工注入,我就放弃了这个漏洞的深入。然后在我的导论报告写:
由于本人只是测试 不想对数据库进行数据查看操作 得到更高权限只需数据库查看数据库中的内容
我们继续代码审计,我想了想,前台的找回密码文件如果没有被删,就可以爆破一下管理员密码。
然后在文件
/siteserver/platform/background_dbSqlQuery.aspx 发现了一个遍历目录文件的漏洞。
但是这样的问题就是,我们没有目录结构,这样就不能直达所需要的目录遍历。然后发现随便打错可以报错得到盘符与路径
这就好办了,直达登陆界面。发现存在一个aspx文件Forgetpassword404.aspx,访问后就是找回密码的界面,这里无法截图,学校是webvpn,那个管理界面只能内网访问。细节图片在公司电脑上,不过我写的都是真实经历。
找到了找回密码界面,就要对这个做文章了。发现能爆破出来的账号都需要安全问题,这个时候我脑子里回忆了一波我去找信息主任做vpn的经过,偷窥到怀疑他的账号好像就是名字缩写。
我用密码找回界面输入了他的账号,安全问题不存在。而且siteserver不提供修改密码的接口,直接返回明文密码。好啊好啊,这样最好了。最终得到了 账号密码,登陆后台后siteserver创建一个后缀为aspx的模板,传马,webshell拿下。
拿下了cms后台shell,服务器ip是10.10.5.10 是一台很老的windows server2003 ,找到没打的补丁,提权之。相信师傅们对于这种老系统都得心应手,这里就不赘述了(主要是没图片啊难受)
针对zs1招生系统后台
- 网站没有弱口令,系统是外包的小系统。
- 登陆admin 返回用户不存在
- 爆破用户名,但是我通过cms那个webshell,在web.config可以拿到数据库密码,链接后发现有个数据表,上面是后台管理的老师的账号密码。
百度我校招生主任,拿到了他的密码,这里打码他为p*****,他的账号为 pet*** 密码为 pet****,随后招生网登陆 ,发现提示密码不正确,说明用户是存在的,这里就收集了一波他的信息
找了一个漂亮的妹妹拿了册子,上面有老师的短号与间接。,用软件构造了一波可能的密码,用burp爆破后最后得到密码pete***(密码打码)
老年人就喜欢名字缩写加短号的密码。然后登陆系统
这里为了掩饰危害,自写了爬虫系统爬取了100条(已得到我校老师授权),对接了自己的机器人框架后是可以做社工库的:
注意:上图是以前的截图,学生数据爬取100条测试后已经全部删除,无法查询,仅仅体现该系统泄露后的危害性。
机器人是运行在我的电脑本地,数据来源也是本地。并且本框架是白帽一百联合开发的数据框架,不做任何违法行为!
进入gl后台与webplus后台
还记得我是怎么拿到cms后台的shell的吗,没错,信息中心主任的高权限账号。已经废弃的系统,往往可以看出很多问题。比如你的身份证、密码构造、安全问题等。因为他的密码无法进入后台,构造了一些全部都失败。感觉他的密码习惯比较特殊。为了进入webplus后台,我特意加了信息主任的qq号,和他聊聊信息安全。
最终得到老师的部分信息:
- 毕业学校:浙江大学
- 常用邮箱:xxxx@zju.edu.cn
- 密码习惯(没错假意咨询如何保管密码):名字+孩子生日或者名字+自己生日或者老婆生日
- Cms后台中 他的密码是名字+自己生日 lihua lihua760521那么webplus后台极有可能是名字+孩子生日
Ok 拿到日期不知道年份 这是就要推测他的儿子大概是几岁了
看到高中英语必修一 那容易 推测高中岁数 最多三种
最终得到密码:lih******
至此 全校学生的学号泄露 配合之前发现的接口 可以远程这么做
这里的数据是远程接口,数据都没有保存本地!而且机器人部署于我校安全实验室机房,可直达内网。这样全校妹子的照片都可以看了。
最后gl这个锐捷路由系统,密码是儿子的生日那种,没有改
于是 我又可以控制全校网络了
总结
本次测试后已经把所有漏洞细节反馈给了信息中心老师与计算机系主任,有一些漏洞已经修复,但估计是老师信任我现在都没改密码。或许违背了他的密码习惯吧哈哈哈哈。
一个废弃的系统可以造成诸多不可控的安全隐患,所以企业要及时下线弃置项目避免牵一发而动全身。 |
|
发 帖
发表于 2022-11-26 17:41:21