记一次校园内网的edusrc漏洞挖掘

wangqiang

​
记一次校园内网的edusrc漏洞挖掘
鼹鼠Yanshu 雾晓安全 2022-04-08 08:30
文章来源：先知社区（鼹鼠Yanshu）

原文地址：https://xz.aliyun.com/t/11074

CSDN地址：https://blog.csdn.net/weixin_45887311

以下提及的漏洞都提交到edusrc平台进行修复

0x01 WebVpn突破
受到en0th师傅文章启发，对学校WebVpn进行了一次SRC漏洞挖掘测试

​

账号为学号，密码规则在Web页面也给出来了，搜索开源信息，能搜索到学号和对应的人名

​

0x02 内网资产
进入内网系统后，发现点击相应的链接可以访问相应的内网资源

​

对相应的内网域名及ip访问会经过WebVpn加密后再次拼接，如果想获取更多内网资源，就必须知道ip和域名的加密规则

1. https://webvpn.xxxx.edu.cn/http/77726476706e69737468656265737421a1a013d2756326012c5ac7f8ca/

复制代码

​

通过页面源码的关键字搜索，发现了公开的WebVpn的url加解密流程，经过测试发现Key和iv都是默认的

​

1. //安装aes-js库
   
2. npm install aes-js
   
3. 
   
4. //引入库，从cmd终端输入读取weburl来进行加密
   
5. const weburl = process.argv.slice(2)[0];
   
6. var aesjs = require('aes-js');
   
7.          
   
8. //加密代码，然后输出
   
9. console.log(encrypt(weburl,wrdvpnIV,wrdvpnKey));}

复制代码

调用Nodejs来运行加密脚本，获取到url拼接内容

​

用python编写脚本，调用os.popen()读取控制台加密的url，对WebVpn界面显示的210.xxx 、121.xxxx等网段进行一次扫描，Request发包可以对内网存在的Web资源进行一次扫描

1. //安装aes-js库
   
2. npm install aes-js
   
3. 
   
4. //引入库，从cmd终端输入读取weburl来进行加密
   
5. const weburl = process.argv.slice(2)[0];
   
6. var aesjs = require('aes-js');
   
7.          
   
8. //加密代码，然后输出
   
9. console.log(encrypt(weburl,wrdvpnIV,wrdvpnKey));}

复制代码

​

除此之外，WebVpn还可以拼接端口和协议，类似规则为/http-xxx/ /https-xxxx/

​

0x03 漏洞挖掘
扫描得到了很多内网的资产

​

简单查看其中一些资产，发现了一个科研管理系统的资产，发现网上都有公开的POC

​

​

存在Orcale SQL注入漏洞，但是Sqlmap无法进一步获取数据，漏洞危害比较小

​

​

未授权任意文件下载，无需登录，遍历id就可以对科研文件进行下载

​

​