专栏首页HACK学习一次学校财务处网站的简单测试

一次学校财务处网站的简单测试

渗透测试的能力只有在实战中才能获得更好的提高,所以这次简单的讲一讲最近对我们学校的财务处网站的简单测试。

信息收集

一开始收集信息,主要了解了一下ip以及zap看了看大部分接口的情况,看了看主站的目录结构,但是安全防护做到比较好,waf笔者也绕过不了(流下没技术的泪水)没有什么重大漏洞,但是收获也有不少,首先发现现在正在使用的网站是这几年更新的网站,然后存在一个旧版本的,emmmm,那就试试看老版本的网站:

旧版

下面开始测。

测试

简单的测试后发现存在目录遍历:

目录遍历

而且phpmyadmin的后台还是对外开放的,但是后面发现新版网站对公网开放,但是旧版只能校园网访问。尝试了爆破phpmyadmin的账号密码,但是很遗憾没有爆破出来,于是看看了ip发现新版和旧版不是同一个服务器,简单nmap扫描了一下这个服务器,果然有发现,很多端口开放,80,81,8080,等端口都存在web应用,基本都是登陆界面:

login

login

8080端口是tomcat的欢迎界面后台就不贴图了。这些后台基本都废弃了,无法从这些登录界面直接登录:

报错

因为学校用了统一的认证机制,所以一般都是通过统一认证机制登录的。 然后nmap扫描了一下服务器,发现该服务器的3389端口还存在MS12-020漏洞,但这个漏洞主要用于攻击对方服务器的,所以对测试没啥帮助,所以就没抓着这个试了(主要也有可能是nmap误报,所以暂时放弃这个点)。 那么又得重头来,看看其他地方的。之后再新版网站的首页上得到一个后台登录界面,我以学生的身份登进去的:

入口

此处很坑,因为你不填上手机号和邮箱,下面的六个功能就全都是灰的了,我偶然填了一下才发现前三个功能才都被激活。那么就可以继续试试看了。三个功能对应的也是三个不同的功能的学生后台,但是有一个比较特殊,点击后访问的过程中有一个很缓慢的跳转!就是因为注意到了这个跳转的结构,才发现了漏洞,跳转链接:

$ http://xxx.xxx.xxx.xxx:8080/gxwssb/Guodu.html?Userid=xxxxxx&iCypt=7D1EBB15DF4DE17796A61B5FB590119A&iStamp=2018-04-21T16:38:46&LoginUrl=http://192.168.100.49:8080/HuNanSJZX/&Name=z4PhNX7vuL3xVChQ1m2AB9Yg5AULVxXcg/SpIdNs6c5H0NE8XYXysP+DGNKHfuwvY7kxvUdBeoGlODJ6+SfaPg==

第二处的xxxx是我的学号,这个带学号的跳转看看url中了没有什么参数的验证,于是我尝试了换成其他同学的学号,成功登陆!但是这个系统学生时没有什么权限的,只有教师或者管理员的才有权限,但是碍于教师的工资号都是机密,无从测试,不过这时候 队友的一个神助攻成功破解:

这是学校的一个注册页面,可以从图中看到教师的工资号的位数,那就试试看,果然尝试xxxxxxxxx(几位我就不暴露了)成功登陆,是老师的账号,但是已经退休了权限不是很高,但是可以查询教工号信息以及查询改教师执导的学生以及助教的身份证号,银行卡号等私人信息,又试了一个,这是一个在职教师,,有发放奖金,补助等权限:

后台

然后试了试按工资号可以遍历基本所有的教师的账号成功登陆。因为系统正在使用所以就没有做其他测试了,怕影响到系统的正常使用。回头研究一下这个访问的跳转url:

$ http://xxx.xxx.xxx.xxx:8080/gxwssb/Guodu.html?Userid=xxxxxx&iCypt=7D1EBB15DF4DE17796A61B5FB590119A&iStamp=2018-04-21T16:38:46&LoginUrl=http://192.168.100.49:8080/HuNanSJZX/&Name=z4PhNX7vuL3xVChQ1m2AB9Yg5AULVxXcg/SpIdNs6c5H0NE8XYXysP+DGNKHfuwvY7kxvUdBeoGlODJ6+SfaPg==

看到这个url发现这要分为两个部分,一个是登陆的过渡部分:

$ http://xxx.xxx.xxx.xxx:8080/gxwssb/Guodu.html?Userid=xxxxxx&iCypt=7D1EBB15DF4DE17796A61B5FB590119A&iStamp=2018-04-21T16:38:46&LoginUrl=

这一部分,可以看到,四个参数,一个是userid就是对应学生号和工资号,一个是icypt,一个是时间,另一部分是内网的认证

$ http://192.168.100.49:8080/HuNanSJZX/&Name=z4PhNX7vuL3xVChQ1m2AB9Yg5AULVxXcg/SpIdNs6c5H0NE8XYXysP+DGNKHfuwvY7kxvUdBeoGlODJ6+SfaPg==

但是发现这四个参数其他三个不加,只用填写userid就可以直接登陆对应用户的管理系统。。。。简直可怕

总结

这次的测试也没有结束,因为还有很多可疑的地方可能存在突破,所以期待下次和大家分享。

更新

登陆后可查询所有教师或学生银行卡号身份证号等信息,上传文件处可突破getshell,权限为Administrator,因为比较敏感,就不放图了,但是内网没有域,所以没有做深入的测试,已和相关人员报备。

本文分享自微信公众号 - HACK学习呀(Hacker1961X)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 注意IE下Ajax Get缓存的问题

    ​ 常见的是ajax请求过一次以后,以后的相同url的get请求会存在下面这种情况:

    javascript.shop
  • HTML5 download属性无效的问题

    如果url指向第三方资源,download会失效,表现和不使用download时一致——浏览器能打开的文件,浏览器会直接打开,不能打开的文件,会直接下载。浏览器...

    javascript.shop
  • SVG 图标在React项目中的优化

    官方文档:https://webpack.docschina.org/loaders/url-loader/

    javascript.shop
  • CSS实线边框渐变以及虚线边框渐变

    给border-image加linear-gradient不难理解,但是如果单纯使用border-image,会发现效果是这样的:

    javascript.shop
  • 实践是最好的老师:给中级 Python 开发人员的 13 个项目构想

    学习 python 的基础知识是一种美妙的体验。但是,学习的喜悦可以被对实践项目的渴望所取代。想要建立项目是正常的,因此需要对项目的构想。

    AI研习社
  • Linux环境搭建:CentOs + Apache + MySQL + PHP

    声明:本文为原创,作者为 对弈,转载时请保留本声明及附带文章链接:http://www.duiyi.xyz/c%e5%ae%9e%e7%8e%b0%e9%9b%...

    对弈
  • 聊聊细节 - 你知道缓存的正确打开方式么?(1)

    大的架构设计,各种高大上的概念层出不穷,相信很多人也或多或少的了解过,但其实,我们真的要把一个系统做强壮,做好,打磨细节才是根本,有句老话:细节是魔鬼,所以会来...

    桶哥
  • 关于 ES6 中 Promise 的面试题

    最近在复习 Promise 的知识,所以就做了一些题,这里挑出几道题,大家一起看看吧。

    Javanx
  • img标签不同设备加载不同尺寸的图片的几种方法

    一般来说,桌面端显示的是大尺寸的图像,文件体积较大。手机的屏幕较小,只需要小尺寸的图像,可以节省带宽,加速网页渲染。

    javascript.shop
  • 阶段02JavaWeb基础day01html&css

    HTML 基础 概念 全写: HyperText Mark-up Language

    对弈

扫码关注云+社区

领取腾讯云代金券