讲诉eduSRC挖掘渗透经验

文章源自投稿

作者-Aran

据我所知edu最便捷的挖掘方法有三种

第一种就是弱口令，很多系统拥有学生或者管理员默认密码或者初始密码，可以通过该方法进入系统进行深度挖掘，毕竟给个登录框也搞不点啥样。

第二种就是0day，手握0day无所不通，不如框架0day，路由0day，正方系统0day等。

第三种就是逻辑漏洞，逻辑常用不怕你挖不倒。

本次记载着一次逻辑漏洞（善用谷歌语法你会挖到更多）码死免得有心之人。

site：可以限制你搜索范围的域名.

inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用.

intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字)

intitle: 查包含关键词的页面，一般用于社工别人的webshell密码

filetype：搜索文件的后缀或者扩展名

intitle：限制你搜索的网页标题.

link: 可以得到一个所有包含了某个指定URL的页面列表.

查找后台地址：site域名

inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

查找可注入点：site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞：site:域名 inurl:file|load|editor|Files

找eweb编辑器：

site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库：site:域名 filetype:mdb|asp|#

查看脚本类型：site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵：inurl:cms/data/templates/images/index/

本抱着挖弱口令的心态，首先我收集了site：xxx.edu.cn intext：学号 、找到了大量学号。

再收集site：xxx.edu.cn intext：默认密码

然后就是收集site：xxx.edu.cn intext：登陆/后台登陆/登陆管理等的登陆页面

当一切都准备好我们就可以开始去捣鼓。

我找到一个管理登陆页面，图我就不贴了免得有人认出来。尝试用弱口令和默认密码去登陆发现并没有成功，看见还有注册跟密码找回模块去看看。

先看密码找回需要教师或者学生编码和预留邮箱，我收集的时候并没有收集到相关的邮箱信息所以我放弃这个模块。

再看看注册

简单来说就是我们拥有学生编码和姓名就可以任意注册漏洞，当我输入学习信息时。发现它有一个很神奇的功能就是会自动填充信息。

惊呆了我这功能是真的方便。。。。。。我通过他的数据包抓取来studentcode=学号，从2015-2019我预估有20w得到了学号/姓名/学院/身份/电话/邮箱/头像信息。

手里握着这么多信息我们可以去跨越另外一个登陆系统。登录框我也不贴了~~~从忘记密码入手。

四大步骤-填写用户名-验证身份-填写新密码-完成

看见那个红色星号又兴奋既紧张，我觉得这个开发很不严谨，只要学号配合名字就能直接验证身份。那你那些条条框框有啥用呢。

2333我错了，但是我们刚刚以及获取了电话和邮箱，这样就拥有了三个信息。

通过修改密码我们又成功登陆了一个系统。

通过该系统发现可以跳转到另外一个系统

另外一个系统 通过抓包发现存在一个越权，在修改个人信息处id=XXX数字，即可查看个人信息。我试着id=1发现1是admin账户。

尝试通过修改密码看看能不能越权修改，发现并不可行。

试着搜索该系统的默认密码site：xxx.edu.cn intext：XX系统 默认密码

发现学生默认密码为889900，登陆管理员康康

以上漏洞已告知相关负责人，并未做任何窃取信息行为。