记一次幸运的信息收集

懒得访问国外网站就用百度了，site:xxxx.edu.cn 登录

看看有什么站点

结果翻到这么一个站点

登录名为学号，默认密码为大写拼音

只要知道学号和名字就能登录，继续百度一波还是一样的语法site:xxxx.edu.cn 学号

可以找到一堆，随便用了一个登陆上去了

在个人信息出有身份证的信息泄露了，这个时候其实可以根据学号和身份证尝试登录门户和vpn了，但我暂时按下了冲动，接着看看还有没有什么能利用的点地方

在一处反馈查询中看到应该存在sql注入，但是有墙。。。。我太菜了绕不过去

接下来还是看看有什么信息泄露的地方

在一处公共查询的地方搜索一下职工号，还真找到了一些

接下来在一个应用功能有个数据中心，点进去跳转到一个登录页面，应该是学生没有权限，此时还记得第一个登录页面的提示吗，密码为原办公室密码相同

好家伙，有时候这种情况下密码都是比较简单的弱口令，用收集到的工号试一下，还真可以登录

就开始逛逛有什么可以操作的地方，应用有很多东西感觉有搞头，但是无奈这个账号权限不是很高，就随便看，然后在一个文档处能上传、下载、删除文件的地方，似乎是白名单验证，当时试了一下常见的那几种绕过方法，还是绕不过，天很晚了加上自己懒得要死就不去琢磨这个点了

这时候发现url中有一个planCourseId参数，存在平行越权，更改参数值就能跳转到他人文档进行上传、下载、删除操作

由于此账号权限有限 大部分功能不能访问，于是重新试一下其他账号

发现一个不改密码又权限较高的账号，比上一个账号有更多的权限能查看更多的模块

发现在一个模块能导出近5w的学生信息

这时候就可以根据泄露的信息尝试登录门户或者vpn

我就随便找了个账户登录信息门户

可以看到卡内余额，这个之后可以有点小小利用的地方

登录门户信息后再进入其他大部分系统就不用验证身份了

例如研究生信息系统，不举例太多

但是登录vpn会显示未缴费

也就是需要缴费才可以登录vpn，于是专门去看了这个学校的vpn说明

是和手机绑定在一起的，开通了套餐才有vpn服务

特别指出邮箱密码是可以独立设置的，第一次登录需要重置密码

从vpn说明那里去到一个自助中心（能开通vpn套餐）

密码不是后六位而是邮箱密码（所以才特别指出）

可以看到能够继续启用套餐就可以给vpn续费，进而登录到vpn了，并且缴费是通过校园卡缴费的，而在门户信息可以看到校园卡的余额，涉及财产金额我就没有进行下一步，但逻辑上是可以的利用这样的方法给vpn续费且登录的

但是其实也可以不执着这个，从泄露的信息一个一个试也一样可以登录进去

登录vpn日内网就是下一个阶段的了我就写到这点到为止了

这个途径被修复了所以才敢写出来，因为被修复了图片素材就只能用报告里的省去了一部分细节记录

本人萌新第一次写blog各位大佬看看就好，有什么不好的多多指点不喜勿喷