某次211大学的渗透测试过程
字数 2090 2025-08-22 12:22:30

211大学渗透测试实战教学文档

1. 前言与概述

本教学文档基于一次针对211大学证书站的渗透测试实战案例,详细记录了从信息收集到漏洞挖掘的全过程。该测试最终发现了一个高危越权漏洞,成功获取了敏感信息并兑换了证书。

2. 渗透测试流程

2.1 信息收集阶段

2.1.1 域名收集

工具使用:

  • subfindersubfinder -d **.edu.cn -all -o subdomains.txt
  • amassamass enum -d **.edu.cn -dir amass4owasp

补充收集方法:

  1. 使用VirusTotal收集资产:https://www.virustotal.com
  2. 使用assetfinder:assetfinder **.edu.cn | ./anew subdomains.txt
  3. 合并去重:cat subdomains1.txt | ./anew subdomains.txt

2.1.2 敏感信息收集

Google语法示例:

site:**.edu.cn 默认密码
site:**.edu.cn 工号
site:**.edu.cn 密码
site:**.edu.cn 手册 filetype:pdf
site:**.edu.cn 学号 名单
site:**.edu.cn 学号 公示
site:**.edu.cn 学号 转专业
site:**.edu.cn 学号 助学金
site:**.edu.cn 邮箱 @**.edu.cn

GitHub搜索技巧:

  • 搜索默认密码组合:如"00000"、"身份证后6位"、"工号"、"部门号"
  • 搜索账号凭据格式:如"用户名:20**** 密码:SY****"

2.1.3 IP资产收集

测绘引擎使用:

  • Shodan:net:192.168.1.1/24
  • ZoomEye:cidr:"192.168.1.1/24"
  • Fofa:ip="192.168.1.1/24"
  • Censys

2.2 资产识别与分类

工具使用:

  • Ehole指纹识别:ehole.exe finger -l subdomains.txt -o result.xlsx
  • 输出Excel表格便于筛选

分类处理:

  • 将404响应资产收集到404.txt
  • 将403响应资产收集到403.txt

2.3 漏洞挖掘阶段

2.3.1 统一认证系统分析

  1. 使用收集到的账号登录统一身份认证系统
  2. 发现目标资产:https://sas.**.edu.cn
  3. Burp抓包分析认证流程

关键发现:

  • 认证过程中设置了用户的roleid参数
  • 09表示学生权限
  • 可能存在通过修改roleid实现权限提升的漏洞

2.3.2 越权漏洞验证

测试步骤:

  1. 退出当前登录
  2. 重新登录并抓包
  3. 修改请求中的roleid参数为01(假设为管理员权限)
  4. 放行数据包
  5. 检查JWT中的roleid是否已变为01
  6. 尝试访问敏感接口验证权限

敏感接口发现:

  • 个人信息查询接口
  • 家庭信息查询接口:https://sas.**.edu.cn/student/studetails

2.3.3 漏洞确认

验证方法:

  1. 保持修改后的roleid=01
  2. 向敏感接口发送包含他人学号的请求
  3. 确认可以获取到包括身份证号在内的敏感信息

3. 关键技术与工具总结

3.1 信息收集工具

工具名称 功能 命令示例
subfinder 子域名收集 subfinder -d **.edu.cn -all -o subdomains.txt
amass 子域名枚举 amass enum -d **.edu.cn -dir amass4owasp
assetfinder 资产发现 assetfinder **.edu.cn
anew 合并去重 `cat file1.txt

3.2 测绘引擎

引擎名称 查询语法
Shodan net:192.168.1.1/24
ZoomEye cidr:"192.168.1.1/24"
Fofa ip="192.168.1.1/24"
Censys 类似语法

3.3 漏洞挖掘技巧

  1. 认证流程分析:重点关注角色ID、权限标识等参数
  2. 参数篡改:尝试修改关键参数如roleiduserid
  3. 接口遍历:登录后系统性地检查所有可用API接口
  4. 敏感信息定位:寻找包含个人身份、家庭信息等的高价值接口

4. 防御建议

  1. 认证加固

    • 服务端严格校验用户权限
    • 避免在前端或客户端传输可修改的权限标识

  2. 敏感接口保护

    • 实施严格的访问控制
    • 记录敏感操作日志
    • 对高敏感接口增加二次认证

  3. 信息泄露防护

    • 定期检查公开平台的信息泄露
    • 加强员工安全意识培训
    • 实施最小权限原则

  4. 监控与响应

    • 建立异常访问监测机制
    • 设置针对批量查询的速率限制
    • 准备应急响应预案

5. 总结

本次渗透测试展示了从信息收集到漏洞挖掘的完整流程,重点包括:

  1. 全面的资产发现与信息收集
  2. 认证系统的深入分析
  3. 参数篡改导致的垂直越权漏洞
  4. 高价值敏感信息的定位与获取

通过这种方法论,可以在类似的教育系统或其他需要统一认证的系统中寻找类似的安全问题。

211大学渗透测试实战教学文档 1. 前言与概述 本教学文档基于一次针对211大学证书站的渗透测试实战案例,详细记录了从信息收集到漏洞挖掘的全过程。该测试最终发现了一个高危越权漏洞,成功获取了敏感信息并兑换了证书。 2. 渗透测试流程 2.1 信息收集阶段 2.1.1 域名收集 工具使用: subfinder : subfinder -d **.edu.cn -all -o subdomains.txt amass : amass enum -d **.edu.cn -dir amass4owasp 补充收集方法: 使用VirusTotal收集资产: https://www.virustotal.com 使用assetfinder: assetfinder **.edu.cn | ./anew subdomains.txt 合并去重: cat subdomains1.txt | ./anew subdomains.txt 2.1.2 敏感信息收集 Google语法示例: GitHub搜索技巧: 搜索默认密码组合:如"00000"、"身份证后6位"、"工号"、"部门号" 搜索账号凭据格式:如"用户名:20**** 密码:SY**** " 2.1.3 IP资产收集 测绘引擎使用: Shodan: net:192.168.1.1/24 ZoomEye: cidr:"192.168.1.1/24" Fofa: ip="192.168.1.1/24" Censys 2.2 资产识别与分类 工具使用: Ehole指纹识别: ehole.exe finger -l subdomains.txt -o result.xlsx 输出Excel表格便于筛选 分类处理: 将404响应资产收集到 404.txt 将403响应资产收集到 403.txt 2.3 漏洞挖掘阶段 2.3.1 统一认证系统分析 使用收集到的账号登录统一身份认证系统 发现目标资产: https://sas.**.edu.cn Burp抓包分析认证流程 关键发现: 认证过程中设置了用户的 roleid 参数 09 表示学生权限 可能存在通过修改 roleid 实现权限提升的漏洞 2.3.2 越权漏洞验证 测试步骤: 退出当前登录 重新登录并抓包 修改请求中的 roleid 参数为 01 (假设为管理员权限) 放行数据包 检查JWT中的 roleid 是否已变为 01 尝试访问敏感接口验证权限 敏感接口发现: 个人信息查询接口 家庭信息查询接口: https://sas.**.edu.cn/student/studetails 2.3.3 漏洞确认 验证方法: 保持修改后的 roleid=01 向敏感接口发送包含他人学号的请求 确认可以获取到包括身份证号在内的敏感信息 3. 关键技术与工具总结 3.1 信息收集工具 | 工具名称 | 功能 | 命令示例 | |---------|------|----------| | subfinder | 子域名收集 | subfinder -d **.edu.cn -all -o subdomains.txt | | amass | 子域名枚举 | amass enum -d **.edu.cn -dir amass4owasp | | assetfinder | 资产发现 | assetfinder **.edu.cn | | anew | 合并去重 | cat file1.txt | ./anew master.txt | 3.2 测绘引擎 | 引擎名称 | 查询语法 | |---------|----------| | Shodan | net:192.168.1.1/24 | | ZoomEye | cidr:"192.168.1.1/24" | | Fofa | ip="192.168.1.1/24" | | Censys | 类似语法 | 3.3 漏洞挖掘技巧 认证流程分析 :重点关注角色ID、权限标识等参数 参数篡改 :尝试修改关键参数如 roleid 、 userid 等 接口遍历 :登录后系统性地检查所有可用API接口 敏感信息定位 :寻找包含个人身份、家庭信息等的高价值接口 4. 防御建议 认证加固 : 服务端严格校验用户权限 避免在前端或客户端传输可修改的权限标识 敏感接口保护 : 实施严格的访问控制 记录敏感操作日志 对高敏感接口增加二次认证 信息泄露防护 : 定期检查公开平台的信息泄露 加强员工安全意识培训 实施最小权限原则 监控与响应 : 建立异常访问监测机制 设置针对批量查询的速率限制 准备应急响应预案 5. 总结 本次渗透测试展示了从信息收集到漏洞挖掘的完整流程,重点包括: 全面的资产发现与信息收集 认证系统的深入分析 参数篡改导致的垂直越权漏洞 高价值敏感信息的定位与获取 通过这种方法论,可以在类似的教育系统或其他需要统一认证的系统中寻找类似的安全问题。