[有手就行]半天打穿某高校
字数 1636 2025-08-24 16:48:07

高校渗透测试实战教学文档

1. 前言

本教学文档基于某高校渗透测试实战案例,详细记录了从外网打点到内网横向移动的全过程。测试已获得授权,相关漏洞已修复。本文仅供学习网络安全技术使用,请勿用于非法用途。

2. 外网打点方法

2.1 VPN相关攻击向量

  • SSL VPN攻击
    • 构造学号作为用户名
    • 检索学校通知获取默认密码格式
  • Web VPN攻击
    • 同上方法构造凭证
  • 图书馆VPN资源
    • 可通过某宝购买学校VPN资源

2.2 代理服务器利用

  • 在公网寻找未加密/弱口令的socks/frp代理
  • 学校服务器常因学生图方便而开放此类代理
  • 这些代理可作为初始攻击入口

3. 横向移动第一阶段:寻找内网跳板

3.1 目标网段扫描

  • 重点扫描信息中心、财务处、学校官网主站所在网段
  • 使用稳定跳板机进行后续渗透

3.2 华为物理机/虚拟机弱口令利用

  • 发现:大量华为物理机使用出厂默认密码
  • 利用方式
    • 通过Web管理平台执行系统命令
    • 使用华为KVM工具连接
  • 默认密码示例
    root/Huawei12#$
root/FusionSphere123
root/Huawei@CLOUD8!

3.3 OpenStack服务管理

  • 通过环境变量管理OpenStack虚拟机: 
    export OS_PASSWORD=***
export OS_AUTH_URL=https://identity.az1.dc1.domainname.com:443/identity-admin/v2.0
export OS_USERNAME=***
export OS_TENANT_NAME=***
export OS_REGION_NAME=***
export NOVA_ENDPOINT_TYPE=internalURL
export OS_ENDPOINT_TYPE=internalURL
export CINDER_ENDPOINT_TYPE=internalURL
export OS_VOLUME_API_VERSION=2
export BASE_BOND=brcps
  • 查询虚拟机列表: 
    nova server list  # 旧版本
openstack server list  # 新版本

3.4 Hadoop未授权访问

  • 发现未授权Hadoop服务,存在RCE漏洞
  • 利用Vulhub中的EXP获取shell
  • 获取node001-node010十台高配置物理机控制权

3.5 新中新网关Shiro-550漏洞

  • 利用未修复的Shiro反序列化漏洞
  • 获取系统控制权限

4. 横向移动第二阶段:接口安全探测中心

4.1 发现安全设备

  • 发现安全设备管理界面(80端口需登录)
  • 5001端口可直接访问检测接口

4.2 数据爬取与分析

  • 使用Python爬取API数据
  • 存储到MongoDB进行高效查询
  • 关键查询示例: 
    db.event.find({"req.args.password": {"$exists": true}}, {host: 1, req: 1, _id: 0})
db.event.find({"req.args2.password": {"$exists": true}}, {host: 1, req: 1, _id: 0})
db.event.find({"req.body": {$regex: 'admin'}}, {host: 1, req: 1, rsp: 1, _id: 0})
db.event.find({"rsp.header.set-cookie": {$regex: '(?i)rememberMe'}}, {host: 1, req: 1, rsp: 1, _id: 0})
db.event.find({"host": {$regex: 'itc'}}, {host: 1, req: 1, rsp: 1, _id: 0})
db.event.find({"apiUrl": {$regex: 'login'}}, {host: 1, req: 1, rsp: 1, _id: 0})

5. 横向移动第三阶段:内网资产获取

5.1 网络安全管理平台

  • 查看学校漏洞信息(包括未修复漏洞)
  • 功能包括资产管理、安全通报、应急处置等

5.2 数栈大屏系统

  • 利用获取的token构造admin权限
  • 查看保卫处门禁数据等敏感信息

5.3 超融合云系统

  • 发现厂商超融合云弱口令
  • VNC未授权访问(14台受影响)
  • 可获取root shell或通过恢复模式修改密码

5.4 OA系统漏洞

  • 发现接口使用长随机字符串作为PATH
  • 遍历OA账户ID配合统一密码可登录
  • 可获取校长、书记等高级账户权限

5.5 接口管理平台

  • 查询各类学校信息
  • 功能强大但未做充分权限控制

6. 横向移动第四阶段:统一数据集成管道

6.1 系统概述

  • 核心数据库同步系统
  • 每晚同步业务库数据到核心库

6.2 包含的数据库

  • 主数据仓库、缓存库
  • 人事、研究生、本科生教务中间库
  • 校园卡、科研、财务系统中间库
  • 安保处人行通道、校园网实时在线系统
  • 后勤、设备资产、OA系统等

6.3 凭证获取方法

  • 数据库连接信息明文存储
  • 密码看似加密但前端检查元素修改type为text即可显示

6.4 获取的核心数据示例

  1. 身份信息

    • 人脸照片、教师科研成果
    • 学生家庭住址、父母职业(十万条)

  2. 打卡定位

    • 带经纬度的健康打卡信息(几千万条)

  3. 校园网信息

    • 师生IP和MAC地址实时数据

  4. 财务信息

    • 财务收费详细记录

  5. 潜在风险

    • 理论上可修改成绩、学费、校园卡金额
    • 但对账系统复杂,修改会被发现

7. 安全建议

  1. 网络隔离

    • 重要网段实施严格隔离
    • 限制VPN访问权限

  2. 密码策略

    • 强制修改默认密码
    • 实施强密码策略

  3. 安全设备管理

    • 安全设备自身需加强防护
    • 限制管理接口访问

  4. 数据保护

    • 核心数据库凭证加密存储
    • 实施最小权限原则

  5. 漏洞管理

    • 建立漏洞修复流程
    • 鼓励众测渗透,提供奖励

  6. 监控与响应

    • 加强异常行为监控
    • 建立应急响应机制

8. 总结

本次渗透测试展示了从外网到内网的全链条攻击路径,暴露了高校系统中常见的安全问题:默认凭证、未修复漏洞、不当的权限管理、敏感数据保护不足等。安全建设需要从技术和管理多个层面入手,建立纵深防御体系。

高校渗透测试实战教学文档 1. 前言 本教学文档基于某高校渗透测试实战案例,详细记录了从外网打点到内网横向移动的全过程。测试已获得授权,相关漏洞已修复。本文仅供学习网络安全技术使用,请勿用于非法用途。 2. 外网打点方法 2.1 VPN相关攻击向量 SSL VPN攻击 : 构造学号作为用户名 检索学校通知获取默认密码格式 Web VPN攻击 : 同上方法构造凭证 图书馆VPN资源 : 可通过某宝购买学校VPN资源 2.2 代理服务器利用 在公网寻找未加密/弱口令的socks/frp代理 学校服务器常因学生图方便而开放此类代理 这些代理可作为初始攻击入口 3. 横向移动第一阶段:寻找内网跳板 3.1 目标网段扫描 重点扫描信息中心、财务处、学校官网主站所在网段 使用稳定跳板机进行后续渗透 3.2 华为物理机/虚拟机弱口令利用 发现 :大量华为物理机使用出厂默认密码 利用方式 : 通过Web管理平台执行系统命令 使用华为KVM工具连接 默认密码示例 : 3.3 OpenStack服务管理 通过环境变量管理OpenStack虚拟机: 查询虚拟机列表: 3.4 Hadoop未授权访问 发现未授权Hadoop服务,存在RCE漏洞 利用Vulhub中的EXP获取shell 获取node001-node010十台高配置物理机控制权 3.5 新中新网关Shiro-550漏洞 利用未修复的Shiro反序列化漏洞 获取系统控制权限 4. 横向移动第二阶段:接口安全探测中心 4.1 发现安全设备 发现安全设备管理界面(80端口需登录) 5001端口可直接访问检测接口 4.2 数据爬取与分析 使用Python爬取API数据 存储到MongoDB进行高效查询 关键查询示例: 5. 横向移动第三阶段:内网资产获取 5.1 网络安全管理平台 查看学校漏洞信息(包括未修复漏洞) 功能包括资产管理、安全通报、应急处置等 5.2 数栈大屏系统 利用获取的token构造admin权限 查看保卫处门禁数据等敏感信息 5.3 超融合云系统 发现厂商超融合云弱口令 VNC未授权访问(14台受影响) 可获取root shell或通过恢复模式修改密码 5.4 OA系统漏洞 发现接口使用长随机字符串作为PATH 遍历OA账户ID配合统一密码可登录 可获取校长、书记等高级账户权限 5.5 接口管理平台 查询各类学校信息 功能强大但未做充分权限控制 6. 横向移动第四阶段:统一数据集成管道 6.1 系统概述 核心数据库同步系统 每晚同步业务库数据到核心库 6.2 包含的数据库 主数据仓库、缓存库 人事、研究生、本科生教务中间库 校园卡、科研、财务系统中间库 安保处人行通道、校园网实时在线系统 后勤、设备资产、OA系统等 6.3 凭证获取方法 数据库连接信息明文存储 密码看似加密但前端检查元素修改type为text即可显示 6.4 获取的核心数据示例 身份信息 : 人脸照片、教师科研成果 学生家庭住址、父母职业(十万条) 打卡定位 : 带经纬度的健康打卡信息(几千万条) 校园网信息 : 师生IP和MAC地址实时数据 财务信息 : 财务收费详细记录 潜在风险 : 理论上可修改成绩、学费、校园卡金额 但对账系统复杂,修改会被发现 7. 安全建议 网络隔离 : 重要网段实施严格隔离 限制VPN访问权限 密码策略 : 强制修改默认密码 实施强密码策略 安全设备管理 : 安全设备自身需加强防护 限制管理接口访问 数据保护 : 核心数据库凭证加密存储 实施最小权限原则 漏洞管理 : 建立漏洞修复流程 鼓励众测渗透,提供奖励 监控与响应 : 加强异常行为监控 建立应急响应机制 8. 总结 本次渗透测试展示了从外网到内网的全链条攻击路径,暴露了高校系统中常见的安全问题:默认凭证、未修复漏洞、不当的权限管理、敏感数据保护不足等。安全建设需要从技术和管理多个层面入手,建立纵深防御体系。