教育系统后台漏洞渗透测试实战教学文档<\/h1>

1. 信息收集与目标定位<\/h2>

1.1 谷歌语法应用<\/h3>

基础语法符号<\/strong>：<\/p>

"xxx"<\/code>：完全匹配搜索（关键词不分开，顺序不变）<\/li>
+<\/code>：包含特定内容（如"腾讯课堂" +ke.qq.com<\/code>）<\/li>
-<\/code>：排除特定内容（如"腾讯课堂" -ke.qq.com<\/code>）<\/li> <\/ul> 常用搜索参数<\/strong>：<\/p> site:edu.cn<\/code>：限定教育网站域名<\/li> inurl:uploads<\/code>：搜索URL包含关键词的网页<\/li> intitle:"index of \/admin"<\/code>：搜索标题含关键词的网页<\/li> intext:登陆\/注册<\/code>：搜索正文含关键词的网页<\/li> filetype:php\/asp\/jsp<\/code>：按文件类型搜索<\/li> <\/ul> 实战应用语法<\/strong>：<\/p> 查找后台：site:xx.com intext:管理|后台|登陆|admin|login<\/code><\/li> SQL注入点：inurl:.php?id=23 公司<\/code><\/li> 上传点：site:xx.com inurl:file|uploadfile<\/code><\/li> 敏感信息：intitle:"Index of \/" +password.txt<\/code><\/li> <\/ul> 1.2 目标定位策略<\/h3> 主站难以突破时转向旁站<\/li> 使用特定语法：site:xxx.edu.cn "管理登录"||"登录"||"用户登录"<\/code><\/li> 通过用户手册\/小程序等渠道获取密码规律<\/li> <\/ol> 2. 漏洞发现与利用<\/h2> 2.1 信息泄露漏洞<\/h3> 发现过程<\/strong>：<\/p> 使用收集到的密码规律成功登录教学管理系统<\/li> 学生账号可直接查看同学和教师信息<\/li> 获取大量学号规律（可作为后续攻击基础）<\/li> <\/ol> 2.2 水平越权漏洞<\/h3> 测试步骤<\/strong>：<\/p> 在修改密码功能点抓包<\/p> <\/li> 分析关键参数：<\/p> ASP.NET_SessionId<\/code>：加密签名<\/li> OA_User=id=54598<\/code>：用户ID<\/li> unumber<\/code>和ip<\/code>：用户名和IP地址<\/li> Powerid=6<\/code>：权限标识<\/li> <\/ul> <\/li> 修改OA_User=id<\/code>参数（如改为54597）<\/p> <\/li> 确认用户名随ID改变而改变<\/p> <\/li> 实现任意学生密码修改（水平越权）<\/p> <\/li> <\/ol> 2.3 垂直越权漏洞<\/h3> 测试步骤<\/strong>：<\/p> 通过遍历发现教师权限Powerid=5<\/code><\/li> 修改OA_User=id=54590 powerid=5<\/code>获取教师权限<\/li> 发现管理员权限特征： ID范围40000-55000中管理员未出现<\/li> 推测管理员id=1<\/code>，powerid=1<\/code><\/li> <\/ul> <\/li> 成功获取管理员权限，可查看所有账号密码<\/li> 实现任意添加管理员和导师账户<\/li> <\/ol> 3. XSS漏洞挖掘与绕过<\/h2> 3.1 存储型XSS发现<\/h3> 教师功能点中的学生信息列表可读取个人信息<\/li> 学生信息可编辑字段中，"专业特长"和"姓名"无输入限制<\/li> 基础payload测试：<script>alert(1)<\/script><\/code>被WAF拦截<\/li> <\/ol> 3.2 WAF绕过技术<\/h3> 绕过思路分类<\/strong>：<\/p> 更改提交方式<\/strong>：<\/p> 尝试POST请求代替GET<\/li> 通过Cookie或HTTP Header提交<\/li> <\/ul> <\/li> 混淆伪装<\/strong>：<\/p> 大小写混淆：<sCript>alert(1)<\/Script><\/code><\/li> 双写绕过：<sCri<script>alert(1)<\/script>SC<script>ripT><\/code><\/li> Unicode\/Base64编码<\/li> <\/ul> <\/li> 标签和事件变换<\/strong>：<\/p> 使用标签：<\/code><\/li> 使用onmouseover<\/code>事件：<a onmousemove="do something here"><\/code><\/li> 使用<svg><\/code>标签：<svg onload=...><\/code><\/li> <\/ul> <\/li> 利用WAF缺陷<\/strong>：<\/p> 增加WAF负担（大量正常请求夹杂恶意请求）<\/li> 利用配置不当（如只检测部分参数）<\/li> 旁站绕过<\/li> <\/ul> <\/li> 自动化工具<\/strong>：<\/p> 使用XSStrike等工具自动生成绕过payload<\/li> <\/ul> <\/li> 其他技巧<\/strong>：<\/p> 伪协议：javascript:<\/code><\/li> CSS跨站：expression()<\/code><\/li> 全局变量：eval()<\/code>, window.onload<\/code><\/li> <\/ul> <\/li> <\/ol> 成功绕过案例<\/strong>：<\/p> <svg<\/span> onload<\/span>=<\/span>eval(unescape('%61%6c%65%72%74%28%31%29'))<\/span>> <\/span><\/span><\/code><\/pre> 使用<svg><\/code>标签和onload<\/code>事件<\/li> 通过unescape<\/code>和eval<\/code>执行编码后的alert(1)<\/code><\/li> 成功原因：WAF对onload<\/code>事件过滤不足，且未解码URI编码<\/li> <\/ul> 3.3 文件上传XSS<\/h3> 发现aspx语言文件上传点<\/li> 尝试一句话木马被拦截<\/li> 分析接收html文件<\/li> 上传包含XSS的html文件成功触发<\/li> <\/ol> 4. 漏洞修复建议<\/h2> 信息泄露<\/strong>：<\/p> 实施最小权限原则<\/li> 学生账号不应查看其他学生\/教师信息<\/li> 敏感信息（如学号）应脱敏处理<\/li> <\/ul> <\/li> 越权漏洞<\/strong>：<\/p> 服务端校验用户权限<\/li> 使用不可预测的会话标识符<\/li> 避免在客户端存储敏感参数<\/li> <\/ul> <\/li> XSS防护<\/strong>：<\/p> 输入过滤：对所有用户输入进行严格过滤<\/li> 输出编码：在输出到页面时进行HTML编码<\/li> 内容安全策略(CSP)<\/li> WAF规则更新（覆盖更多事件和编码方式）<\/li> <\/ul> <\/li> 文件上传<\/strong>：<\/p> 严格限制上传文件类型<\/li> 文件内容检测<\/li> 上传文件隔离存储<\/li> <\/ul> <\/li> <\/ol> 5. 渗透测试方法论总结<\/h2> 信息收集<\/strong>：全面使用各种技术（如谷歌语法）收集目标信息<\/li> 漏洞探测<\/strong>：从易到难测试各类常见漏洞<\/li> 权限提升<\/strong>：通过水平\/垂直越权获取更高权限<\/li> 持久化<\/strong>：通过XSS、文件上传等建立持久访问<\/li> 痕迹清理<\/strong>：测试完成后删除所有测试账户和文件<\/li> <\/ol> 本案例展示了教育系统中典型漏洞的发现和利用过程，这些技术和方法具有普遍适用性，但仅限合法授权测试使用。<\/p>