记:一次经典教育系统后台漏洞打包!
字数 2113 2025-08-19 12:41:16

教育系统后台漏洞渗透测试实战教学文档

1. 信息收集与目标定位

1.1 谷歌语法应用

基础语法符号

  • "xxx":完全匹配搜索(关键词不分开,顺序不变)
  • +:包含特定内容(如"腾讯课堂" +ke.qq.com
  • -:排除特定内容(如"腾讯课堂" -ke.qq.com

常用搜索参数

  • site:edu.cn:限定教育网站域名
  • inurl:uploads:搜索URL包含关键词的网页
  • intitle:"index of /admin":搜索标题含关键词的网页
  • intext:登陆/注册:搜索正文含关键词的网页
  • filetype:php/asp/jsp:按文件类型搜索

实战应用语法

  • 查找后台:site:xx.com intext:管理|后台|登陆|admin|login
  • SQL注入点:inurl:.php?id=23 公司
  • 上传点:site:xx.com inurl:file|uploadfile
  • 敏感信息:intitle:"Index of /" +password.txt

1.2 目标定位策略

  1. 主站难以突破时转向旁站
  2. 使用特定语法:site:xxx.edu.cn "管理登录"||"登录"||"用户登录"
  3. 通过用户手册/小程序等渠道获取密码规律

2. 漏洞发现与利用

2.1 信息泄露漏洞

发现过程

  1. 使用收集到的密码规律成功登录教学管理系统
  2. 学生账号可直接查看同学和教师信息
  3. 获取大量学号规律(可作为后续攻击基础)

2.2 水平越权漏洞

测试步骤

  1. 在修改密码功能点抓包

  2. 分析关键参数:

    • ASP.NET_SessionId:加密签名
    • OA_User=id=54598:用户ID
    • unumberip:用户名和IP地址
    • Powerid=6:权限标识

  3. 修改OA_User=id参数(如改为54597)

  4. 确认用户名随ID改变而改变

  5. 实现任意学生密码修改(水平越权)

2.3 垂直越权漏洞

测试步骤

  1. 通过遍历发现教师权限Powerid=5
  2. 修改OA_User=id=54590 powerid=5获取教师权限
  3. 发现管理员权限特征:
    • ID范围40000-55000中管理员未出现
    • 推测管理员id=1powerid=1
  4. 成功获取管理员权限,可查看所有账号密码
  5. 实现任意添加管理员和导师账户

3. XSS漏洞挖掘与绕过

3.1 存储型XSS发现

  1. 教师功能点中的学生信息列表可读取个人信息
  2. 学生信息可编辑字段中,"专业特长"和"姓名"无输入限制
  3. 基础payload测试:<script>alert(1)</script>被WAF拦截

3.2 WAF绕过技术

绕过思路分类

  1. 更改提交方式

    • 尝试POST请求代替GET
    • 通过Cookie或HTTP Header提交

  2. 混淆伪装

    • 大小写混淆:<sCript>alert(1)</Script>
    • 双写绕过:<sCri<script>alert(1)</script>SC<script>ripT>
    • Unicode/Base64编码

  3. 标签和事件变换

    • 使用标签:
    • 使用onmouseover事件:<a onmousemove="do something here">
    • 使用<svg>标签:<svg onload=...>

  4. 利用WAF缺陷

    • 增加WAF负担(大量正常请求夹杂恶意请求)
    • 利用配置不当(如只检测部分参数)
    • 旁站绕过

  5. 自动化工具

    • 使用XSStrike等工具自动生成绕过payload

  6. 其他技巧

    • 伪协议:javascript:
    • CSS跨站:expression()
    • 全局变量:eval(), window.onload

成功绕过案例

<svg onload=eval(unescape('%61%6c%65%72%74%28%31%29'))>
  • 使用<svg>标签和onload事件
  • 通过unescapeeval执行编码后的alert(1)
  • 成功原因:WAF对onload事件过滤不足,且未解码URI编码

3.3 文件上传XSS

  1. 发现aspx语言文件上传点
  2. 尝试一句话木马被拦截
  3. 分析接收html文件
  4. 上传包含XSS的html文件成功触发

4. 漏洞修复建议

  1. 信息泄露

    • 实施最小权限原则
    • 学生账号不应查看其他学生/教师信息
    • 敏感信息(如学号)应脱敏处理

  2. 越权漏洞

    • 服务端校验用户权限
    • 使用不可预测的会话标识符
    • 避免在客户端存储敏感参数

  3. XSS防护

    • 输入过滤:对所有用户输入进行严格过滤
    • 输出编码:在输出到页面时进行HTML编码
    • 内容安全策略(CSP)
    • WAF规则更新(覆盖更多事件和编码方式)

  4. 文件上传

    • 严格限制上传文件类型
    • 文件内容检测
    • 上传文件隔离存储

5. 渗透测试方法论总结

  1. 信息收集:全面使用各种技术(如谷歌语法)收集目标信息
  2. 漏洞探测:从易到难测试各类常见漏洞
  3. 权限提升:通过水平/垂直越权获取更高权限
  4. 持久化:通过XSS、文件上传等建立持久访问
  5. 痕迹清理:测试完成后删除所有测试账户和文件

本案例展示了教育系统中典型漏洞的发现和利用过程,这些技术和方法具有普遍适用性,但仅限合法授权测试使用。

教育系统后台漏洞渗透测试实战教学文档 1. 信息收集与目标定位 1.1 谷歌语法应用 基础语法符号 : "xxx" :完全匹配搜索(关键词不分开,顺序不变) + :包含特定内容(如 "腾讯课堂" +ke.qq.com ) - :排除特定内容(如 "腾讯课堂" -ke.qq.com ) 常用搜索参数 : site:edu.cn :限定教育网站域名 inurl:uploads :搜索URL包含关键词的网页 intitle:"index of /admin" :搜索标题含关键词的网页 intext:登陆/注册 :搜索正文含关键词的网页 filetype:php/asp/jsp :按文件类型搜索 实战应用语法 : 查找后台: site:xx.com intext:管理|后台|登陆|admin|login SQL注入点: inurl:.php?id=23 公司 上传点: site:xx.com inurl:file|uploadfile 敏感信息: intitle:"Index of /" +password.txt 1.2 目标定位策略 主站难以突破时转向旁站 使用特定语法: site:xxx.edu.cn "管理登录"||"登录"||"用户登录" 通过用户手册/小程序等渠道获取密码规律 2. 漏洞发现与利用 2.1 信息泄露漏洞 发现过程 : 使用收集到的密码规律成功登录教学管理系统 学生账号可直接查看同学和教师信息 获取大量学号规律(可作为后续攻击基础) 2.2 水平越权漏洞 测试步骤 : 在修改密码功能点抓包 分析关键参数: ASP.NET_SessionId :加密签名 OA_User=id=54598 :用户ID unumber 和 ip :用户名和IP地址 Powerid=6 :权限标识 修改 OA_User=id 参数(如改为54597) 确认用户名随ID改变而改变 实现任意学生密码修改(水平越权) 2.3 垂直越权漏洞 测试步骤 : 通过遍历发现教师权限 Powerid=5 修改 OA_User=id=54590 powerid=5 获取教师权限 发现管理员权限特征: ID范围40000-55000中管理员未出现 推测管理员 id=1 , powerid=1 成功获取管理员权限,可查看所有账号密码 实现任意添加管理员和导师账户 3. XSS漏洞挖掘与绕过 3.1 存储型XSS发现 教师功能点中的学生信息列表可读取个人信息 学生信息可编辑字段中,"专业特长"和"姓名"无输入限制 基础payload测试: <script>alert(1)</script> 被WAF拦截 3.2 WAF绕过技术 绕过思路分类 : 更改提交方式 : 尝试POST请求代替GET 通过Cookie或HTTP Header提交 混淆伪装 : 大小写混淆: <sCript>alert(1)</Script> 双写绕过: <sCri<script>alert(1)</script>SC<script>ripT> Unicode/Base64编码 标签和事件变换 : 使用 标签: 使用 onmouseover 事件: <a onmousemove="do something here"> 使用 <svg> 标签: <svg onload=...> 利用WAF缺陷 : 增加WAF负担(大量正常请求夹杂恶意请求) 利用配置不当(如只检测部分参数) 旁站绕过 自动化工具 : 使用XSStrike等工具自动生成绕过payload 其他技巧 : 伪协议: javascript: CSS跨站: expression() 全局变量: eval() , window.onload 成功绕过案例 : 使用 <svg> 标签和 onload 事件 通过 unescape 和 eval 执行编码后的 alert(1) 成功原因:WAF对 onload 事件过滤不足,且未解码URI编码 3.3 文件上传XSS 发现aspx语言文件上传点 尝试一句话木马被拦截 分析接收html文件 上传包含XSS的html文件成功触发 4. 漏洞修复建议 信息泄露 : 实施最小权限原则 学生账号不应查看其他学生/教师信息 敏感信息(如学号)应脱敏处理 越权漏洞 : 服务端校验用户权限 使用不可预测的会话标识符 避免在客户端存储敏感参数 XSS防护 : 输入过滤:对所有用户输入进行严格过滤 输出编码:在输出到页面时进行HTML编码 内容安全策略(CSP) WAF规则更新(覆盖更多事件和编码方式) 文件上传 : 严格限制上传文件类型 文件内容检测 上传文件隔离存储 5. 渗透测试方法论总结 信息收集 :全面使用各种技术(如谷歌语法)收集目标信息 漏洞探测 :从易到难测试各类常见漏洞 权限提升 :通过水平/垂直越权获取更高权限 持久化 :通过XSS、文件上传等建立持久访问 痕迹清理 :测试完成后删除所有测试账户和文件 本案例展示了教育系统中典型漏洞的发现和利用过程,这些技术和方法具有普遍适用性,但仅限合法授权测试使用。