EDUSRC–记一次信息泄露进入某学院学工系统的渗透测试

admin 2026-07-09 05:53:43 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文记录了一次针对某学院学工系统的渗透测试过程,通过信息搜集获取学生学号与身份证号,利用默认密码(身份证后六位)成功登录系统。随后发现SQL报错注入、布尔盲注、XSS及逻辑越权等多个漏洞,并打包提交。文章强调信息搜集的重要性,建议根据系统语言框架针对性测试,并全面覆盖各功能点以增加漏洞发现概率。 综合评分: 81 文章分类: 渗透测试,红队,内网渗透,漏洞分析,安全意识


cover_image

EDUSRC–记一次信息泄露进入某学院学工系统的渗透测试

zkaq – kpc zkaq – kpc

掌控安全EDU

2026年7月8日 12:21 江西

在小说阅读器读本章

去阅读

扫码领资料

获网安教程

本文由掌控安全学院 – kpc 投稿

Track安全社区投稿~

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

文章中敏感信息均已做打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!

一、前言

现在的web站点挖掘难度越来越大,有时候能进入一些学校的内部系统也是非常重要的,虽然该系统并没有提示密码的规则,但也可以依靠信息搜集来尝试一些简单的密码规则,比如初始密码就是学号或者身份证后6位,依靠这个思路,有时候会有非常大的收获。

二、通过信息搜集获得敏感信息

搜集学号等信息我常用的有以下几种方法: 1、浏览器直接搜,如XXX大学学号 2、fofa 这里的思路是搜集某大学的公示、成绩、名单、奖学金、转专业……这些关键字眼会让我们更快的找到学生的个人信息 3、直接去学校官网去搜,进入学校官网,我们可以从学院分布下手,比如很多学校官网都会有学院设置,包含了XXX学院,我们可以进入某学院,之后再在该学院的通告、公式中找寻名单等关键字。 4、某音、某书等社交平台去搜 按照这个思路,成功在某学院的公示文件中找到了敏感信息,本来只是想要学号,没想到sfz也给了:

既然获得了这些敏感信息,那么肯定要去试一试该校的内部系统是否能进去扩大攻击面。直接用鹰图搜集资产: (domain=”XX.edu.cn” || web.body=”XX大学” || web.title=”XXX大学”)&&(web.title=”系统” or web.title=”平台” or web.title=”管理” or web.title=”后台”)&&ip.country==”CN” 这样搜集出来的资产既包括学校资产也包括存疑资产,攻击面更广,而且搜集出来的全是系统、平台这样容易出洞、好测试的资产。 经过不断测试,发现该校的学工系统存在默认密码,即身份证后六位:

于是通过上面信息搜集获取到的sfz一个个试,运气不错,成功捡到一个使用默认密码的:

没办法,为了之后的测试,只能修改这位同学的密码了,渗透测试结束再改回原弱口令密码即可。

三、多个漏洞打包

成功进入该校学工系统后,我们首先要判断这是什么框架、语言,然后根据这些语言的特性去针对性的测试,如果是java就重点测越权,如果是php,net就多关注SQL注入等。 通过插件,也可以看出该系统是net:

那数据库大概率是mssql了,mssql常用的注入方式: 1、有回显:直接用报错注入 2、无回显:用正常的盲注即可,时间或者布尔

a.SQL报错注入

进入系统后,注意到公告处有某条目,而且是通过id传参的:

通过burp插件xiasql确认后是数字型的,所以直接把id换成数据库名称函数db_name()即可报错注入:

原理:将不同数据类型的数据进行转换或对比时,如果转换的是有关查询语句或函数等,那么就会触发报错。本来id是数字型的,直接换成输出数据库函数,这个函数像整数转换时就会报错,直接获得数据库名。 如果id是字符型的,就用这个payload:id=1’and+1=db_name()— 原理和上面相同,只是要闭合单引号。

b.SQL布尔盲注

在邮箱中,发现每条邮件也是通过id传参的,属于是不同接口了,但是这里并没有显示报错信息,只能用盲注了:

构造的布尔语句为真则正常返回200,否则直接302: 1=1: 1=2:

接下来开始进一步获取数据,先获取数据库长度:

发现到7时,正常返回200,说明语句为真,数据库长度为7,其实到这里已经可以提交了,不过这个没有什么waf,我直接把库名也跑出来了:

直接设置爆破点,截取数据库的第一位,第二位…即可判断出库名,最后得到的和报错注入的也一致,证明布尔盲注没问题。

c.XSS+逻辑越权组合拳

我们遇到id是一个简单的可遍历的数字时除了注入要测,当然也要测越权,修改id值看是否能越权到其他用户的信息,按照这个思路也是成功在修改家庭信息的模块找到了越权,遗憾的是这里没有注入,过滤的非常严格。(这里讲一句局外话,大家测试时一定要每个功能都测一遍,因为可能一个系统是由多个开发完成的,每个开发的习惯、水平都不一样,千万不能测一两个功能发现没有出洞就直接放弃,说不定其他功能就有洞。如果测试到了某个漏洞也是一样,说不定其他功能点也有类似的漏洞,这样才能增加出洞的概率。):

修改rid即可跳到其他用户的家庭信息界面,而且可以任意修改,既然可以修改,那自然要试试XSS可不可以触发了,如果可以直接扩大危害,测试一番后成功触发:

四、总结

正如上面所说的,通过信息搜集才能获取更多的资产,进入更多的系统,进入系统后要根据语言、框架有重点的测试,测试时要各个功能都要测试一遍,不能想当然的认为每个接口都一样校验的非常严格,挖到一个漏洞时也要把其他类似的功能测试一遍。希望这篇文章可以帮助各位大佬,天天上大分。

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

没看够~?欢迎关注!

分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+交流群+靶场账号

分享后扫码加我!

回顾往期内容

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

记某地级市护网的攻防演练行动

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:掌控安全EDU zkaq – kpc zkaq – kpc《EDUSRC–记一次信息泄露进入某学院学工系统的渗透测试》

评论:0   参与:  0