一次學校財務處網站的簡單測試

• 2019 年 10 月 5 日
• 筆記

滲透測試的能力只有在實戰中才能獲得更好的提高，所以這次簡單的講一講最近對我們學校的財務處網站的簡單測試。

信息收集

一開始收集信息，主要了解了一下ip以及zap看了看大部分接口的情況，看了看主站的目錄結構，但是安全防護做到比較好，waf筆者也繞過不了（流下沒技術的淚水）沒有什麼重大漏洞，但是收穫也有不少，首先發現現在正在使用的網站是這幾年更新的網站，然後存在一個舊版本的，emmmm，那就試試看老版本的網站：

舊版

下面開始測。

測試

簡單的測試後發現存在目錄遍歷：

目錄遍歷

而且phpmyadmin的後台還是對外開放的，但是後面發現新版網站對公網開放，但是舊版只能校園網訪問。嘗試了爆破phpmyadmin的賬號密碼，但是很遺憾沒有爆破出來，於是看看了ip發現新版和舊版不是同一個服務器，簡單nmap掃描了一下這個服務器，果然有發現，很多端口開放，80,81,8080,等端口都存在web應用，基本都是登陸界面：

login

login

8080端口是tomcat的歡迎界面後台就不貼圖了。這些後台基本都廢棄了，無法從這些登錄界面直接登錄：

報錯

因為學校用了統一的認證機制，所以一般都是通過統一認證機制登錄的。 然後nmap掃描了一下服務器，發現該服務器的3389端口還存在MS12-020漏洞，但這個漏洞主要用於攻擊對方服務器的，所以對測試沒啥幫助，所以就沒抓着這個試了（主要也有可能是nmap誤報，所以暫時放棄這個點）。 那麼又得重頭來，看看其他地方的。之後再新版網站的首頁上得到一個後台登錄界面，我以學生的身份登進去的：

入口

此處很坑，因為你不填上手機號和郵箱，下面的六個功能就全都是灰的了，我偶然填了一下才發現前三個功能才都被激活。那麼就可以繼續試試看了。三個功能對應的也是三個不同的功能的學生後台，但是有一個比較特殊，點擊後訪問的過程中有一個很緩慢的跳轉！就是因為注意到了這個跳轉的結構，才發現了漏洞，跳轉鏈接：

$ http://xxx.xxx.xxx.xxx:8080/gxwssb/Guodu.html?Userid=xxxxxx&iCypt=7D1EBB15DF4DE17796A61B5FB590119A&iStamp=2018-04-21T16:38:46&LoginUrl=http://192.168.100.49:8080/HuNanSJZX/&Name=z4PhNX7vuL3xVChQ1m2AB9Yg5AULVxXcg/SpIdNs6c5H0NE8XYXysP+DGNKHfuwvY7kxvUdBeoGlODJ6+SfaPg==  

第二處的xxxx是我的學號，這個帶學號的跳轉看看url中了沒有什麼參數的驗證，於是我嘗試了換成其他同學的學號，成功登陸！但是這個系統學生時沒有什麼權限的，只有教師或者管理員的才有權限，但是礙於教師的工資號都是機密，無從測試，不過這時候 隊友的一個神助攻成功破解：

這是學校的一個註冊頁面，可以從圖中看到教師的工資號的位數，那就試試看，果然嘗試xxxxxxxxx（幾位我就不暴露了）成功登陸，是老師的賬號，但是已經退休了權限不是很高，但是可以查詢教工號信息以及查詢改教師執導的學生以及助教的身份證號，銀行卡號等私人信息，又試了一個，這是一個在職教師,，有發放獎金，補助等權限：

後台

然後試了試按工資號可以遍歷基本所有的教師的賬號成功登陸。因為系統正在使用所以就沒有做其他測試了，怕影響到系統的正常使用。回頭研究一下這個訪問的跳轉url:

$ http://xxx.xxx.xxx.xxx:8080/gxwssb/Guodu.html?Userid=xxxxxx&iCypt=7D1EBB15DF4DE17796A61B5FB590119A&iStamp=2018-04-21T16:38:46&LoginUrl=http://192.168.100.49:8080/HuNanSJZX/&Name=z4PhNX7vuL3xVChQ1m2AB9Yg5AULVxXcg/SpIdNs6c5H0NE8XYXysP+DGNKHfuwvY7kxvUdBeoGlODJ6+SfaPg==  

看到這個url發現這要分為兩個部分，一個是登陸的過渡部分：

$ http://xxx.xxx.xxx.xxx:8080/gxwssb/Guodu.html?Userid=xxxxxx&iCypt=7D1EBB15DF4DE17796A61B5FB590119A&iStamp=2018-04-21T16:38:46&LoginUrl=  

這一部分，可以看到，四個參數，一個是userid就是對應學生號和工資號，一個是icypt，一個是時間，另一部分是內網的認證

$ http://192.168.100.49:8080/HuNanSJZX/&Name=z4PhNX7vuL3xVChQ1m2AB9Yg5AULVxXcg/SpIdNs6c5H0NE8XYXysP+DGNKHfuwvY7kxvUdBeoGlODJ6+SfaPg==  

但是發現這四個參數其他三個不加，只用填寫userid就可以直接登陸對應用戶的管理系統。。。。簡直可怕

總結

這次的測試也沒有結束，因為還有很多可疑的地方可能存在突破，所以期待下次和大家分享。

更新

登陸後可查詢所有教師或學生銀行卡號身份證號等信息，上傳文件處可突破getshell，權限為Administrator，因為比較敏感，就不放圖了，但是內網沒有域，所以沒有做深入的測試，已和相關人員報備。