’‘’
版权tanee
转发交流请备注
漏洞已经提交学校管理员
关键过程的截图和脚本代码已经略去。希望大家学习技术和思路就好，切勿进行违法犯罪的活动。本实战案例仅作为技术分享，切勿在未经许可的任何公网站点实战。
‘’‘

昨天有个朋友问我能不能拿一个学校的站。
我说学校的一般做的挺好的，都是外包，加了waf，安全狗，360之类的。
他坚持让我试试，他说卡了很久没拿下。
想着在家也无事做就去试试玩。
首先用了动态代理，怕有抓IP的脚本检测。
然后点看了学校的官网。
界面做的不错，还有一些小的渲染动画。
然后在页面找到了搜索栏，输了一个 ‘ 没有报错，一看就是过滤不严。

只是提示了结构中没有这个模板

然后随便在主页上点开了一个页面

发现了可注入的地方，尝试
’ 页面是空白

And 1=1
And 1=2
都是同上，sqlmap扫描了一下，发现拿不到库。

在搜索栏试了一下XSS跨站脚本，几个弹窗口，嵌入页面。都是未果。
最后，把脚本用base和url编码了也不行。

正准备放弃的时候，发现主页下方有几个模块。其中有个是查询成绩的，就点进去试试看。

惊了，发现了很low的登陆页面。

随便点了学生登陆

惊了，发现居然没有验证码。省了个脚本。

然而看下说明，居然把学号格式都说清楚了。。害
下面还有要用IE也是醉了。
接着用python生成了一个1-9999号的学号序列。

然后打开burp，先把上游代理配置好，我把动态IP的本地端口设在1235，burp上游设置好，设置截断代理。截断代理设置1234，把chrome的代理也设置好。

好了以后，截断打开
对了，这里的burp最好用pro版。因为要用我们自己做的学号字典爆破。

好了，打开了截断，提交一下页面的表单

学号输入123
密码1234
到burp抓包

发现提交的参数中还有个ip的参数，还有来自（laizi） 接了一串编码的字符，果断改掉
输了一个日本的ip
不过我们有动态ip也不怕检测其实，但是为了安全性和后期做跳板后门还是把它本地的改掉
好了以后放到intruder

这里把密码设置成123456感觉会有更多人使用
接着把username 设为载荷变量

把线程调制15，太高怕对方有流量检测

接着把字典导入。

开始爆破，到1000号左右的时候抓了到2个，我没等它继续跑了。两个够用了，

接着用学号和密码进入系统

发现有上传照片，于是把php写的小马祭出。
在上传页面发现有格式检测。于是把php木马镶嵌到目标照片中上传抓包。

把包的格式改成了xxx.jpg.php上传，结果弹出错误的图片格式，302.
接着我又试了其他方法感觉效果并不好，又因为后面提示需要管理员审核，所以放弃了这条思路。（后来使用内嵌脚本成功了。

然后同样的方法进入了教职工的后台，发现有上传成绩资料之类的信息。于是，果断上马。
小马加大马，成功上传。

接着在成功上传的页面又抓了个包，找到了文件的上传路径，（就叫upload…好吧
用菜刀一连接就进了，打开后台管理，上了提权脚本和后门程序。

接着关掉菜刀，直接进后台了。

后台界面可以改学生照片，更新学籍信息，还有成绩和等级评分还有大量隐私信息。感觉这管理员太不负责了吧。

整个过程耗时10分钟不到，关键过程的截图已经略去。希望大家学习技术和思路就好，切勿进行违法犯罪的活动。本实战案例仅作为技术分享，切勿在未经许可的任何公网站点实战。
本人水平有限，希望前辈指正。