(连载)校园渗透第一弹-校园网

好久没看博客了,最近好像情绪不太稳定,关于安全方面也懒得折腾,就想到了写一下自从进入这所学校干的好(huai)事,同时回忆一下思路,毕竟之前答应过自己要定期写一些技术文章,有利于自己的提高。因为有些细节已经有一段时间了,可能没办法完全还原真实的情况,就将就着吧。
首先写的是关于校园网,为什么呢?在职校的时候给这所高校预录取了后,我就开始了解这所学校的网路,一切都先从上网开始,目标就是免费上网吧。当时从师兄们那里了解到的只有这些:
1、网速分好几档,网速不同,每月的资费不同
2、学校用inode客户端拨号认证,之后还有电信的web验证
3、inode学号认证之后可以访问学校内网,而电信的web验证需要购买服务才可以访问外网

情况就是这么个情况,那么思路就来了,inode认证完可以访问学校内网所有服务器,也就是说只要拿下其中一台服务器作跳板便可以访问外网了。说干就干
在学校主站C段逛了一圈,收集了一些信息。
首先从主站入手吧,主站除了展示性页面外,学校的OA系统也在主站上,除此之外找不到其他后台。
习惯性试试前台注入,单引号测试之
1

 

前台各种过滤,只能把目标转向OA系统,于是翻到了这个

2

第一眼看到一堆代码的时候异常兴奋,感觉应该能从这里找到一些敏感信息,仔细一看发现原来只是个展示性页面。顺手单引号测试之

3

报错了,没有任何过滤,深入注入之,这里因为漏洞已经提交并修复,无法还原过程,拿到数据库表如下

4

跑出来帐号密码

5

直接取其首级administrator登陆之

6

 然而这并没有什么卵用,现实总是残酷的,在里面逛了许久却没有发现任何可以利用的东西,只好装装逼了。

7

好吧,主站这样的话看来是没啥好搞的了,只好看看C段了,来到人事站发现存在注入,在人事站折腾了一段时间拿到了管理的帐号密码可是发现找不到后台,怀疑给管理删了,后面证实确实是给删了,而且目前人事站无法更新无法打开,就不累赘了。继续找其他目标,来到教务处网站

8

还是单引号测试注入,嗯,参数类型进行了限制,只能为数字类型。继续深入,发现好几个地方都没有进行过滤

9

10

 

手工注入之取得admin

11

ewebeditor2.8,但是管理员做了防护,各种利用无果

12

发现另一处上传点,不过对文件类型进行了过滤,上传截断改成.asa,上传成功

13

嗯,目录没有执行权限,再回来看看上传点

14

改为根目录再次上传成功取得WEBSHELL一枚

15

 

旁站挺多的哈,容我喝一杯82年的雪碧压压惊

1

但是目的并没有达到,接着提权吧,2k服务器,360套装,权限比较死,各种exp尝试无果,就放了一段时间

直到快要开学的时候又拿出来继续看,惊喜地发现学校服务器竟然更新了,换了03的,不过360还在,不过权限大了挺多,果断Kill360,紧接着

net user admin$ admin123 /add & net localgroup administrators admin$ /add

成功添加用户,但是服务器在内网,3389无法连接,于是继续翻了翻,发现服务器装了RemotelyAnywhere,于是乎netstat

16

 

两个监听端口都试了一下,8099应该是指向一个分站的,而9911呢

17

 

然而如果在内网的话便可以直接3389了

18

好的,到这里便成功拿下一台服务器了。接着要在服务器上搭代理服务器,这里用到一款非常不错的代理服务器软件CCProxy,找了个隐蔽的地方,简单配置一下

19

20

 

21

服务器配置到这里就OK了,接着在自己的机子装个socks5客户端,这里用proxifier

22

23

这样就OK了

24

25

之后本地所有网络请求都会用socks5协议经过服务器再转发到外网,实现免费上网,学校每台服务器最高速度能达到20M,基本可以满足各种需求啦!

最后,文中涉及到的漏洞都已经提交学校信息中心,拒绝查水表!