(连载)校园渗透第二弹-校园一卡通

坐在电脑前捧着手机却又不知道该做些什么,继上一篇拿下学校教务处网站服务器做跳板实现免费上网后,这次来个校园一卡通的吧!为什么要弄一卡通呢,万事皆有因果,起因就是老师讲课真的太无聊了,导致我在学校的官网神游,看到了“校园卡服务”,便开始走上了这条不归路。
收集了一下信息,校园卡服务是用来给学生及教师提供查询,挂失等服务的,只有内网用户可以访问,看了下C段,一共有2台服务器80端口开放的,站点一模一样,不知道管理员是怎么想的。不过在拿下服务器后管理员好像发现了什么,现在其中一台服务器已经关闭了。既然可以查询卡余额,那么可以知道校园卡余额信息是联网的。那么如果如果拿下数据库并且卡内没有存储余额信息的话。。。

1

网站程序是哈尔冰新某新的系统,先来试一下管理员的弱口令

2

然而系统管理员只能查看一些拾获卡信息和持卡人流水

3

看来管理员账户并没有什么作用,尝试搜索框注入失败

5

于是接着各种找,发现这款系统是存在上传漏洞的,GET之

6

没有提交按钮,F12召唤审查元素,添加提交按钮

7

并没有进行文件类型的过滤,GET webshell一枚

8
不得不说一下,jsp的程序大多数都没有进行文件过滤。。并且jsp程序都是系统权限,既然权限那么大,何不顺手拿下服务器尼?于是乎
net user nobody adminnobody123 /add & net localgroup administrators nobody /add

9

10

8核服务器,But,it shut my JJ thing?  毕竟我要的不是服务器,服务器之前都已经拿下有了。

不过这个中行批扣程序好像有点危险,还是不去看它了,拒绝查水表!!!

回到主题,要的是数据库,既然是站库分离,那么看看程序配置文件有木有数据库的敏感信息呢?

然而只找到了这个

11

我天真的以为这就是数据库的连接信息,却发现现实总是那么残酷啊啊啊

除此之外竟然没有发现任何有关数据库的信息,由于对jsp程序没有研究过,猜想数据库的连接信息应该是写在源码已经编译成二进制文件了,这个有待以后证实。

到这里思路又断了,只好继续神游。。。

12

最后竟然在服务器中发现管理员蜀黍为了方便写的自动备份程序,备份的时候需要连接数据库,然而数据库信息就在里面了。

果断连接之

13

oracle数据库,获取数据库表名

select * from user_tab_comments order by Table_Name

14

没错了,就是你,获取字段名

select * from user_tab_columns where Table_Name=’ACCOUNT’ order by column_name

15

各字段存储什么信息自己翻译一下就知道了,其中SNO为学生学号,那么来查询一下数据库,随便编一个学号

select * from account where SNO = ’13********’

16

17

数据库结构弄清楚了,目标当然是加钱啦,于是乎我屁颠屁颠地跑去自助终端充了1元钱,跑回来updata 交易记录及可用余额把1元的记录改成了200,只是测试,不敢改多…然后登录网站查询余额,多了200没错,这里情况不方便还原,只好简单阐述一下。

另附一张图

18

紧接着屁颠屁颠地跑到POS终端去查询余额,发现卡读不了了。到这里就可以确定卡内的确有存储余额信息了,但是卡坏了怎么办捏,想着入手一个Proxmark3研究一下这个卡,但毕竟要好几百大洋,就这样拖了几天。然而就在那周的周五便接到学校通知让去校园卡服务中心喝茶,我硬着头皮去找校园卡服务中心的工作人员,工作人员跟我说:同学,我们发现你的卡有问题,刷不了,请把你的卡放在这里,下周过来拿。就这样我一个周末都没有过好,到了周一怀着不安的心情去取卡,工作人员告诉我:你之前充了200块钱,但是卡内信息没写入成功,现在已经帮你弄好了。我拿着卡快速离开后查询发现200块到账啦。就这样,我愉快地吃了一个星期的免费午餐。

你以为故事到这里就结束了?那你就大错特错了。憋说话,我想静静

1

就在第二个星期,我发现我的卡又用不了了,又屁颠屁颠跑到校园卡服务中心去,这是是另一个工作人员,接过我卡查询了一下,跟我说:同学,你这个卡没有问题,只是我们人工对账的时候发现之前有一次充值1元不知道是系统原因还是其他原因导致入账200,现在我们扣掉多入账的钱导致余额是负的,你只需要把钱冲回去就可以正常使用了。

我QNMLGB,竟然还有人工对账,害我白折腾那么久。。。不过幸好木有引起怀疑,不然也是个记过处分吧!!剧终。。。

文中涉及漏洞皆已提交学校信息研究中心,拒收快递,谢绝查水表!

下篇预告:(连载)校园渗透第三弹-教务系统

什么?改成绩?没错,就是那么任性