安全矩阵

 找回密码
 立即注册
搜索
查看: 2320|回复: 0

记一次校园内网的edusrc漏洞挖掘

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-4-11 08:22:52 | 显示全部楼层 |阅读模式

记一次校园内网的edusrc漏洞挖掘
鼹鼠Yanshu HACK之道 2022-04-11 08:00
作者:鼹鼠Yanshu(先知社区)
原文地址:https://xz.aliyun.com/t/11074

以下提及的漏洞都提交到 edusrc平台进行修复
webvpn 突破

受到 en0th师傅文章 启发,对学校 webvpn 进行了一次src漏洞挖掘测试


账号为学号,密码规则 在web页面也给出来了,搜索开源信息,能搜索到学号和对应的人名

内网资产
进入内网系统后,发现点击相应的链接可以访问相应的内网资源

对相应的内网域名及ip访问 会经过webvpn加密后再次拼接,如果想获取更多内网资源,就必须知道ip和域名的加密规则
  1. https://webvpn.xxxx.edu.cn
  2. /http/77726476706e69737468656265737421a1a013d2756326012
  3. c5ac7f8ca/
复制代码

通过页面源码的关键字 搜索,发现了 公开的webvpn 的url加解密流程,经过测试发现key和iv都是默认的

  1. //安装aes-js库
  2. npm install aes-js

  3. //引入库,从cmd终端输入读取weburl来进行加密
  4. const weburl = process.argv.slice(2)[0];
  5. var aesjs = require('aes-js');

  6. //加密代码,然后输出
  7. console.log(encrypt(weburl,wrdvpnIV,wrdvpnKey));
复制代码
调用nodejs来运行 加密脚本,获取到url拼接内容

用python 编写脚本 ,调用 os.popen() 读取控制台加密的url,对webvpn界面显示的210.xxx 、121.xxxx 等网段进行一次扫描, request 发包可以对内网存在的web资源进行一次扫描
  1. import os

  2. cmd = 'node wrdvpn.js ' + url
  3. pipeline = os.popen(cmd)
  4. result = pipeline.read().strip()
  5. print(result)
复制代码



除此之外,webvpn 还可以拼接端口和协议,类似规则为 /http-xxx/ /https-xxxx/

漏洞挖掘
扫描得到了很多内网的资产

简单查看其中一些资产,发现了一个科研管理系统的资产,发现 网上都有公开的POC


存在Orcale SQL注入漏洞,但是 Sqlmap 无法进一步获取数据,漏洞危害比较小


未授权任意文件下载,无需登录,遍历id就可以对科研文件进行下载

还有很多校园内网资产,后面再慢慢看
参考链接:
https://xz.aliyun.com/t/11007
https://blog.csdn.net/lijiext/article/details/110931285

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 02:53 , Processed in 0.013529 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表