记一次攻击实录

记一次攻击实录-part2

Posted by hmoytx on November 30, 2019

记一次攻击实录(2)

前言

通过一系列的操作,拿下了一堆相对有利用价值的机器。
能源系统,监控系统,老oa服务器,教务系统,一卡通充值系统,财务系统,认证系统,老邮箱。 教务系统中的学生以及教师数据。
利用接口撞库,(密码是默认身份证后六位),撞到一堆学生帐号。
然后引用一个在学生中间比较喜欢讨论的问题作为诉求,进行下一步攻击,并借此收获更多不局限于设备相关的情报。

修改成绩可行性

这个只是作为探讨,模拟修改,实际并未修改,因为存在的风险极大。学生还是需要通过认真的学习复习去获得更高的分数,而不是通过这种方式进行取巧,纸终究是包不住火的。
对应学校使用的教务系统是目前其他高校使用较多的教务系统-正方。这里本身已经是拿下了教务系统服务器的,直接修改数据库当然是可行,但是这个系统数据库的表真的无力吐槽,太乱了。
191130_1
这里不考虑从教务系统数据库下手,尝试从业务下手,因为手上是有所有教师登陆教务的密码的(现在很多都是做了统一认证,通过OA登陆,这里的密码很多都是默认的)。所以尝试登陆一个看看。
191130_2
很遗憾,是需要课程密码才能进行成绩录入与修改,所以不要动歪心思了。这里为了继续深入,也是为了后面的长期把控,准备弄到对应的课程密码。

水坑攻击

首先碰到的问题,会不会在邮箱内有对应的课程密码呢?登陆其OA看看。
191130_3
那么换一个角度,这个课程密码是由谁下发?显然根据业务流程,应由教务处统一下发,再由对应学院的教务处下发给对应课程老师。那么问题来了,怎么获得对应教务老师的邮箱呢?我尝试了直接登陆,发现并不可行。
这时候我有两个选择,一:通过统一认证系统重置其密码,二通过社工手段获取其密码。显然前者不是首选,我选择了后者,但是没有很好的效果,暂时中断了。
不过在整理之前的爆破结果的过程中,发现了一台新OA的服务器,思路来了。
191130_4
看看能不能解密先。不过翻了一下,是走ldap的,密码也没办法解密,一下是搞不到教务老师的密码。
思路转一下,进行一次水坑攻击,我在该认证页面上植入了一个js,写了一个函数,在登录按钮按下的时候触发,将表单里的帐号密码参数拼接在链接上用get的方式去访问我的服务器。那边php文件负责将接受到的参数值写入到本地文件中。
191130_5
191130_6
测试了下有记录,开始等。
等了4天,鱼儿上钩。
191130_7
登陆查看,成了。
191130_8

后续

通过上面模拟的一次诉求,得到的不仅仅是上面的那么些东西。
事实上获得了大量教师oa账密,包括了运行中心的一系列账号,通过邮箱翻来翻去,后面拿到的就不用说了。
核心数据库之类的不是问题。