(原创)市教育局 web 渗透 — 市 OA 系统 [web 渗透实例][教育局网络安全][内网安全][内网渗透][oa 系统漏洞]
本次渗透是在取得教育局网络第三方厂商(即时讯立维公司)授权许可之后进行的渗透测试。漏洞报告已第一时间交给教育局及第三方厂商,并协助厂商完成修补,至文章发布时,文中漏洞已修复。本文仅选取漏洞报告部分内容公开,完整漏洞报告模板存放于社团群内部。
2. 免责申明
请使用者注意使用环境并遵守国家相关法律法规!
本文仅供学习与交流,请勿用本文提到的技术方法进行破坏行为,由于使用不当造成的后果,十三年社团不承担任何责任!
**
二、渗透测试过程
1. 信息搜集
1.1 目标范围确定
扫描教育局相关域名与 IP,重点关注以下目标:
域名:(学生评价 WEB 平台,默认 WEB 端口)、(教师 OA 平台)
IP:(对应)、(对应)
1.2 端口与服务信息
:开放 9090 端口,为教师 OA 平台登录入口,地址:http://pj.klmyedu.cn:9090/klmy_pingjia/login.action
教育局网络设备:发现山石网科防火墙远程管理端口,建议通过 IP 地址限制远程管理权限,降低暴露风险。
2. 漏洞扫描与验证
2.1 SQL 注入漏洞(教师 OA 登录口)
漏洞验证:通过 sqlmap 测试,确认存在 SQL 注入,可读取 WEB 数据库信息:
关键信息:
Web 应用技术:JSP
后端数据库:Microsoft SQL Server 2005
测试终止说明:因临近期末,教师需频繁使用该平台,服务器性能无法承载持续注入测试,为减少对用户应用的影响,验证漏洞后停止进一步渗透。
2.2 Apache Tomcat 示例目录漏洞(/examples)
漏洞原理:Apache Tomcat 默认安装的/examples目录包含 Session 操纵样例(/examples/servlets/servlet/SessionExample),Session 全局通用,攻击者可通过操纵 Session 获取管理员权限。
2.3 Apache Struts2 远程代码执行漏洞(ST2 漏洞)
漏洞位置:同教师 OA 登录口(http://pj.klmyedu.cn:9090/klmy_pingjia/login.action)
漏洞利用:使用 ST2 漏洞利用工具(社团工具地址:),获取服务器敏感信息:
网站物理路径:D:\vcm\pingjia\tomcat5\webapps\klmy_pingjia
系统环境:Windows 2003(x86),Java 1.5.0_18,JDK 路径D:\vcm\pingjia\jdk1.5.0_18\jre
权限:SYSTEM权限(最高系统权限)
其他信息:Java 类路径、库路径等完整环境配置
工具优势:支持列出服务器目录,解决 JSP 木马上传后跳转登录口的问题 —— 直接将 Shell 传到网站根目录,可正常连接。
3. 漏洞利用与服务器提权
3.1 上传大马与权限绕过
上传社团专用 JSP 大马(下载地址:https://www.klmyssn.club/dama/ssn-jsp.zip),服务器虽安装 360 主动防御、安全狗、瑞星杀毒(教育局专版),但未对大马上传与执行造成拦截。
提权思路:参考社团历史文章(https://www.klmyssn.com/?post=62),上传getpass.exe工具,在大马中执行命令读取服务器账号密码。
3.2 弱口令发现
读取密码后,发现管理员账号(administrator)使用弱口令,且后续教育局内网渗透中发现 80% 服务器均使用该类弱口令,存在严重安全隐患。
三、渗透测试结果
1. 成功提权的服务器
| 服务器类型 | 型号 | 内网 IP | 关键信息 |
|---|---|---|---|
| OA 办公系统后台服务器 | HP proliant DL580 | 172.16.1.X | 承载 VCM 评价 WEB 平台,SYSTEM权限控制 |
| 数据库群集服务器 | HP proliant DL583 | 172.16.1.X | 存储全市中小学生身份证数据(评价系统登录账号),数据泄露风险极高 |
| 科大讯飞跳板服务器(意外) | HP proliant DL581 | 172.16.1.X | 可作为内网进一步渗透的跳板节点 |
2. 漏洞危害
ST2 漏洞直接导致 OA 服务器被提权,进而可实现教育局内网服务器 “漫游”,泄露全市中小学生及教师的身份证等敏感信息:
历史入侵痕迹:在服务器 D 盘根目录发现前人遗留的 WebShell 与木马,但服务器安全软件(360、安全狗、瑞星)未检测拦截,安全防护形同虚设:
四、后续与说明
完整渗透测试报告已上传至社团群,社员可下载学习;
此次渗透为合法授权测试
附:社长被教育局招安的聘书(证明渗透合法性):
![(原创) 校园卡破解系列之内网渗透提权校园卡服务器 [内网渗透][服务器提权][渗透内网]](https://www.klmyssn.com/zb_users/upload/201612/b6c31481644334.png)
