当前位置:首页 > 未分类 > 正文内容

(原创)市教育局 web 渗透 — 市 OA 系统 [web 渗透实例][教育局网络安全][内网安全][内网渗透][oa 系统漏洞]

admin9年前 (2017-01-09)未分类384

一、渗透前置说明(授权与免责)

1. 授权声明

本次渗透是在取得教育局网络第三方厂商(即时讯立维公司)授权许可之后进行的渗透测试。漏洞报告已第一时间交给教育局及第三方厂商,并协助厂商完成修补,至文章发布时,文中漏洞已修复。本文仅选取漏洞报告部分内容公开,完整漏洞报告模板存放于社团群内部。

2. 免责申明

  • 请使用者注意使用环境并遵守国家相关法律法规!

  • 本文仅供学习与交流,请勿用本文提到的技术方法进行破坏行为,由于使用不当造成的后果,十三年社团不承担任何责任!

**

二、渗透测试过程

1. 信息搜集

1.1 目标范围确定

扫描教育局相关域名与 IP,重点关注以下目标:

1.2 端口与服务信息

  • 教育局网络设备:发现山石网科防火墙远程管理端口,建议通过 IP 地址限制远程管理权限,降低暴露风险。

2. 漏洞扫描与验证

2.1 SQL 注入漏洞(教师 OA 登录口)

  • 漏洞验证:通过 sqlmap 测试,确认存在 SQL 注入,可读取 WEB 数据库信息:

  • 关键信息

    • Web 应用技术:JSP

    • 后端数据库:Microsoft SQL Server 2005

  • 测试终止说明:因临近期末,教师需频繁使用该平台,服务器性能无法承载持续注入测试,为减少对用户应用的影响,验证漏洞后停止进一步渗透。

2.2 Apache Tomcat 示例目录漏洞(/examples)

  • 漏洞原理:Apache Tomcat 默认安装的/examples目录包含 Session 操纵样例(/examples/servlets/servlet/SessionExample),Session 全局通用,攻击者可通过操纵 Session 获取管理员权限。

2.3 Apache Struts2 远程代码执行漏洞(ST2 漏洞)

    • 网站物理路径:D:\vcm\pingjia\tomcat5\webapps\klmy_pingjia

    • 系统环境:Windows 2003(x86),Java 1.5.0_18,JDK 路径D:\vcm\pingjia\jdk1.5.0_18\jre

    • 权限:SYSTEM权限(最高系统权限)

    • 其他信息:Java 类路径、库路径等完整环境配置

  • 工具优势:支持列出服务器目录,解决 JSP 木马上传后跳转登录口的问题 —— 直接将 Shell 传到网站根目录,可正常连接。

3. 漏洞利用与服务器提权

3.1 上传大马与权限绕过

  • 上传社团专用 JSP 大马(下载地址:https://www.klmyssn.club/dama/ssn-jsp.zip),服务器虽安装 360 主动防御、安全狗、瑞星杀毒(教育局专版),但未对大马上传与执行造成拦截。

  • 提权思路:参考社团历史文章(https://www.klmyssn.com/?post=62),上传getpass.exe工具,在大马中执行命令读取服务器账号密码。

3.2 弱口令发现

读取密码后,发现管理员账号(administrator)使用弱口令,且后续教育局内网渗透中发现 80% 服务器均使用该类弱口令,存在严重安全隐患。

三、渗透测试结果

1. 成功提权的服务器


服务器类型型号内网 IP关键信息
OA 办公系统后台服务器HP proliant DL580172.16.1.X承载 VCM 评价 WEB 平台,SYSTEM权限控制
数据库群集服务器HP proliant DL583172.16.1.X存储全市中小学生身份证数据(评价系统登录账号),数据泄露风险极高
科大讯飞跳板服务器(意外)HP proliant DL581172.16.1.X可作为内网进一步渗透的跳板节点


2. 漏洞危害

  • ST2 漏洞直接导致 OA 服务器被提权,进而可实现教育局内网服务器 “漫游”,泄露全市中小学生及教师的身份证等敏感信息:

  • 历史入侵痕迹:在服务器 D 盘根目录发现前人遗留的 WebShell 与木马,但服务器安全软件(360、安全狗、瑞星)未检测拦截,安全防护形同虚设:

四、后续与说明

  1. 完整渗透测试报告已上传至社团群,社员可下载学习;

  2. 此次渗透为合法授权测试,请勿未经授权使用文中技术;

  3. 附:社长被教育局招安的聘书(证明渗透合法性):



扫描二维码推送至手机访问。

版权声明:本文由克拉玛依三十年社团发布,如需转载请注明出处。

本文链接:https://www.klmyssn.com/?id=21

分享给朋友:
返回列表

上一篇:(原创)web 渗透实例之克市教育局内网渗透 — 市十六小

下一篇:(原创)Powershell And Metasploit (上)

“(原创)市教育局 web 渗透 — 市 OA 系统 [web 渗透实例][教育局网络安全][内网安全][内网渗透][oa 系统漏洞]” 的相关文章

(原创)求人不如求己 -- 剪辑音乐就是这么简单 [如何剪辑音乐]

(原创)求人不如求己 -- 剪辑音乐就是这么简单 [如何剪辑音乐]

每每到了学校有活动,需要播放歌曲时,QQ 就多几个好友,消息又 99+,不消问什么事情,就知道是找我剪辑歌曲的同学了。怎么说,我这人对别人提出的需求,都尽力去帮助的,在剪辑音乐这事情上,从没拒绝过,但年复一年,每次剪辑音乐其实很简单,但是量多,就比较影响自己时间了,我又不会拒绝别人,很是尴尬,所以在...

小讲堂心得

小讲堂心得

参加小讲堂活动,是受邀两位学习部的同学十分热情的邀请,为同学们讲讲网络安全方面的知识。我感到十分荣幸,但又有些许担忧,怕讲不好,因为网络安全这个学科涉及的知识面十分宽泛,网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理...

(原创)还在用软件翻墙?看我几秒搞定!

首先说下原理,修改设备 hosts 文件信息,将各大国外网站域名直接指向服务器 ip,绕过国家的 GFW 防火墙,从而可以访问 Google、Facebook、ebay、YouTube、Yahoo、、、太多还是不打了,自己测试-------------------------------------...

(原创) 校园卡破解系列之数据修改 [pm3 破解饭卡][pm3 修改数据][校园卡修改][IC 卡修改数据]

(原创) 校园卡破解系列之数据修改 [pm3 破解饭卡][pm3 修改数据][校园卡修改][IC 卡修改数据]

(二)吃不完的饭卡提升完 IC 卡权限,就该考虑能不能修改饭卡金额了。通过两次消费前后饭卡数据的对比分析,发现虽然卡片数据包含较多扇区和区块,但消费前后变化的地方仅涉及两个扇区,这为后续分析提供了便利。通过十六进制与十进制转换,可进一步拆解变化的数据:消费后金额:373.2(数字:37320;16...

(原创)Powershell And Metasploit (上)

(原创)Powershell And Metasploit (上)

00x01 #题外话作者: 墨 (X_Al3r)即刻安全:www.secist.com十三年社团:www.klmyssn.com一篇不知道该用什么名字的文章!00x02 #什么是 PowershellPowerShell 一般指 Windows Power ShellPowershell 是 Mic...

Copyright 克拉玛依三十年社团 Rights Reserved.

Powered By Z-BlogPHP. Theme by TOYEAN.