当前位置:首页 > 未分类 > 正文内容

(原创)市教育局 web 渗透 — 市 OA 系统 [web 渗透实例][教育局网络安全][内网安全][内网渗透][oa 系统漏洞]

admin9年前 (2017-01-09)未分类562

一、渗透前置说明(授权与免责)

1. 授权声明

本次渗透是在取得教育局网络第三方厂商(即时讯立维公司)授权许可之后进行的渗透测试。漏洞报告已第一时间交给教育局及第三方厂商,并协助厂商完成修补,至文章发布时,文中漏洞已修复。本文仅选取漏洞报告部分内容公开,完整漏洞报告模板存放于社团群内部。

2. 免责申明

  • 请使用者注意使用环境并遵守国家相关法律法规!

  • 本文仅供学习与交流,请勿用本文提到的技术方法进行破坏行为,由于使用不当造成的后果,十三年社团不承担任何责任!

**

二、渗透测试过程

1. 信息搜集

1.1 目标范围确定

扫描教育局相关域名与 IP,重点关注以下目标:

1.2 端口与服务信息

  • 教育局网络设备:发现山石网科防火墙远程管理端口,建议通过 IP 地址限制远程管理权限,降低暴露风险。

2. 漏洞扫描与验证

2.1 SQL 注入漏洞(教师 OA 登录口)

  • 漏洞验证:通过 sqlmap 测试,确认存在 SQL 注入,可读取 WEB 数据库信息:

  • 关键信息

    • Web 应用技术:JSP

    • 后端数据库:Microsoft SQL Server 2005

  • 测试终止说明:因临近期末,教师需频繁使用该平台,服务器性能无法承载持续注入测试,为减少对用户应用的影响,验证漏洞后停止进一步渗透。

2.2 Apache Tomcat 示例目录漏洞(/examples)

  • 漏洞原理:Apache Tomcat 默认安装的/examples目录包含 Session 操纵样例(/examples/servlets/servlet/SessionExample),Session 全局通用,攻击者可通过操纵 Session 获取管理员权限。

2.3 Apache Struts2 远程代码执行漏洞(ST2 漏洞)

    • 网站物理路径:D:\vcm\pingjia\tomcat5\webapps\klmy_pingjia

    • 系统环境:Windows 2003(x86),Java 1.5.0_18,JDK 路径D:\vcm\pingjia\jdk1.5.0_18\jre

    • 权限:SYSTEM权限(最高系统权限)

    • 其他信息:Java 类路径、库路径等完整环境配置

  • 工具优势:支持列出服务器目录,解决 JSP 木马上传后跳转登录口的问题 —— 直接将 Shell 传到网站根目录,可正常连接。

3. 漏洞利用与服务器提权

3.1 上传大马与权限绕过

  • 上传社团专用 JSP 大马(下载地址:https://www.klmyssn.club/dama/ssn-jsp.zip),服务器虽安装 360 主动防御、安全狗、瑞星杀毒(教育局专版),但未对大马上传与执行造成拦截。

  • 提权思路:参考社团历史文章(https://www.klmyssn.com/?post=62),上传getpass.exe工具,在大马中执行命令读取服务器账号密码。

3.2 弱口令发现

读取密码后,发现管理员账号(administrator)使用弱口令,且后续教育局内网渗透中发现 80% 服务器均使用该类弱口令,存在严重安全隐患。

三、渗透测试结果

1. 成功提权的服务器


服务器类型型号内网 IP关键信息
OA 办公系统后台服务器HP proliant DL580172.16.1.X承载 VCM 评价 WEB 平台,SYSTEM权限控制
数据库群集服务器HP proliant DL583172.16.1.X存储全市中小学生身份证数据(评价系统登录账号),数据泄露风险极高
科大讯飞跳板服务器(意外)HP proliant DL581172.16.1.X可作为内网进一步渗透的跳板节点


2. 漏洞危害

  • ST2 漏洞直接导致 OA 服务器被提权,进而可实现教育局内网服务器 “漫游”,泄露全市中小学生及教师的身份证等敏感信息:

  • 历史入侵痕迹:在服务器 D 盘根目录发现前人遗留的 WebShell 与木马,但服务器安全软件(360、安全狗、瑞星)未检测拦截,安全防护形同虚设:

四、后续与说明

  1. 完整渗透测试报告已上传至社团群,社员可下载学习;

  2. 此次渗透为合法授权测试,请勿未经授权使用文中技术;

  3. 附:社长被教育局招安的聘书(证明渗透合法性):



扫描二维码推送至手机访问。

版权声明:本文由克拉玛依三十年社团发布,如需转载请注明出处。

本文链接:https://www.klmyssn.com/?id=21

分享给朋友:
返回列表

上一篇:(原创)web 渗透实例之克市教育局内网渗透 — 市十六小

下一篇:(原创)Powershell And Metasploit (上)

“(原创)市教育局 web 渗透 — 市 OA 系统 [web 渗透实例][教育局网络安全][内网安全][内网渗透][oa 系统漏洞]” 的相关文章

(原创)一张图片,你的信息暴露无遗~

(原创)一张图片,你的信息暴露无遗~

大家好,我是 31,今天教给大家一个定位的小技巧,也没什么技术含量,看着玩就好啦~~~~昨天看到社团老大 “十三年” 在群里发照片 “装 13”,结果被我抓到了,哈哈哈哈,每个人都有大意之时。不多说,上图(居然发现手表不错,和我的一样帅~~~~~):**一、科普:什么是 Exif 数据?1. Exi...

(原创)求人不如求己 -- 剪辑音乐就是这么简单 [如何剪辑音乐]

(原创)求人不如求己 -- 剪辑音乐就是这么简单 [如何剪辑音乐]

每每到了学校有活动,需要播放歌曲时,QQ 就多几个好友,消息又 99+,不消问什么事情,就知道是找我剪辑歌曲的同学了。怎么说,我这人对别人提出的需求,都尽力去帮助的,在剪辑音乐这事情上,从没拒绝过,但年复一年,每次剪辑音乐其实很简单,但是量多,就比较影响自己时间了,我又不会拒绝别人,很是尴尬,所以在...

(原创)sqlmap 注入初级教程 [sqlmap][sqlmap 指令][sqlmap 怎么用]

(原创)sqlmap 注入初级教程 [sqlmap][sqlmap 指令][sqlmap 怎么用]

一、熟悉 sqlmap 之路:核心注入场景与方法1. Sqlmap 之 Post 注入Post 注入适用于表单提交(如登录页、数据提交页)等场景,核心是通过抓取 Post 请求数据进行注入测试,以下为 4 种常用方法:方法一:基于请求文件(-r 参数)# 基础用法(请求文件与sqlmap同目录)sq...

(原创)Powershell And Metasploit (上)

(原创)Powershell And Metasploit (上)

00x01 #题外话作者: 墨 (X_Al3r)即刻安全:www.secist.com十三年社团:www.klmyssn.com一篇不知道该用什么名字的文章!00x02 #什么是 PowershellPowerShell 一般指 Windows Power ShellPowershell 是 Mic...

利用 Wireshark 任意获取 QQ 好友 IP 实施精准定位

利用 Wireshark 任意获取 QQ 好友 IP 实施精准定位

虽然网上已经有了很多获取 IP 的 QQ 插件,但是其原理大致都是相同的,但是插件的安全性而言就不敢恭维了,下面介绍如何利用 Wireshark 获取好友 IP。一、选择本机网卡并启动 Wireshark 监听打开 Wireshark 软件,在界面中选择需要监听的本机网卡(根据网络连接方式选择,如无...

2017_最新过狗一句话编写_附成品 [过狗一句话][过安全狗 bypass]

2017_最新过狗一句话编写_附成品 [过狗一句话][过安全狗 bypass]

环境:php+mysql+apche安全狗:apache版本+8.10规则库即刻安全即刻安全纯技术交流群:307283889如需转载,请联系本博主声明,私自转载必追究Prat 1:思路构思以及实现在 bypass 小分队中 V@1n3R 表哥提到他明天会分享过 waf 的一句话。爱搞事的我当然不能只...

Copyright 克拉玛依三十年社团 Rights Reserved.

Powered By Z-BlogPHP. Theme by TOYEAN.