当前位置:首页 > 未分类 > 正文内容

(原创)市教育局 web 渗透 — 市 OA 系统 [web 渗透实例][教育局网络安全][内网安全][内网渗透][oa 系统漏洞]

admin10年前 (2017-01-09)未分类781

一、渗透前置说明(授权与免责)

1. 授权声明

本次渗透是在取得教育局网络第三方厂商(即时讯立维公司)授权许可之后进行的渗透测试。漏洞报告已第一时间交给教育局及第三方厂商,并协助厂商完成修补,至文章发布时,文中漏洞已修复。本文仅选取漏洞报告部分内容公开,完整漏洞报告模板存放于社团群内部。

2. 免责申明

  • 请使用者注意使用环境并遵守国家相关法律法规!

  • 本文仅供学习与交流,请勿用本文提到的技术方法进行破坏行为,由于使用不当造成的后果,十三年社团不承担任何责任!

**

二、渗透测试过程

1. 信息搜集

1.1 目标范围确定

扫描教育局相关域名与 IP,重点关注以下目标:

1.2 端口与服务信息

  • 教育局网络设备:发现山石网科防火墙远程管理端口,建议通过 IP 地址限制远程管理权限,降低暴露风险。

2. 漏洞扫描与验证

2.1 SQL 注入漏洞(教师 OA 登录口)

  • 漏洞验证:通过 sqlmap 测试,确认存在 SQL 注入,可读取 WEB 数据库信息:

  • 关键信息

    • Web 应用技术:JSP

    • 后端数据库:Microsoft SQL Server 2005

  • 测试终止说明:因临近期末,教师需频繁使用该平台,服务器性能无法承载持续注入测试,为减少对用户应用的影响,验证漏洞后停止进一步渗透。

2.2 Apache Tomcat 示例目录漏洞(/examples)

  • 漏洞原理:Apache Tomcat 默认安装的/examples目录包含 Session 操纵样例(/examples/servlets/servlet/SessionExample),Session 全局通用,攻击者可通过操纵 Session 获取管理员权限。

2.3 Apache Struts2 远程代码执行漏洞(ST2 漏洞)

    • 网站物理路径:D:\vcm\pingjia\tomcat5\webapps\klmy_pingjia

    • 系统环境:Windows 2003(x86),Java 1.5.0_18,JDK 路径D:\vcm\pingjia\jdk1.5.0_18\jre

    • 权限:SYSTEM权限(最高系统权限)

    • 其他信息:Java 类路径、库路径等完整环境配置

  • 工具优势:支持列出服务器目录,解决 JSP 木马上传后跳转登录口的问题 —— 直接将 Shell 传到网站根目录,可正常连接。

3. 漏洞利用与服务器提权

3.1 上传大马与权限绕过

  • 上传社团专用 JSP 大马(下载地址:https://www.klmyssn.club/dama/ssn-jsp.zip),服务器虽安装 360 主动防御、安全狗、瑞星杀毒(教育局专版),但未对大马上传与执行造成拦截。

  • 提权思路:参考社团历史文章(https://www.klmyssn.com/?post=62),上传getpass.exe工具,在大马中执行命令读取服务器账号密码。

3.2 弱口令发现

读取密码后,发现管理员账号(administrator)使用弱口令,且后续教育局内网渗透中发现 80% 服务器均使用该类弱口令,存在严重安全隐患。

三、渗透测试结果

1. 成功提权的服务器


服务器类型型号内网 IP关键信息
OA 办公系统后台服务器HP proliant DL580172.16.1.X承载 VCM 评价 WEB 平台,SYSTEM权限控制
数据库群集服务器HP proliant DL583172.16.1.X存储全市中小学生身份证数据(评价系统登录账号),数据泄露风险极高
科大讯飞跳板服务器(意外)HP proliant DL581172.16.1.X可作为内网进一步渗透的跳板节点


2. 漏洞危害

  • ST2 漏洞直接导致 OA 服务器被提权,进而可实现教育局内网服务器 “漫游”,泄露全市中小学生及教师的身份证等敏感信息:

  • 历史入侵痕迹:在服务器 D 盘根目录发现前人遗留的 WebShell 与木马,但服务器安全软件(360、安全狗、瑞星)未检测拦截,安全防护形同虚设:

四、后续与说明

  1. 完整渗透测试报告已上传至社团群,社员可下载学习;

  2. 此次渗透为合法授权测试,请勿未经授权使用文中技术;

  3. 附:社长被教育局招安的聘书(证明渗透合法性):



扫描二维码推送至手机访问。

版权声明:本文由克拉玛依十三年年社团发布,如需转载请注明出处。

本文链接:https://www.klmyssn.com/?id=21

分享给朋友:

“(原创)市教育局 web 渗透 — 市 OA 系统 [web 渗透实例][教育局网络安全][内网安全][内网渗透][oa 系统漏洞]” 的相关文章

(转载) 告诉你被盗的 iPhone 是如何一步步被黑客解锁的 [解锁 iPhone]

(转载) 告诉你被盗的 iPhone 是如何一步步被黑客解锁的 [解锁 iPhone]

写在前面的话iPhone 到底安不安全?这个梗已经讨论了很久了。而我今天要告诉大家的是,就算你的 iPhone 6s 设置了六位数字密码,并且还有 touch ID 的保护,黑客同样能够解锁你的手机。故事背景就在三天之前,有一名用户告诉我们他的 iPhone 6s 被偷了。就在他的手机被盗之后不久,...

(原创)sqlmap 注入初级教程 [sqlmap][sqlmap 指令][sqlmap 怎么用]

(原创)sqlmap 注入初级教程 [sqlmap][sqlmap 指令][sqlmap 怎么用]

一、熟悉 sqlmap 之路:核心注入场景与方法1. Sqlmap 之 Post 注入Post 注入适用于表单提交(如登录页、数据提交页)等场景,核心是通过抓取 Post 请求数据进行注入测试,以下为 4 种常用方法:方法一:基于请求文件(-r 参数)# 基础用法(请求文件与sqlmap同目录)sq...

(原创)Powershell And Metasploit (上)

(原创)Powershell And Metasploit (上)

00x01 #题外话作者: 墨 (X_Al3r)即刻安全:www.secist.com十三年社团:www.klmyssn.com一篇不知道该用什么名字的文章!00x02 #什么是 PowershellPowerShell 一般指 Windows Power ShellPowershell 是 Mic...

2017_最新过狗一句话编写_附成品 [过狗一句话][过安全狗 bypass]

2017_最新过狗一句话编写_附成品 [过狗一句话][过安全狗 bypass]

环境:php+mysql+apche安全狗:apache版本+8.10规则库即刻安全即刻安全纯技术交流群:307283889如需转载,请联系本博主声明,私自转载必追究Prat 1:思路构思以及实现在 bypass 小分队中 V@1n3R 表哥提到他明天会分享过 waf 的一句话。爱搞事的我当然不能只...

(原创)一句话、一个公交车泄露你的家庭地址

(原创)一句话、一个公交车泄露你的家庭地址

(本文章是给初学社工的人教个思路(社工帝请绕道!!!),若要真的社工出所有详细信息还需要结合别的办法)看到标题估计会以为我是标题党,其实这是真实案例,具体过程如下:原本想社工一位妹子,但未添加她的 QQ(微信),无从下手,只能等待机会。某天偶然听到她说:“那天......(无关内容),我在十三楼都快...

(转载)双 11 为技术宅们奉上 PentestBox 的更新升级 [PentestBox 如何更新]

(转载)双 11 为技术宅们奉上 PentestBox 的更新升级 [PentestBox 如何更新]

一、PentestBox 简介Pentest Box(渗透测试盒子)是一款 Windows 平台下预配置的便携式开源渗透测试环境,也是著名黑客 Kapustkiy 常用工具之一。它集成了大量 Linux 平台的渗透测试工具(包括 Kali Linux 常用工具),可在 Windows 系统中原生运行...