校园内网渗透笔录
校园内网渗透笔录
不是炒米线上一份丢了,趁重写的机会复习一下渗透知识。
FF TODO
- 获得稳定的跳板
- 入侵图书管理系统
删掉我的借书记录 - 拿下广播台,提升广播台择乐品味
00 初步探索
一开始从春晖同学那里借了一台处于教育内网的 Linux 主机,部署了 nps,安装了 Docker,拉起 Kali 镜像,准备工作就绪。
初步扫描发现我校主要设备集中于 10.180.168.0/24 网段,使用 Nmap 扫描发现三台 Windows XP 主机,其中 10.180.168.81 是唯一一台 32 位的,成功利用 ms17-010 拿下。探索得知,那台XP正是北食堂一楼金龙卡机器。
VNC 流量路径:
XP -> Linux(Docker) -> VPS(nps) -> 本地—— 慢得离谱,但成果喜人。
01 坐稳根基
距离攻破 XP 主机已有一年,期间未有动作,跳板失效。因此目标变为建立稳定的内网跳板,确保外网可随时访问。目标主机:仍为 10.180.168.81。
操作步骤:
- 潜入四楼空教室,部署
npc创建内网 Socks - 生成
Meterpreter,手动侵染一体机 - 利用该一体机作为跳板再次执行
ms17-010 - 成功爆破出
Administrator密码(其实是猜的) - 开启 RDP,部署
frpc 0.23.3(XP 可用的最新版本)
frp 服务映射:
| 服务 | 内网端口 | 外网端口 | 备注 |
|---|---|---|---|
| RDP | 3389 | ***** | 远程维护 |
| FTP | 10.180.168.3:80 | ***** | Serv-U FTP 网页端 |
| Socks | - | - | 探索使用 |
哦对了,这台机器FTP有一个登陆记录,拿星号查看器读到密码,嘿嘿,最高权限。
值得一提,金龙卡软件配置文件明文写了金龙卡数据库(10.180.168.12,应该)的密码,sa,2008 R2,不过有360。这实在不够稳妥,一环倒下,全链皆输。
02 我没借书
借书卡被同学借去借书,期末收拾东西书丢了。这下有事情干了。
图书管理系统地址:10.180.168.18,系统古老,新书查询接口存在 SQL 注入点,使用 sqlmap 很快盲注出后台用户名密码:
| 用户名 | 密码 |
|---|---|
| ch*n | 3**0 |
虽成功登入后台,但功能有限,仅提供查询和规章显示。但——规章可编辑,支持上传封面图!利用编辑器文件上传漏洞,改包头绕过后缀限制,成功上传一句话木马,连接上蚁剑。
虽然权限较小,但网页目录下留有数据库配置,成功获得 数据库 sa 权限,进行如下操作:
- 删除我卡号下的借书记录
- 清除当前借阅书目
- 删除该书入库记录
这电脑Buff叠满,win7,hp,又是360,又是电脑管家,怎么也提不了权。算了算了不搞了,反正书是还掉了:D
从此,图书管理员再也没找过我。
03 放点音乐
广播台播放内容一言难尽,决定提升品味。
手段其实很朴素 —— 社会工程学(bushi)。找同学要到了广播台机器的 ToDesk 密码:*#qp****29(埋个伏笔)。
进入系统后并未做太多破坏,仅部署了 frp,寒暑假时午休前远程控制放些音乐。大放假的谁给你放音乐?
小提示:家宽 IPv6 很适合跑 frp。
04 DLC:官网有坑?
闲逛学校官网 10.180.168.5,页面古旧,多个系统拼凑而成。不过看文章居然要登陆?
不过漏洞实在随手可得,甚至 用户名字段就存在 SQL 注入。
1 | sqlmap -u http://10.180.168.5/cnsyzx2009/djglxt/login.asp --batch --forms --crawl=2 --dbs |
注入请求样例:
1 | act=login&username=jMWR&password=PtHf&CookieDate=0&btnEnter.x=1&btnEnter.y=1 |
无回显,那就盲注,反正是把库扒光了:
1 | web server OS: Windows 7 / 2008 R2 |
关键数据展示(节选):
数据库:djglxt → admininfo
| 用户名 | 密码 |
|---|---|
| 阮其良 | qp****29 |
| 徐立辉 | dea****da |
| 王伟民 | 19****13 |
| sy****10 | sy****10 |
数据库:syzxxxkc → PE_Admin
| 用户名 | 密码(MD5) |
|---|---|
| 阮其良 | 9964******52b11c (qp****29) |
虞中OA系统,看样子是废弃许久了。数据库太大,扒个何桂仙的看看:
- 系统入口:http://10.180.168.5/cnsyzx2009/yzoa/HX_managemain.asp
- 用户名:何桂仙
- 密码:28****40
另外,新官网延用了旧后台,这里绝对有坑。
班主任再也不用担心寝室扣分了!
✅ 总结
超额完成了高一时定下的渗透目标!
知识、技术、工具、人情……手段不断迭代,最终掌控校园内网多个关键节点,也见证了系统设计与维护的短板。收获良多。
⚠️ 本文仅用于安全研究记录与个人回忆,不作任何非法用途。
