WooYun.org

1.这个故事的名字叫"一个弱口令引发的血案"。
2.先看这个洞http://wooyun.org/bugs/wooyun-2015-0113682川师大的修复方案是前台页面不告诉你默认密码123456了。
3.接着我们百度到川师大学号的格式。是已经毕业的学生，用123456登进去。基本服务都能使用。
4.然后我们来到校内信息网开始腥风血雨地折腾。
5.感觉学校特有钱，每个二级域名分站都是固定IP的直连外网的独立主机。
按照"被渗透的程度"关系列一下，大概有这么几个问题。

http://zjc.sicnu.edu.cn/  录取查询SQL注入->新生资料泄露，包含照片住址电话身份证考生号EMS快递号等信息

http://202.115.192.98/  校园一卡通查询处SQL注入->身份证学号姓名余额

http://202.115.200.140:8082/  综合财务系统SQL注入->学生缴费保险学号各种表，权限还是DBA【数据量巨大一个库几百个表】

http://lx.sicnu.edu.cn  离校生/新生系统 ->个人资料遍历，姓名学号电话等。已拿SHELL

普通用户登录

Cookie内有学号信息，通过遍历Cookie里的学号即可达到遍历他人信息的目的，这里抓取身份证举例

Cookie里有一项更好玩的值叫RoleNo。锁定为1后直接变身管理员。

然后就可以随便看哪个艺术系的妹妹了。

文件上传处完全不检查后缀。上传一句话。

但是自己看不到自己发布的文件，以为要没戏，终于在系统日志里面翻到真实目录信息。试了一下果真是网站根目录。

这数据量也不小。学生职工全有了。

http://portal.sicnu.edu.cn/  统一认证门户，内网大黄页，自己也提供网盘服务(很少看到这么实在的学校了。。) ->拿了SHELL脱裤子

不得不说，大黄页的名字不是盖的，各种系统，管理平台，登陆口这里全都给你列好了。

它有个网盘功能，传图片能返回真实地址，传jsp不返回但是不检查后缀，于是我们按照jpg|jsp|jpg的顺序传了三个文件，文件名有4位要用burp爆破一下，实际使用的时候，文件名上的数字其实是递增的，真正要跑的就50次不到，很快就出shell地址了。

这台服务器用的webapp对菜刀支持不太好，换上本地大马来搞。

又是几百张表的数据库。这是统一认证的站，这数据库应该堪称全校最全了吧。反正能泄露的都泄露了。

http://zhgl.sicnu.edu.cn/  学生综合管理系统 ->这数据库也是表多得没边 已拿SHELL。远程桌面登录。

怎么传都只返回jpg。特么连bmp都返回jpg你在逗我?反正甭管后缀取到文件名就成，加个.jsp上菜刀，添加管理员被组策略挡了:"密码不满足密码策略的要求。检查最小密码长度、密码复杂性和密码历史的要求。"囧，真贴心。于是我整了个超霸气的密码。

登一下看看。

http://classroom.sicnu.edu.cn/ 教室申请系统 ->已拿SHELL。远程桌面登录。

这个站的数据库比起前面财务，综合管理，信息门户这些就要不重要许多了。但是偏偏这个站的内存配置非常高。
s2命令执行。3分钟shell就来了。(实际上这是我整过测试过程中拿下的第一台服务器，所以截图比较多，各位看官请耐心~)

权限高高哒

独立外网IP而且连着内网(上面几台服务器都是这个套路)

学生综合门户配4G内存，一个借教室的站配了28G内存。也是6

内网嗅探，ARP一下应该还能有更多发现，这里点到为止，先做好外围边界的防护，堵上从webapp进来的路

能给足20？