文章总结： 本文记录了通过校友系统弱口令及ID遍历获取敏感信息，利用统一认证平台默认密码进入内网。测试者在内网测评系统挖掘出信息泄露、越权访问、SQL注入及存储型XSS等高危漏洞，成功接管全体账户。文章展示了从外站边缘系统突破核心内网的有效路径。 综合评分： 92 文章分类： 渗透测试,内网渗透,实战经验,WEB安全,漏洞分析

记一次外站打点进入学校统一认证内网的渗透测试

原创

zkaq-我会发着呆

掌控安全EDU

2026年1月6日 15:30 江西

前言

本篇文章涉及漏洞已经修复，关键信息已打码，文章旨在分享安全测试过程中所使用的思路与分析方法，切勿对任何非授权的系统进行渗透测试！

渗透测试

首先通过信息收集，找到了该学校的校友系统，发现登陆处存在用户名枚举，遂进行用户名爆破，成功爆破出用户名

先测试几个常规弱口令，这里也是运气比较好，直接弱口令进入系统

进入系统发现是一个测试账号，没什么数据和权限，所有功能点点点，查看历史数据包，发现HAE插件直接爆红，里面有登陆用户的敏感信息（手机号、企业名称、身份证号等）仔细研究发现，在系统里的企业模块，选择编辑，会出现一个这样的数据包，看字段后的数字应该是企业编号

对ID进行爆破，果不其然，直接获得到全平台校友的敏感信息（姓名、手机号、身份证号等）

到这里有个思路，既然获取到校友的身份证号等信息，那么是不是可以依靠获取的敏感信息进入到学校统一登陆平台，访问到内部系统，扩大危害，于是立即搜索访问该大学的统一身份认证平台，发现这里有一个非常银性的功能，可以根据姓名和身份证号获取统一认证平台账号，这我不刚好有吗，直接获取一手，发现真的可以查到

那么账号获取到了，密码怎么获取呢，我们看到，在登录框中还提供了一个功能，常见问题，一般常见问题中可能会存在密码提示等信息，进去一看，果不其然，成功获取到初始密码

也可以利用谷歌语法获取：site:xxx.edu.cn intext:默认密码，这样也可以查询到默认密码

现在我们已经获取到了统一身份认证平台的账号、默认密码和校友的身份证号，那么就可以尝试进行登陆了，经过测试，很轻松就进入了该大学的统一身份认证平台

在应用中心里面，发现了很多内部系统，这里随机选择一个测评系统进行测试

经过测试，发现在忘记密码处存在用户名枚举，直接爆破一手，成功爆破出多个用户名。

在这里输入正确用户名，点击下一步后，出现了一个非常诡异的数据包，竟然直接返回了该用户的密码、手机号、身份证号等信息，都省的去爆破密码了

直接拿泄露的密码进行登陆，登陆成功

利用上述漏洞，对ID参数进行遍历（发现ID就是工号）直接接管平台全体账户（包括院长、校长）

我们在登陆平台后，可以先对个人信息处进行测试，这里很容易发现各种越权漏洞，另外有头像上传处也可以进行测试，可能会存在文件上传、文件包含等漏洞。这里我们进入到个人信息功能处。

查看数据包，发现了一个非常熟悉的数据包，发现和上面忘记密码处的接口一模一样，但是缺少ID参数，我们按照上面的数据包添加ID参数进行遍历，成功越权查看平台其他用户敏感信息

接下来查看系统其他功能点，发现存在课堂学生功能列表，前端只显示了如下信息，但是查看数据包，发现后端直接返回了学生的全部信息，包括身份证号码，由于我们这里接管了平台全部教师账户，理论上可以获取全校学生的敏感信息（手机号、身份证号等）

继续进行测试，我们可以对搜索框、文件头像上传处进行测试，容易存在SQL注入、文件上传等漏洞。在这个系统多个查询功能处，发现了sql注入漏洞。在查询处输入任意参数，拼接单引号，发现报错，根据返回内容来看是mysql数据库

接下来可以尝试进行报错注入，查询数据库名：’ AND updatexml(1,concat(0x7e,(SELECT database()),0x7e),1) AND ‘1’=’1，报错注入成功，成功得到数据库名

获取表名：’ AND updatexml(1,concat(0x7e,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema=database())),1) AND ‘1’=’1

获取数据库版本和用户：’ AND updatexml(1,concat(0x7e,(SELECT CONCAT_WS(‘:’,version(),user()))),1) AND ‘1’=’1

接下来，在一处上传资源功能点处，发现可以上传文件，而且对文件类型并没有进行校验，先上传一手无害马试试能不能正常解析，发现可以上传成功，但是访问直接返回马的全部内容，很明显不解析，那就再试试有没有存储型XSS，构造XSS.html文件，上传进行访问，成功弹窗

到这里本次的渗透基本结束了，一路从外站打点进入统一身份认证内部系统，最后也是拿到了12Rank，高危分数基本上拿满了。

总结

当我们在学校外站打点获取到敏感信息的时候，可以尝试进一步利用敏感信息突破到学校统一登陆内网，内部系统防护往往会更加薄弱，方便我们去扩大危害。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-我会发着呆《记一次外站打点进入学校统一认证内网的渗透测试》