作为网络安全学习者,在获得学校网络安全老师正式授权后,我对校园内网多款业务系统进行了一次完整的合规渗透测试。本次测试仅用于学习研究、协助校园资产安全加固,严格遵守《网络安全法》,坚决杜绝未授权非法渗透、越权窃取隐私数据等违规行为。

本文将完整复盘校园图书馆管理系统、违规联网检测系统、网络报修系统、会计实训系统等核心资产的漏洞挖掘、漏洞利用、权限提升、内网横向全过程,总结各类常见 Web 漏洞的实战思路,给网安初学者提供真实的 EDU 靶场学习参考。

一、测试前期准备

本次测试目标均为校园公网暴露及内网业务系统,前期通过目录扫描、接口探测、框架识别、被动爬虫等方式进行资产信息收集,梳理出在校内使用率较高的 5 套核心业务平台,逐一进行漏洞探测与安全测试。

测试过程中用到常规渗透工具:SQLMap、BurpSuite、冰蝎、哥斯拉、Cobalt Strike、xfreerdp、searchall、ElasticHD 等,全程以漏洞发现 - 漏洞验证 - 权限获取 - 信息收集 - 横向扩散为标准流程开展。

二、各业务系统渗透实战复盘

2.1 图书馆管理系统渗透实战

该系统对外公网可访问,前期目录扫描发现 Web API 接口文档泄露,成为突破口。

  1. SQL 注入漏洞探测 对接口参数进行单引号测试,发现传入奇数个单引号页面报错、偶数个单引号返回正常,初步判定存在 SQL 注入,数据库为 SQL Server。直接使用 SQLMap 进行自动化探测,利用xp_cmdshell组件开启系统命令执行权限。

  2. 远程文件下载与木马部署 整理 Windows 环境下常用远程下载命令:certutilbitsadminPowerShell、Edge 浏览器静默下载等方式,尝试向目标服务器上传 CS 木马。 由于服务器存在 Windows Defender 防护,普通木马直接被查杀,通过制作免杀木马、更换存放目录规避拦截,但初期因权限不足无法直接执行。

  3. Webshell 写入与免杀绕过 放弃直接命令执行,转向寻找网站根目录,通过命令搜索系统 JS 存放路径,将.aspx 格式 Webshell 写入可解析目录。 默认冰蝎、哥斯拉木马连接后瞬间被防护清除,排查发现是默认特征密码被识别,修改木马默认密钥后成功绕过查杀,稳定连接服务器。

  4. 权限提升与内网横向 通过冰蝎虚拟终端执行系统命令进行信息收集,确认服务器为工作组环境、无域控架构。成功上线 CS 后,利用getsystem尝试提权失败,借助插件实现 System 权限转管理员权限,抓取系统账号哈希值。

破解密码后对校园 B 段资产进行弱口令喷洒,发现三台服务器复用同一账号密码。通过 kali 的xfreerdp工具远程登录服务器,在内网主机中发现多媒体系统后台密码,直接拿下全校教室电源、多媒体设备管控权限。

后续通过敏感文件搜集工具,抓取浏览器缓存、数据库配置信息,获取校园网管理员账号、Navicat、Xshell 缓存密码,进一步拿下 MySQL 数据库及多台 Linux 主机权限。

2.2 校园违规联网检测系统

该系统为 Vue 前后端分离架构,主要记录学生网络访问、境外网站浏览等行为数据。

  1. 未授权接口泄露管理员账号 前端登录接口密码加密无法爆破,通过梳理前端 JS 文件接口,发现未授权访问接口可直接读取后台用户数据,泄露管理员账号密码,无需登录直接进入系统后台。

  2. SQL 注入与 UDF 提权 利用 BurpSuite 被动扫描插件,在排序参数处发现未授权 SQL 注入点,直接送入 SQLMap 脱库,获取数据库账号哈希。 登录 MySQL 数据库后查询secure_file_priv参数为空,确认支持任意目录读写,结合系统版本为 32 位 Windows 环境,通过 SQLMap 连接数据库尝试 UDF 提权,成功获取服务器 System 权限。

  3. 绕过火绒安全新增管理员 提权后计划新建用户用于远程连接,发现命令行net user命令被火绒拦截防护。 采用进程更名绕过思路:复制系统net1.exe重命名至非系统盘,替换原添加用户命令关键字,通过 PowerShell 远程下载批处理脚本并执行,成功绕过火绒新增管理员用户,实现远程桌面连接。

后续还发现服务器 Elasticsearch 9200 端口未授权访问,可通过 ElasticHD 工具进行可视化管理。

2.3 网络报修登记系统

  1. 目录遍历 + SQL 注入泄露敏感数据 通过路径删除测试发现系统存在目录遍历漏洞,遍历静态页面无功能入口,借助插件爆破接口路径,发现未授权数据查询接口。 对接口参数进行 Fuzz 测试,找到filter参数存在 SQL 注入,利用漏洞脱库直接导出全校教职工身份证号、手机号等数千条敏感信息,因数据库不支持堆叠查询,无法进一步破解账号密码。

  2. 源码泄露云密钥与数据库密码 扫描后台controller目录存在任意文件访问,读取 Python 配置源码,泄露了数据库明文密码、阿里云 AccessKey 与 AccessSecret 密钥。尝试登录阿里云 OSS 浏览器,无可用云资产;数据库端口未对外放行,无法进一步利用。

2.4 会计实训系统文件上传漏洞

系统基于.NET 架构,存在经典 Ueditor 编辑器漏洞。 利用图片马 + WAF 绕过思路:将 aspx 后门改为 jpg 图片格式,通过 VPS 搭建 HTTP 服务托管木马;借助 HackBar 构造 POST 请求,采用特殊字符分割后缀绕过 WAF 检测,让目标服务器远程抓取图片马并解析执行,成功写入 Webshell。 后续上传免杀 CS 木马成功上线,但受服务器防护限制,无法完成权限提升。

三、零散校园资产漏洞汇总

除四大核心业务系统外,本次测试还发现多类通用漏洞:

  1. 前端文件上传仅做 JS 本地校验,禁用 JS 即可直接上传后门文件;
  2. 部分内网服务器不出网,部署 MSF 正向免杀木马上线,因多杀软联动防护无法提权;
  3. 校园网络设备 Ping 功能存在命令执行漏洞,利用漏洞写入后门控制设备;
  4. 多处 Web 资产存在 Shiro 反序列化漏洞,可直接一键梭哈获取权限。

四、测试总结与校园安全加固建议

4.1 测试总结

本次合规测试累计发现SQL 注入、未授权访问、目录遍历、文件上传、接口泄露、弱口令、中间件未授权等数十个高危 / 中危漏洞,整合整理出 127 页专业渗透测试报告。 EDU 校园资产普遍存在共性问题:接口权限管控缺失、默认密钥 / 密码未修改、开源组件漏洞不修复、安全防护策略配置简陋、敏感数据无加密存储。

4.2 安全加固建议

  1. 所有业务接口增加身份认证与权限校验,禁止未授权访问敏感接口;
  2. 对 SQL 参数做预编译处理,关闭数据库高危存储过程,限制secure_file_priv读写权限;
  3. 修复 Ueditor、Shiro 等开源组件已知漏洞,及时更新版本;
  4. 服务器统一部署安全防护,限制命令行敏感操作,禁止复用弱口令;
  5. 敏感数据(身份证、手机号、账号密码)加密存储,源码禁止硬编码密钥与密码;
  6. 定期对内网 B 段资产做安全巡检,收敛公网暴露端口与不必要服务。

五、网安学习心得

校园 EDU 资产是网安初学者最好的实战靶场,但必须严格遵守授权原则,未经允许严禁私自探测、入侵、窃取数据。Web 漏洞挖掘、内网提权、横向渗透的核心不在于工具使用,而在于漏洞原理理解、思路变通、绕过技巧积累。

日常可以从信息收集、常见漏洞原理、工具实操、报告编写四个方向深耕,多复盘实战案例,以攻促防,成长为合规专业的网络安全从业者。

Logo

AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。

更多推荐