前言

以下提及的漏洞都提交到edusrc平臺(tái)進(jìn)行修復(fù)，大佬勿噴。

信息收集

在外網(wǎng)進(jìn)行系統(tǒng)測(cè)試，發(fā)現(xiàn)大部分都需要統(tǒng)一身份認(rèn)證，瞅瞅該目標(biāo)單位的統(tǒng)一身份認(rèn)證要求，可以看到初始密碼的規(guī)則是 xxxx@SFZ后六位，用戶(hù)名是學(xué)號(hào)。

利用相關(guān)語(yǔ)法 site:xxx.edu.cn "學(xué)號(hào)|SFZ|密碼"等，未找到有效信息，想到用類(lèi)似 "助學(xué)金、獎(jiǎng)學(xué)金、補(bǔ)貼"等關(guān)鍵詞，發(fā)現(xiàn)一處敏感信息泄露，及時(shí)保存下來(lái)，沒(méi)準(zhǔn)就成為后面突破的一個(gè)節(jié)點(diǎn)。

信息整合

從統(tǒng)一身份認(rèn)證登錄的條件來(lái)看，我們可得出以下幾點(diǎn)

1、用戶(hù)是學(xué)號(hào)
2、SFZ后六位
3、已知部分用戶(hù)的SFZ后五位

學(xué)號(hào)可以利用相關(guān)語(yǔ)法找到 site:xxx.edu.cn "姓名"等等，舉例

由于SFZ倒數(shù)第六位+第五位是生日的日，那最高不超過(guò)31，而且倒數(shù)第五位已經(jīng)確定了，可以構(gòu)造如下（默認(rèn)密碼的規(guī)則是 xxxx+@+SFZ后六位，以下是舉例 非真實(shí)）

xxxx@020101
xxxx@120101
xxxx@220101

最終在嘗試第二個(gè)的時(shí)候，成功以默認(rèn)密碼登錄

突破

可以看到需要更改密碼，但前提是需要輸入完整的SFZ號(hào)碼，將當(dāng)前的信息繼續(xù)整合，已經(jīng)知道某個(gè)用戶(hù)的SFZ前七位+后六位，中間的數(shù)字是打碼，其實(shí)不難猜出，只剩下年份的后三位(1999的999) + 月份(01 且不超過(guò)12)，其余的就交給Burp了，肯定有小伙伴問(wèn)，年份如何確定了，畢竟還是很多的。其實(shí)是根據(jù)用戶(hù)當(dāng)前的年段（如大三），再結(jié)合自身，進(jìn)行反推，大概是在 199x，最終成功修改密碼。

鎖定年份 199X(X是數(shù)字)、爆破月份

繼續(xù)X+1，爆破月份

由于統(tǒng)一身份認(rèn)證和VPN綁定，成功拿到VPN權(quán)限，可通過(guò)多個(gè)內(nèi)網(wǎng)段

拿到統(tǒng)一身份認(rèn)證平臺(tái)，就可以跳轉(zhuǎn)到多個(gè)系統(tǒng)進(jìn)行測(cè)試（不在后續(xù)深入 點(diǎn)到為止）

補(bǔ)充：最后也順利拿到了一個(gè)EDU證書(shū)，無(wú)論是漏洞挖掘還是打點(diǎn)，信息收集非常重要，裝配好Burp插件沒(méi)準(zhǔn)有意外驚喜，如果掃到源碼可以嘗試審計(jì)，或者根據(jù)指紋搜索同類(lèi)型的系統(tǒng)嘗試進(jìn)行漏洞挖掘(如js特征等)，或者找一些老版本的進(jìn)行測(cè)試，日常攻防發(fā)現(xiàn)的漏洞復(fù)盤(pán)深入一下沒(méi)準(zhǔn)也是一個(gè)小通用，以下是今年攻防和日常挖洞僥幸發(fā)現(xiàn)的。

審核編輯 ：李倩