记录灯塔收集学校信息，攻击薄弱点站点，拿到5K+的敏感信息

记录如何拿到一所学校该如何攻打，寻找漏洞的手法和思路，在分析可疑资产的时候，只举例两个，实际上从学校域名到漏洞站点，花费了很多的时间，一个一个站点分析，猜测，最后才找的漏洞站点，一定要细心。

文章作者：火线社区（火线用户0c9b05）

文章来源：https://zone.huoxian.cn/d/2957-5k

1►

信息收集

1、收集资产可疑的站点假设我们的学校为“xxx 大学”，通过 Google 找到 https://www.xxx.edu.cn/ 主域名地址，然后将 xxx.edu.cn ，直接丢到灯塔中去扫描子域名和敏感文件，打 edu 一般就开这两个功能点，或者通过 fofa、鹰图一些资产测绘的去收集信息。
等到灯塔扫描完成后，我直接查看文件泄露的信息，所谓渗透不就是从资产的薄弱面去攻击吗，看看有无一些敏感信息泄露，然后根据泄露信息的站点进一步的攻击，比使用 fofa 通过 domain=“xxx.edu.cn”扫出的信息，更有目标性。

2、分析可疑资产

发现一个子域名，报错为 spring boot，通常这中，直接使用曾哥的 spring boot-scan 扫描结果，看会不会出结果。扫过之后，又尝试拼接路径，还是木有出现任何信息。放弃看下一个。。。。。。发现一个地址存在 xxx.edu.cn:8080/prod-api/这个接口一看就是若依啊，访问但是直接报错尝试在后面加上若依的的常见路径，试一下，还是报错，直接将 prod-api这个路径删除，加载的页面，经典的若依系统。可以注册，直接注册用户登录

2►

漏洞挖掘

进来之后，随便点点，查看数据包，有无敏感信息之类的，因为若依系统后台漏洞就那几个，sql 注入、计划任务、接口泄露信息等，但是这个系统，因该被修复过，注入点什么也没有发现。

像这种 spring 的站点，在查看个人信息的地方最 happy了，也是最容易出现信息泄露的问题，查看个人信息的数据包，观察是否可以遍历？

将 profile 改为 list、Infolist、page 等，直接告诉我们没有权限

欧克，将若依敏感路径跑一遍

/system/duplicate/check/system/fillRule/add/system/fillRule/delete/system/fillRule/deleteBatch/system/fillRule/edit/system/fillRule/executeRuleByCode//system/fillRule/exportXls/system/fillRule/importExcel/system/fillRule/list/system/fillRule/testFillRule/system/gatewayRoute/clearRedis/system/gatewayRoute/delete/system/gatewayRoute/list/system/gatewayRoute/updateAll/system/getEncryptedString/system/log/list/system/login/system/loginfo/system/logout/system/message/systemMessage/add/system/message/systemMessage/delete/system/message/systemMessage/deleteBatch/system/message/systemMessage/edit/system/message/systemMessage/list/system/message/systemMessageTemplate/add/system/message/systemMessageTemplate/delete/system/message/systemMessageTemplate/deleteBatch/system/message/systemMessageTemplate/edit/system/message/systemMessageTemplate/list/system/message/systemMessageTemplate/sendMsg/system/online/forceLogout/system/online/list/system/oss/file/delete/system/oss/file/list/system/oss/file/upload/system/permission/add/system/permission/addPermissionRule/system/permission/delete/system/systemDepartRole/deptRoleUserAdd/system/systemDepartRole/edit/system/systemDepartRole/getDeptRoleByUserId/system/systemDepartRole/getDeptRoleList/system/systemDepartRole/list/system/systemUserAgent/add/system/systemUserAgent/edit/system/systemUserAgent/queryByUserName/system/tenant/add/system/tenant/delete/system/tenant/deleteBatch/system/tenant/edit/system/tenant/list/system/tenant/queryById/system/tenant/queryList/system/third/user/checkPassword/system/third/user/create/system/thirdApp/getEnabledType/system/thirdApp/recallMessageTest/system/thirdApp/sendMessageTest/system/thirdApp/sync/dingtalk/depart/system/thirdApp/sync/dingtalk/user/system/thirdApp/sync/wechatEnterprise/depart/system/thirdApp/sync/wechatEnterprise/user/system/thirdLogin/bindingThirdPhone/system/thirdLogin/getLoginUser//system/thirdLogin/oauth2//system/thirdLogin/render//system/upload/uploadMinio/system/user/add/system/user/addSystemUserRole/system/user/changePassword/system/user/checkOnlyUser/system/user/delete/system/user/deleteBatch/system/user/deleteRecycleBin/system/user/deleteUserInDepart/system/user/deleteUserInDepartBatch/system/user/deleteUserRole/system/user/deleteUserRoleBatch/system/user/departUserList/system/user/edit/system/user/editSystemDepartWithUser/system/user/exportXls/system/user/frozenBatch/system/user/generateUserId/system/user/getCurrentUserDeparts/system/user/getMultiUser/system/user/list/system/user/passwordChange/system/user/phoneVerification/system/user/putRecycleBin/system/user/queryByIds/system/user/queryByOrgCodeForAddressList/system/user/queryUserByDepId/system/user/queryUserComponentData/system/user/queryUserRole/system/user/recycleBin/system/user/register

没有一个成功的，发现一个点，只有 /prod-api/system/user//prod-api/system/role/这两个接口，提示说参数类型不匹配，其他都是错误报错
根据提示，将 user 和 role 的后面改为数字 1，就查到 admin 的敏感信息遍历数字 1，即可拿到系统内所有人的敏感信息，但是 password 是加盐的，解不开，不过可以获得其他人身份证号和邮箱地址，手机号等信息
想要获取其他的漏洞，但是都存在鉴权，拿不到管理员的权限所以这个站就先这样了。

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END