第一步：信息收集

1.在筹划期间我做了很多种方案但最后还是打算先渗透机房电脑比较直接
2.可是没机会给电脑上装payload

但是机房内的学生用机是安装有教学控制软件的,或许我可以对其进行利用

第二步：渗透机房

教学控制软件有一个功能,就是上传作业,很幸运的是教师机和学生机一样,全部使用windows默认设置:不显示已知文件的后缀
提交作业时的标准是提交doc或xls文件,对msf的载荷名进行修改
例如:“作业.doc.exe”

提交完成,快到下课时,meterpreter收到了反弹的shell
教师机权限到手
做好权限维持,以备在其他地方能够访问傀儡机

第三步：查看教师硬盘

浏览了一阵老师的电脑，发现了一些关于学校服务器的报告
其中包含了服务器地址
服务器地址:10.11.26.65

第四步：渗透学校服务器

看了下服务器地址
的确是办公楼的地址段
nmap粗略扫描后发现80端口开启

打开网页
试试看有没有注入漏洞
username=‘or’1’='1
password=‘or’1’=‘1
发送post后服务器的确发生了302跳转
可最后看到的不是完整的学生信息，而是500错误
sqlmap扫描后也判断并没有注入点
我返回去查看教师电脑上服务器文件的介绍
上面规定每个用户名的默认密码是123
username=用户名’and’1’='1
password=123
发送post请求，成功登入
再带入sqlmap扫描，dump出注入点
拿到dba权限！

上传shell

通过dump出的服务器信息猜测
服务器一定是Windows XP sp1-2左右的版本
那么果断用nmap扫描445端口
发现ms17010漏洞！

第五步：渗透交换机与路由器

办公楼的地址段是10.11.*.*
查看被渗透服务器的ip信息，发现网关是10.11.254.254
打开http://10.11.254.254
是H3C交换机
很幸运的是账号密码都是默认的
admin
admin
这个弱口令没什么好讲的，纯属是学校的安全没做好
重要的是路由器
通过nmap扫描10.11.254.254以及其地址段下的ip
发现请求无一例外都跳向了192.168.11.1
nmap扫描192.168.11.1，发现根本没有结果
1000 port all down
但奇怪的是nmap在扫描这个ip时总跳出一个提示：
Do the 443 port really open?
接着第二次扫描时就再也没有结果，在停止扫描十几分钟后才能再次ping通地址
直觉告诉我这是学校的防火墙拦截了nmap扫描
因为可能开着443端口
先打开https://192.168.11.1

上网查找锐捷路由器的弱口令
admin
回车！
登入失败！
可惜不是弱口令，那么用burpsuite抓个包看看有没有漏洞
发现有个command参数：sh clock
上网查找了锐捷路由器的资料后发现这是用来测试用户是否有路由器权限的
如果账号密码错误，response则是401 Unauthorized
继续查找资料，发现show version这个命令是不用权限就能执行的
你懂得，改sh clock为show version，发送post

成功爆出服务器信息，并且返回值为302而不是401！
成功进入路由器后台
查看路由器配置

发现Telnet密码为qz123456
当然qz是我们学校的缩写啦
关闭路由器防dos措施和arp欺骗过滤
再次使用nmap扫描
发现了心脏出血漏洞
css注入漏洞
apache畸形请求导致反射攻击的漏洞也出来了

我甚至还利用openssl漏洞dump到了内部js文件

不过拿到权限后就没什么用了

第六步：继续挖掘_渗透学校防火墙

只获得这么一点点小成就的我怎么可能满足！

回头查看nmap扫描结果时发现请求再次被不断发送到了192.168.100.253
根据之前的经验，
192.168.100.253一定做了防护措施
先不进行nmap扫描，避免打草惊蛇
直接打开https://192.168.100.253
果不其然！！

是SANGFOR防火墙！
而且还是2016年的版本！我企图用之前渗透路由器的蠢办法绕过验证，可惜不行
尝试sql注入仍然不行！
总之就是用尽了各种方法都无济于事

然后我就放弃了当天的渗透测试

回宿舍睡觉时翻来覆去就是睡不着

果然不拿到权限就是心痒痒！！

如果渗透不成，就猜密码！
刚要睡着，发现之前渗透路由器的时候
看到Telnet的密码是qz123456
第二天中午时我打开电脑，尝试输入这个密码
回车！

登入成功！
发现我之前的扫描记录和system攻击全部被记录在防火墙里了！
把攻击记录全部删光，把所有的安全策略全部禁用
并且允许445端口开放

第七步：进一步挖掘_拿到302台主机shell

按照学校安排服务器地址的尿性
应该有其他类似防火墙的主机
我尝试了https://192.168.100.252
结果真的打开了，是行为控制模块
密码仍然是qz123456
学校用了同一个密码。。

按照这个规律
那么之前发现的H3C交换器地址是10.11.254.254
猜测应该会有服务器在10.11.254.254之前
ping 10.11.254.253
超时
ping 10.11.253.253
ping通了！
尝试打开https://10.11.253.253

是和信虚拟终端控制系统
首先尝试弱口令admin，不行！
尝试了qz123456这个密码，不行！
试着改response绕过验证，也不行！（如图）
百般无奈之际，手欠的我不小心多写了一个单引号’
回车！
报错！
我的直觉告诉我有sql注入点！
username=admin’or’1’=‘1’and’1’=‘1’or’1’='1
利用or语句的优先级绕过password的判断

成功登入！
一看，乖乖，这个vesystem系统掌管着302台主机！

而且可以查看每台机子的详细信息，甚至可以监控画面，上传文件！

第八步：挖掘和信系统的注入漏洞

在不断测试的过程中，我发现和信系统在修改服务器信息时存在sql注射漏洞
strName=1
回车，成功修改
strName=1’
修改失败，无疑是因为单引号引起的闭合错误
strName=1’and’1’='1
修改成功！
教科书式的注入漏洞

果断丢sqlmap里，并带上–no-cast参数，因为我通过注入发现某些表是16进制的格式

爆出数据，查看password列
qz1234567
比之前的密码多了个7
我tm。。。

第九步：挖掘傀儡机信息

因为在之前的渗透中关闭了防火墙，禁用所有对smb之类的安全策略
拿到了和信服务器
渗透过程更加轻松了
nmap扫描在和信系统里发现的终端

我的天！这是挖到金矿了吗？！
我找到我们班主任的电脑
ms17010
boom！

在看电视剧。。。
不管了，先查看硬盘
发现一份关于心理健康查询的网站
一看
内网10.10.10.10
我还寻思着着不就是上次被我绕waf给xss注入了的网站么。。
因为没什么利用价值所以这里就不讲了
重点是这个地址的8090端口才是进行心理健康查询的

这个网站进行了一些过滤
经过测试
过滤了%#&"/等等字符串
且对大小写敏感
所以payload：
username=admin’AnD '1’Like '1

然而挖出的内容都是一些关于心理健康测试的题目和考试规范之类的