题记:
十年寒窗苦读日,今朝金榜提名时
经历了多少个发奋图强的日日夜夜,终于来到了我魂牵梦萦的大学。在我准备放飞自我之时,上天抛给我一本《大学生手册》,将我已经离地的灵魂压得严严实实。
《大学生手册》摘要:
999.安全按时归寝:保证每晚10.50前就寝,如有特殊情况需要提前向老师说明并得到允许。
1000.安全用电:不使用违禁电器,不私接电线。
1001.努力学习,遵守校园规章制度。
1002………
1003………
作为一名黑客,自由是我的天性,我怎能容忍命运如此的摧残?不,我要用技术征服世界,我要将通往我自由道路上的绊脚石一一清除!!
叫我按时回寝?不存在的
虽然我是一名小黑客,但是我还有自己的电竞梦,晚上为什么要我回寝那么早?在寝室追逐电竞梦影响了室友的休息,网咖有优雅的环境还有我喜欢的小姐姐,不,我不回去!!!老师不就是根据刷卡记录来判断我是否晚归么,哼,黑了刷卡服务器不就行了?
内网渗透是我的强项,大学这种庞大的内网架构,肯定漏洞巨多。仔细分析下:刷卡服务器应该和校园卡是一个系统,拿到校园卡服务器就可以搞定刷卡记录,据我所知,校园卡服务器应该是内网各个系统里面最容易攻破的一个:因为学生吃饭得刷卡,进寝室楼得刷卡,什么都得刷卡,那系统设计者就得考虑刷卡的延迟性和系统的处理能力,所以设计者就想了个完美的办法:给每栋楼(包括食堂和寝室)设置二级数据库服务器,用来做数据暂存:就是刷卡的数据先存放到二级数据库,等一定时间再和一级总数据库进行数据同步。这样即可以做到刷卡基本无延迟,还降低了一级数据库服务器的数据处理量。的确很可行哈。但是对于我来说,二级数据库肯定和每个宿舍楼在一个网段里,虽然我不能访问到一级服务器,但是我先搞定二级服务器再以它做跳板去渗透一级服务器,这岂不是增加了入侵成功的可能性?
初入校园,我对校园的网络规划就有了大致了解,而刷卡服务器的布局架构如下:
我们寝室楼以太网都在10.24.0.0/16这个网段,那二级服务器肯定在这个网段之中,放到nmap里去跑,果真发现了几个可疑ip:
10.24.1.200:1433
10.24.1.200:3389
10.24.1.201:3389
10.24.1.202:3389
这个200很可疑,应该就是二级数据库服务器了,用hscan看看有没有弱口令,结果一扫:
数据库弱口令!!!那还等什么。加用户登陆服务器,mimikatz提密码,拿到管理员密码,然后以管理员身份登陆,现在拿到了二级数据库服务器,netstat -an看下网络连接,找到了一级数据库地址:
可以确定,172.20.0.200是一级数据库地址,工具扫了下端口,发现开了3389,用刚刚mimikatz提取到的密码尝试登陆了下,成功登陆,现在就是要寻找刷卡记录的软件了。
成功拿到刷卡记录,可以删除这些操作,从而掩盖自己的刷卡记录。
叫我不要用违纪电器?呵呵
大学,最重要的是什么?当然是和室友的友谊。同床四年,可能最值得回忆的就是四个人一块在寝室吃火锅了。但是,寝室限电,超过800w不能使用,否则会跳闸。这真是天理难容哈!那就让我来黑了电力系统吧。
大学都会有电控服务器,因为学校要收寝室电费,还要控制开电时间,这么多的寝室和楼宇,总不能让人去抄电表和手工断电吧,所以肯定以及确定会有智能电控系统来实现电力控制。之前拿到了一级校园卡数据库服务器的权限,以我的经验,这些基础核心数据库都会在这个c段中,拿到了一级数据库服务器肯定要看看有没有域,可能因为我们是校区的原因,这些服务器并没有设置域,那就正常扫描吧,工具扫了下c段中的ip,发现开3389的多达十几台,这么多服务器我总不能挨个试吧,得想想其他办法。
既然有智能电控服务器,那肯定在每栋楼里面都有中位机,也肯定会有串口通讯服务器,一般情况下串口通讯服务器默认开启80端口,方便调试。那我就依照之前的原理扫10.24.0.0/16这个网段的80端口,最后发现整个10.24.0.0/24这个网段就10.24.0.130开了80端口,打开看看,果真是如此:
在tcp信息里面找到了电控服务器的ip:
既然拿到了电控服务器的ip,那就开始渗透吧,之前拿到了一级数据库服务器密码,用它的密码尝试登陆了下,并没有成功,而且密码没什么规律,内网445端口开启,试试ms17010,成功登陆。
ok,功能很齐全,可以修改功率上限,可以修改控制组别实现晚上不断电,甚至可以改变是否计费。电力系统拿下!!
黑心学校坑我钱?哼
平时待在寝室,学习是不可能学习的,一辈子都不可能学习的,只有靠刷剧才能维持得了生活这样子。但是网费竟然按G收费,1G一块钱。WTF??这不是阻碍了我这穷逼看剧的脚步,哼!我想为什么不能免费上网呢?
大学的上网认证流程大致如下:
我们学校使用的是深澜计费系统,认证ip是172.19.0.1,深澜认证管理员登陆默认的端口是8080,这个样子:
要想免费上网,搞定管理员的上网账号就ok,因为管理员肯定是可以创建上网账号的,怎么做呢?现在有三个思路:
1.暴力破解
2.嗅探
3.搞定网信中心老师的电脑
先试试暴力破解,因为带验证码,所以用pkav进行爆破,然而爆破了一天也没啥结果,估计不是弱口令,或者用户名不对。果断放弃。
嗅探的话,网信中心在学校的c1楼,本来想用c1楼的二级数据库做跳板去嗅探:c1楼也有二级数据库服务器且服务器密码每栋楼都一样,但是我去实地勘察的时候(假装去办理网络业务)发现网信中心老师另接了一个路由器,通过wifi办公。而且戒备森严,有保安巡逻,拿着电脑怕要被查水表,这样第三种方案也就不考虑了。
换个思路,首先不考虑爆破和拿下老师办公室电脑,嗅探的话可以从源头嗅探,也就是172.19.0.1这个网段,只要抓取网关到认证服务器的管理员登陆数据就行,172.19.0.1这个网段还有另一台服务器具体干什么我也不知道,但是3389端口是弱口令,直接拿下。但是拿下运行cain的时候一直运行不起来,估计是因为网卡的问题,后来实在没办法,反正这个服务器也一直没人登陆,索性直接传一个虚拟机过去,然后开虚拟机的桥接进行流量抓取。
东西丢了想看监控,还得提交申请?
丢东西怎么办,查看了学校的规章制度,要下载申请表,然后去找导员签字,再去网信中心查看监控。好吧,按规定来呗,下了表单,去找导员,结果导员不在,让我晚上去,晚上怎么去?去了就得等明天了,东西丢了很着急的哈!算了,自己动手,丰衣足食。
学校用的海康的监控,海康很早之前就被爆出来弱口令漏洞,虽然很多地方已经修改了弱口令,但是还有很多地方管理员根本不知道或者是懒得修改,因为摄像头很多。尤其像学校网信中心的人,是事业编制,根本搞不懂技术,一天上班就是看看电影聊聊天打打游戏。有的学生将漏洞报上去他们也懒得去修改,估计还要给学生记过。
对我们学校来说,就是这样,学校多一半的摄像头都是默认口令,还有一部分密码修改了,但是他们总的监控服务器还是之前的密码,登陆总的监控服务器将密码全部导出(新版的海康摄像头有导出配置文件这个功能)就可以得到修改了的密码。
快考试了书还没翻过,咋弄?
考试要想投机取巧,最好的办法不是入侵教务系统数据库修改成绩,而是盗取试卷。因为教务系统庞大复杂且操作日志记录对权限要求很高,稍有操作不慎直接gg。另一个,成绩的有效性还需要纸质版记录,所以如果考前能拿到试卷那就是万全之策了。但是怎么弄呢? 基本学校的试卷印刷流程:
- 各代课老师出题并在教务系统提交试卷请印单
- 将试题发给自己学院教学秘书,或者直接送往考务负责人
- 教学秘书将试卷送往考务负责人
- 考务负责人印刷试卷,老师在考试前去教务处领取
要想弄到试卷,得先弄到学院秘书或者考务负责人的邮箱才行。首先排除嗅探,因为邮箱登陆都是加密的,另外拿邮箱服务器根本行不通,因为邮箱服务器在主校区,那个网段除了dns服务器好像根本没有其他可入侵的入口,而且学校几万人,几十万台设备,dns服务器的防御措施肯定不低,加上主校区是另一个大型网络架构,网络状况复杂,防火墙构建尚不明确,日志记录无法揣摩,贸然入侵无疑自杀。那就另想办法咯,虽然拿不到最高级别的服务器,校区考务负责人的电脑总行了吧。
但是怎么弄呢?经过调查了解,考务负责人的电脑连在教务处办公室里的一个小路由器上,没有办法远程连入那个小路由器的内网。这里就有另一个思路,一般学校都会有机考,也就是上机考试,既然有上机考试肯定会有机考服务器,如果能搞定机考服务器,那离搞定学校考务负责人的电脑就更近一步了,因为负责考务的老师一般也会负责机考的安排。那就先搞定机考服务器吧!
机考服务器一般和学校机房(机考的考场)在同一个b段或者c段,因为要考虑考试时学生试卷成绩以及试卷数据的传输问题,所以基本会这么架设网络。学校机房的ip段肯定很好知道,对这个网段进行渗透测试,发现了机考服务器的数据库竟然是弱口令,按照之前的思路,拿下机考服务器。
果真!如我所料,机考服务器开着teamviewer,而teamviewer直接可以连接到机考负责任的办公室主机。既然已经可以访问主机了,那拿到考务负责任的邮箱易如反掌。
对心仪的女生表白,不行,得制造些惊喜。
理想中的表白是怎样的?摆蜡烛?弹吉他?no,no,no,都太low了。对于我来说,用全校广播系统表白,校园公共led显示屏示爱,操纵宿舍大楼灯光来摆成心形。。这些都易如反掌。
题外话:有了前面对这些核心服务器的权限,基本在内网里面可以任意遨游了,这时候从服务器中查看一些蛛丝马迹显得很是重要,要想在内网中为所欲为,当然收集服务器的敏感信息就是第一步,包括最基本的网络架构,网络拓扑,服务器用途,以及服务器密码规律,管理员密码设置偏好等。拿到这些就万事具备只欠东风了!在拿到一个系统的权限后登录系统(windows系统),翻阅服务器的文件是一个很好的习惯,有的管理员有可能把一些易忘的密码放在桌面,还有系统的配置文件里面有可能有数据库的密码等等,浏览器可能保留了管理员的其他密码,另外还有一些内网常用软件的保留密码,一些比较小众的软件比如小厂商做的数据库连接软件直接下个低级键盘钩子就可以拿到保留密码,一些发行量大的软件比如teamviewer当然也有其他方法拿到密码,比如查看内存,逆向等等。对于系统管理员来说,不会一个人只管一台主机,摸清一个人的密码规律肯定内网中好多主机就会沦陷。
现在回归正题,先找找广播系统,在对电力服务器进行信息收集的时候,发现mstsc的远程桌面历史连接记录有一个很奇怪的ip:100.100.1.1,我试着连接了下,发现主机竟然是存活主机,当然这个ip肯定不是外网ip了,应该还是内网的一台服务器,具体干什么我也不知道,但是肯定是有用,对这个网段进行扫描,发现只有这一台存活主机,而且只开了3389端口。虽然不是是弱口令,但我已经不惧怕了,因为内网的很多主机密码我都已经拿到了,用这些密码加一些管理员的个人偏好,很轻松就能破解。进去后发现是广播系统。
led就不说了,和之前拿下的刷卡服务器同理。这里说下,led屏的接入甚至是很多校园基础设备的接入都离不开接入地点的影响,意思就是如果这个设备接入的是c1楼,那它的ip地址肯定是c1楼的ip,这时候只需要找它的漏洞就行。
在内网中,最大的隐患就是弱口令,尤其是数据库弱口令。
后记
哈哈哈哈哈哈哈哈哈哈哈哈哈,这大学生活也太爽了吧,真是随心所欲哈。。。。。
这时,剧烈的震动声吵醒了我,我迷迷糊糊拿起手机,话筒里传来我室友波波的声音:“你在哪呀,咋还不回来啊,是不是又去上网了,电话也不接,真是服了,你昨天晚回寝都被导员发现了,今天再回来晚了估计要记过的!!!”
“哦哦,马上回去哈,刚打lol睡着了,玩一天太困了!”
“好吧,快回来吧,不然刷卡记录又有你了。还有明天别去上网了,你都快考试了,赶紧学习呀!!你看你挂了多少科了”
“嗯,知道了。。”
哎,还是梦里好呀,我一边嘟囔着一边往学校跑去。。。。
注:本文故事属于作者yy,文中涉及的ip和服务器皆为虚构,图片为高科技合成。
