前言

以下提及的漏洞都提交到edusrc平臺進行修復，大佬勿噴。

信息收集

在外網(wǎng)進行系統(tǒng)測試，發(fā)現(xiàn)大部分都需要統(tǒng)一身份認證，瞅瞅該目標單位的統(tǒng)一身份認證要求，可以看到初始密碼的規(guī)則是 xxxx@SFZ后六位，用戶名是學號。

利用相關語法 site:xxx.edu.cn "學號|SFZ|密碼"等，未找到有效信息，想到用類似 "助學金、獎學金、補貼"等關鍵詞，發(fā)現(xiàn)一處敏感信息泄露，及時保存下來，沒準就成為后面突破的一個節(jié)點。

信息整合

從統(tǒng)一身份認證登錄的條件來看，我們可得出以下幾點

1、用戶是學號
2、SFZ后六位
3、已知部分用戶的SFZ后五位

學號可以利用相關語法找到 site:xxx.edu.cn "姓名"等等，舉例

由于SFZ倒數(shù)第六位+第五位是生日的日，那最高不超過31，而且倒數(shù)第五位已經(jīng)確定了，可以構(gòu)造如下（默認密碼的規(guī)則是 xxxx+@+SFZ后六位，以下是舉例 非真實）

xxxx@020101
xxxx@120101
xxxx@220101

最終在嘗試第二個的時候，成功以默認密碼登錄

突破

可以看到需要更改密碼，但前提是需要輸入完整的SFZ號碼，將當前的信息繼續(xù)整合，已經(jīng)知道某個用戶的SFZ前七位+后六位，中間的數(shù)字是打碼，其實不難猜出，只剩下年份的后三位(1999的999) + 月份(01 且不超過12)，其余的就交給Burp了，肯定有小伙伴問，年份如何確定了，畢竟還是很多的。其實是根據(jù)用戶當前的年段（如大三），再結(jié)合自身，進行反推，大概是在 199x，最終成功修改密碼。

鎖定年份 199X(X是數(shù)字)、爆破月份

繼續(xù)X+1，爆破月份

由于統(tǒng)一身份認證和VPN綁定，成功拿到VPN權限，可通過多個內(nèi)網(wǎng)段

拿到統(tǒng)一身份認證平臺，就可以跳轉(zhuǎn)到多個系統(tǒng)進行測試（不在后續(xù)深入 點到為止）

補充：最后也順利拿到了一個EDU證書，無論是漏洞挖掘還是打點，信息收集非常重要，裝配好Burp插件沒準有意外驚喜，如果掃到源碼可以嘗試審計，或者根據(jù)指紋搜索同類型的系統(tǒng)嘗試進行漏洞挖掘(如js特征等)，或者找一些老版本的進行測試，日常攻防發(fā)現(xiàn)的漏洞復盤深入一下沒準也是一個小通用，以下是今年攻防和日常挖洞僥幸發(fā)現(xiàn)的。

審核編輯 ：李倩