教育行业SRC漏洞挖掘实战指南：从信息收集到常见漏洞利用

教育行业的安全响应中心（SRC）因其资产类型多样且社会关注度高，成为许多安全研究者关注的焦点。常见的资产包括高校官网、教务系统、选课系统、成绩查询、校园一卡通、学生管理系统、科研平台、在线考试系统等。本文将系统性地分析教育SRC的漏洞挖掘场景，涵盖信息收集、常见漏洞点及专项突破策略。

一、信息收集

扎实的信息收集是成功挖掘漏洞的第一步，其目标是全面发现目标的所有网络入口和资产。

1. 域名与子域名枚举

• 目标： 发现所有可能的Web入口。
• 工具与方法：
  • 使用 amass、subfinder、assetfinder 进行子域名爆破：

    amass enum -d edu.cn -o subdomains.txt
    subfinder -d jiaoyu.edu.cn -o subs.txt

  • 利用搜索引擎语法（Google Dork）进行精准定位：

    site:jiaoyu.edu.cn inurl:login
    site:*.edu.cn intitle:“教务系统”

    

  • 查询证书透明度日志（如 crt.sh）获取历史子域名，这些记录可能暴露出已被遗忘但依然可访问的测试或旧版系统资产。
    

2. 资产识别与分类

• 使用 httpx 批量探测存活服务，并识别基础信息：

  cat subdomains.txt | httpx -status-code -title -tech-detect -o alive.txt

• 在识别出的存活资产中，应重点关注以下具有高价值的典型路径和系统：
  • /jwglxt —— 教务管理系统（常见为正方、青果、东师等）
  • /xxglxt —— 学生管理系统
  • /ksxt —— 在线考试系统
  • /ykt —— 校园一卡通系统
  • /lib 或 /opac —— 图书馆管理系统
    

3. 技术栈识别

了解目标的技术构成有助于快速定位可能的漏洞类型。

• 常见技术组合：
  • 后台框架： Struts2、Spring MVC、ASP.NET（老系统居多）
  • 数据库： Oracle、SQL Server（部分MySQL）
  • 中间件： Tomcat、IIS、WebLogic（较少但存在）
• 使用 Wappalyzer 浏览器插件或 whatweb 命令行工具可以快速识别网站所使用的技术栈。

二、常见漏洞点与利用思路

在对资产有基本了解后，可以针对性地测试以下几类高频漏洞。

1. 弱口令与默认账户

• 原因： 管理员安全意识不足设置弱密码，或运维后未修改系统出厂默认账号密码。
• 测试方式：
  • 常见用户名： admin, root, jwc, system
  • 常见密码： 123456, admin123, jiaoyu@2023, Password1
  • 对识别出的各类系统登录页面，使用上述常见组合进行爆破测试。

2. SQL注入（SQLi）

• 典型场景：
  • 成绩查询接口：/score?stu_id=123
  • 课程信息查询：/course?id=1’
• 检测方法：
  • 在参数后输入单引号 '，观察是否返回数据库错误信息（如 Oracle 的 ORA-xxxxx）。
  • 使用时间盲注 Payload 测试是否存在延迟响应。

    http://xxx/score?stu_id=1'; IF(1=1) WAITFOR DELAY ‘0:0:5’;--

    这类漏洞的发现是渗透测试中基础且重要的一环。

3. 越权访问（水平/垂直越权）

• 原理： 应用程序未对用户访问权限进行严格校验，导致用户可以访问或操作本无权访问的资源。
• 案例：
  • 水平越权： A学生访问 /user/profile?uid=1001，通过修改参数为 uid=1002 成功查看到B学生的个人信息。
  • 垂直越权： 普通教师角色尝试直接访问 /admin/config 这类后台管理页面。
• 验证方法：
  • 准备两个不同权限的账号（如学生和教师），抓取相同功能的请求包进行对比。
  • 修改请求中的关键参数（如 userid, role, deptid），观察服务器返回的内容是否发生变化。
  • 利用 Burp Suite 的 Compare 功能对比不同身份请求的响应差异。

4. 文件上传漏洞

• 常见位置： 用户头像上传、论文提交系统、教师资料上传模块。
• 绕过技巧：
  • 文件后缀限制绕过： 尝试上传 .php3, .phtml, .jspx，或利用 .htaccess 文件配置解析规则。
  • MIME类型伪造： 抓包修改 Content-Type 为 image/jpeg 等合法类型，实际文件内容为恶意脚本。
  • 配合解析漏洞： 尝试上传 shell.php.jpg，利用某些服务器（如老旧版本Apache）的解析特性。

5. 反序列化漏洞（Java系系统常见）

• 目标系统： 基于 Struts2 或 Spring 框架的老版本教务系统。
• 检测点：
  • 检查URL路径或错误信息中是否存在 struts、action 等关键字。
  • 查看 Cookie、POST 数据或 Header 中是否存在看似乱码或Base64编码的长字符串。
• 利用： 确认存在风险后，可使用 ysoserial 等工具生成Payload进行测试（仅限于获得合法授权的测试环境）。

6. SSRF 与内网探测

• 应用场景： 系统提供的“导入外部图片”、“网页快照生成”、“文档在线转换”等功能。
• 利用思路： 尝试让服务器访问其内网地址或本地服务。

  
  POST /import_image HTTP/1.1
  Host: service.edu.cn
  Content-Type: application/x-www-form-urlencoded

url=http://127.0.0.1:8080/manager/html

#### 7. JWT 安全问题
*   **背景：** 许多新兴系统或移动端API采用 JWT (JSON Web Token) 进行认证。
*   **检查方式：**
    1.  登录后从请求的 `Authorization` 头部获取 JWT Token。
    2.  使用 `jwt.io` 等工具解码，检查其头部 `alg` 字段是否为 `none`，或是否使用了弱密钥。
    3.  如果算法为 `HS256` 且怀疑密钥强度不足，可尝试使用 `hashcat` 进行破解。
```bash
hashcat -m 16500 jwt_token.txt /usr/share/wordlists/rockyou.txt

三、专项突破策略

针对教育行业特有的系统，可以进行更深入的专项测试。

1. 教务系统专项（以正方系统为例）

• 默认路径： /jwglxt/xtgl/login_sso.html
• 常见漏洞：
  • 弱口令爆破： 登录接口无验证码或验证码可绕过。
  • 验证码缺陷： 存在 /jwglxt/xtgl/getCaptcha 接口，但返回的验证码未与 session 强绑定。
  • 越权风险： 请求参数中 yh_id（用户ID）直接控制查询对象，易导致水平越权。
• 版本指纹： 查看登录页面源码中的JS文件路径或注释，判断是否为存在已知漏洞的旧版本。

2. 在线考试系统

• 关键风险：
  • 前端时间控制： 考试倒计时仅由前端JS控制，通过浏览器调试工具修改本地时间即可跳过。
  • 题目预加载： 开始考试时一次性拉取所有题目到前端，可直接查看源码或网络请求获取答案。
  • 提交结果可控： 答题结果由客户端组装后提交，缺乏服务端校验和签名，可构造满分数据包重放。
• 抓包分析重点： 关注 startExam 到 submitExam 的整个数据流，检查是否有防篡改的签名机制。

3. 校园统一认证中心（CAS）

• 典型地址： /cas/login
• 攻击面：
  • Ticket泄露： 在CAS复杂的四次握手流程中，可能因逻辑缺陷导致服务票据（ST）泄露。
  • 开放重定向： service 参数未严格校验，可构造URL将用户跳转到恶意网站。
  • 会话劫持： TGT Cookie 未设置 HttpOnly 和 Secure 属性，若系统存在XSS漏洞，可窃取该Cookie实现任意用户登录。
    高效的信息收集能够帮助你更快速地定位到这些关键的认证入口和敏感参数。

总结与建议

教育行业SRC的漏洞挖掘是一个需要耐心和系统方法的过程。从广泛的资产发现开始，逐步聚焦到具体系统和功能点，再结合常见的漏洞类型进行深度测试，往往能取得不错的效果。在实战中，保持对新技术、新架构的学习也同样重要，例如越来越多的微服务API可能带来新的API安全风险。安全研究是一个持续学习和交流的过程，欢迎大家在 云栈社区 的相关板块分享你的实战经验和独到见解。