文章来源：首发先知社区（ddwGeGe）

原文地址：https://xz.aliyun.com/t/11960

前言

以下提及的漏洞都提交到edusrc平台进行修复，大佬勿喷。

信息收集

在外网进行系统测试，发现大部分都需要统一身份认证，瞅瞅该目标单位的统一身份认证要求，可以看到初始密码的规则是 [email protected]后六位，用户名是学号。

利用相关语法 site:xxx.edu.cn "学号|SFZ|密码"等，未找到有效信息，想到用类似 "助学金、奖学金、补贴"等关键词，发现一处敏感信息泄露，及时保存下来，没准就成为后面突破的一个节点。

信息整合

从统一身份认证登录的条件来看，我们可得出以下几点

1、用户是学号
2、SFZ后六位
3、已知部分用户的SFZ后五位

学号可以利用相关语法找到 site:xxx.edu.cn "姓名"等等，举例

由于SFZ倒数第六位+第五位是生日的日，那最高不超过31，而且倒数第五位已经确定了，可以构造如下（默认密码的规则是 [email protected]+SFZ后六位，以下是举例 非真实）

[email protected]
[email protected]
[email protected]

最终在尝试第二个的时候，成功以默认密码登录

突破

可以看到需要更改密码，但前提是需要输入完整的SFZ号码，将当前的信息继续整合，已经知道某个用户的SFZ前七位+后六位，中间的数字是打码，其实不难猜出，只剩下年份的后三位(1999的999) + 月份(01 且不超过12)，其余的就交给Burp了，肯定有小伙伴问，年份如何确定了，毕竟还是很多的。其实是根据用户当前的年段（如大三），再结合自身，进行反推，大概是在 199x，最终成功修改密码。

锁定年份 199X(X是数字)、爆破月份

继续X+1，爆破月份

由于统一身份认证和VPN绑定，成功拿到VPN权限，可通过多个内网段

拿到统一身份认证平台，就可以跳转到多个系统进行测试（不在后续深入 点到为止）

补充：最后也顺利拿到了一个EDU证书，无论是漏洞挖掘还是打点，信息收集非常重要，装配好Burp插件没准有意外惊喜，如果扫到源码可以尝试审计，或者根据指纹搜索同类型的系统尝试进行漏洞挖掘(如js特征等)，或者找一些老版本的进行测试，日常攻防发现的漏洞复盘深入一下没准也是一个小通用，以下是今年攻防和日常挖洞侥幸发现的。

关注公众号后台回复数字 1126 获取 应急响应实战笔记，1127 - ctf工具集合，1230 - 内网工具，3924 - 弱口令爆破工具。