震惊,发现学校上万名同学信息遭到泄露

本文章是为了普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征,挖掘技巧等。

本文作者:EEE

一、背景

事情是这样的,笔者是咱们合粉网络安全俱乐部一员。也是大三党一枚。

身边的很多小伙伴在开学拿到的账号密码都是默认密码,不进行修改,

而默认密码和学号是一样的,很容易被别人窃取利用。

作为正义的小伙伴当然义不容辞的提醒朋友:

“啊啊啊啊,你不能这样啊,这样的话别人就可以看见你的信息啦!!”

“嘿,你这个默认密码会被别人猜出来的!! 别人可以拿着你的信息干坏事的。”

Emmmmm

时间长了,我说的也烦了。大家安全意识仍然很薄弱,那就写个脚本跑一下看看有多少人没有更改密码呢?

二、程序

先通过手动抓包,看一看提交密码之后。 向服务器传递了什么信息

震惊,发现学校上万名同学信息遭到泄露 改稿----最终版301.png

作为爬虫肯定要有 要模拟访问登陆的头文件

image.png

根据上面的抓包,我们看见了,是post请求提交了账号和密码。

而传递的信息只有两条

一个是 zjh(账号)

另一个是 mm(密码)

思路是这样,先写个账号生成器。

将生成的账号发送到队列里面

再写一个账号校检器:

因为生成的账号,不一定是存在的,

通过反馈信息,是否为在网账号,如果是在网账号的话,来判断是否为弱口令。

(1)账号生成器部分:

教务系统是九位的学号,
前三位是年级信息,之后分别是 学院,专业,班级,最后两位才是所在班级的学号

举个例子:15 02 07 101

15为15年级

02代表经济管理学院

07代表电子商务专业

1代表电商一班

01代表学号为1

(这个需要看具体情况,前期要做好信息的收集工作,笔者采用的方法是,

问几个其他学院的同学的学号…推算得出)

命名规则基本上是这样的

这样的话 账号生成器就做好了

(2) 账号校检器:

然后通过服务器响应的信息,来判断的几种情况制作账号校检器:

登陆请求参数。

image.png

1. 账号生成器生成的账号并不是学生的学号(则提示证件号不存在)

image.png

2. 号生成器生成的账号是学生的账号

(1)是弱口令密码 (则提示账号可用)

(2)学生修改过密码 (则提示密码不正确)

image.png

开始的准备工作先做好,方便后面的统计

image.png

程序将反馈的信息 先放到res_text里面

image.png

然后根据find函数获取反馈的关键字。

image.png

如果单纯密码错误的话,我们加入到account_valid里面说明账号存在

如果不是证件号不存在的话,那就该是证件号存在了。

重复上一步加入到account_valid里面说明账号存在

并且将这个行放进account_append里面说明账号可用

image.png

最后将爬取到的账号进行分析计算

三、总结

以上都是思路部分,那么结果呢?

image.png

对没错,整个学校有一万名学生 因为自己没有更改自己的密码,从而可以导致自己的信息泄露。

其中大一新生的防范意识最差,全军覆没。

高达95%的学生没有更改自己的初始密码。

什么,你不信这些能泄露什么?

我就拿我自己的个人学籍界面 给大家看一眼。

image.png

其中包括 个人通讯地址,联系方式,高考分数,证件号码,照片等重要个人信息。

就是这样的界面,继续深入的话可以全部把设置弱口令的信息都爬下来

四、思考

本校学生有13600多人,

因意识薄弱未修改初始密码的就有10864人,

全校信息泄露平均比例:79.88%

如果黑色产业链,专门针对对于高校教务系统进行下手,

那么,全国上百万的高校学生信息,因为教务系统的弱口令而引发的信息泄露,情况危在旦夕。

五、声明

文章是为了普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征,挖掘技巧等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明。

发表评论

已有 2 条评论

取消
Loading...
css.php