偶然发现本校电子资源系统webvpn(wengine-vpn)存在SSRF漏洞

渗透测试需要授权,本漏洞已联系学校修复,文档仅为技术复盘且已脱敏

了解目标系统

偶然发现我自己学校的电子资源系统的原理是webvpn 也就是相当于可以用学校内网的机器访问某些学术网站实现登陆授权 但如果没有配置好白名单就可导致访问内网资源

image-20260324162743266

我们先来观察一下url的格式 可以看到第一个为请求协议 第二个应该是是某种加密或编码后的url地址

1
http://vpn.xxxx.edu.cn/https/77726476706e69737468656265737421e4e446d2363c6645300d8db9d6562d/szzy.htm

然后我们直接把里面编码后的url地址进行修改 例如修改一个字符再尝试访问

回显如下 在url里面显示出了是wengine-vpn系统

image-20260324163630961

直接搜一下这个webvpn系统 其实有写好的解密工具 用工具就可以直接实现内网访问

我一开始不知道有工具 在前端看见泄漏了key(和这个效果应该是一样的

image-20260324163839233

利用webvpn特性+文件上传漏洞实现内网访问

其实也不需要这么麻烦 webvpn也一个特性是 如果遇到访问的网址有跳转的话 会自己做好加密编码

image-20260324170222903

利用网站的多级跳转跳到一个自己掌握一点点漏洞的url里面(这个漏洞其实就是最简单的文件上传 是不可解析的 纯html的文件上传

这个有在之前的社团周报里面写过 但是当时提交漏洞的时候是按照存储型XSS提交的

https://blog.x-z-z.com/article/2026-02-06-16-52#XSS%E6%BC%8F%E6%B4%9E-SRC%E6%8C%96%E6%B4%9E%E5%AE%9E%E6%88%98

从学校公告中获知内网存在自助服务平台 10.240.10.1:8080/selfservice/

image-20260306002528813

用加密脚本加密或者上传一个带有对应链接的页面打开即可 即可访问内网资源

image-20260324201334471

交到edusrc喜提2rank

image-20260324201500873