钦州市第二中学高中部网络结构分析

前言

我怎么每次都喜欢写前言。。。

关于钦州二中高中部的网络结构的探究，一直都让我很好奇，在今天晚上，@Light leaf泄露了高一数学办公室的WLAN接入秘钥，因而得以一窥究竟。

警告：未完善的页面，将在暑假完成

起因

在为数不多进入高中老师办公室的时候，我发现有些计算机浏览器的地址栏是一个内网网址，以172.16开头。

这就引起了我的好奇，页面上显示的是钦州市第二中学的管理后台，要是能够看看就好了

但是我显然明白，没有老师会把账号和密码泄露给学生，因此只能靠自己了。

困难和解决办法

但是，由于局域网的隔离性，使得连接几乎不可能接入，没有接入局域网，就根本不可能查看对于页面。

首先，我们不可能直接使用教师的电脑进行操作，因而只能考虑使用无线接入的方式来接入局域网。

所以当我看到有人爆出来办公室秘钥的时候，我内心十分激动，直接跑下晚自习，拿着设备蹲在草丛里开始建立连接。

这里有一个小漏洞，由于办公室的路由器是TPlink的，因而与教师网络的中国电信光猫的SSID不同，非常容易就看出来对应的网络。

为了安全，理论上应该完全关闭无线连接；若要保证教师能够使用WIFI，那么也应该使用与教室普通线路类似的SSID名称。

接入局域网

接入局域网后，我发现一个不好的事情： 由于时间太长，我已经忘记了对应的IP了。但是凭借着我的经验，我尝试了如下网关地址：

172.16.1.1
172.16.100.1
192.168.1.1
192.168.100.1
192.168.10.1
172.16.10.1

很不幸，最后一个才猜对，不过这也是意料之中，因为172.16开头的网络本来就不如192.168常见，而且居然采用的是10.1这样比较冷门的地址，因而浪费了一点点时间。

锁定了172.16.10这个网段以后，剩下就非常简单了，Windows操作系统中可以使用arp -a命令列出局域网的所有设备，Linux设备可以执行nmap 172.16.10.1/24命令扫描。

扫描大约使用了一分钟。

由于信息繁多，我就没有全部复制下来。总而言之，扫描到了四个有效IP：

172.16.10.11
172.16.10.22
172.16.10.66
172.16.10.201

这个IP结果挺少的，经过后续的访问测试，发现并没有任何计算机终端，不过联想到老师们应该不会主动启用网络发现（Win7/10）或者将网络设置为专用网络（Win11），这点似乎又可以理解。

尝试破解

扫描完毕后，我发现了172.16.10.11就是目标地址，联想之前在信奥赛教室也是手动配置IP，我推测这部分内网没用启用DHCP，为了保证管理页面地址不变动。

首先尝试入侵管理员，根据SQL数据第一项通常是管理员角色的逻辑（因为第一个用户会授予管理员权限），因此尝试SQL注入。

SQL注入逻辑

为了避免文章冗长，这里不详细介绍；有关信息请自行搜索。

我们知道，当用户登录网站时，需要会输入用户名和密码。

以下是一段正常的 SQL 查询代码：

SELECT * FROM users WHERE username = ‘user1’ AND password = ‘password1’;

但是，如果我们故意输入一些神奇的信息呢？

直接将恶意 SQL 代码嵌入用户输入中，可以影响查询逻辑，例如下面：

输入用户名：admin' OR '1'='1
输入密码：anything
执行的 SQL 查询：

SELECT * FROM users WHERE username = 'admin' OR '1'='1' AND password = 'anything';
结果：

OR ‘1’=’1’ 总为 true，可以绕过验证。

或者采用这种注入方式：

用户名： admin' --
密码： anything

SQL 查询就会变成：

SELECT * FROM users WHERE username = 'admin' --' AND password = 'anything';

由于 – 是 SQL 的注释符号，系统会忽略密码条件，直接绕过身份验证。

这两种注入非常基础，因为都基于同一个原理：输入的单引号会使得单引号后面的内容不再视为输入内容，而是变成了代码的一部分，后面的判断总是为真，因而可以绕过验证。

我们看看二中的SQL是怎么应对的。

显然，二中采用了MS的SQL，不用自己编写防火墙规则，而微软也不是吃素的，对于有一个单引号直接报错，终止了查询。

看来简单的SQL注入不成功，于是我开始小型爆破。

密码爆破

由于没有专业的设备在身边，我只能采用手动爆破，速率在每分钟7-8个秘钥这样，效率非常底下。

我对admin这个账号进行了如下的弱口令爆破：

admin
123456
12345678
12345
01234
0123456
test
qzez
qzez8888
qzez666
666666
test123456
test12345678
qwerty
qwerty123456
qwerty0000
0000
000000
qq22@@

以上弱口令均失败。

考虑到信息技术的老师们不大可能犯下这种错误，我又对各班主任进行弱口令尝试，也均以失败告终。

如图可以看到有一个很古老的数字验证码，没有任何背景干扰，在现在的AI面前根本不是什么难事。而且，每分钟7-8次的登陆请求速率（TPM）明显高于正常情况，还持续了五分钟，但是系统没有给出任何拒绝提示，推测其可能没有TPM限制。

我打算在暑假时继续对该SQL数据库进行分析工作，需要注意的是，该研究完全出于学术研究目的。

远程连接的可能性

有些通晓网络知识的同学可能会说：你怎么能在你家里面访问到二中的内网呢，这不是胡说嘛，你前面才说过你就是接入不了局域网才导致研究没有进展吗，为什么又可以呢？

这就不得不提一位人物——CJY.

经过跟他的交流以后，二中的网络大概浮现出水面：

172.16.10 网段：内网部分

该网段接入于每个教室办公室，从办公室中没有光纤单独接入的情况下，自然而然就想到的是使用交换机作为数据传输。

据测速信息显示：每间教室的光猫为WIFI4标准，带宽在200-300M波动。

172.16.9 网段：电教部分

这一个网段分配给一些核心机构，例如电教办公室，电视台，音乐厅，报告厅，二中服务器等。

来源于CJY的信息显示，这些部分由两条千兆专线接入，为其提供网络保证。

该信息得到某一电教老师的证实。

可能的网段： 金融部分

由于我们每一次刷卡都会在信息平台上显示，因此这些设备必然联网，出于对金融系统的保护，应该对其单独分配一个网段。

这一个猜想可以通过使得热水卡机页面强行退出进入Win7桌面查看网关地址可验证。

该部分由于管控严格，难以直接测量。

由上述说明可以知道，如果能够在二中具有一台机器，通过远程网络连接进入10网段，便可进行进一步的研究。

尚未解决的疑惑

据CJY讲述，其在拍摄校长办公室时发现也有光纤接入，推测可能是废弃光纤（每个教室也都有两条，可能是早期的网络）

信息技术教室的网络归属：由于经过观察，信息教室没有接入单独光纤，只有几台大大交换机，不能分辨其属于哪一个网段。

无法摸清顶层交换机：由于交换机之间的可能的隔离策略，我们无法弄清楚顶层的交换机部署在哪里，极大可能是部署在校园网络中心，但是在外墙并没有看到明显的光缆盒子。

伦理

对任何计算机系统的入侵都是不道德且违法的。本研究中出现了三个主要的伦理考量。首先是实验数据的处理，例如我们在纵向实验中收集的数据。如果我们成功在未授权的情况下进入了管理系统，那么就有可能造成泄露数据的存储和分析。其次是对网络流的影响，我们的研究可能会干扰校园网络的正常运行。最后是披露的影响，披露是否会对已知的校园网络系统造成损害。

A. 数据处理

由于我们收集的数据可能包含敏感信息，可能会泄露。这一点会在C项中进行论述。

B.对网络流的影响

为了避免我们的研究对校园网网络的影响，我们选择了在周六晚22点左右进行测量；基于网络拓扑结构的理论认证，这一做法不会对教室的网络造成影响；同时，电视台，音乐厅等核心位置均未在使用中。这一做法有利于保护流量负载，同时我们未采用大范围的IP扫描和DDOS攻击，以此来减轻校园网的压力。

同时，当时位于数学办公室仅有三位老师，该研究所占用的带宽对其无明显影响。

C. 是否披露以及如何披露

披露此类漏洞也是复杂的。通过报告该漏洞，我们是否最终在“帮助”破坏校园网？还需要考虑立即披露和延迟披露之间的权衡：现在消除用户的隐私风险，还是花时间更深入地了解审查系统，以便可能在未来避免更大的风险和危害？

我们决定采取协调披露的策略，但只有在利用漏洞的机会尽可能多地了解，为了保证钦州二中网络的安全，我们将不会披露研究中所有得到的秘钥以及渗透的所有方法；我们仅仅只为了分析出校园网的网络结构。

结语

由于钦州二中的黑箱特性，对其的测量研究是非常困难的，我们非常欢迎懂得任何核心位置的秘钥所有者或者网络重要设备部署的同学跟我们联系。我们会尽己所能，努力分析出整个二中的网络情况。同时注重在伦理和技术之间取得平衡。

致谢

我们感谢所有为该研究做出贡献的人们，你们的帮助是我们研究校园网络的重要动力。

还有信息处的卜老师和吴老师，你们披露的信息是我们研究的权威佐证来源和推测依据。

注：本文第二作者为CJY，默认已经匿名