深入分析：钦州二中高中部网络架构

前言

暑假终于到了，赶紧来写一篇文章吧。

关于钦州二中高中部的网络结构的探究，一直都让我很好奇，直到在今天晚上，@Light leaf泄露了高一数学办公室的WLAN接入秘钥，因而得以一窥究竟。

起因

在为数不多进入高中老师办公室的时候，我发现有些计算机浏览器的地址栏是一个内网网址，以172.16开头。

这就引起了我的好奇，页面上显示的是钦州市第二中学的管理后台，要是能够看看就好了

但是我显然明白，没有老师会把账号和密码泄露给学生，因此只能靠自己了。

困难和解决办法

但是，由于局域网的隔离性，使得连接几乎不可能接入，没有接入局域网，就根本不可能查看对于页面。

首先，我们不可能直接使用教师的电脑进行操作，因而只能考虑使用无线接入的方式来接入局域网。

所以当我看到有人泄露了办公室秘钥的时候，我内心十分激动，直接跑下晚自习，拿着设备蹲在草丛里开始建立连接。

这里有一个小漏洞，由于办公室的路由器是TP-Link的，因而与教师网络的中国电信光猫的SSID不同，非常容易就看出来对应的网络。

为了安全，理论上应该完全关闭无线连接；若要保证教师能够使用WIFI，那么也应该使用与教室普通线路类似的SSID名称。

接入局域网

接入局域网后，我发现一个不好的事情： 由于时间太长，我已经忘记了对应的IP了。但是凭借着我的经验，我尝试了如下网关地址：

172.16.1.1
172.16.100.1
192.168.1.1
192.168.100.1
192.168.10.1
172.16.10.1

很不幸，最后一个才猜对，不过这也是意料之中，因为172.16开头的网络本来就不如192.168常见，而且居然采用的是10.1这样比较冷门的地址，因而浪费了一点点时间。

锁定了172.16.10这个网段以后，剩下就非常简单了，Windows操作系统中可以使用arp -a命令列出局域网的所有设备，Linux设备可以执行nmap 172.16.10.1/24命令扫描。

扫描大约使用了一分钟。

由于信息繁多，我就没有全部复制下来。总而言之，扫描到了四个有效IP：

172.16.10.11
172.16.10.22
172.16.10.66
172.16.10.201

这个IP结果挺少的，经过后续的访问测试，发现并没有任何计算机终端，不过联想到老师们应该不会主动启用网络发现（Win7/10）或者将网络设置为专用网络（Win11），这点似乎又可以理解。

尝试破解

扫描完毕后，我发现了172.16.10.11就是目标地址，联想之前在信奥赛教室也是手动配置IP，我推测这部分内网没用启用DHCP，为了保证管理页面地址不变动。

首先尝试入侵管理员，根据SQL数据第一项通常是管理员角色的逻辑（因为第一个用户会授予管理员权限），因此尝试SQL注入。

SQL注入逻辑

为了避免文章冗长，这里不详细介绍；有关信息请自行搜索。

我们知道，当用户登录网站时，需要会输入用户名和密码。

以下是一段正常的 SQL 查询代码：

SELECT * FROM users WHERE username = 'user1' AND password = 'password1';

但是，如果我们故意输入一些神奇的信息呢？

直接将恶意 SQL 代码嵌入用户输入中，可以影响查询逻辑，例如下面：

输入用户名：admin' OR '1'='1
输入密码：anything
执行的 SQL 查询：

SELECT * FROM users WHERE username = 'admin' OR '1'='1' AND password = 'anything';
结果：

OR '1'='1'这个表达式的结果总为 True，可以绕过验证。

或者采用这种注入方式：

用户名： admin' --
密码： anything

SQL 查询就会变成：

SELECT * FROM users WHERE username = 'admin' --' AND password = 'anything';

由于 – 是 SQL 的注释符号，系统会忽略密码条件，直接绕过身份验证。

这两种注入非常基础，因为都基于同一个原理：输入的单引号会使得单引号后面的内容不再视为输入内容，而是变成了代码的一部分，后面的判断总是为真，因而可以绕过验证。

我们看看二中的SQL是怎么应对的。

显然，二中采用了MS的SQL，不用自己编写防火墙规则，而微软也不是吃素的，对于有一个单引号直接看出了风险，终止了查询。

看来简单的SQL注入不成功，于是我开始小型爆破。

密码爆破

由于没有专业的设备在身边，我只能采用手动爆破，速率在每分钟7-8个秘钥这样，效率非常底下。

我对admin这个账号进行了如下的弱口令爆破：

admin
123456
12345678
12345
01234
0123456
test
qzez
qzez8888
qzez666
666666
test123456
test12345678
qwerty
qwerty123456
qwerty0000
0000
000000
qq22@@

以上弱口令均失败。

考虑到信息技术的老师们不大可能犯下这种错误，我又对各班主任进行弱口令尝试，也均以失败告终。

如图可以看到有一个很古老的数字验证码，没有任何背景干扰，在现在的AI面前根本不是什么难事。而且，每分钟7-8次的登陆请求速率（TPM）明显高于正常情况，还持续了五分钟，但是系统没有给出任何拒绝提示，推测其可能没有TPM限制。

2025.7.5更新

事实上，我根本不可能爆破得了老师的账户，因为用户名就开始错了。

聪明的你一定想到了，没错，这个就是用户名，真·用户名。

这个信息来源于我在教务处打印成绩证明的时候，工作人员输入的用户名就是真实姓名，但是密码长度的高达11位，已经达到了SSH连接的复杂度了。不妨计算一下，若每个字符有62种可能，即使系统对每个查询所用的时间为10ms，总时间都将是一个天文数字。

可以看出，在强密码的安全保护下，我们无法强行爆破，并且，由于特定电脑的公共性，其并没有启用密码保存（也可能是制度要求），总之，获取到管理员权限几乎不可能。

信息泄露

但是，尽管我们无法爆破密码，是不是就没有漏洞了呢？

这是不可能的。

任何系统都不可不出现漏洞，就算是一流的防御工程GFW也如此。

首先第一个就是架构的问题，根据上文的分析结果，其后端是SQL Sever，因此我们可以关注有关该SQL的相关漏洞信息，或者购买0Day漏洞以此来进攻。

其二，便是出现在教师的问题，这也是信息泄露的源头。

在我申请成绩证明的时候，我注意到相关管理界面，这足以让我得知很多消息，而泄露的源头恐怕就出现在各个小细节中。

• 某老师未向IT管理员请求支持，却向学生询问为何无法登入该管理后台。
• 某老师贪图方便，对登录密码进行了保存。
• 某老师为了导出学生成绩打开管理后台，却又将电脑交给学生使用。
• 某老师处于管理页面却未锁定屏幕。
• 某老师随意泄露办公室无线SSID密钥，提供远程接入的可能性。
• 该校IT管理员未将教师网络SSID伪装成教室类型。
• 该校IT管理员没有启用复杂的验证机制，甚至未设定TPM速率限制，这给字典爆破留下机会。
• 几乎没有老师会关注登录IP的变化。（可能受限于老师的信息技术水平）
• 如上一点，该校IT管理员未学习著名平台的做法，通过站内私信通知IP有新的更改。

这些细小的过失，是建立在善意和安全系统的假设上才为方便做出的让步。的确，如果建立在但是，值得注意的是，随着信息技术的不断发展，越来越多青少年具备一定的信息技术知识（有别于编程能力），这些漏洞加在一起，完全有可能交织泄露，最终酿成大祸。

我可以肯定的是我们能恪守coder的底线和原则，但是，不能排除有遭到破坏的可能性。若是一个老师的账号遭到入侵，按照办公后台的系统设计逻辑，里面必然存放着老师们的信息，例如手机号，邮箱等，这些个人信息的保护需要每一位老师的共同努力，任何老师的疏忽都可能导致功亏一篑。

目前已泄露的内容

通过这篇文章，许多同学都可能已经了解如何进行渗透操作。因此，我们没有披露接入内网的密钥和其他方法，从地理角度保护了信息安全。

看到这里的同学肯定有很多好奇心，那么我们就来披露一下吧：

主页界面：

• 具有IP登录查看模块

二级菜单

• 能够查看（所有）学生学籍和过往所有大考成绩
• （推测）应该能够看到同等级老师的手机号码等联系方式
• 具有权限分割，教务处有三个额外的菜单，包括学年管理和教师管理

德育量化系统

根据老师日常的德育量化截图以及二级菜单，推测有德育量化系统。

远程连接的可能性

经过跟CJY的交流以后，二中的网络大概浮现出水面：

该处于2025.07.05修正

172.16.10 等网段：内网部分

根据已经测得的数据：

• 5-101办公室为27网段
• 1-201办公室为4网段

该网段接入于每个教师办公室，从办公室中没有光纤单独接入的情况下，自然而然就想到的是使用交换机作为数据传输。

据测速信息显示：每间办公室的光猫为WIFI4标准，带宽在200-300M波动。

172.16.9 网段：电教部分

这一个网段分配给一些核心机构，例如电教办公室，电视台，音乐厅，报告厅，二中服务器等。

来源于CJY的信息显示，这些部分由两条千兆专线接入，为其提供网络保证。

该信息得到某一电教老师的证实。

可能的网段： 金融部分

由于我们每一次刷卡都会在信息平台上显示，因此这些设备必然联网，出于对金融系统的保护，应该对其单独分配一个网段。

这一个猜想可以通过使得热水卡机页面强行退出进入Win7桌面查看网关地址可验证。

该部分由于管控严格，难以直接测量。

由上述说明可以知道，如果能够在二中具有一台机器，通过远程网络连接进入10网段，便可进行进一步的研究。

尚未解决的疑惑

据CJY讲述，其在拍摄校长办公室时发现也有光纤接入，推测可能是废弃光纤（每个教室也都有两条，可能是早期的网络）

信息技术教室的网络归属：由于经过观察，信息教室没有接入单独光纤，只有几台大大交换机，不能分辨其属于哪一个网段。

无法摸清顶层交换机：由于交换机之间的可能的隔离策略，我们无法弄清楚顶层的交换机部署在哪里，极大可能是部署在校园网络中心，但是在外墙并没有看到明显的光缆盒子。

伦理

对任何计算机系统的入侵都是不道德且违法的。本研究中出现了三个主要的伦理考量。首先是实验数据的处理，例如我们在纵向实验中收集的数据。如果我们成功在未授权的情况下进入了管理系统，那么就有可能造成泄露数据的存储和分析。其次是对网络流的影响，我们的研究可能会干扰校园网络的正常运行。最后是披露的影响，披露是否会对已知的校园网络系统造成损害。

A. 数据处理

由于我们收集的数据可能包含敏感信息，可能会泄露。这一点会在C项中进行论述。

B.对网络流的影响

为了避免我们的研究对校园网网络的影响，我们选择了在周六晚22点左右进行测量；基于网络拓扑结构的理论认证，这一做法不会对教室的网络造成影响；同时，电视台，音乐厅等核心位置均未在使用中。这一做法有利于保护流量负载，同时我们未采用大范围的IP扫描和DDOS攻击，以此来减轻校园网的压力。

同时，当时位于数学办公室仅有三位老师，该研究所占用的带宽对其无明显影响。

C. 是否披露以及如何披露

披露此类漏洞也是复杂的。通过报告该漏洞，我们是否最终在“帮助”破坏校园网？还需要考虑立即披露和延迟披露之间的权衡：现在消除用户的隐私风险，还是花时间更深入地了解审查系统，以便可能在未来避免更大的风险和危害？

我们决定采取协调披露的策略，但只有在利用漏洞的机会尽可能多地了解，为了保证钦州二中网络的安全，我们将不会披露研究中所有得到的秘钥以及渗透的所有方法；我们仅仅只为了分析出校园网的网络结构。

结语

由于钦州二中的黑箱特性，对其的测量研究是非常困难的，我们非常欢迎懂得任何核心位置的秘钥所有者或者网络重要设备部署的同学跟我们联系。我们会尽己所能，努力分析出整个二中的网络情况。同时注重在伦理和技术之间取得平衡。

致谢

我们感谢所有为该研究做出贡献的老师以及同学们，你们的帮助是我们研究校园网络的重要动力。

还有信息处的卜老师和吴老师，你们披露的信息是我们研究的权威佐证来源和推测依据。

注：本文第二作者为CJY，默认已经匿名