本文轉載于https://xz.aliyun.com/t/10392

記一次授權滲透測試

一：信息收集階段

因為目標是學校，一般會去考慮收集學號，教工號。因為有的登陸點需要此類信息，且密碼存在規律性（身份證后六位，123456）。

目標域名xxx.com

開始的時候，我是直接通過github搜索是否存在敏感信息泄露，運氣不賴，得到一個webvpn賬戶。語法：".xxx.com password"

效果如下：

然后通過企查查，天眼查等平臺，查詢目標網站備案信息，爆破了一下目標的子域名，盡可能收集的全面一些。在這里，通過在線域名查詢的時候，出來很多子域名，但這些子域名點開之后，大多都跳轉到了目標主頁，利用價值不大。

所以我之后選擇借助FOFA來繼續查詢，語法：domain="xx.com"，發現存在一個oa系統，經檢測，屬于藍凌OA。

這里就直接借助工具測試了一下，成功拿到webshell。

權限不是root，暫且放在這里。選擇繼續用webvpn賬戶進行探測。

二：WEBVPN突破

前期收集到的webvpn賬戶還沒用，主頁存在一個vpn系統，點擊之后跳轉到vpn.xx.com頁面。輸入賬號密碼，成功登錄。

登錄之后，點擊點一個系統進行查看，因為后臺掛著xray，檢測到了struts遠程代碼執行，借助工具進行驗證，驗證成功，可以執行系統命令。

選擇學工系統，利用剛剛爆破的賬號，同樣可以登錄。學生信息處，可以進行上傳，嘗試利用，利用失敗，但是在這里發現了一個有意思的點。修改Content-Type的類型為text/html，可以造成彈窗。

不過這個系統還是有可以利用的地方，具體參考https://forum.butian.net/share/198

測試的時候，也挖掘到了一個sql注入。

這里選擇了利用剛剛遠程代碼執行的系統，進行深入，進行powershell上線cs，進行內網滲透，

代理出來，進行內網掃描，探測web服務，以及ms17010.這里探測到一個web服務為云桌面，猜測是學校機房，密碼很簡單，就是123456.

這里存在一些桌面服務的密碼，F12，將type類型改為text，得到一串密碼。因為是云桌面，根據經驗一般存在域機器，直接探測172.16.0.0/16，查詢主機名，發現域機器，這里我使用了剛剛F12查看到的密碼，進行登錄，發現成功登錄，smb成功上線。

因為是域控，可以直接控制學校某樓的機房遠程開機關機，并監視。

最后收尾的時候，發現圖書館存在注入，同樣是注入到表名，沒有更加深入了。

總結就是：信息收集很重要，主要是暴露出來的OA和github搜索到的敏感賬戶信息，不然打進去不是這么容易，有0day除外

總結

以上是生活随笔為你收集整理的通过暴露出来的OA和github信息拿Shell的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。