前言

这是本系列第二篇文章，仍然是某省HVV中的红队阅历，这次的目的是某著名饮料企业。
上一篇写的有点水，更像是成果展现了，我这次着重写外网打点的整个思绪流程。PS:关于上一篇，曾经略微补充了一些，但可能还是不够饱满，主要缘由是浸透过程的确简单，另一个缘由是当时进入内网过程比拟敏感，不太便当多说(还想毕业)。
这次的整个流程大约是：信息搜集->SSO弱口令->源码泄露->SQL注入->密码复用->VPN进入内网，都是很根底的操作，组合拳打起来进的内网。
转载请注明出处，谢谢。

1.信息搜集+SSO弱口令

首先子域名爆破，找到一个sso.example.com.cn（以下都用example替代），网站的title是“xxx集团单点登录系统”，登录不需求考证码，直接丢进burp开端爆破。我的习气是先[常见用户名+常见密码]爆一下，不行的话再[常见人名+123456等密码爆一下]，真实不行再思索[常见人名+常见密码]。
很侥幸，只用123456我们就得到了几十个能登录的用户名，比方litao、wangwei、zhangkai、liupeng等。
此外我们经过子域名爆破还找到了多个运用单点登录系统的网站，如网络学院、培训系统、桶装水、运输系统、销售系统等。
首先看了下上述网站有没有破绽能够传马，网络学院能够上传用户的照片，但是会强迫转换成png类型；桶装水、运输系统等都是用flash写的，看起来相当长远了，先疏忽。
唯独培训系统，登进去空白一篇，只要几个侧边栏按钮能够点击。当时也觉得是个废弃的系统，也先不论。

2.人事APP

从子域名爆破的信息里找到了app.example.com.cn，在虚拟机装置其安卓版本的app之后，发现也能够用单点登录系统来登录。
登录后能够查看本人的身份信息、工资信息等，最有趣的是一个公司的通讯录，写着工号、部门、职位等。

抓了下app的包，触及的接口及扫到的其他接口都没有破绽，先放置。

3.源码泄露

别的路子没打通，又回来看1中提到的培训系统。右键查看源码，去github搜了下，找到了当时开发的源代码，同时还有一些内网的地址和效劳配置密码等，简单审计发现这个系统是需求一定权限才干显现更多信息。
接着从2中招可能具有权限的用户(且弱口令)来登录，最后找到一个某部门的主管登录后能够显现培训系统的内容。

4.SQL注入

从3登录的系统，简单测了下某几个接口，发现某个培训数据挑选的接口存在SQL注入。

直接丢进sqlmap一把梭。发现有这三个库：

[*] information_schema
[*] pg_catalog
[*] public

select version(): 'PostgreSQL 11.3 on x86_64-pc-linux-gnu, compiled by gcc (GCC) 4.8.5 20150623 (Red Hat 4.8.5-36), 64-bit'

感谢您的来访，获取更多精彩文章请收藏本站。