一：信息收集階段

因?yàn)槟繕?biāo)是學(xué)校，一般會(huì)去考慮收集學(xué)號(hào)，教工號(hào)。因?yàn)橛械牡顷扅c(diǎn)需要此類(lèi)信息，且密碼存在規(guī)律性（身份證后六位，123456）。

目標(biāo)域名xxx.com【查看資料】

開(kāi)始的時(shí)候，我是直接通過(guò)github搜索是否存在敏感信息泄露，運(yùn)氣不賴(lài)，得到一個(gè)webvpn賬戶(hù)。語(yǔ)法：".xxx.com password"

效果如下：

然后通過(guò)企查查，天眼查等平臺(tái)，查詢(xún)目標(biāo)網(wǎng)站備案信息，爆破了一下目標(biāo)的子域名，盡可能收集的全面一些。在這里，通過(guò)在線域名查詢(xún)的時(shí)候，出來(lái)很多子域名，但這些子域名點(diǎn)開(kāi)之后，大多都跳轉(zhuǎn)到了目標(biāo)主頁(yè)，利用價(jià)值不大。

所以我之后選擇借助FOFA來(lái)繼續(xù)查詢(xún)，語(yǔ)法：domain="xx.com"，發(fā)現(xiàn)存在一個(gè)oa系統(tǒng)，經(jīng)檢測(cè)，屬于藍(lán)凌OA。

這里就直接借助工具測(cè)試了一下，成功拿到webshell。

權(quán)限不是root，暫且放在這里。選擇繼續(xù)用webvpn賬戶(hù)進(jìn)行探測(cè)。

二：WEBVPN突破

前期收集到的webvpn賬戶(hù)還沒(méi)用，主頁(yè)存在一個(gè)vpn系統(tǒng)，點(diǎn)擊之后跳轉(zhuǎn)到vpn.xx.com頁(yè)面。輸入賬號(hào)密碼，成功登錄。

登錄之后，點(diǎn)擊點(diǎn)一個(gè)系統(tǒng)進(jìn)行查看，因?yàn)楹笈_(tái)掛著xray，檢測(cè)到了struts遠(yuǎn)程代碼執(zhí)行，借助工具進(jìn)行驗(yàn)證，驗(yàn)證成功，可以執(zhí)行系統(tǒng)命令。

選擇學(xué)工系統(tǒng)，利用剛剛爆破的賬號(hào)，同樣可以登錄。學(xué)生信息處，可以進(jìn)行上傳，嘗試?yán)茫檬。窃谶@里發(fā)現(xiàn)了一個(gè)有意思的點(diǎn)。修改Content-Type的類(lèi)型為text/html，可以造成彈窗。

不過(guò)這個(gè)系統(tǒng)還是有可以利用的地方，具體參考
https://forum.butian.net/share/198

測(cè)試的時(shí)候，也挖掘到了一個(gè)sql注入。

這里選擇了利用剛剛遠(yuǎn)程代碼執(zhí)行的系統(tǒng)，進(jìn)行深入，進(jìn)行powershell上線cs，進(jìn)行內(nèi)網(wǎng)滲透，

代理出來(lái)，進(jìn)行內(nèi)網(wǎng)掃描，探測(cè)web服務(wù)，以及ms17010.這里探測(cè)到一個(gè)web服務(wù)為云桌面，猜測(cè)是學(xué)校機(jī)房，密碼很簡(jiǎn)單，就是123456.

這里存在一些桌面服務(wù)的密碼，F(xiàn)12，將type類(lèi)型改為text，得到一串密碼。因?yàn)槭窃谱烂妫鶕?jù)經(jīng)驗(yàn)一般存在域機(jī)器，直接探測(cè)172.16.0.0/16，查詢(xún)主機(jī)名，發(fā)現(xiàn)域機(jī)器，這里我使用了剛剛F12查看到的密碼，進(jìn)行登錄，發(fā)現(xiàn)成功登錄，smb成功上線。

因?yàn)槭怯蚩兀梢灾苯涌刂茖W(xué)校某樓的機(jī)房遠(yuǎn)程開(kāi)機(jī)關(guān)機(jī)，并監(jiān)視。

最后收尾的時(shí)候，發(fā)現(xiàn)圖書(shū)館存在注入，同樣是注入到表名，沒(méi)有更加深入了。

總結(jié)就是：信息收集很重要，主要是暴露出來(lái)的OA和github搜索到的敏感賬戶(hù)信息，不然打進(jìn)去不是這么容易，有0day除外。