网络安全攻防演练比赛层出不穷的大背景下，随即产生组织一支安全团队的想法，目的在于针对对抗赛中一些经典案例进行分享，梳理攻击思路的同时也为后续比赛提供参考！仅此而已！

出师不利

        近期参加某官方组织的一次攻防演练比赛。从周二下午开始分配目标至周日下午结束，共计七天时间。以往参加比赛均提供攻击目标与相应互联网资产，此次比赛官方仅提供攻击目标公司与靶标系统名称而已，通常是按照所提供的资产进行周边信息收集寻找突破口，进而拿下靶标系统！

大海捞针/柳暗花明

        在大量信息中筛选仅一两条有效信息后，仍旧无进展！回头盯着这靶标系统名称发呆，（目标YY公司：靶标XX系统）两个格格不入的名称有点刺眼，大胆猜测XX系统应该是以技术支持单位命名。

DNS反查IP地址-->端口扫描-->3306开放-->数据库口令爆破-->寻找关联信息，一气呵成！

常规操作

8080端口，什么？目录遍历

尝试以姓名汉拼为账户配合密码无效、手机号为账户配合密码无效？仅为调试信息？云虚拟账号拨打电话，正常有人接听，听口音也符合当地语言特点用标准普通话回复“不好意思，打错了”（估计对方一脸懵逼）；ID值1存在,利用遍历ID值尝试读取其他OA账户信息，轻松拿下所有账户信息。

多个账户信息尝试后，确定8090端口应用以汉字为用户名配合密码登录系统；至此目标系统外网靶标已拿下。

继续深入

 经过针对以上系统进行测试，结论为“框架相较成熟、未发现利用点”，更换9000端口系统

手机号为账户，密码不正确！懒得一一尝试怎么办？验证码登录？爆破验证码？说干就干，挑选羔羊怎么能放过admin，输入手机号-->获取验证码（账户会收到正常短信，估计大哥报警的心都有了）-->输入任意验证码，登录时抓包-->爆破验证码-->拿爆破到验证码的repeaterHTTP200替换正常报错的HTTP200-->成功验证码登录系统

frp建立隧道，形成从外网到内网的跳板

 敏感系统，无奈全码；至此获取目标所有权限，目标系统满分。

致谢

    非常感谢**科技有限公司提供的数据库弱口令，获取到目标系统的互联网相关资产信息。长点心吧！