通过按键精灵拿下珍爱网某服务器并内网随意游4500位员工私密信息随意看

NMAP批量扫描珍爱的子域名，然后发现一个域名有问题。话说NMAP真是神器，绝笔的神器。发现其中一个服务器存在redis漏洞。(话说，wooyun对redis真正有效的利用的文章太少太少了)。

oatest.oa.zhenai.com 存在redis 漏洞，看名字也知道是个测试服务器，但是！！！虽然是测试服务器，但是如果能进去，，，那么测试的服务器应该也连接珍爱的内网对吧？！

好了，我们通过连接进去，nmap已经提示是windows系统。

【重点】，(我看到有前辈来了，但是写了一个所谓的ssh，然后就跑了，windows服务器你写ssh，你能好好的愉快玩耍了吗)。

因为曾经看过猪哥的文章，找到网站目录写shell。。。 所以，这里我想到了，是不是可以找一下网站目录，但是怎么找？？？

首先我们收集可用信息。如图：

本以为网站目录就是：D:/wamp/www/ 后来发现错了。。。这怎么办？！

苦思冥思，病狗，答对了，我们可以利用【按键精灵】，来猜解目录，从这个配置来看，95%的可能性，网站目录在D盘，所以利用一个写好的简洁的小目录命令

配合按键精灵，直接执行命令，一个一个猜，如果正确会返回OK。。【PS：幸好，曾经为了玩游戏省事，苦心研究按键精灵脚本这块。】

最终猜解出来网站路径为：d:/www/

既然有网站路径了还不好说？！ 写shell。

利用命令

set bbcc "<?php @eval($_POST[cmd]);?>"

SHELL:http://oatest.oa.zhenai.com/index1.php 密码： cmd

提取这里就很好说了，没必要太费口舌！因为是windows2008服务器，

直接用ms15-051 什么的瞬秒！ 然后就是看漏洞证明喽。。。。。

你确定一个男的叫这名？！

----好大的内网！网络，这里要注意，它的内网！！！------------

------呃这是企业邮箱？！试试？好，那就试试-------

------果真进来了呢！-------

【又一个重点来了】：oa.zhenai.com 这个外网无法访问，内网可以访问。。。SO。我们继续。

近4500位员工？！？！ 好夸张。。。。 然后呢。这里可以随意更改这个员工的信息，，注意

随意更改他腾讯通的密码！！！！！你可能认为更改密码没用。。。错了，另一个重点就在这里了，因为腾讯通跟腾讯内部邮箱绑定的，所以只要进入这个员工的腾讯通，就等于进入他的邮箱。

而，只可以内部访问的OA系统，绑定的都是他们腾讯内部的邮箱。所以，我随便测试了一个。

---看上图【通过员工腾讯通--访问他内部所有邮件---访问他内部OA---近4500员工】----

最后不再深入了。真心怕碰到一些不该碰的数据然后被冤枉，被查水表！！！

SO，安全无小事，责任如泰山。

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2016-04-14 18:12

厂商回复：

安全无小事，责任重于山，谢谢。

最新状态：

暂无

1. 2016-04-13 11:30 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

   1

   不会写代码 但是会按键精灵啊

   1# 回复此人

2. 2016-04-13 11:31 | sysALong ( 普通白帽子 | Rank:464 漏洞数:100 | 在我们黑龙江这噶哒，就没有什么事是【撸串...)

   1

   本来想补充几张她们内部游玩的照片！！！ 全是妹子，，，但是质量。。。 算了好干尬，心思心思，就不补充了。。。不太好。

   2# 回复此人

3. 2016-04-13 11:34 | just_joker ( 普通白帽子 | Rank:124 漏洞数:22 | ..........)

   1

   好干尬 看到错别字，好尴尬

   3# 回复此人

4. 2016-04-13 11:38 | tangtanglove ( 路人 | Rank:20 漏洞数:7 | 一个对安全感兴趣的屌丝phper)

   1

   奔标题来的

   4# 回复此人

5. 2016-04-13 11:48 | Vern ( 普通白帽子 | Rank:748 漏洞数:108 | Keep It Simple, Stupid)

   1

   不会写代码 但是会按键精灵啊

   5# 回复此人

6. 2016-04-13 11:49 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)

   1

   不会写代码 但是会按键精灵啊

   6# 回复此人

7. 2016-04-13 11:54 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

   1

   这个要学习下 按键精灵能搞站

   7# 回复此人

8. 2016-04-13 11:55 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

   1

   6666

   8# 回复此人

9. 2016-04-13 14:37 | 诚殷的小白帽 ( 实习白帽子 | Rank:76 漏洞数:36 )

   1

   这tm挖洞都挖到按键上面去了

   9# 回复此人

10. 2016-04-13 14:47 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

    1

    不会写代码 但是会按键精灵啊

    10# 回复此人

11. 2016-04-13 14:59 | Sevck ( 路人 | Rank:2 漏洞数:2 )

    1

    屌

    11# 回复此人

12. 2016-04-13 15:00 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    1

    我要看过程

    12# 回复此人

13. 2016-04-13 15:07 | j14n ( 普通白帽子 | Rank:2226 漏洞数:401 )

    1

    按键 ddos？

    13# 回复此人

14. 2016-04-13 15:13 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

    1

    我要看妹子

    14# 回复此人

15. 2016-04-13 17:40 | tSt ( 普通白帽子 | Rank:109 漏洞数:30 | 在开发里运维最强，运维里网络最强，网络里...)

    1

    我已经有心理准备了，把妹纸照片发出来吧

    15# 回复此人

16. 2016-04-13 17:45 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

    1

    建议把妹纸打码

    16# 回复此人

17. 2016-04-13 17:55 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

    1

    打码没有小jj

    17# 回复此人

18. 2016-04-14 11:08 | sysALong ( 普通白帽子 | Rank:464 漏洞数:100 | 在我们黑龙江这噶哒，就没有什么事是【撸串...)

    1

    @prolog 可能让所有人失望了，提交洞的时候，真心考虑的有点复杂，她们公司内部游玩的照片什么的，心思心思，就不放了，所以整文，未涉及任何人的隐私。

    18# 回复此人

19. 2016-04-14 19:18 | 乌云小秘书 ( 普通白帽子 | 还没有发布任何漏洞 | 第1!绝对不意气用事!第2!绝对不漏判任何一...)

    1

    @sysALong 童话里都是骗人的

    19# 回复此人

20. 2016-04-14 19:40 | 白骨夫人 ( 普通白帽子 | Rank:248 漏洞数:56 | 白骨夫人，白只做白的，骨就是骨气，夫人就...)

    1

    666666666666

    20# 回复此人

21. 2016-04-14 21:43 | 西西 ( 普通白帽子 | Rank:1074 漏洞数:281 | 工欲善其事，必先利其器。)

    1

    标题的引力好强大，表示瞬间被吸过来了。

    21# 回复此人

22. 2016-05-04 18:29 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

    0

    用了1年多wamp 我都是装在d:/www下

    22# 回复此人

23. 2016-05-05 15:39 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    0

    说好的对我公开呢？

    23# 回复此人

24. 2016-05-29 23:18 | 北风飘然 ( 路人 | Rank:12 漏洞数:7 | 求个团队啊)

    0

    奔着妹子来的.......

    24# 回复此人