免责声明：

本公众号致力于安全研究和红队攻防技术分享等内容，本文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担。请遵守中华人民共和国相关法律法规，切勿利用本公众号发布的技术或工具从事违法犯罪活动。最后，文中提及的图文若无意间导致了侵权问题，请在公众号后台私信联系作者，进行删除操作。

0x00 序

本文章仅供学习交流使用，请勿将文中所描述内容用于违法犯罪行为。

案例来自某次虎网，内容已脱敏处理。

0x01 打点过程

• 信息收集

  
  

对目标资产进行一个整理

·SSO/OA(可爆破用户名，即单个密码可爆破若干用户名，账号/密码)

·xx协同平台(不可爆破，手机号/密码)

·业务系统等

• SSO  

那首先从软柿子开始捏，进行一个爆破SSO，密码123456开冲

好好好，直接撞了好几个弱口令下来    

刚开始看到用户管理还以为是高权限账号，后续发现这就是一个通讯录的功能，但是发现不同账号有不同的权限，即系统中的角色

但是可以通过这里拿到该公司人员的手机号，也算出了点作用

• OA  

OA的密码跟SSO的不太一样，但是发现存在使用了shiro框架，拿工具跑一下    

有key无链，寄！具体无链打法没研究过，跳过！

• 协同平台  

上面提到的SSO应该是业务系统SSO，这个应该是办公系统SSO

照样通过弱口令123456+SSO里搜集到的手机号进行一个手动爆破

好好好，都是弱口令是吧，成功撞到协同平台主管理员（后续把拉的所有手机号都跑了一遍，就这个主管理员是弱口令，运气好）    

然后发现在协同平台里配置了跳转，包括以下：

·腾讯企业邮箱

·堡垒机JumpServer（内网）

·Confluence（内网）

·Gitlab（内网）

·Jenkins（内网）

那么我们现在就需要一条通往内网的隧道，但是我们只有一个腾讯企业邮箱可以利用，那就直接发钓鱼邮件吧

在协同平台通讯录里直接定位开发运维人员，JumpServer是需要管理员把主机授权给相应人员的，因此一般只有开发运维人员才会得到授权使用堡垒机中的机器。

然后在历史邮件里翻了一下邮件格式，直接伪造钓鱼邮件发送    

成功上线若干台主机这里本来是要在个人PC上起代理的，但是客户端有点问题因此直接通过cs的正向代理+JumpServer的批量命令，直接一条命令把代理上到生产服务器上去了，或者这里也可以直接使用一些公有云的云助手进行运控，后续打穿内网就不多赘述了。

0x02 总结

主要还是靠信息搜集（手机号/邮箱+邮箱格式/）+一点点运气（弱口令/员工安全意识薄弱），没有用漏洞来打点，最后完成打穿内网成就，真是痛快的一次战斗呢    

0x03 加入我们

后台回复“加群”或“小助手”，或扫描下方二维码加入我们的付费圈子，一起进步吧

原文始发于微信公众号（Lambda小队）：一次通过信息搜集打点