本文章仅供学习交流使用，请勿将文中所描述内容用于违法犯罪行为。

案例来自某次虎网，内容已脱敏处理。

• 信息收集

  
  

对目标资产进行一个整理

·SSO/OA(可爆破用户名，即单个密码可爆破若干用户名，账号/密码)

·xx协同平台(不可爆破，手机号/密码)

·业务系统等

• SSO  

那首先从软柿子开始捏，进行一个爆破SSO，密码123456开冲

好好好，直接撞了好几个弱口令下来    

刚开始看到用户管理还以为是高权限账号，后续发现这就是一个通讯录的功能，但是发现不同账号有不同的权限，即系统中的角色

但是可以通过这里拿到该公司人员的手机号，也算出了点作用

• OA  

OA的密码跟SSO的不太一样，但是发现存在使用了shiro框架，拿工具跑一下    

有key无链，寄！具体无链打法没研究过，跳过！

• 协同平台  

上面提到的SSO应该是业务系统SSO，这个应该是办公系统SSO

照样通过弱口令123456+SSO里搜集到的手机号进行一个手动爆破

好好好，都是弱口令是吧，成功撞到协同平台主管理员（后续把拉的所有手机号都跑了一遍，就这个主管理员是弱口令，运气好）    

然后发现在协同平台里配置了跳转，包括以下：

·腾讯企业邮箱

·堡垒机JumpServer（内网）

·Confluence（内网）

·Gitlab（内网）

·Jenkins（内网）

那么我们现在就需要一条通往内网的隧道，但是我们只有一个腾讯企业邮箱可以利用，那就直接发钓鱼邮件吧

在协同平台通讯录里直接定位开发运维人员，JumpServer是需要管理员把主机授权给相应人员的，因此一般只有开发运维人员才会得到授权使用堡垒机中的机器。

然后在历史邮件里翻了一下邮件格式，直接伪造钓鱼邮件发送    

成功上线若干台主机这里本来是要在个人PC上起代理的，但是客户端有点问题因此直接通过cs的正向代理+JumpServer的批量命令，直接一条命令把代理上到生产服务器上去了，或者这里也可以直接使用一些公有云的云助手进行运控，后续打穿内网就不多赘述了。

主要还是靠信息搜集（手机号/邮箱+邮箱格式/）+一点点运气（弱口令/员工安全意识薄弱），没有用漏洞来打点，最后完成打穿内网成就，真是痛快的一次战斗呢    

后台回复“加群”或“小助手”，或扫描下方二维码加入我们的付费圈子，一起进步吧

原文始发于微信公众号（Lambda小队）：一次通过信息搜集打点