一个sso登录就这么水灵灵的绕过了？

SSO登录绕过

开局一个sso登录平台，这个验证码其实很好绕，但一般攻防都是争分夺秒的，爆破只能是无奈之举，况且我们此时不知道用户名以及密码规则，所以先看看忘记密码处有没有什么利用点。

哎嘿，很明显登录账号是四位数工号，这爆破起来就简单多了。

先随便填个数试试，提示手机号不存在，难道要输入正确的工号和手机号才可以？先别急，去看看数据包是什么样的。

呦呵，这就直接返回邮箱手机号啥的了？屏幕前的大黑阔被惊到了吧，别急，后面还有更离谱的。

使用刚才返回的手机号13***************登录抓包，发现验证码和登录包是分开验证的，输对验证码再发登录验证的包，所以抓到登录包就能直接爆破了。

当密码为空时成功返回登录凭证，典型的任意用户空密码登录绕过，还好我字典里有空密码。

登录之后看到7个系统，下一步的思路很简单，首先进OA找到管理员或者开发账号，然后依次登录各个系统，搜素vpn、数据库、密码等关键字。

信息搜集进内网

邮箱搜索vpn发现该公司使用了深信服的vpn

查看《**VPN使用教程.docx》看到了内网网段和连接地址等信息。

功夫不负有心人，果然让我找到了。

登录之后看到分配的ip是172段，其实这个段什么都没有，但别忘了在前面文档中看到的192段。此处刚好省去了工具探测的步骤，能够更精准的定位资产，否则就是在给防守方应急响应留出缓冲时间。

后面就是利用域内弱口令机器找域控服务进程，抓取hash得到域管权限，其他成果就不赘述了，主要是过程中的几个点，如果不是运气好也就没这篇文章了，还有什么疑问请在评论区留言。

原文始发于微信公众号（爱国小白帽）：一个sso登录就这么水灵灵的绕过了？