前言:

HVV行动中,或者一些SRC挖掘和定点测试的时候,总会遇到一些登录页面。常见的渗透方式有注入,逻辑(忘记密码),寻找敏感接口/目录,0day/Nday,字典爆破等方法。当然,渗透的思维是发散的,不一定就要局限于这些。

案例分享:

某学校招新系统登录页面。

界面如下:

拿到系统的时候,我也尝试着找寻是否存在注入点,或者扫描一些敏感目录和接口,甚至采用字典爆破,但都没有什么收获。其实我也想着就这么放弃了。

但心里总是不甘心,脑海里迅速过一遍挖掘到的目标院校的漏洞,看能否结合起来拿下这个系统。

0x01:目标院校云桌面服务
在对目标院校进行信息收集和踩点的时候,发现了一个云桌面服务。(VMware)

尝试下载安装并运行。因为目标系统是学校,那么就用学校常见的一些弱口令(123456,身份证后六位,学号后六位等)进行尝试猜解。

在这里,猜解很快。成功登录云桌面服务。但是登录之后没有发现什么,就是一个简单的win7界面。

不过,我又尝试了一些其他教职工的账号,有的可以登录,而有的不能登录(猜测是改密码了,或者该教师没有使用云桌面的权限)

那么目标系统的管理员是否有使用云桌面的权限?因为这个云桌面类似是VPN的功能,可能让你在外的时候接入学校的内网进行办公。我的猜想是如果目标系统的管理员可以使用云桌面,那么会不会在浏览器上留下一些痕迹?(比如记住密码的操作)。

当然,这只是猜想。那么如何知道这个目标系统的管理员是谁呢?

可以是社工,也可以是其他方式。

0x02:一站式服务教工弱口令,直达0A系统

一站式登录界面如下:

因为前期收集过目标院校的教职工工号,生成一批类似的数字,直接爆破。

我将成功的一些账号和密码导了出来。

进入目标院校的一站式服务系统——OA系统。

在这里,注意看这些发件人,我注意到有一个名字出现的频率挺高,发的也是一些启用一些新系统的通知。并且,也注意到他是在目标院校的信息中心工作。

云桌面启动,尝试登录。结果登录成功。

让我意外的是,他的桌面服务环境,明显跟其他人不一样。

打开桌面上的火狐浏览器,寻找记录。

“山重水复疑无路,柳暗花明又一村。”

但是目标URL是一个内网地址,尝试访问。其中就存在开始的那个登录框。意外之喜。

记下密码,回到开头。

感谢您的观看~!

点击收藏 | 0 关注 | 1
登录 后跟帖