一份通告引发的内网突破

本文记录某项目，在开始尝试各类漏洞未果的情况下，利用平台的逻辑缺陷，打造出一份高质量的用户名和密码字典，巧妙的通过VPN突破内网的经历。

二 、背景

经过客户授权，于x月xx日-xx日对客户系统进行了渗透评估，通过模拟真实网络攻击行为，评估系统是否存在可以被攻击者利用的漏洞以及由此因此引发的风险大小，为制定相应的安全措施与解决方案提供实际的依据。客户要求只允许针对官方门户网站两个主域名进行攻击，确保不影响其他子公司业务，严禁对非指定系统和地址进行攻击，严禁使用对业务有高风险的攻击手法。

三、信息收集

通过对客户提供的两个域名，进行前期的信息收集，扩大可利用范围，这里使用OneForAll、fofa、搜索引擎等工具收集到以下相关的域名与IP地址。

随即祭出goby扫描上述IP地址C段、端口等信息后进行汇总整理。

通过天眼查、七麦数据获取到部分App、微信公众号。

使用ApkAnalyser提取安卓应用中可能存在的敏感信息，并对其关键信息进行汇总。

使用github搜索目标的关键字，获取到部分信息。

四、漏洞挖掘

通过前面的信息收集整理后，我们梳理出几个关键的系统进行深入测试，在该福利平台登陆页面随意提交用户名及密码并进行抓包分析。

发现该请求包对应的响应包存在缺陷验证，通过修改响应包的值从而突破原有错误信息的拦截，使用admin用户，成功进入后台。

进入后台后，尝试寻找上传点，一番搜寻后，并未找到。在点击系统管理，尝试新建用户时，发现系统自动填充了默认密码。

拿到该后台的默认登录口令，我们根据初始密码的特征，构造出了一份高质量密码字典，为下一步去爆破其他后台和邮箱系统做好铺垫。

在测试的过程中，发现某销售平台登陆处存在逻辑缺陷，可以对用户账户和密码进行暴力破解。通过在站点A得到的系统默认密码构造的字典，成功爆破出8个普通权限的账户。