一：信息收集階段

因為目標(biāo)是學(xué)校，一般會去考慮收集學(xué)號，教工號。因為有的登陸點需要此類信息，且密碼存在規(guī)律性（身份證后六位，123456）。

目標(biāo)域名xxx.com【查看資料】

開始的時候，我是直接通過github搜索是否存在敏感信息泄露，運氣不賴，得到一個webvpn賬戶。語法：".xxx.com password"

效果如下：

然后通過企查查，天眼查等平臺，查詢目標(biāo)網(wǎng)站備案信息，爆破了一下目標(biāo)的子域名，盡可能收集的全面一些。在這里，通過在線域名查詢的時候，出來很多子域名，但這些子域名點開之后，大多都跳轉(zhuǎn)到了目標(biāo)主頁，利用價值不大。

所以我之后選擇借助FOFA來繼續(xù)查詢，語法：domain="xx.com"，發(fā)現(xiàn)存在一個oa系統(tǒng)，經(jīng)檢測，屬于藍(lán)凌OA。

這里就直接借助工具測試了一下，成功拿到webshell。

權(quán)限不是root，暫且放在這里。選擇繼續(xù)用webvpn賬戶進(jìn)行探測。

二：WEBVPN突破

前期收集到的webvpn賬戶還沒用，主頁存在一個vpn系統(tǒng)，點擊之后跳轉(zhuǎn)到vpn.xx.com頁面。輸入賬號密碼，成功登錄。

登錄之后，點擊點一個系統(tǒng)進(jìn)行查看，因為后臺掛著xray，檢測到了struts遠(yuǎn)程代碼執(zhí)行，借助工具進(jìn)行驗證，驗證成功，可以執(zhí)行系統(tǒng)命令。

選擇學(xué)工系統(tǒng)，利用剛剛爆破的賬號，同樣可以登錄。學(xué)生信息處，可以進(jìn)行上傳，嘗試?yán)茫檬。窃谶@里發(fā)現(xiàn)了一個有意思的點。修改Content-Type的類型為text/html，可以造成彈窗。

不過這個系統(tǒng)還是有可以利用的地方，具體參考
https://forum.butian.net/share/198

測試的時候，也挖掘到了一個sql注入。

這里選擇了利用剛剛遠(yuǎn)程代碼執(zhí)行的系統(tǒng)，進(jìn)行深入，進(jìn)行powershell上線cs，進(jìn)行內(nèi)網(wǎng)滲透，

代理出來，進(jìn)行內(nèi)網(wǎng)掃描，探測web服務(wù)，以及ms17010.這里探測到一個web服務(wù)為云桌面，猜測是學(xué)校機(jī)房，密碼很簡單，就是123456.

這里存在一些桌面服務(wù)的密碼，F(xiàn)12，將type類型改為text，得到一串密碼。因為是云桌面，根據(jù)經(jīng)驗一般存在域機(jī)器，直接探測172.16.0.0/16，查詢主機(jī)名，發(fā)現(xiàn)域機(jī)器，這里我使用了剛剛F12查看到的密碼，進(jìn)行登錄，發(fā)現(xiàn)成功登錄，smb成功上線。

因為是域控，可以直接控制學(xué)校某樓的機(jī)房遠(yuǎn)程開機(jī)關(guān)機(jī)，并監(jiān)視。

最后收尾的時候，發(fā)現(xiàn)圖書館存在注入，同樣是注入到表名，沒有更加深入了。

總結(jié)就是：信息收集很重要，主要是暴露出來的OA和github搜索到的敏感賬戶信息，不然打進(jìn)去不是這么容易，有0day除外。