一份通告引发的内网突破(2)

登录其中一个账户，发现该平台在用户管理位置，存在大量内部员工的信息，其中包含中文姓名，利用python脚本将中文姓名批量转换成拼音，定制出一份高质量的用户名字典。

在前面收集的过程当中，我们发现目标使用的是outlook邮箱，且邮箱登陆存在登陆存在缺陷，没有验证码等防护，可以直接进行暴力破解用户账户和密码，这里我们用python转换成姓名拼音，构造字典进行爆破，在爆破的过程当中调低线程，且用固定密码跑用户名，成功跑出了一批有效的邮箱账户。

用出来的账户，成功登陆邮箱，通过邮箱通讯录获得大量内部用户名，并进行其他各类有效信息的收集整理。

到这一步的时候，我们在web站点上的收获并不是太大，没有能直接获取到shell的点，于是我们把目光转向前期收集到的APP上。

下载相关的app,并用在web站点收集到的的用户信息，成功撞出了某用户密码为xxx的账号，发现可以登录目标的APP，使用某用户的账号密码可成功登录。在APP中的通知公告部分发现了一个移动办公平台停机维护的通知，并写明其VPN登录地址和注册地址。登录地址：xxx 注册地址：xxx

看到这个信息，心里一喜，感觉前方有路，随手用浏览器访问一下移动平台的登录地址跟注册地址，没毛病，可以成功进行访问。由于前期进行信息收集的时候也收集到一个vpn的登陆地址，目前根据这份通知可以确定，目标近期做了vpn登陆方式的变更，猜测目前可能有部分员工还没有完成登陆方式的变更，可能是一个突破口，于是我们把精力放在VPN这个点。

五、突破内网

在多方试依旧没有找到突破点的时候，对我们刚刚获取到新vpn地址进行测试，利用之前收集到账户跟密码尝试登陆，发现需要通行码才可以进行下一步，现在需要考虑怎么拿到用户的通行码。

在注册地址处分析注册流程，发现可以对正确的用户跟密码进行绑定设备从而得到通行码，流程为下图所示，密码错误的时候会提示请重试或联系技术人员。

在账户跟密码正确的时候，这里使用账号密码xxx/xxx可以直接进行设备绑定，这一步值得一提的是最开始尝试我们已经搜集到的账号密码均不能成功进行登陆，差一点放弃，后来不甘心，重新梳理了一遍流程，从之前所有能登陆的邮箱再次搜集到几个有效账号密码后，最终找到两个具有vpn权限的有效账号，随之进行下一步。

在自己手机上下载好移动办公平台维护通知中提到的workspace和Authenticator软件后，接着在设备页面这里选择添加设备名为test。

打开手机上的Authenticator扫描其中生成的二维码，点击进行绑定后，即可获得该用户的通行码。

在绑定设备后，拿到通行码，现在使用xxxx/xxxx这个用户在地址进行登录。

成功通过vpn登录移动办公平台，在其中发现核心业务系统、人管系统、数据报表平台、运维平台、OA系统等等内网系统的操作权限。

选择详情信息，打开IT运维管理系统，发现需要安装citrixReceiver下载citrixReceiverWeb.dmg进行安装。