一个抓住细节渗透的典型案例,好的思路外加一点点好运气

漫游京东好久了,晚上没事继续看看

一处github密码泄露引起了我的注意
 

https://github.com/swrazg/Data_watch/blob/8928be298f723445954fb93ab1e3a2478f65ca3d/send_mail.py


 

jdgithub.JPG


 

self.mail_server.login("sunwei8", "20150409.Data")



看到这个密码笑了,前面的日期明显就是当天设定密码的日期,试了一下,登录不成功

京东内网使用Windows环境,所有员工的密码会定期过期,每次都要自己重新改密码。

所有,我想,员工在20150409到今天肯定改过密码,如果他还是以这个格式来设置密码的话,那么密码是可以被猜测出来的!

密码一般一个月过期一次,所有我就把范围缩小到20160101到201604010吧,用superdic生成字典,把每一种可能性列出来。
 

IMG_0367.PNG



如图,几十个密码

密码生成完,开始爆破。京东的邮件服务器使用了exchange,被二次开发了,加了验证码,防护了爆破。
 

mail.JPG



但是然并卵,形同虚设。

WooYun: 途牛内网用户弱口令 这个漏洞里面讲了绕过验证码的攻击方式,被走了小厂商。。

访问https://mail.jd.com/ews开始爆破,简单点的就用awvs的认证测试器来爆破

成功爆破密码

sunwei8 20160109.Data



进入邮箱
 

vpn.JPG



发现vpn是短信2次认证的
 

vpn2.JPG



真是蛋碎,难道这样就挡在大门外了?

于是想到了社工
 

vpn3.JPG



[email protected],说手机号换了,想重置vpn手机号,因为我已经有了vpn权限,所以应该不需要上级领导审批,被发现概率很小,下面就是等待了。

第二天一大早,就看到邮件了,哈哈!
 

QQ截图20160417215859.jpg



真是要啥有啥,可以直接内网漫游了!
 

IMG_0364.PNG




 

简单证明了下,没有做过多操作

成功进入vpn
 

捕获1.JPG


 

捕获3.JPG


 

捕获4.JPG


 

mask 区域 1.https://**.**.**/myadmin<

/code>phpmyadmin
弱口令 admin admin

jd1.JPG

jd2.JPG

jd3.JPG

jd5.JPG

jd.JPG


线上环境:

mask 区域 [email protected] -Dad_c*****


测试环境:

5)供下游校验的mysql
线上环境:

mask 区域 *****.LWWAjKJ1aLM_C2sc8VAWV1c^70O^k ?*****


 

jd.JPG