免责声明：文章来源于真实渗透测试，已获得授权，且关键信息已经打码处理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

前言

       主要记录一次教育攻防演练中信息收集结合爆破弱口令获取VPN账号密码突破网络隔离—进入内网的一次实战经历。图片均已处理，只做演示效果。

一、信息收集

       利用谷歌搜索语法，获取到目标院校的老师工号信息（在之前的文章中有写到过关于信息收集的文章大家有兴趣可以去看一下），可以将信息直接下载到本地生产Excel文件，只保留老师姓名和老师工号信息

       获取了将近600名老师的姓名和工号信息，利用已经获取的老师工号信息研究了一下老师工号的规律，生成用户名字典和密码字典。

二、突破网络隔离

       信息收集的时候同时获取了目标院校的网站信息，发现该院校的统一身份认证系统没有验证码，猜测可以进行爆破，同时一般统一身份认证系统登录成功后能获取大量系统权限。

       经过测试该系统传输后台的密码已经加密了，又不会JS逆向，只能固定密码，爆破用户名。

       运气还不错，确实发现了弱口令用户；多次尝试后还发现不止一个，共获取到了三个弱口令用户。

       但利用账号密码登录后发现该系统不能正常登录，回显了报错信息。后面收集信息发现这个统一身份认证系统应该是马上要停用了，不知道为什么现在就无法登录了。

       无果，只能拿着这几个账号密码去测试一下有没有相同账号密码的系统。这里运气就很好了，发现该账号密码与VPN系统的账号密码是通用的，可以直接登录VPN，访问到内网多个网段。

       下载客户端VPN进行登录，访问后发现64个可访问系统。

       访问系统进行测试，还发现了一个旁站系统存在shiro反序列化漏洞，执行回显了当前用户，顺便一起截图打包提交，证明突破网络隔离。

三、总结

       成功通过信息收集+密码喷洒突破网络隔离拿到了一定的分值。在现在的教育攻防演练中，信息数据的分值越来越高了，甚至要比拿到系统权限的分值要高的多。当然，拿到系统权限就是为了拿到更多有用的数据。经过这几年的演变，越来越多的学校也都重视起来安全建设，现在很多学校的VPN、统一身份认证等系统都做了迁移，也都开始使用零信任设备。对账号密码的监管也是越来越严格，会强制第一次登录的用户更改默认密码，并定期强制用户更改密码。这也就越来越考验我们的技术能力了，还是需要多研究一些新兴的技术方向，提升渗透测试思路。