WooYun.org

首先是进行邮箱安全方面的检测
发现zhangxin@mail.open.com.cn使用了弱口令：zhangxin123
进入邮箱后，寻找有用的敏感信息。
发现了入职员工PPT
其中某处泄露了OA地址

在OA系统的http://oa.open.com.cn/tableApply/tableApplySelect
员工证明申请页面发现了一个未限制的上传点
网站识别为

["jquery", "IIS", "ASP.NET", "ASP", "Aspnetmvc"]

于是接下来上传一个aspx文件
拿到shell

是一台内网机器

提权之后可以3389连接漫游内网，太麻烦就不弄了。
在测试过程中不小心把administrator的密码修改了，厂商可以自行重置或者站短找我要密码。
但是这样并不够，我在http://oa.open.com.cn/user/useraddresslist
这里查看到了公司所有人的通讯录（949条记录）
一页页爬挺麻烦的
于是开启burp

POST /UserAddressBook/GetJsonUserAddressBookList HTTP/1.1
Host: oa.open.com.cn
Data：page=1&rp=15

这里把page作为一个变量，已知共有63页。

最后Save The Response
然后正则匹配出所有email地址

[\w!#$%&'*+/=?^_`{|}~-]+(?:\.[\w!#$%&'*+/=?^_`{|}~-]+)*@(?:[\w](?:[\w-]*[\w])?\.)+[\w](?:[\w-]*[\w])?

有新的字典了，再次爆破邮箱
====================================
发现新的弱口令邮箱

huxl huxl123
lijinbao lijinbao123
linyy linyy123
liujing liujing123456
jip 123456
liangtian 123456

中音相关账号、密码、链接地址：
OES平台——http://eduadmin.open.com.cn/login.aspx
账号：zh******01，密码：o******0.
教学平台——http://learn.open.com.cn/Login.aspx?token=6c******3-a840-ddb5dd2d00fe
账号：x******yin，密码：ope******exx。
管理端账号（发布助学任务）——http://eduadmin.open.com.cn/login.aspx
账号：jia******15，密码：o******23.
IT运营管理系统

某后台

中央音乐学院管理平台