WooYun.org

“途牛网内网用户弱口令"这个漏洞只爆破出来一个普通内网的用户密码，原本指望直接漫游的，没想到不能登陆邮箱，很是不甘心。于是开始全面的分析排查途牛网的各个系统。
发现

https://218.94.7.120/prx/000/http/localhost/login

是途牛的vpn，以前没有发现，应该是新部署的vpn

用之前爆破到的wangbing 1qaz@WSX登陆不成功，没有vpn权限。那现在怎么办了？陷入了僵局。
无数案例告诉我，不要偷懒，要按照科学系统的渗透体系来尝试，于是开始扫描这个vpn机器的端口

scan results
22
53
443
8888
9222
9888

访问https://218.94.7.120:8888/ 发现是array的vpn，在众测的几次项目里面遇到过

尝试了几个弱口令都失败
https://218.94.7.120:9888同样是array的登陆口，应该都是负责管理vpn的
这时候，我便猜测，vpn是刚部署上来的，有没有可能会存在默认口令了？可是array的默认口令不知道啊，于是构造了几个分别尝试登陆
果然，https://218.94.7.120:9888 尝试

arrary admin

成功登陆，被里面功能吓尿了！

功能十分强大，可以说有了这个系统权限，内网已经沦陷，可是对网络架构知识不熟悉，不敢乱动配置，只能翻翻有没有什么vpn账号密码啥的，果然发现了一个本地账户，也就是不是通过tuniu ldap认证的账号，俗称预设账号- -。

看到有2个账号，一个是tuniu，一个demo，将账号导出后，发现密码加密了。

[[user_name]]	[[user_passwd]]
tuniu	XXXXXXXXXFZ40VmII/2j9c
demo	XXXXXXXXXVX6TmBzCDsuJA

看这个demo应该是系统自带账号，去

https://218.94.7.120/prx/000/http/localhost/login

尝试弱口令登陆
demo demo成功登陆，也是醉了。。

既然登陆进去了，那就开始漫游呗，大爽特爽！
首先登陆crm系统，用之前爆破出来的wangbing登陆

通讯录

可管理主站广告

实时会员管理，为了证明数据是实时更新，特地去注册了会员，果然碉堡！
下面是更吊的，可以直接购买火车票，免费的哟，只是没胆子买！

尝试弱口令登陆服务器

在域里面，只要重复抓密码，登陆，抓密码，拿到域控权限会很easy

内网系统图已经呈现

confluence系统

appserver

途牛主站后台管理系统

不一一列举。。。