WooYun.org

0x1: 资产收集
确定目标好之后，下面就是做一个整体的信息收集了。
将目标企业的资产尽可能的全部挖掘出来。
这里面的资产，除了常见的子域名，ip，还应该有跟企业相关的各种信息。
先来确定韵达的域名
yundaex.com
yundasys.com
确定好域名之后。
来一次基本的信息收集。
子域名爆破。
端口扫描。
把企业开放的服务 ， 做一个统计。
然后去找各种敏感信息。
最简单直接的就是谷歌百度一下

没发现什么敏感信息。

一眼望去 就发现了大量的后台。
然后把这些后台和上面子域名以及ip的信息进行一次汇总。
然后就是看下，企业的邮箱。
这里需要注意: 有的企业 邮箱并不是 用的网站的域名，有可能用的其他的域名。
先去看看 企业的域名mx记录 有没有设置

上面可以看到两个域名都是设置了 企业邮箱的。
然后去从域名中搜索一下mail关键字。
企业网站中会有一些 招聘，或者联系我们。
会有关键字 email mail to等等。

除了直接谷歌搜索，还应该去 网站简单看一下联系我们，招聘等等会泄露出企业员工或者其他信息的一些地方。

以及去github搜索一下企业有没有泄露敏感信息，
最简单的就是搜索邮箱。

账号密码可用。
不过在里面没找到什么敏感的东西。(修复的时候记得通知员工修改掉)
上面的信息收集完了， 还应该去百度谷歌一下企业的内部文档。
以及一些规范，流程，文化，软件等等。 这样的话，可以帮助我们更快的了解目标企业，从而快速准确的找到痛点。
再就是如果可以的话 ，打入敌人内部！
我先注册了一个新qq号。
然后设计了一下qq资料 。
去尝试加一些韵达的内部群。

qq昵称一定要具有通用性 ，签名的地方，避免群主看起来怀疑，加了一句描述。
信息收集这一步很重要，根据收集的信息，可以得知如何尽快的找到一个入口点。
0x2 入口点
下面就要找一个入口点。 去尝试撕开这个口子。
撕口子 最简单的 就是vpn了。
上去之后直接内网漫游。
如果vpn不了，那就只能想办法拿网站权限了。
而且，这次目标是想办法看到快递的信息，如果再去找一些网站的xss，sql等漏洞，会导致整体的一个流程变长。所以尽量从vpn等可以直接进入内网的地方入手。
找入口点的时候，应该吧之前收集到的信息，做一个整理，然后找一个比较简单快速的的。
通过上面我加的qq内部群， 里面获取到了 一个客户端。

然后 安装好之后打开。

必须要vpn进内网。
然后通过软件上面的vpn按钮打开网站 。

下载一份vpn客户端 。

最喜欢这种帮助文档了。

安装好之后， 下面就是需要 如何弄到一个vpn账号密码了。
从帮助文档中看到一句这个话。

也就是 他们整体 只有两套密码。
这样的话 ， 对于我们找到vpn的账号密码就会简单点。
不过后来又看到这个，

看到上面那个密码， 直接感觉，vpn入手会难了。
不过这么大的企业，总会有”队友”的。
另外还发现了一份这个 。

又可以去整合到我们之前收集到的信息里面。
至于如何拿到一个企业员工的账号密码。
最简单的方法就是通过 网站登录口 去尝试爆破。
后台的话 ，我们之前收集到了一些。
下面就是挑出来一个质量比较好的。
能快速爆破的话 。
首先可以判断用户名存在不存在， 然后可以绕过验证码等问题。
发现。韵达上面 后台基本上都满足。。。。。。。（建议自行把所有的网站登录的地方过一遍，看看是否可以进行爆破。）
屡一下思路， 整理一下之前的东西。
想进网点客户端，就要进vpn。 进vpn的话 就要拿到网点的账号密码。
Ok ，下面就是找一个 好用的后台， 去爆破账号密码
通过之前的信息收集，发现了一个后台。
Vpn账号管理，如果可以进去的话 ， 是否可以修改vpn的一些信息，从而进入内网。

不过遗憾的是， 这个账号应该是一个已经注销的账号。
并不会发送出来密码。
所以只能重新爆破。
这次选取一个强弱口令 Yunda123
很快又出来一个。
登陆上去上面那个 vpn管理系统之后，发现发送vpn密码的时候会校验是否跟设置的手机号是否一致。
当时感觉这个后台是不行了。
应该无法从这获取到vpn密码了。
然后想到，既然他的oa系列的密码是Yunda123，那么他的vpn的密码也有可能是。
果然，成功登陆内网。
0x3 深入
通过上面，我们已经成功登陆内网。
然后去尝试登陆 我们之前拿到的网点客户端 。

他会有一个mac地址校验。
用来查看我电脑的mac地址和数据库中的电脑信息是否一致。
简单尝试了一下这个客户端，无法绕过。
然后去找一些其他的端，例如手机app等，也没找到。
由于不会二进制，这条路也就断了。
然后去登陆内部oa系统。
Oa是从vpn帮助文档中发现的。

虽然有一些信息，但是跟咱们的目标没什么联系，
很鸡肋。
不过发现了他们员工的工号 以及部门信息。整个企业的架构。还有员工信息。

虽然很严重。 但是跟咱们的目标还是没联系。哎。
只能进一步找其他的突破点。
把之前信息收集到的后台拿出来看看。 挨个登陆试试。
后台的话 ， 由于有的账号没权限。 所以根据oa中泄露的员工工号格式又爆破了一批账号密码出来。
登陆上去之后虽然发现了各种敏感信息， 不过没什么用。无法查看到物流信息。
（这里体现了韵达的一个大问题，权限控制不严格，一套登陆体系，但是大部分后台没有限制用户的权限，就可以导致，一个网店的员工，就可以登陆到你们的后台。）
然后去尝试 之前从帮助文档中泄露的 那些host，
尝试了一遍之后发现， 这些功能点，都不在根目录。
也就是 我们还需要再猜一次目录。
这样的话，成本会高很多。
暂时放弃，也先放在一边。
后来 整理了一下思路，觉得肯定有漏掉的地方， 前面收集到的后台太多。
看的并不仔细。
重新看了一遍。
登陆这个系统之后。

之前看到只有一个历史版本信息。就扔掉了。

这次发现了 居然有总部版。 当时就觉得 一定有货。
不过网站并没有给出明确的下载地址。

然后想了想 觉得不应该没有下载地址。
尝试了一下 跟网站的目录的url进行拼接。
果然可以下载。

当时就感觉貌似从这 直接可以炸了 。

发现还是会校验MAC地址。

但是不死心，还是去尝试登陆了试试。
直接登陆成功，居然没有校验MAC地址

看到这些功能，感觉貌似目标要达成了。
不过打开的时候发现账号权限太低。许多功能无法看到。
然后把之前爆破出来的账号密码挨个尝试登陆进去
看到这个功能点。感觉直接炸了。

下面的信息泄露截图，不只是一个账号。各种账号的权限不同。
淘宝网当月订单，这个功能应该是实时分配到不同地区网点的订单。所以各个网店的订单数量不大，爆破出来的账号也没太高权限的。

淘宝物流宝的订单。手机号进行了部分打码。

看到只有4k条感觉不对。
跳到最后一页， 下单时间

以及最后一页的下单时间

看来这只是1天的实时数据量。了然了。 全部都是新鲜出炉的。
还可以查询历史订单，不过需要单号，就算了。
再去看一些别的功能的订单信息
居然手机号都不打码了、

等等等等、
现在拿到的账号，基本上每天都能拿到1w+条新鲜的物流信息。
哎。
另外这个平台的 全部 合作商家账号密码居然明文显示。。。。。。。

也就没有具体登陆测试。
各种平台
虽然部分平台没找到有权限的账号， 不过大部分都是可以进去的。

0x4. 到此为止
既然目标已经达到了，
就不继续深入了。
我觉得渗透 必须要把握好这两点。
1. 知道自己要干什么，有目标，另外点到为止。
2. 认定收集到的每一个细节都有用。尽可能的把收集到的信息，资源最大化。

1.http://**.**.**/wsd/kjcx/cxend.jspwen=59423c58ef489b5196063804e9&jmm=cd6ecc2aa1ec1b39fcfdda350b876b5b_
*****^感^*****
**********
2.http://**.**.**/ydvpn/login.html  vpn账号管理_
**********
**********
*****123   VP*****
*****01  *****
*****100*****
**********
3.http://**.**.**/ydsoa/cas.loginCASLOGOUT=true_
4.http://**.**.**/wpassport/login.php_
5.http://**.**.**/index/index.do_
6.http://**.**.**/ydauth/index.html_
*****到的^*****
**********
7.http://**.**.**/cus_order/_
*****pass='*****
**********
8.http://**.**.**/cus_order/_
*****p;passwor*****
**********
*****rder/order_interface/int*****
*****0/cus_order/order_interf*****
*****d=1547*****
*****FdRyj6bYBE*****
*****ion=*****
*****est=*****
*****el=cance*****
**********
**********
**********
**********
9.http://**.**.**/dipper/!!!!!!!!!!_
10.http://**.**.**/dipper/_
11.http://**.**.**/ydtms/login.do_
12.http://**.**.**/zpassport/login.php_
*****;pass=Yun*****
*****mp;pass=*****
13.http://**.**.**/yd_khd/login.php_
*****assword=*****
*****395&passw*****
*****d=Yunda123 *****
*****password*****
*****;passwor*****
*****rd=1qaz2wsx  *****
**********
**********
**********
*****^^单号^*****
14.http://**.**.**/wsd/kjcx/cxend.jspwen=cca905557152dc59c05452a336&jmm=d41d8cd98f00b204e9800998ecf8427e_
**********
15.http://**.**.**/gswh/login.php_
**********
*****可下载*****
16.http://**.**.**/yd_khd