原文首发在：先知社区

https://xz.aliyun.com/t/15944

选择目标

进入补天，选择一个目标

信息收集

ip

使用

nslookup xxx.xxx.com

只有一个ip回显，没有开dns
看一下开放端口，这里会检测速率封ip，所以能用代理池就用代理池

其中80和443直接不能访问：

xxxx端口发现深信服

最后发现8080能够使用，用的是aspx

功能都不能正常使用，目录爆破也没有什么东西，放弃

尝试mssql爆破

使用week-passwd，尝试失败，看到深信服就知道大概率是失败的，所有随便试了一下

资产测绘

使用quake进行资产测绘，得到一百多条数据

quake的邀请码：1CWUGm，填了可以有5000积分

oneforall

使用oneforall进行子域名查找，得到35条数据

js爬取

使用JSFinder，将前面得到的子域名去重之后，进行js爬取，使用jsfind，得到几百条数据

存活检测

使用windfire，进行存活去重，得到92条url

Google搜索

得到一些敏感数据，比如默认密码，老师的电话之类的

谷歌语法如下（直接copy即可）
site:.A.B.cn filetype:xls OR filetype:xlsx intext:身份证
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx intext:身份证
site:.A.B.cn filetype:xls OR filetype:xlsx "身份证"
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx "身份证"
site:.A.B.cn filetype:xls OR filetype:xlsx intitle:身份证
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx intitle:身份证

语法解释
site:指定域名
inurl:用于搜索包含的url关键词的网页
intitle:搜索网页标题中的关键字
intext:搜索网页正文中的关键字
filetype:按指定文件类型即文件后缀名搜索
cache:已经删除的缓存网页

关键词可以替换为：
身份证|sfz|学号|xh|登录|注册|管理|平台|验证码|账号|系统|手册|默认密码|初始密码|password|联系电话|操作手册|vpn|名单

工商数据收集

使用enscan得到一些信息，法人备案号之类的

社工

直接在QQ搜索相关的群名称，进入之后，得到一些信息

寻找利用点

尝试ueditor的net版本漏洞

尝试失败，返回302错误，应该被waf拦截了

尝试xss

有反射型xss

这里被拦截

尝试H3C安全产品管理平台前台远程命令执行漏洞

未尝试，只在这里找到了，其他地方没有找到，这个没有那么多积分，查看不了

尝试用户名爆破

尝试了几百个，失败，无常规用户名。电话尝试了社工得到的电话，未成功，

尝试邮箱成功得到

发现任意用户注册漏洞，尝试越权，文件上传

每个用户默认有1G空间

尝试越权

发现uid参数

uid参数尝试无果，

发现新的参数，url路径

用户默认为邮箱号

尝试文件上传

不正常的直接被拦截，尝试失败

总结

信息收集到寻找漏洞的具体流程都走了一遍，学校网站的子域名有二十几个，但是几乎全部套用一样的模板，不好下手