众测一路追到供应链

前言

事起之因源于某次EDU众测，好巧不巧某高校连上了两次众测 华中

开局

目标靶标中一处资产，大概长这样

打过这套通用的都知道，这套实验室系统多处上传也不是什么0day，早在一年前就出来了
相对于这套上传，另外的VDI虚拟化架构一主多从Master + N node节点更让人心动
应该是这套 xxx孪生系统

大概长这样

打点

从我有一个朋友那里拿一个点，某系统的后台

又碰巧的是这套后台系统对接的有门禁，门禁记录信息后台有详情展示
因为有某供应链的系统，梳理如下：
1、甲方：院校单位购买 乙方：供应链 多个产品
xxx实验室系统 不止一套
乙方牌厂商实施/运维人员线下部署调试产品

2、线下过门禁，大概率有记录信息
通过这点出发，某系统后台记录有厂商人员信息
信息提炼 ——》供应链 准备

大概有15位左右厂商人员信息，还不止同一批
整理好信息后打散 分为4份
1、张三、李四 zhangsan
2、张三、李四 zs
3、手机号一份
4、邮箱一份【供应链资产有邮箱系统】

供应链

信息整理好后，开始对于供应链踩点
某xxx系统

忘记了什么系统

NAS系统

最终通过xxx系统打了进去

传统功夫在于点到为止

无 偿 获 取 网 安 资 料：

 申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关