扫码领资料
获网安教程
本文由掌控安全学院 - 江月 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~( https://bbs.zkaq.cn )
事起之因
一天,在看某个 SSO 单点登录系统 开局一长图,产出全靠天上掉
跟进看一下接口信息
没什么好说的,懂的都懂,sso+mfa+idm +grafana 监控
先给系统直接重置掉超管,进去搂一眼
拼 grafana 过去就到了监控
在 ECIHome 中有数据列,这个跟过去看一下
超管一下用户,sysadmin lykj:这个是联奕科技,再跟厂商可以判定为数据中台,可惜这里是后端应用统计,没有翻到 UI
ampadmin 是安全管理系统,跟过去大概长这样,带 corpright 可以跟到开发商尝试供应链,存在弱口令【没数据】
再跟一下应用权限划分
/console/#/index/app
可以跟到 SSO 中存在另外一个高权账号,给他直接重置掉,跟这个号即可
重置掉后,由 SSO 跳 IAM 再跳 OA
内控是北京真内控,这名字给起的。。。。
bbs.zkaq.cn/finger 已支持检索
OA 用的是通达产品
翻 OA 邮箱中 天上掉了某地行业攻防报告,都这样了那还说什么
dddd
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+交流群+靶场账号哦
分享后扫码加我!
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
