WooYun.org

1. 通过网站的域名解析地址确定intime.com.cn的应用系统集中在以下IP：
1**.**4.**8.139
1**.**4.**8.140
1**.**4.**8.141
1**.**4.**8.142
使用nmap扫描端口，验证发现如下link：
https://1**.**4.**8.141:4430/cgi-bh/login.cgi
Logbase运维安全管理系统
通过查阅系统自带的手册

了解到默认的管理员和密码 admin safetybase 登入
根据手册操作，增加了一个高级管理员 intime

使用intime登录

其中主机管理，涉及目前银泰集团的应用系统的服务器和设备

单项打开编辑可以看到加密后的用户密码；（看起来是加密的）
其他功能暂不演示，既然是运维系统，主要说一下运维审计

主要是键盘操作，可以看到用户输入的各种登录密码、登入数据库的密码和操作

这类日志还可以下载到本地保存。
大概看了一些，了解到内网那些服务器开启了远程桌面和连接用户，大概的密码序列
比如：in****@**0
使用以上密码试探IP
1**.**4.**8.139
1**.**4.**8.140
1**.**4.**8.141
1**.**4.**8.142
开放的远程端口，其中139的2222端口 SSH可以登录；是message 短信系统的服务器

服务器是内网的IP，可以作为跳板，漫游内网，比如：

密码不变，登录10服务器

其他的服务器没有验证，内网就不漫游了。
在nmap扫描的结果中发现了大量的tomcat应用，并没有删除控制台。

控制台用户的密码会不会有什么规律。
通过查看sms应用的tomcat/conf/tomcat-users.xml文件，发现密码为：
In*******6
使用脚本匹配IP+端口 使用以上密码序列进行破解，结果惊人，In*******6 密码37个 in*******6 密码3个，共40个：