我们从上面得到了172.16.*.*的新段落，接下来我对该段落进行了WEB端口的生存性检测，发现了路由管理界面。在这里尝试弱密码和爆破也没有得到相应的结果，但是现在我们的资产收集也没有新的收获，希望这里有可以利用的漏洞，经过不断的测试和配置文件的检索，发现这里有未经许可访问的漏洞，直接访问/webfig地址。在这里提示的是，共有4个互联网。在这里，我注意到了新的VLAN。对应的互联网是office，我通过ARP看到他所在的IP区域是172.16.200.*这里因为不熟悉设备，所以不太清楚账户和密码是什么意思，大致推断。上面发现的互联网共有以下四个项目。

这里的profile对应写的是net，用这一账户密码连接Tech热点的时候能访问对应的区域吗因为我对office感兴趣，所以找到了office的账户密码进行了登录测试，通过了tech的验证，成功地与172.16.200.*网络连接。经过172.16.200.*的测试，找到了OA系统，版本为通达OA11.3。这一版本不仅有任何用户注册的问题，还有任何文件上传都会导致RCE的脆弱性。第一步，在本地分析这一脆弱性，下载源代码后用Zend解密工具解密源代码，第一步看ixpaDPI/em/upload.php。

我们可以看到代码第五行有一个判断句子，如果POST请求中的P非空白，代码将sessune设置为P参数值，不然将对sessune中的LOGIN_USER_ID和LOGIN_iD进行验证，如果验证码错误，则会提示用户未登录并退出，因此我们可以结构P参数，绕过登录验证，然后我们可以直接在未登录的情况下上传文件，在正常情况下访问upload.php。

在这里，我们绕过了身份检查的过程，接下来是结构文件的上传，看下面的代码。在其中POST参数中的DEST_iD也会进行检测，如果值不是整体的话，会提示受益人ID无效，所以我们结构DEST_iD再试一次。上传成功，这里可以通过php.的方式上传php文件，但上传后文件位置在attach目录下，不是根目录，而是在文件前自动添加随机数，因为我们无法知道相应的文件名称，所以不能直接利用。130行导出的databack中有CONTENT，该变量包括文件名称，因此可以直接POST给UPLOAD_MODE和MSG_CATE增值，以UPLOAD_MODE为1的方式解决文件名称问题，解决文件目录问题。

在其中url参数包括generalp/、ixpaDPI/、module/其一，有关include_once变量url地址的值，可以包含任何文件，分析完成后，我们开始利用，第一步我们中途利用的木马取得OA服务器这一小倒霉蛋后，通常的内部网络扫描了b段整体打开3389的机器，用刚才抓住的密码进行了冲突，尝试了密码是否再利用突过程中，扫描了门禁系统的服务器，登录了域名账户。在以前扫描资产生存的时候，为了速度，脚本中只追加了几个常用的80、443端口，这一8088端口提供服务的门禁系统也成为了漏网的鱼。在服务器上看到这一系统后，第一步访问，登录了帐户，还是需要登录密码，还是没有登录密码？从配置文件中找到系统的数据库连接密码后，连接数据库，直接查看admin账户对应的密码。