企业src实战

最近也是闲着无聊，想着去挖几个洞来玩玩，直接上补天，看看山东某公司，给我们什么惊喜！！

信息收集

通过鹰图和初步的判断收集到该企业的一些资产。

然后进行粗滤的验证筛选得到上上面的信息。

发现某达的OA 凭自己的感觉一般密码都是admin/空，因为之前看到的有些学校也用这个，用姓名/空密码进去了

这次想着试一下，没想到直接出惊喜！！

直接进入后台

功能点都测试了一遍，似乎也没啥了

获取到大量的手机号和员工姓名

前面在OA系统里获取到大量的手机号，后来我发现有个员工登录的一个系统

于是我就用部门经理的手机号试一下，密码既然是123456

获取到整个部门的员工信息，功能点也没啥可测的，测了半天也测不出来啥~~直接结束！！

这里我发现了一个非常有意思的东西，访问进去看到了员工交互保存的一些照片，

获取到公司从建立开始到至今的敏感信息，由于太敏感不方便暴露，测试完毕已将数据全部删除!!!

用redis 客户端连接成功！！

本次测试结束！有些素材丢失所以放不出来 = =！

QQ交流群：611149449