因为下周一个项目客户那需要三针截图，所以今天打完针就在家待着了。本来想愉快的打打游戏听听歌，但是转念一想我都从事安全行业接近两年，一篇文章也没出过（这合理吗？）随即我就找到了上周的渗透测试报告PS：由于是OA所以打码会很严重。各位看官见谅轻喷ಠ_ಠ。
上周经理跟我说有个等保的项目需要我去做渗透测试，我当然开开心心的答应了啊（虽说远但是下班早啊）。于是乎，健康宝行程卡一套流程下来顺利进入大楼，负责等保的同事先和客户对接等到渗透测试时，客户告诉我是一个内部OA，听完我就感觉好像要寄啊。没办法只能硬着头皮上了。
常规手段：先收集一波信息，目录扫描，端口扫描，框架探测，一顿操作猛如虎，一看漏洞是低危（json信息泄露）。。。。。。此时我的大脑飞速运转：难道我只能出一个低危报告吗，不，我不甘心！我就朝客户要了两个测试账号，但是已经十一点半了那就下午在战吧。
午休之后直接登录OA系统不解释连招，一顿XSS，SQL注入尝试，上传点没找到均无果。不慌看一眼我的burp插件（干干净净），那只能寄出神器了：xray被动扫描。随着我的胡乱点击我看到xray没有出具报告，我承认我慌了。。。刚要开摆突然在历史里发现了一个有意思的数据包，里面包含了@ID等信息
那聪明的墨菲特就要开始尝试修改登录认证的返回包了，随着原有的信息替换，返回包变成了如下
激动的心颤抖的手，这一个Forward包含了我的希望！

没有错它成功了，ForThree！现在我手里就相当于有三个测试账号了：一个管理员、一个信息业务部还有一个法律合规部。到这里聪明的小伙伴应该知道我要测试什么漏洞了。
那就先玩个垂直越权，登录管理员账号随便进入功能模块并将URL复制下来
切换账号使用随便一个普通账号登录OA，直接粘贴刚才复制的URL，发现成功跳转。
接下来玩水平越权，首先在信息业务部的账号下找个功能点进去并复制URL
之后复现第一个漏洞登录法律合规部某人的账号

直接粘贴URL发现也跳转成功
就在这时，我耳边突然安静了许多。。。猛地一抬头发现都在看我原来他们等保已经结束了。这时候就如同开局30秒Ash带包冲锋，眨眼间5V5变成了1V5舞台已经搭建完毕，我选择下一把，不能耽误我同事下班啊(～￣▽￣)～三个高危一个低危已经心满意足了，收工！
写在最后：第一次写文章有点啰嗦，感谢大家能看完。