文章总结： 本文记录了一次SSO登录绕过与内网渗透实战。通过忘记密码接口获取用户手机号，利用登录逻辑漏洞实现空密码绕过。随后在OA系统搜集VPN文档获取内网网段，登录VPN后利用弱口令定位域控并抓取哈希，最终获取域管权限。 综合评分： 80 文章分类： 渗透测试,内网渗透,实战经验

精选12：一个SSO登录绕过实战案例

希水涵精选录

2026年1月26日 21:54 山东

以下文章来源于爱国小白帽 ，作者admin-root

爱国小白帽 .

网络安全人人有责，护网一方卫国安邦 你爱过小白帽嘛？答：୧⍤⃝🇨🇳我爱国(过)

「希水涵精选录」是 ABC_123 运营的第2个公众号，主要转载经过筛选的优秀技术文章，欢迎大家积极投稿！

SSO登录绕过

开局一个sso登录平台，这个验证码其实很好绕，但一般攻防都是争分夺秒的，爆破只能是无奈之举，况且我们此时不知道用户名以及密码规则，所以先看看忘记密码处有没有什么利用点。

哎嘿，很明显登录账号是四位数工号，这爆破起来就简单多了。

先随便填个数试试，提示手机号不存在，难道要输入正确的工号和手机号才可以？先别急，去看看数据包是什么样的。

呦呵，这就直接返回邮箱手机号啥的了？屏幕前的大黑阔被惊到了吧，别急，后面还有更离谱的。

使用刚才返回的手机号13***************登录抓包，发现验证码和登录包是分开验证的，输对验证码再发登录验证的包，所以抓到登录包就能直接爆破了。

当密码为空时成功返回登录凭证，典型的任意用户空密码登录绕过，还好我字典里有空密码。

登录之后看到7个系统，下一步的思路很简单，首先进OA找到管理员或者开发账号，然后依次登录各个系统，搜素vpn、数据库、密码等关键字。

信息搜集进内网

邮箱搜索vpn发现该公司使用了深信服的vpn

查看《**VPN使用教程.docx》看到了内网网段和连接地址等信息。

功夫不负有心人，果然让我找到了。

登录之后看到分配的ip是172段，其实这个段什么都没有，但别忘了在前面文档中看到的192段。此处刚好省去了工具探测的步骤，能够更精准的定位资产，否则就是在给防守方应急响应留出缓冲时间。

后面就是利用域内弱口令机器找域控服务进程，抓取hash得到域管权限，其他成果就不赘述了，主要是过程中的几个点，如果不是运气好也就没这篇文章了，还有什么疑问请在评论区留言。

希水涵精选录是ABC_123运营的第2个公众号，专注于转载精心筛选的优质技术文章，同时也欢迎大家积极投稿。

Contact me: 2332887682#qq.com** OR 0day123abc#gmail.com**

(replace # with @)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：希水涵精选录 《精选12：一个SSO登录绕过实战案例》