众测一路追到供应链

admin 2026-07-05 05:09:53 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文分享一次EDU众测中通过供应链攻击高校系统的实战案例。作者从目标系统后台获取厂商人员信息,梳理出供应链资产,最终成功渗透。关键发现是门禁记录可泄露厂商信息,建议在渗透测试中重视供应链信息收集。 综合评分: 77 文章分类: 渗透测试,红队,内网渗透,供应链安全,实战经验


cover_image

众测一路追到供应链

还以为多浪漫 还以为多浪漫

掌控安全EDU

2026年7月3日 14:10 江西

在小说阅读器读本章

去阅读

扫码领资料

获网安教程

本文由掌控安全学院 – 还以为多浪漫 投稿

Track安全社区投稿~

千元稿费!还有保底奖励~(https://bbs.zkaq.cn

前言

事起之因源于某次EDU众测,好巧不巧某高校连上了两次众测 华中

开局

目标靶标中一处资产,大概长这样

打过这套通用的都知道,这套实验室系统多处上传也不是什么0day,早在一年前就出来了 相对于这套上传,另外的VDI虚拟化架构一主多从Master + N node节点更让人心动 应该是这套 xxx孪生系统

大概长这样

打点

从我有一个朋友那里拿一个点,某系统的后台

又碰巧的是这套后台系统对接的有门禁,门禁记录信息后台有详情展示 因为有某供应链的系统,梳理如下: 1、甲方:院校单位购买 乙方:供应链 多个产品 xxx实验室系统 不止一套 乙方牌厂商实施/运维人员线下部署调试产品

2、线下过门禁,大概率有记录信息 通过这点出发,某系统后台记录有厂商人员信息 信息提炼 ——》供应链 准备

大概有15位左右厂商人员信息,还不止同一批 整理好信息后打散 分为4份 1、张三、李四 zhangsan 2、张三、李四 zs 3、手机号一份 4、邮箱一份【供应链资产有邮箱系统】

供应链

信息整理好后,开始对于供应链踩点 某xxx系统

忘记了什么系统

NAS系统

最终通过xxx系统打了进去

传统功夫在于点到为止

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

![](https://mmbiz.qpic.cn/mmbiz_gif/BwqHlJ29vcqJvF3Qicdr3GR5xnNYic4wHWaCD3pqD9SSJ3YMhuahjm3anU6mlEJaepA8qOwm3C4GVIETQZT6uHGQ/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=19)

没看够~?欢迎关注!

分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+靶场账号哦

![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcrpvQG1VKMy1AQ1oVvUSeZYhLRYCeiaa3KSFkibg5xRjLlkwfIe7loMVfGuINInDQTVa4BibicW0iaTsKw/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=20)

 分享后扫码加我!

回顾往期内容

Xray挂机刷漏洞

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

代码审计 | 这个CNVD证书拿的有点轻松

【精选】SRC快速入门+上分小秘籍+实战指南

## 代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

![](https://mmbiz.qpic.cn/mmbiz_gif/BwqHlJ29vcqJvF3Qicdr3GR5xnNYic4wHWaCD3pqD9SSJ3YMhuahjm3anU6mlEJaepA8qOwm3C4GVIETQZT6uHGQ/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=21)

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:掌控安全EDU 还以为多浪漫 还以为多浪漫《众测一路追到供应链》

众测一路追到供应链 网络安全文章

众测一路追到供应链

文章总结: 本文分享一次EDU众测中通过供应链攻击高校系统的实战案例。作者从目标系统后台获取厂商人员信息,梳理出供应链资产,最终成功渗透。关键发现是门禁记录可泄
评论:0   参与:  0