目錄：

　前言

　互聯網突破

　第一層內網

　第二層內網

　總結

前言

上個月根據領導安排，需要到本市一家電視臺進行網絡安全評估測試。通過對內外網進行滲透測試，網絡和安全設備的使用和部署情況，以及網絡安全規章流程出具安全評估報告。本文就是記錄了這次安全評估測試中滲透測試部分的內容，而且客戶這邊剛剛做過了一次等保測評，算一下時間這才幾周不到，又來進行測試，實在是怕沒成績交不了差啊。

互聯網突破

剛開始當然還是要從外網開始嘗試，因為事先客戶也沒有給出目標清單，我通過常規信息收集發現目標在互聯網上部署一套OA系統。

二話不說祭出了我珍藏多年“萬能OA漏洞掃描及利用”工具，結果鎩羽而歸。這時候，大表哥朝我微微一笑（令我汗毛倒豎）：“這周末請我吃頓大餐，就能借你用下我的0day”。我于是含淚拿下致遠OA服務器上傳了webshell，路徑為IP地址:端口號/seeyon/notify.jsp;Jsessionid=getAjaxDataServlet?S=ajaxColManager&M=colDelLock

以此為跳板順利進入目標內網，并搭建frp隱蔽隧道。

第一層內網

進入內網首先利用fscan一把梭掃描一通，發現內網10段有很多主機存在MS17010漏洞，于是使用msf上線這些存在漏洞的機器。

這里證明其中的一臺10.211.8.42即可，開啟3389遠程桌面后成功登錄，通過ipconfig查看其內網地址也確實是10.211.8.42。

本來是打算往后面走的，結果大表哥建議我最好一臺一臺登錄下，做做信息搜集啥的，也許能有意想不到的收貨。果然大佬的建議就是經驗之談啊。我在登錄主機100用nbtscan掃描發現新的機器10.211.8.50，而且發現主機名后綴為SQLSERVER-DC，很像是域環境

于是再次嘗試利用ms17010打了幾次50，最終獲取了其反彈shell，執行域內信息收集，該機器確實是域控，控制4臺服務器，主機名為SQLSERVER ，但業務未知。通過mimikatz工具也成功導出了域內所有用戶的hash值，這些可以用作hash傳遞攻擊，也可以破解明文做同口令攻擊。

繼續掃描內網過程中，發現struct2漏洞主機10.210.4.49和10.210.4.45

49這臺機器含有大量業務服務，且可以連通很多同網段的服務器，通過ssh服務在后臺運行的（賬戶權限很高都是root的）：

為了逐個進行探查，我把上面結果保存到ip.txt文檔中，由于可以連的機器太多看起來比較混亂，我用sort命令和uniq命令重新過濾一下重復的信息，最終顯示可控機器30臺

隨機選擇一臺服務器來驗證是否真的可控，這里就訪問10.210.4.72，如圖成功登錄其ssh服務

繼續掃描內網，發現一臺linux主機10.210.4.153的ssh服務存在弱口令 root/admin@123

值得注意的是，該機器存在雙網卡，之前橫向的都是10.210.4.1/16這個IP地址段的，說明可能在172.16.0.1/16地址段還存在很多主機，而本機172.16.2.16恰好是通向第二層內網的（橫向拓展過程在后面）

上面跑的qwserver 查看其日志

機器10.211.9.37存在redis未授權訪問。這里我是現學現賣的（之前實戰沒遇到過），因為redis默認安裝都是沒有密碼的，默認配置是bind 127.0.0.1，和其他數據庫一樣，redis支持導出備份文件，如果redis是以高權限用戶（如root）運行的，就可以通過制定導出路徑和文件名覆蓋任意文件。而redis導出文件的內容是部分可控的，通過寫入或覆蓋一些有容錯的文件就可以執行命令。

第二層內網

在第二層內網的跳板機器上，我首先利用fscan掃描172.16.0.0/24地址段，看看有沒有易于攻擊的主機。結果發現活躍網段172.16.2.0存在漏洞主機以及弱口令

JBoss服務器存在反序列化漏洞

執行命令后反彈shell到我的vps上，查看其ip地址如下

確認3389遠程桌面服務開啟后，我直接登錄上去，發現上面運行的web程序是一種視頻流媒體管理系統，存在弱口令admin/adimin直接就能以管理員身份登錄

內網中常遇到的安防設備也是測試漏洞的重點，測試發現新華三防火墻管理權限弱口令admin/admin，可以配置其網絡邊界出口防護。

繼續滲透，發現一套內網交互平臺，通過測試也存在弱口令admin/admin，登錄后也能控制音視頻節目的采集、播放、刪除、下載。

聯匯ESB管理平臺弱口令admin/123456，這個平臺也是做音視頻管理用的。

總結

攻擊鏈路：???

????OA系統0day漏洞獲取webshell—>搭建frp隱蔽隧道進入內網—>主機、域控存在MS17-010漏洞—>struts2命令執行漏洞—>二層內網大量服務存在弱口令、未授權。

????企業不能過于依賴邊界防護，輕視對于內網的安全管理，如該企業存在大量MS17010、struts2命令執行漏洞和弱口令，進入后如入無人之境。此次滲透任務中，我也發現自身很多不足，面對網絡安全技術的不斷發展，新的漏洞和攻擊技術出現，還是要不斷學習進步，更新自己知識框架，多一些耐心和專注，才能取得更好成績。

申明：本賬號所分享內容僅用于網絡安全技術討論，切勿用于違法途徑，所有滲透都需獲取授權，違者后果自行承擔，與本號及作者無關????