记一次授权渗透测试操作：地道游击战

前言：

因近期考虑与公司中开发及运维部门相关客户企业进行安全合作，所以在与某客户公司安全交流中客户授权对其相关系统及网络环境进行渗透测试操作。

外网资产渗透：oa系统

    收集了相关信息，发现了属于公司内部管理的对外开放系统只有oa一个系统，因为发现其官网及其他对外开放系统属于托管于第三方公司，直接部署在了云服务中，所以直接针对了OA系统尝试进行了漏洞测试，首先对于系统进行一下信息收集，扫描一下指纹信息

    随后也探测了一下端口，然而发现当前ip还存在两个web服务，其中一个web也是一个企业版的OA系统，而且就在最近还报过漏洞，然而这个ip不属于客户的资产，而且当前ip是公家IP，客户的oa系统是属于从公司内网映射到公家给的公网出口设备上，多的就不说了！反正就是我们只能测试当前web系统，别的有问题也不能动。所以在当前系统中继续翻翻找找吧！发现thinkphp3.2.3，还来了一波物理路径。

    最后探测了一下资源，模糊测试操作了一下，也没有什么直接有效的信息，最后就只有两个登陆入口，一个pc端的一个移动端的

    登陆页面也没有发现有什么逻辑漏洞和注入漏洞之类的东西，然后thinkphp当前版本、相关容器及程序也没有发现有什么可直接利用的有效漏洞，之是发现一个登陆口存在任意用户枚举，也只拿到了一堆用户名，并没有弄到密码口令

    弄了很久也没有拿到一个权限，最后差点想要去审查相应thinkphp框架漏洞了！然而时间紧缺，而且还不一定可以找得到能够拿shell的漏洞，最后只领悟出了一段心诀：

    他强由他强，清风拂山冈。他横任他横，明月照大江。他自狠来他自恶，我自一口真气足。

    目标转移，打算直接跑去员工办公楼去看看。。。

移位-更换目标：办公区网络渗透入侵

    下午来到办公区，首先手机万能钥匙打开，直接检查附近的WiFi，看看有没有可以破解或者连接的无线wifi。

    首先进入办公楼，通过无线网络搜索开放的无线WiFi设备，通过WiFi万能钥匙发现存在某个会议室存在可破解的WiFi设备，通过微信扫描WiFi分享二维码获取到密码明文

    进入办公WiFi后，对当前网络下设备进行资产探测，并没有发现什么存活IP，发现只有两个ip存活，而且还是自己的电脑，呵呵！

    然后对当前ip进行路由跟踪探测，获取到当前网关的上级网关，从而得到路由的IP整个C段信息

    对路由网段进行IP资源探测，从而得到当前连接WiFi的网络IP C段存活资产

    拿到当前网段的存活ip后对获取到的资产设备继续进行漏洞扫描和渗透测试操作，经过一番测试和探测最后扫描发现Linux服务器xx.xx.189.161:22的root用户存在弱口令密码111111，成功获取一个内网服务器root控制权限。感觉有点小确幸，今天可以收工了。

    第二天，休息了一晚神清气爽，早早的跑过来继续搬砖。

   首先， 通过查看启用网卡，发现此设备存在多个网络环境之中，其中找了个xx.xx.5.106的ip地址搞搞试一试

    网段xx.xx.5.1/24进行简单IP资源探测，知道了当前网卡还是有存活资产的。

    既然进来了还得稍微的检查一下下再出去，但是还是先把代理环境准备好了再来，点到为止，毕竟是生产环境，还正在用着呢！

挖地道：建立代理，内网穿透

    当然不可能一直在拿下的服务器上直接进行后面的操作，万一是什么比较关键的设备给搞出问题，虽然经过检查和收集信息后发现可能性不大，但是还是要养成专业的习惯，给他来个内网穿透。

    首先本地模拟一下网络环境，尝试搭建一个代理，实验成功后再把代理给它搭再实际环境中。首先先弄个ew试试，因为比较方便快速，支持多种平台，开始直接再模拟的肉鸡上启动代理服务与端口。

    使用代理连接的客户端进行代理连接配置代理服务器信息。

    配置代理规则，可以指定你需要将流量代理过去的程序。

    也可以配置any，就感觉类似全局的样子，只要是协议允许以内的请求都可以代理过去。

    测试代理连接与请求，代理服务成功连接。

    然后测试一下kali的proxychains代理进行连接，多数工具包括扫描器都可以使用。

    直接把当前代理环境搭建到实际环境中，然后开始尝试进行内网渗透，由于后面操作中感觉当前代理操作时部分流量无法到达，所以我试了一下Shadowsocks代理服务进行连接，如下附上代理服务搭建的参考连接：https://www.pianshen.com/article/1665152227/

确认当前环境对象：尝试内网攻击操作

    代理进来后对存活资产进行资源探测及信息收集，发现存在某些重要的资产信息，从而判断已成功进入机房内网，涉及敏感信息，此处就不贴图了。

    然后通过对存活ip进行渗透及测试，发现有两台windows设备存在MS17-010 远程代码执行漏洞，一台服务器存在tomcat ajp 协议任意文件读取和远程代码执行漏洞，而且针对MS17-010测试了多个poc后成功绕过对方防御软件的拦截，成功获取shell.

end：点到为止

    由于当前环境属于正在工作的生产环境，所以没有继续进行拓展操作。简单总结一下入侵机房内网的操作流程：

    无线网络破解 --》网络探测、路由跟踪 --》弱口令获取机房内网边界服务器 --》内网穿透、代理 --》内网渗透 --》拿到机房系统主机权限。

原文始发于微信公众号（陆吾安全攻防实验室）：记一次授权渗透测试操作：地道游击战