记一次地级市攻防3W分

都是很基础的操作，没什么特别的手法，第一次记录，大家看看就行了，也没啥特殊手法，刚毕业的脚本小子第一次打这么高分，记录一下，最后有些问题，望大佬指教，指出错误之处。

组成部分

几家家近乎穿的单位（某传统企业，某科技企业，某国企）

一家敏感下属单位（超大型内网（最后一天只探了个活，太累了））

一家40w条某医疗单位数据泄露

杂七杂八的弱口令，后台

后期实在是刷不动了，太累了，义务劳动，也没啥钱。

信息收集->打点->弹完整shell（root/system）-> 上nps/Neo-reGeorg/erfrp代理 -> 刷内网

总体思路

struts_046f --> 向日葵右键退出杀软（绕杀软） --> 机器环境有问题 --> 刷本机分

打点

正面突破 struts_046f 一把梭，哥斯拉直接上线webshell，java的环境大家都知道一般是最高权限。

终端对抗-谢谢运维哥

tasklist svc 一瞅，我尼玛，360和小红伞。运维哥别把，下次别装俩了，对电脑不好。

常规cs shellcode一扔寄，敏感操作寄，分离加载混淆寄，静态ok，动态一动无。

于是乎陷入沉思。。先吃个饭把，，，

后面翻着翻着文件，仔细看了进程，我擦，SunloginClient.exe 好东西，谢谢运维哥赏饭吃，直接读向日葵配置文件，连接！右键退出360，小红伞。

https://github.com/wafinfo/Sunflower_get_Password

具体用法看github

嘿嘿还得看我向日葵

直接上supershell进行后续操作

代理

都无杀软了，无脑nps带出socks5。遇到问题了我擦，无论啥exe放进这破机器，显示xxxx.dll、vs错误，我日。原来不是我cs没法上线，是他不能运行。看了2小时无果。尝试修复，寄。

刷分

那咋办嘞，只能刷下本机的分喽。

官方控制权限 xx分

Oracle 本机 xx分

sqlserver 本机 xx分

xx药管理系统 xx分

PostgreSQL xx分

骗分小能手yyds

总体思路

在野利用exp --> 386的机器 --> 绕edr --> 超大型内网（未深入）

打点

在野利用exp，某华的智慧xx管理系统

代理

直接上代理有些问题，由于是386的linux，kscan/fscan 修改版都通过go编译了一份386的版本。平常只备了x86_64。

edr

某x服edr，没杀supershell的go混淆，不带upx。上去看文件夹啥s****for我擦，以为要寄了，结果不干我打supershell那没办法了。按官网教程退出了。。密码是弱口令。。。但又好像不是，类似于P@ssw0rd这类，8位，大小写，特殊字符233。

内网

正常流程应该是咋样的？拿fscan扫ifconfig的C段？是这样么

直接kscan --spy 干172/192/10的A段，不要怂，就是干，就7天能咋办，你要无感知？底线程扫几天都不够哇

一扫！172、10、192加起来的网关存活有83个C段？？？？？最后一天了，直接放弃，摆烂。结束，随便扫点fscan的交一下，入口点交一下。

总体思路

在野exp --> 双网卡主机，直接俩内网--> H3C交换机 --> 突破隔离--> 刷内网

打点

冰蝎+supershell+nps

内网

nps开了之后也没啥杀毒软件，直接Proxifier代理上了。

密码喷洒战士，直接交换机拿下，打通vlan。

50多个个大华弱口令，牛2023居然还有不改大华密码的

10台FTP

1台mysql

1台永恒之蓝，不敢打，怕蓝屏

某安卓设备远程控制，其实就是adb+一款云端远程桌面软件。不得不说adb root很爽。康样子应该是个4.4.2的版本，而且极大可能性不是国内ROM。更类似于AOSP?那种

其他市ip，后台弱口令。。。就是医生记录用的系统。几十w条数据，居然不算重大成果233

主要还是信息收集，这类ip无论是hunter还是fofa，都是没有的，具体是拿下旁站sql从数据库里看到ip，试着干一下，很容易偏。

小技巧

脚本小子，初级红的一些，大佬勿笑。

其实也不算技巧，打点依然是老生常谈，nday/钓鱼/1day，基本也没啥方法了，望大佬指教

在终端对抗想法，现在大伙都追求免杀，我比较菜只能上一些白名单应用，如之前的长亭某管理vps工具，360云的团队管理工具，向日葵（UAC会不行），teamview，todesk，anydesk。都是一种方法，能达到目标就行。不一定要用CS这种C2阿，当然CS的dns，icmp上线，横向操作还是很棒的，对于一些国内c2工具，只考虑了http上线。可否思考一些其他手法上线，用一些少见协议。

对于fscan的缺点也很明显，端口--协议，这是一种很容易错过一些点的方式。但追求速度和准确性，fscan的快速打点也是非常不错的。在大型内网中fscan显然有些吃力。

webshell一定要正常http么，比如某技术的WebSocket也可以哇，一搜结果大神们很早时间就开始搞了。

隐匿：某技术的cdn+webstock+SSL+伪装流量是否也可以用于攻防，有效已经很不错了，值得一提，cf太慢了。自选ip又无法有效匿，至于腾讯云函数也有了反制手段，有授权考虑国内cdn。能不能访问也通过cdn-->vps --> cdn两层cdn+心跳延迟+某代理池。可以在另一台vps上心跳到另一台vps再到c2。心跳其实很重要。这些都是常规手段。

对于shiro这种需要跑key爆破可以信息搜集开始时一直挂后台run。

传统nc，powershell弹shell肯定是不太好用的，考虑supershell，vshell这类新型工具，在某些奇葩情况下可以考虑echo写入文件。

内网有时候大家都是看ifconfig，其实不然，在网络架构中通过vlan划分，一般情况可以看ifconfig，但其实主机可达还是需要探测，因为咱也不知道他网关可以到哪边。

在地级市中其实nday可行性还是非常大的，但往上就有点吃力了。挑软柿子捏，刷分。

像一些比较难打的单位，手上也没啥day，逻辑也没挖到可以直接shell。除了钓鱼想不到其他的了，这时候该咋办。望佬解答

对于突破强隔离还有些不明白，目前只有遇到要么是内网中内网一台可以通其他网段，要么直接拿下交换机，把vlan打通。有没有啥其他方法，望佬解答。

有时候遇到准入机，双向加密机很无奈，遇到零信任没有账号很无奈。望佬解答

遇到过一台netservice权限的winserver2016，没有写入权限，只读当前目录，禁用大部分命令。实在不知道咋绕了，webshell根假的一样呜呜呜，望佬解答

原文始发于微信公众号（李白你好）：记一次地级市攻防3W分