重生第四篇之从总公司到分公司的艰难内网渗透

前言

在一个风和日丽的下午，我本来在公司惬意地喝着下午茶，和公司的美女同事聊着天，想着再这样摸两天鱼，这周就结束了，可是天不遂人愿，老大的一条微信打破了这该死的宁静。

正文

这次老大发来的一个渗透目标，撸起袖子准备开干，给的目标是市里的一个公司。开始各种fofa大法，经过自己的各种body、title、子域名等信息收集，发现就一个官网和公众号基本没找到其他的资产，看到这人都麻了，毁灭吧世界！！！

没办法生活还得继续，那就看公众号，公众号小程序的一般的越权比较多，就想着看能不能找到交差。

公众号长这样

一般越权经常出现在个人信息、 查询等地方，最后在公众号上也成功找到了越权。越权出现在绑定/解绑缴费号。

继续往下看！！！

1、点击绑定/解绑缴费号

2、点击继续添加

3、输入缴费号点击下一步

4、对缴费号进行遍历，可查询所有用户的敏感信息

可以去给老大交差了！

继续往下看！！！

过了一天，想着大抵不该如此。想着这是个市里的分公司，总部的内网会不会和分公司的内网是相通的，在之前的公众号中发现了内网地址，抱着这个想法说干咱就干。

又是一通信息收集，最终发现了一个帆软v10系统，直接反序列化打内存马，成功进入总部内网，内网IP为10.11.47.15，而发现的分公司内网ip为10.13（后续再补充如何发现的内网地址），感觉有戏。

进入之后发现10.11.47.15只能与10.11.47网段互通，与其他网段不互通。

突破边界进入隔离业务内网

在10.11.47网段中一通乱扫后发现了一个用友nc 的未授权漏洞，可以与10.11大段互通。

至此成功找到跳板机进入了逻辑隔离后的业务内网，10.11.x.x的b段到这里都可以通了，但是我们要找的是10.13段，还没有找到，毁灭吧世界！！！

继续对着b段进行扫描，搭建三层代理成功进入10的a段大内网，首先通过扫10.11横向拿到zabbix(10.11.43.41)的集群，可以命令执行。

至此可以访问a段。

关键交换机 找到分公司内网

上面通过外网信息收集 ，发现分公司公众号有小程序，解包发现存在内网地址的跳转:

把分公司的XXXX商城小程序进行解包，发现源码中存在内网地址的跳转：10.13.XXXX.102

至此，分公司的内网网段通过上面的三层代理就全通了，又发现10.13.XXX.11 华为iBMC交换机存在默认密码，Administrator/Admin@9000

然后通过这台ibmc再次做了一层10.13的代理，成功访问到目标分公司的内网，开始对目标分公司内网进行横向，最终拿下了目标的内网若干数据库+服务器+web应用。

最终在两包烟的代价下进入了分公司的内网，获取了目标核心系统权限，可以愉快地去找美女同事聊天了。

COLD WEATHER

原文始发于微信公众号（Seraph安全实验室）：重生第四篇之从总公司到分公司的艰难内网渗透