来Track安全社区投稿~  

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）

一.前言

本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的；文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。

二.大概流程

1. 外网突破（小程序漏洞利用）

• • 发现小程序存在 SQL注入，但利用价值有限。
• • 利用 Shiro反序列化漏洞 获取Web服务器权限，尝试写入内存马失败（EDR拦截）。
• • 覆盖404.jsp,写入WebShell，成功进入内网。

2. 内网横向渗透

• • 发现 Todesk 远程控制软件，通过内存抓取获取凭证，连接内网机器。
• • 使用 fscan 扫描内网，发现大量漏洞：

• • • Nacos默认密码 → 获取敏感配置
  • • Druid未授权访问 → 登录后台
  • • Spring Env信息泄露 → 获取数据库账号密码
• • 利用数据库服务器作为跳板，发现 vCenter 目标。

3. vCenter接管（最终目标）

• • 利用 CVE-2021-22005 漏洞上传WebShell，获取 root权限。
• • 提取 vCenter数据库，解密管理员密码。（行不通）
• • 通过 生成Cookie 绕过认证，成功登录 vSphere Web控制台，接管整个虚拟化环境。

4.最终成果

• • 控制 外网入口服务器、内网数据库服务器、vCenter。
• • 获取 数十台核心服务器权限 及大量敏感数据（数据库、支付密钥等）。

三.正片开始

1.小程序

1.1.sql注入

查询处拿到两个注入，mysql，用处不大

1.2.shiro反序列化

在同接口发现shiro，工具梭哈拿下，终于也是让我碰上了哈哈哈哈

只能通过搜索静态文件，一开始等了很久，没有回显，以为是没有找到，就又卡住了。结果找着找着，结果突然回显回来，应该是find了很久。找到了绝对路径，但是写马发现此目录是纯静态，前后端分离的，没有执行权，又找不到后端，没法了

1.3.迂回拿下todesk

其实一开始就看到有todesk，然后想要上传proceedump抓取内存，但是发现本地读取没法下载，然后二合一的工具又会被edr拦截。本来是卡住的，但是上面找了前端，就可以通过前端去下载。

下载后工具读不出来，二合一直接抓取后在服务器读取的工具又会被拦截。

查阅相关信息后，把dump的内存文件copy到前端目录，通过静态目录，去下载读取的内存文件。拉到本地手工读取，搜索字符串dump的日期，上下文寻找，看到数据或字符串大概率就是，尝试几个

好在没有杀软，powershell下载是能用的

2.内网

终于，拿下，由此进入内网

通过多个nacos默认密码，大量未授权敏感信息泄露，又拿到一批数据库密码

还好上了一台数据库服务器到cs做了维权，这台数据库服务器，存在两张内网网卡，同时出网，比较隐蔽。

但是版本较低，需要重新起隧道，2008r2系统要低版本frp，此处使用v0.51.2 版本，高低版本配置文件兼容，一样可以使用.toml不需要改。

3.拿下vcenter

通过fscan扫描找到了vcenter，人称小域控，打到这里基本摸清了内网结构，是没有域环境的，只有一台vcenter，那么大概率这台就是集权控制中心了。

试了好几个github上的高star工具都打不动，手工paylaod打完了一遍，都没结果。

突然想起来，内网试试goby。这里不得不提，内网goby是真的好用，挂上代理，指定单扫poc，防止流量过大

拿到webshell，是台linux，默认root，权限拉满，省去了提权。

准备dump数据库下来解密登陆，但是一直dump不下来，因为哥斯拉的shell是半交互式，输入不了密码，索性加了个用户直接ssh去dump数据库的表

先通过data.mdb生成三个txt文件

成功登陆。到这里基本上内网已经穿了，再打下去也没什么意义了，主要服务器都在vcenter集权管理了，后面就是生成快照，抓密码，就可以拿到服务器密码进行登录了。

四.成果展示

数据库

vcenter集权平台外加核心服务器几十台

五.参考文章

https://blog.csdn.net/qq_63855540/article/details/142085758https://mp.weixin.qq.com/s/PrZQo6IOJqzQ8nOmxtDx9Qhttps://forum.butian.net/share/1893