恒生电子股份有限公司内网渗透（一个小问题到最终获取域管理权限）

从http://mail.hundsun.com/ 爆破出了一枚帐号

luyf:

本来想着估摸着有VPN可以进内网什么的，但是什么都没有

于是找啊找啊，去OA窜窜门吧

https://synergy.hundsun.com/ 验证了2次，进去了，看到了一份员工手册，学学知识，如何成为一名合格的员工

https://synergy.hundsun.com/weaver/weaver.file.FileDownload?fileid=426840&coworkid=0&requestid=0&desrequestid=0

里面讲到作为一名 好的员工要多去home.hundsun.com与大家交流交流，于是我去了

在里面看呀看呀，作为一名“新员工”，一份入职培训必不可少

https://home.hundsun.com/other/guide/Hundsun_guide.pdf

里面是一条龙服务，什么姿势都有了，但是我没钱啊

所有姿势都有付费啊，忍了

没关系，我在外面找找后门，看看有没有不要钱的。。

嗯？二级域名看到了

https://vpn.www.hundsun.com/ It works 我也知道有个门啊

https://sslvpn.www.hundsun.com 咦出来登陆框了，卧擦怎么跳转了，还到主页了，没关系，BURP搞定

SonicWALL的VPN。。。XXOO，直接域验证，哈哈，可以不要钱了

卧擦，直连域啊，可以直接导出域信息。。为了防止被打出来，就不干了
 ping -a 192.168.60.11
 
 Pinging hsdc01.hs.handsome.com.cn [192.168.60.11] with 32 bytes of data:
 Reply from 192.168.60.11: bytes=32 time=22ms TTL=128
 Reply from 192.168.60.11: bytes=32 time=22ms TTL=128
 Reply from 192.168.60.11: bytes=32 time=23ms TTL=128
 Reply from 192.168.60.11: bytes=32 time=22ms TTL=128

看看内部系统，装个B，赶紧跑

https://192.168.60.49/options.cgi 邮件拦截系统

http://192.168.61.35/Citrix/XenApp/clientDetection/downloadNative.aspx

CITRIX

基础知识库

不多列举了

本来就这么结束了，刚才看到有个命令执行，已经被人提交过了，忍不住看了一下

好家伙，域内，草其mimikatz就抓了

tspkg : 
   * Username : backupadmin
   * Domain   : HS
   * Password : *********
  wdigest : 
   * Username : backupadmin
   * Domain   : HS
   * Password : ******

密码隐去了。。域管理员。

这下彻底沦陷了

补补补

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2016-05-02 01:06

厂商回复：

非常感谢您的反馈，已进行处理。

最新状态：

暂无

1. 2016-06-16 02:15 | 卡卡西 ( 实习白帽子 | Rank:49 漏洞数:10 | 低调学习)

   0

   这思路不错，只不过，有些细节没有体现出来

   1# 回复此人

2. 2016-06-16 08:53 | phoenixne ( 普通白帽子 | Rank:294 漏洞数:106 | 小本毕业，向各位学习)

   0

   SonicWALL的VPN。。。XXOO，直接域验证，哈哈，可以不要钱了 怎么XXOO，求细节。

   2# 回复此人

3. 2016-06-16 09:42 | fuzz-ing ( 普通白帽子 | Rank:197 漏洞数:45 | 其实一开始要我挖洞我是拒绝的，因为不能你...)

   0

   这密码。。。

   3# 回复此人