[有手就行]记一次艰难的外网打点

以下内容，来自先知社区的u21h2作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任何责任。

这是本系列第二篇文章，依然是某省HVV中的红队经历，这次的目标是某著名饮料企业。

上一篇写的有点水，更像是成果展示了，我这次着重写外网打点的整个思路流程。PS:对于上一篇，已经稍微补充了一些，但可能还是不够丰满，主要原因是渗透过程确实简单，另一个原因是当时进入内网过程比较敏感，不太方便多说(还想毕业)。

这次的整个流程大概是：信息收集->SSO弱口令->源码泄露->SQL注入->密码复用->VPN进入内网，都是很基础的操作，组合拳打起来进的内网。

转载请注明出处，谢谢。

首先子域名爆破，找到一个sso.exa-mple.com.cn(以下都用example代替)，网站的title是“xxx集团单点登录系统”，登录不需要验证码，直接丢进burp开始爆破。

我的习惯是先[常见用户名+常见密码]爆一下，不行的话再[常见人名+123456等密码爆一下]，实在不行再考虑[常见人名+常见密码]。

很幸运，只用123456我们就得到了几十个能登录的用户名，比如litao、wangwei、zhangkai、liupeng等。

此外我们通过子域名爆破还找到了多个使用单点登录系统的网站，如网络学院、培训系统、桶装水、运输系统、销售系统等。

首先看了下上述网站有没有漏洞可以传马，网络学院可以上传用户的照片，但是会强制转换成png类型；桶装水、运输系统等都是用flash写的，看起来相当久远了，先忽略。

唯独培训系统，登进去空白一篇，只有几个侧边栏按钮可以点击。当时也觉得是个废弃的系统，也先不管。

[*] information_schema[*] pg_catalog[*] public

 select version(): 'PostgreSQL 11.3 on x86_64-pc-linux-gnu, compiled by gcc (GCC) 4.8.5 20150623 (Red Hat 4.8.5-36), 64-bit'

应该是个PostgreSQL，且主要的public库里有一千多张表，大约15G的数据。
简单翻了下，有面试、培训、奖金、生产等的业务信息。最有趣的是面试库，里面明文存储着密码。

目前的信息有：

简单看了看邮箱(未看敏感商业信息)，发现了IT发的几封很有趣的邮件。

大致就是VPN密码默认aaaa1111，账号是工号。为了配合HVV，登录后需要改成强密码。IT，听我说谢谢你。

我们这位大哥有没有改成强密码呢？好巧，没登录过所以还是aaaa1111。

首先要找一台机器当做跳板，因为VPN比较慢而且经常异地登录的话很可疑。扫了下常见的漏洞，发现有一台是redis可以直接写公钥，写完登进去发现不出网但是ping是通的。我这边搭icmp隧道从来没成功过，于是果断换目标。

又找到一台redis是服务公网环境的，可以出网，于是用这台当做后续攻击的跳板。借助这台跳板机发现内网各段没有任何的隔离，而且存在ZeroLogon和永恒之蓝等漏洞，脚本小子工具启动，点一点就把分数刷满了。

当时算是第一次参加HVV实战，还没有掌握一些可以直接RCE的漏洞利用方式，而是被迫用了这样的“组合拳”来进内网，虽然过程很有趣但效率还是很低。

给防御人员提一点小小的建议：

• 弱口令一定要改完

• 不用的旧网站都关掉

• 密码不要明文存储

• 数据库做好分离

• 邮箱和VPN等重要资产设定2FA

• VPN尽量不开放给非必要人员

• 陈年高危漏洞修一修

这边还有不少之前渗透的有趣经历，最近找暑期实习整得身心俱疲，等有机会再接着分享:(

原文链接：

https://xz.aliyun.com/t/11366