记一次对某大型公司的红队行动

Lambda小队红队行动回忆录-三人行（一）

序

本文是Lambda小队红队行动回忆录系列的第一篇试水文章，初衷是想通过队员们真实的红队实战经历来分享一些安全知识和攻击思路，为了避免全文都是技术内容显得枯燥乏味，文中会穿插队员们有趣的沙雕对话，该系列中会尽量还原攻击过程中队员们的想法，即使最后印证了是错误的思路，或者最后利用失败。记录过程中不免有些地方会暴露队员们在某些方面知识缺乏的现象，术业有专攻，队员们红队经验同样也参差不齐。文中用到的所有人名和公司名、密码等均进行了虚构和脱敏处理，请勿对号入座，文中部分截图来源真实的红队复盘攻击路径报告，所以打码较重。最后如果大家喜欢这个系列的内容，欢迎关注我们，并加入我们的群聊（扫描文末二维码）。队员会根据大家的反馈情况，是否持续更新该系列内容。

任务

老大：这次的目标是某大型上市公司，有5家队伍参加，有成绩要求，第一，懂了吧。

老丁：几个人参加啊

老大：你，加零神，还有蛋总，你当队长。

老丁：行，那稳了，有两位神，我躺好就行了。

Day1

早上9点，三人中一个在吃早饭，一个在刷新番，还有一个在吐槽某垃圾SRC又忽略漏洞。

老丁：喂喂喂，有成绩要求的，该干活了。

其他两人：目标是什么来着？

老丁：

老丁：你们先做信息收集，我fofa先看看有没有什么有day的应用。

零神：卧槽，扫到个shiro。

众人围了过来，“快快，看看能打吗”

过了一会

零神：G了，云主机啊，没内网的，估计只能拿个权限分。

众人:

蛋总：找到一个页面弱口令，看起来像是ruoyi框架的，但是试了几个接口都打不动，你们看看。

还有找到一个目录遍历，可以下载源码的

源码我看过了，只有一些内网的主机mysql密码和oss配置，没啥用，得不了多少分。

OSS 都是一些发票信息，也不算多敏感的信息。

零神：github上倒是找到不少密码配置，但是都是内网主机的啊，用处也不大。要不拿这些密码去撞一下暴露在外的应用吧。

半小时后，

零神：真难啊，撞了半天毛线都没有，下班！

下午

老丁：今天就这些成果吗，这也太少了，我翻了很多站，这家公司很多站点都是需要单点登录后才能访问到的应用，没想到安全做的还可以。

零神：这么快，都4点半了，今天几点下班来着。

老丁：5点半下班，但是今天没啥成果，有点不好交差。

蛋总：客户允许钓鱼吗？

老丁：不允许钓鱼，任何形式钓鱼都不行。

零神：G了，回去改简历了，BOSS直聘启动，准备跑路了。

老丁：算了，今天大家早点回去吧，晚上我挂上C段全端口再扫描一下，明天再说。

Day2

老丁：昨晚我扫描的全量C段资产信息同步到面板了，大家一起看看

Two hours later。。。

蛋总：好多都是摄像头之类的，没有什么正式业务。

零神：嗯，但是我发现他很多业务都带他们主页这个 favicon，你们用他这个favicon的hash搜索过资产吗？

老丁：还没有，我再来用这个favicon收集一波，然后汇总，蛋总你Fuzz一下资产的目录吧，看看有没有什么隐藏目录。

N久后。。。

蛋总：大家快来看，Fuzz到一个页面，这个地址直接访问是404，访问connect.php跳转到了Adminer页面。

零神：卧槽，Adminer是不是有洞。

老丁：这版本这么高，肯定没洞。

零神：我不信，等我google一下。。。。好像真没有。

老丁：昨天蛋总找到源码泄露了很多数据库口令吗，还有内网地址拿来试试。

一会后。。。

零神：密码都不对啊，这源码估计都是N久之前的东西了，人家早改了。

老丁：他的github和源码里面泄露的密码，似乎都是slink@加个年份，例如slink@2019之类的，要不给他生成一套密码爆破试试。

零神：这家公司几几年成立来着。

蛋总：2003

零神：行，那就slink@2003到2021。

不久后。。。

零神：G了，不行啊。

老丁：你刚才生成的字母是不是都是小写的，如果这家公司对于密码有复杂度要求的话，那应该至少有个字母是大写字母，这样吧，你把s改成大写变成Slink然后中间的@换成#再生成个字典试试。

零神：ok，这是我最后的波澜了！

几分钟后

零神：卧槽，密码对了

蛋总：快快快，写个马

老丁：别写马，直接udf提权

零神：udf提权咋提的？

蛋总、老丁：啊这。。。

零神：这个表情干嘛，人家是脚本小子，之前都是用工具直接提的，正经人谁手提啊，别烦，看我来百度一下。

零神：so easy，这不就来了吗，提上了

老丁：我来搭一下代理，蛋总 你把CS起来，零神你内网先大保健一波。

零神：扫到个rdp弱口令，administrator/123456

蛋总：命令发你了，给他上到CS来。

蛋总：上线了，密码抓到了，这密码怎么跟github上泄露的一模一样，这我得撞一波了。

不久后。。。

蛋总：我去，全是这个口令

零神：HR系统有个ueditor文件上传shell我拿了，蛋总，给你上到cs了，帮维一下权。

蛋总：卧槽，这台在域内。。。

Lambda小队最终能否夺冠呢，敬请期待Day3的故事…….