记一次省护两天拿下1.5w分(100w+信息泄露+找到双网卡主机—>内网沦陷)

##以下内容仅供交流学习，由于传播，利用本文所提供的信息所造成的任何后果，均由使用者本人负责，公众号作者不为此承担任何责任！

一个出局的企业单位内网之旅

故事的开始是某佬丢了一个系统nday shell给我ipconfig发现有10段内网，这种网段内网一般都很大

但是这种nday已经被别人扫烂了，还发现了昨天传的fscan但是目标单位还没出局 先打再说 

准备cs上线 但是发现不出网 

先在哥斯拉命令执行传fcsan扫了一下 ，一堆弱口令➕redis

使用Neo-reGeorg正向隧道工具把流量代理出来

刚访问了一个web站点看看通不通 加载了一个title

以为通了 可以开始截图写报告了

又好久不动了，我以为是代理的问题

结果发现目标站关了。。。。

（感觉应该是昨天穿fscan的师傅打完内网了交报告了然后企业直接关站了）

 陷入困境 看着这么多的弱口令却触摸不到

去找该企业子域和其他资产再找突破口 找到了一个边缘资产的登录框 

先搞了一个接口遍历用户名

遍历到了几个测试账号（一般密码都比较随意） 

运气很好～

.net的站后台很容易找了个上传点绕一下就shell了

哥斯拉连接 发现这台机器居然是出网的！

上传我的马子 用哥斯拉的提权插件美美system上线～

用frp内网穿透

美滋滋登弱口令截图写报告时

发现这台机器是10.8.xxxx，上台机器是10.9.xxxx，两个B段不通

那就先上这条机器扫这个b段吧

因为是该机器是server2016，mimikatz抓不到明文密码就只能添加用户 3389登录了

传fscan扫了一下 发现这个网段机器偏少 弱口令也没几个

 现在的目标是找到双网卡主机！

然后进入一堆弱口令的网段里，写报告写死我

先登了扫到的弱口令机器，发现都是设备，只能继续找其他突破口了 

在这台机器翻了一波 发现了一个显眼的sa.txt文件 

果不其然，里面放了一些密码，

fscan再密码碰洒一波 弱口令

第一台ssh弱口令   ifconfig 芜湖～ 双网卡！

用frp搭个多层网络代理隧道 大概就是 这样

我们就可以通10.9网段了，美滋滋的写报告的时候

被通知对方出局了～

先把手里的报告交了，因为慢了昨天传fscan的师傅一步，所以也没得多少分。

然后就开始了第二个内网之旅 打点很简单 某某医院的小程序 点点点点

在burp插件里找到了惊喜

shiro反序列化 工具梭哈

又是一个内网～

在这台主机上找到了这种表格好几个

加起来100w+公民的医疗数据身份证等敏感信息～

这台机器是2008 用mimikatz读密码  3389登录

frp穿透进入内网 在数据库电脑里面寻找密码记录下来

fscan+超级弱口令密码喷洒

就完了 点的水果正好到了 听歌休息一下～

不得不说看着密码喷洒是真滴爽啊^^

最后也是拿下几十台主机权限，内网沦陷～（可惜没有双网卡）

美滋滋睡觉 交报告～

       感谢各位师傅们能看到文末，第一次正式作为红队打攻防演练，有某佬的带领下还是打的比较轻松的，也是拿到了优秀攻击队伍。

       最近想了很久，本来都想好下学期去实习工作，但是在各种因素的影响下还是准备考研了，后面再更新文章应该就到了上岸的时候了(顺利的话)，最近就先和师傅们小告一段落咯～
                                                                                     

原文始发于微信公众号（艾克sec）：记一次省护两天拿下1.5w分(100w+信息泄露+找到双网卡主机—>内网沦陷)