前言

月黑风高夜，键盘卡卡响。收到一个攻防的通知，带上我的小书包，穿上我的格子衫就是一个字"冲"！

主要成果

成果一：某管理系统任意文件上传/sql注入+内网横向
成果二：某平台Zabbix反弹shell+内网横向
成果三：某单位弱口令文件上传+内网横向
成果四：某单位nacos Nday配置泄漏打穿整个云
成果五：一些OANday利用以及sql注入
成果六：一些越权数据

成果一

• 弱口令

• 7777端口 文件上传（失败）

• 5222端口 文件上传 成功 getshell

• sql注入 getshell

• 内网渗透

外网打点

http://www.xxxx.com:7777/ 弱口令后台

后台文件上传，上传🐎一直报错拦截，正常文件能解析

后面发现5222端口开放服务，存在sql注入并且dba可以写shell，文件更简单直接传无防护

内网渗透

可以发现10.2那台存在安全狗waf，也是我们之前打的7777

上线cs后，dump出密码hash，直接搭个隧道远程连接

发现IIS站群控制五个站点

扫出数据库弱口令，

[+] mssql:192.168.10.2:1433:sa 123456
[+] mssql:192.168.10.5:1433:sa 123456

挂上代理，利用xp_cmdshell直接拿下另外两台服务器

还有一些msf17_010

成果二

• zabbix getshell

• 内网渗透

外网打点

http://xxxx:8000/zabbix/zabbix.php?action=dashboard.view 默认口令admin/Zabbix

进入管理后台利用server脚本反弹shell

上传les.sh脚本利用cve提权至root

入口机器为docker集群

一台数据库

还有一些其他的Web站点，可控制的设备挺多的...

成果三

• 弱口令

• 文件上传 免杀getshell

• 内网渗透

外网打点

http://xxx.com/ 猜测单位人员弱口令

进入后台头像可以上传，前端验证后缀直接改

尝试直接传🐎发现502，测试无危害内容正常解析，大概率是内容检测，直接上免杀🐎

没有被杀，头几次连接都返回空，测试了很多免杀🐎都不行，开始怀疑人生，后面换个浏览器发现他会跳到登录界面，想到应该是会验证登录的Cookie，于是直接蚁剑加个Cookie头连接成功

内网渗透

内网服务器3台+Web控制权限2个+数据库4台+居民身份信息9W+。图片不方便放...

成果五

Nacos配置泄漏打穿他的整个云

http://xxxx.com/

需要自己拼接nacos路径，arl没识别出来这个...

nacos密钥后门

进入之后泄漏

accessKeyId: xxxx    accessKeySecret: xxxx

cf一把梭

直接接管整个云

4台ECS

全部拿下

其中一台截图

1台RDS

直接新建一个用户成功拿下数据库

成果六七八

剩下的都是些越权数据以及sql注入的数据啥的，还有的就是打进去拿到shell就关站了...

原文始发于微信公众号（炮炮安全）：记某次攻防演练