某次攻防演练中通过一个弱口令干穿内网

扫码加圈子

获内部资料

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

原文链接：https://www.freebuf.com/defense/414846.html

作者：夜未至

因为单位过于敏感，所以本文图片将会严格打码以及重要部分仅用文字叙述，避免出现隐私泄露的情况

在裁判下发的资产名单中发现了事业单位的名字，通过鹰图、quake、fofa等空间搜索引擎去搜索资产，结果自然是成功搜索到无数资产一点没有，都是假的

成功找到了一个域名，并且成功拿到了当地的IP的C段资产。

接下来就是通过扫描小C段，发现了许多资产，其中存在两个安恒堡垒机

因为前面是通过单位得到域名，所以在堡垒机这里直接猜出了弱口令账户,用户就是该单位的首字母的缩写，密码就是默认的账户密码

通过弱口令直接进入了堡垒机，发现了多台机器，直接导出运维机器的账号密码

然后我又想了一种办法，将导出的密码做成密码本，拿去爆破该C段，原理：入口机。最后成功爆破出了入口机，nice！

爆破出了入口机是Linux，这降低了免杀的要求

但是由于目标单位的特殊性导致我们对流量加密的要求变得更高。我们先后尝试上sliver、vshell等C2，但是都无法上线，最后我们选择了最原始的办法，上传魔改的frp直接内网探测。

通过前面的堡垒机的密码本得知内网机器目前有几个段

10.x.81.x-10.x.x.x

使用魔改后的Fscan进行扫描，有扫描出几个未授权，和一个nacos漏洞

上面一层还是单位内网范畴，想着将攻击面再扩大一点，于是我将目光看向了Windows，因为Linux上东西都翻完了，在Windows上发现了RDP的连接记录，使用工具将记录dump出来，成功连接目标机器，然后在RDP连上的Windows的浏览器上看到了网站的访问记录，发现好像是公网IP，然后在自己的机器上访问了一下，发现访问不了，然后在内网的Windows上就能访问。此时就想到了电子政务网这个东西，但是不敢百分百确定，之后又发现多个同段IP，并且网站标题均为政务内容其实还有其他证明的，但是过于敏感就不说了。

尝试FRP代理到政务网出来，失败了，但是想到RDP能连接，就使用RDP隧道进行连接，成功将流量代理出来。使用魔改后的密码凭证收集工具laZagne将所有机器上的密码凭证导出

顺利拿下了多个数据库、多个web管理员账号和密码（别问为什么不fscan，问就是怕死、怕掉、怕被溯源扣分），使用拿到的账户密码进行连接访问，又在其中翻到了敏感数据，芜湖，起飞~！

拿到这些之后还在政务网的其中一台Linux机器上发现了K8S集群，又爽了！通过特权提升，从node 节点干到了 master 节点，到此本次该单位攻击结束。

0x6 内部圈子详情介绍

我们是神农安全，点赞 + 在看 铁铁们点起来，最后祝大家都能心想事成、发大财、行大运。

内部圈子介绍

圈子专注于更新src/红蓝攻防相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例2、知识星球专属微信“小圈子交流群”3、微信小群一起挖洞4、内部团队专属EDUSRC证书站漏洞报告5、分享src优质视频课程（企业src/EDUSRC/红蓝队攻防）6、分享src挖掘技巧tips7、不定期有众测、渗透测试项目（一起挣钱）8、不定期有工作招聘内推（工作/护网内推）9、送全国职业技能大赛环境+WP解析（比赛拿奖）

内部圈子专栏介绍

知识星球内部共享资料截屏详情如下

（只要没有特殊情况，每天都保持更新）

知识星球——神农安全

神农安全团队创建的知识星球一直从未涨价，永久价格40

（新人优惠卷20，扫码或者私信我即可领取）

有需要的师傅们直接扫描文章二维码加入，然后要是后面群聊二维码扫描加入不了的师傅们，直接扫描文章开头的二维码加我（备注加群）

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

原文始发于微信公众号（神农Sec）：某次攻防演练中通过一个弱口令干穿内网