攻防大佬的实战经历足够热爱才不会累

序言

    我的一个好朋友在某省护现场发来求助，然后就有了下文，时间过渡较大仅作为技术分享。

  信息收集部分为，针对给定的单位进行二级三级单位，全资控股存续在业公司的子主域名进行收集，筛选过后找到一处子公司的子域名下存在某软系统，为了规避该单位信息泄漏，信息收集部分忽略。

使用某软plus利用工具，打入内存马发现失败，这里把流量代理到burp上看到的确是序列化格式数据

一开始猜测可能是poc指纹识别误报，手工burp多发几次包即可成功getshell

落地机linux，且存在一张网卡10段，这个段可能大部分都是DMZ区主机，做一下单主机信息收集

各种数据泄漏看板，ppt数据集的展示大屏，收集一些账号密码上线vshell搭建socks隧道

注意这里的vshell生成的exe通信信标很多设备都有标记最好二开一下，当然头铁之人当我没讲，还可以生成shellcode加载过一下动态服务检测

socks服务开启之后本地的proxifier代理最好根据每个功能模块，每个软件做单独的规则，切勿全局防止流量过载

内网

  内网资产探测采用gogo扫描器，快速探测webserver信息，放弃fscan也是实属无奈之举，特征，信标，poc，协议各方面都需要考虑，在很早的时候使用webfind走http/s协议流量在高防护内网环境下基本无感，而现在有了更好的替代

内网server信息探测完成以后挑着打即可，指纹识别到某OA版本过低poc在覆盖范围内

使用工具打Nday文件上传exp

成功getshell

linux横向到windows这一步在内网横向阶段很重要，相比之下win的可操作空间远远大于linux，system权限出网，DMZ区上线CS心跳包2小时左右注册开机自启服务，防止入口点被干掉导致权限全掉的情况

抓hash上rdp截图证明权限获取，Web应用默认管理员密码强hash解不开，直接保存原始hash替换弱口令已知hash值即可进入OA后台

OA数据库权限获取证明

内网某国产服务器迁移系统

直接shell即可，再做一下信息收集

根据xxl-job调度日志获取正在迁移的linux主机ssh账号密码，服务器*29

集权中心vcenter权限获取，也是探测到的，任意文件上传shell

本地dat文件解密获取管理员cookie登陆后台，主机*9

内网另一台vcenter任意文件上传，一样的操作获取权限主机*12

xxl-job内存马+弱口令获取ismp迁移主机ssh账号密码

ssh连接权限证明，主机太多了就放这一张图吧

内网安全设备权限获取，具体哪家的设备重码了，长这样

远程代码执行获取权限，上线cs抓hash登陆rdp即可

内网weblogic权限获取+逻辑网段隔离突破，远程命令执行发现存在很多张网卡

fscan内网分网段扫描，跨网段证明

内网nccolud权限获取

任意文件上传getshell

最后

  最后都是差不多各种ssh弱口令，数据库权限获取，ntlm hash传递一波直接打包交报告了。最后隔空喊话那谁，您觉得我能力够么？