惊险刺激！一次常规的网络安全渗透测试实录

专注网络安全领域，包括安全岗位招聘，红蓝队建设，实战攻防，内网渗透，社工，CTF

，安全技术分享等。

前言？不，这是“戏精”的开场白！

话说上个月，领导大手一挥，咱就得屁颠屁颠地去给本市一家电视台做网络安全评估测试。这活儿，说白了就是给人家“挑刺”，看看他们的网络、安全设备、规章制度有没有啥“猫腻”。最刺激的是啥？ 人家刚做完等保测评，这才几周啊，又来“蹂躏”一遍，这要是没点“战绩”，咱这脸往哪儿搁？

第一关：互联网“捉迷藏”

开局当然是从外网“下手”。客户没给目标清单？没关系，咱有的是办法！一番“常规操作”，发现目标在互联网上部署了一套OA系统。

二话不说，祭出我珍藏多年的“万能OA漏洞扫描及利用”工具……结果，“啪”地一下，很快啊，我就被打脸了。这时，大表哥朝我邪魅一笑（吓得我虎躯一震）：“小伙子，想学啊？这周末请我吃顿大餐，就借你用下我的0day。”为了“业绩”，我含泪“剁手”，拿下了致远OA服务器，上传了webshell。路径嘛，嘿嘿，保密！ （其实是：IP地址:端口号/seeyon/notify.jsp;Jsessionid=getAjaxDataServlet?S=ajaxColManager&M=colDelLock）

有了这个“跳板”，咱就顺利“潜入”目标内网，还搭建了frp隐蔽隧道，这感觉，就像在玩“碟中谍”！

第二关：内网“大扫荡”

进入内网，先用fscan“扫荡”一圈。好家伙，内网10段好多主机都有MS17010漏洞！ 这不就是“送分题”嘛！立马用msf“收割”这些“小可爱”。

随便挑一台10.211.8.42，开启3389远程桌面，成功登录！ipconfig一看，内网地址果然是10.211.8.42，没毛病！

本来想“乘胜追击”，结果大表哥又发话了：“小伙子，别急，一台一台登录，好好‘搜刮’一番，说不定有惊喜哦！”姜还是老的辣！ 在主机100上用nbtscan一扫，发现新大陆：10.211.8.50，而且主机名后缀是SQLSERVER-DC，这妥妥的域环境啊！

再次尝试用ms17010“调戏”50，终于拿到了反弹shell。执行域内信息收集，这机器果然是域控，还控制着4台服务器，主机名是SQLSERVER，业务嘛……暂时保密。用mimikatz工具，成功导出域内所有用户的hash值，这可是“宝贝”啊，可以用来做hash传递攻击，也可以破解明文做同口令攻击，想想都刺激！

继续“扫荡”，又发现struct2漏洞主机10.210.4.49和10.210.4.45！

49这台机器上“藏”着好多业务服务，还能连通很多同网段的服务器。通过ssh服务，发现后台运行着这些“家伙”（账户权限还都是root的，这波稳了！）：

为了方便“探查”，我把结果保存到 ip.txt文档里。可连的机器太多，看得我眼花缭乱。 于是，我用 sort命令和 uniq命令“整理”了一下，最终发现可控机器30台！ 这“战绩”，杠杠的！

随机选一台服务器10.210.4.72来“验证”一下，如图，成功登录ssh服务，这感觉，倍儿爽！

继续“扫荡”，发现一台linux主机10.210.4.153的ssh服务有弱口令：root/admin@123！ 这年头，还有人用这么“弱智”的密码，真是“天助我也”！

重点来了！这机器有双网卡！ 之前横向的都是10.210.4.1/16这个IP地址段的，这说明在172.16.0.1/16地址段可能还有好多“宝贝”！ 而本机172.16.2.16，这不就是通往第二层内网的“桥梁”嘛！ （横向拓展过程，咱们后面慢慢聊）

看看上面跑的qwserver的日志：

机器10.211.9.37有redis未授权访问！ 这可是个“新鲜玩意”（之前实战没遇到过）。Redis默认安装都没密码，默认配置是 bind 127.0.0.1。 和其他数据库一样，redis支持导出备份文件。如果redis是以高权限用户（如root）运行的，就可以通过指定导出路径和文件名覆盖任意文件！ Redis导出文件的内容是部分可控的，通过写入或覆盖一些有容错的文件就可以执行命令，这操作，简直“骚”到家了！

第三关：深入“敌后”

在第二层内网的跳板机上，我先用fscan扫描172.16.0.0/24地址段，看看有没有“软柿子”。结果发现活跃网段172.16.2.0有漏洞主机和弱口令！ 这运气，简直爆棚！

JBoss服务器有反序列化漏洞！

执行命令后，反弹shell到我的vps上，查看ip地址：

确认3389远程桌面服务开启后，我直接登录上去。发现上面运行的web程序是一种视频流媒体管理系统，有弱口令admin/adimin，直接就能以管理员身份登录！ 这“防御”，形同虚设啊！

内网中常见的安防设备，也是咱“重点关照”的对象。测试发现新华三防火墙管理权限弱口令admin/admin，可以配置其网络边界出口防护。 这“安全”意识，有待提高啊！

继续“深入”，发现一套内网交互平台，测试也有弱口令admin/admin。 登录后，就能控制音视频节目的采集、播放、删除、下载，这权限，简直“一手遮天”！

联汇ESB管理平台弱口令admin/123456，这平台也是做音视频管理用的。 这“安全”防线，简直“千疮百孔”！

总结？不，这是“炫耀”的时刻！

攻击链路：

OA系统0day漏洞获取webshell -> 搭建frp隐蔽隧道进入内网 -> 主机、域控存在MS17-010漏洞 -> struts2命令执行漏洞 -> 二层内网大量服务存在弱口令、未授权。

这波操作，总结起来就是：

企业不能光靠“城墙”防守，内网安全更重要！ 像这家企业，MS17010、struts2命令执行漏洞、弱口令……简直“遍地开花”！ 咱进去，就跟“逛自家后花园”一样！

这次“任务”，也让我“查漏补缺”了一番。网络安全技术日新月异，新的漏洞、攻击技术层出不穷，咱还得不断学习、进步，更新“技能树”，多点耐心和专注，才能“百战百胜”！

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

黑客/

原文始发于微信公众号（龙哥网络安全）：惊险刺激！一次“常规”的网络安全渗透测试实录