来Track安全社区投稿~  

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）

前言

某次市级攻防演练中，靶标有GOV、医院、银行、交通等，老大喜欢有挑战性的工作，硬是带着我们打了一天银行，虽然有些成果，但实在是又困又累打不动了。吃完晚饭就想找个稍微软点的“柿子”捏一捏，于是把目光投向了某交通公司，一顿操作猛如虎的信息搜集过后，啥也没发现（想哭）。

失败的HR钓鱼

默默地点上一根华子后，眼光突然一闪，想到官网上有招聘HR的联系邮箱，如果他们安全意识不强还是很容易中招的，遂尝试进行邮件钓鱼攻击。

（此为后话，复盘时我专门跑去问了负责招聘的HR咋回事啊，原来她是老员工了，经历过前些年的hw相关活动，将邮件转发给了网络安全部，让我的奸计没有得逞，汗）

成功钓到客服小姐姐

再次点上一根华子后，我想到，既然他们HR不收钓鱼邮件，那就钓他们的微信客服小姐姐（相比于HR，客服人员变动相对频繁，网络安全意识往往比较欠缺）。

这里，我伪装成某学校老师，跟小伙伴们商量好相应的话术以后，添加了客服小姐姐微信，然后逐步向客服小姐姐提出包车需求，确定其使用电脑办公后，发送了一份经过免杀的木马文件，诱骗其点击上线。

很快，我的CS成功上线多个木马，通过信息收集发现对方只打了5个补丁，且杀毒检测也是关闭的，这里的话我就直接进行了提权，但是居然失败了，无语子。

这里的浏览器账密部分截图如下：

一层内网

为了进入内网多人协同作战，我做了内网socks代理进行远程连接，这里做端口转发的话容易被发现所以我是直接通过对方的网络进行连接，也有一定的隐蔽性。

挂上内网隧道代理后，直接先来个fscan一把梭（部分截图如下），可以看到内网资产主要集中在192.168.XX段上，有一些win7和win10主机，猜测这里是办公区域。

首先是利用同口令攻击拿到一台linux服务器权限，由于是root权限就不需要提权了，可能运气确实比较好的原因。

扫描出若干台MSSQL、Mysql数据库弱口令，这里贴一张图举例（是mysql弱口令root/root123）

此外，比较奇怪的是在主机192.168.2.18的8888端口上扫描出目录遍历漏洞，存在大量的财务数据包（以zip格式压缩包存放在服务器中）

初步进行估算后，获得（29400*1295）3800万+敏感数据（涉及到人员姓名和邮箱等联系方式）：

对数据进行统计

打开下载的一个压缩包，里面包含大量支付宝账户和交易金额数据，一张表格里面约24000条数据

二层内网

一层中拿到的那台linux机器是双网卡，可以通往10段机器，于是果断又搭建二级代理能够继续往里面干。

首先是扫描出一台redis服务器并获取了权限

利用MDUT成功连接之

利用hydra工具尝试弱口令暴力破解，得到一些RDP弱口令主机权限：

成功登录目标远程桌面（主机2）：

成功登录目标远程桌面（主机54）：

通过抓取浏览器数据，发现重要业务系统登录账号，进入后能看到全区域线网站点分析---公交大数据屏幕

深夜1点

至此，公交公司内网基本上都已经被打穿，内网里面也有DC。打起来麻烦还费时间，主要给的分数也不是很高，所以直接放弃了。主要是找数据，数据给的分数高。

总结成果：8个数据库（Redis、Mssql、Mysql）敏感数据加起来有100W条之多

主机权限：system的十余台

关键业务系统权限：11个

这个报告怎么说也得有小1W吧。

总结

1、客服小姐姐才是真的弱点，救了我的小命~~~~嘿嘿嘿（不要怪我啊小姐姐）

2、二层内网还是挺大的，从21年开始HW讲究的是拿数据而不是拿权限。最后这个报告到裁判那只给了五千多分，比我的预期少一半啊，离了个大谱，可是是行业重要性的因素吧~~~~啊啊啊

3、其实每次渗透测试实战时每个环境都不一样，比较好的习惯是要么写一份语雀要么将报告保存本地,这样有助于增长我们的实战经验，忘了也可以返回去看自己的骚姿势。

感谢各位师傅观看!Thanks!