由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

前言

今天，我要和大家分享一次有趣的省级HVV实战经验--某某航空公司。这次经历是我从打点到成功获取内网机器权限的完整过程，绝对让人耳目一新！如果我们不考虑近源攻击和钓鱼攻击等常见手段，那么这次的分享相较于传统漏洞攻击穿越边界的方法，充满了挑战和惊喜。

为了保护演习的机密性，里面的截图会经过一定的打码处理，敬请谅解。让我们一起开始此次渗透测试之旅吧！

邮箱账号密码遍历漏洞

通过演习组给定的目标域名，我利用网络空间测绘平台找到一些目标资产，其中一个邮件系统引起了我的注意。通过指纹分析为exchang服务器，之所以考虑对其进行测试，主要是登录界面没有验证码机制而且没有进行限速。

通过常见用户名字典对exchang的枚举和爆破，最终成功获得2个账号/密码

两个用户分别具有不同的权限，不断翻找邮件内容看看有没有可以利用的东东

用户zhangyn

用户chenjun

利用VPN突破逻辑隔离进入内网

通过多次尝试发现使用账号zhangyn可以成功登录公司放置于DMZ区域的webvpn

这样就通过VPN突破逻辑隔离顺利进入内网了

点击页面上的链接还可以成功访问内网的OA办公系统

点击webvpn的链接还可以进入公司单点登录sso，10段机器，里面有挺多的功能，舒服啊。

核心业务网段渗透

挂上SSLVPN也同样能进入内网。继续在zhangyn的vpn中ping主站的域名，发现主站所在的内网网段是10.2.3.X网段

于是利用FSCAN扫描探测，但是奇怪的是发现该账号仅能访问4个主机地址，毕竟一个公司的内网是很大的，哪怕仅仅是办公内网也不可能仅仅只有4台机器。

通过询问组里有经

验的大佬，最终我们分析该账号是乘务组人员，it权限不高，所以能够访问的内网资源极其有限。

于是我又再次切换到之前的chenjun账号，这次发现可以访问更多10.2.3.X段的主机资源了。

在这些扫描到的内网资源中，我首先通过常见的weblogic 反序列化漏洞获取1台主机root权限

运行控制系统

获取域控服务器权限

通过前期进入核心内网后扫描发现域控地址

可以通过nopac域漏洞获得域控权限

添加域管账号后成功登录域控远程桌面

通过资产列表锁定核心业务系统

通过域内用户查询查到运维部张XX的hash，解开获得明文，登录其邮箱

获取信息资产列表，其中标注了重要系统。

在域控中可以看到对应的重要服务器

由于当前已有域管账号，因此可登录任意重要服务器，危害非常大。

演示登录WQAR系统10.2.3.X，wqar是无线地面快速存取记录器，为飞机维护和可靠性提供大量基础数据，重要性不言而喻，一旦被不法分子利用，会对旅客生命财产和社会安全造成严重的安全威胁。

继续邮箱爆破获得更多弱口令账号

感觉有些敏感信息在邮箱里面传递，于是继续利用内网搜集到的各种信息形成新的用户字典，继续对邮箱爆破获得更多弱口令账号，下面是成功的6个

通过上面爆破获取的用户信息进入了若干办公后台

安全管理平台：

机组信息管理系统

危险品培训管理系统

XX控制运行网

磐石应用服务器

磐石媒体网关

通过弱口令爆破获得主机权限2台

[+] SSH:10.2.7.42:22:admin

[+] SSH:10.2.7.41:22:admin

active mq后台管理员权限

新的网段收获

在该weblogic中发现主站内网地址并且可以连通。需要注意的是这里主站的内网ip地址变化到了10.0.2.X段（后面会说明该网段是核心内网段）

如图所示，通过ping命令测试发现，只有在10.2.3.33上才能访问核心内网10.0.2.0/24网段（仅仅在vpn入口是没有办法ping到核心内网网段机器的），证明已突破至内网强隔离至核心业务网段

内网访问官网主站

另一套办公系统

通过redis未授权访问写入公钥获得主机root权限

通过弱口令爆破获得主机权限 2 台

waf服务器权限

又是一个小时很快过去了，但是由于该网段没有扫描出特别有价值的系统，而且目标已经连同域控等被打穿了，就没有再花费时间渗透了

渗透重要成果梳理

获取域控服务器权限，可控制大部分核心业务服务器

通用弱口令X6

办公后台X6

内网redis主机X2

内网弱口令主机X2

内网web后台管理员X5，waf后台管理员X1

这个报告怎么说也得有小1W吧。

总结

1.这次总的来说花了很多时间，最后还是打穿了目标内网，中间实践了很多平时练习的方法，学习到了很多的知识，但是有时候的灵光一闪，真的让人欣喜若狂。

2.有一位大佬曾经说过：守需要考虑的是一个面，而攻只需要一个点。一定一定要细心。在打红队时，不要放过任何一个C段，也不要忽略任何一个很微小的信息泄露，在整个流程中每一个环节都显得尤其重要。

3.类似域控服务器或者vcenter这类集权系统非常重要，一旦被锁定拿下，分数非常高的。相反，企业也应该及时对集权系统维护更新，保护资产安全。