目录：

　前言

　互联网突破

　第一层内网

　第二层内网

　总结

前言

上个月根据领导安排，需要到本市一家电视台进行网络安全评估测试。通过对内外网进行渗透测试，网络和安全设备的使用和部署情况，以及网络安全规章流程出具安全评估报告。本文就是记录了这次安全评估测试中渗透测试部分的内容，而且客户这边刚刚做过了一次等保测评，算一下时间这才几周不到，又来进行测试，实在是怕没成绩交不了差啊。

互联网突破

刚开始当然还是要从外网开始尝试，因为事先客户也没有给出目标清单，我通过常规信息收集发现目标在互联网上部署一套OA系统。

二话不说祭出了我珍藏多年“万能OA漏洞扫描及利用”工具，结果铩羽而归。这时候，大表哥朝我微微一笑（令我汗毛倒竖）：“这周末请我吃顿大餐，就能借你用下我的0day”。我于是含泪拿下致远OA服务器上传了webshell，路径为IP地址:端口号/seeyon/notify.jsp;Jsessionid=getAjaxDataServlet?S=ajaxColManager&M=colDelLock

以此为跳板顺利进入目标内网，并搭建frp隐蔽隧道。

第一层内网

进入内网首先利用fscan一把梭扫描一通，发现内网10段有很多主机存在MS17010漏洞，于是使用msf上线这些存在漏洞的机器。

这里证明其中的一台10.211.8.42即可，开启3389远程桌面后成功登录，通过ipconfig查看其内网地址也确实是10.211.8.42。

本来是打算往后面走的，结果大表哥建议我最好一台一台登录下，做做信息搜集啥的，也许能有意想不到的收货。果然大佬的建议就是经验之谈啊。我在登录主机100用nbtscan扫描发现新的机器10.211.8.50，而且发现主机名后缀为SQLSERVER-DC，很像是域环境

于是再次尝试利用ms17010打了几次50，最终获取了其反弹shell，执行域内信息收集，该机器确实是域控，控制4台服务器，主机名为SQLSERVER ，但业务未知。通过mimikatz工具也成功导出了域内所有用户的hash值，这些可以用作hash传递攻击，也可以破解明文做同口令攻击。

继续扫描内网过程中，发现struct2漏洞主机10.210.4.49和10.210.4.45

49这台机器含有大量业务服务，且可以连通很多同网段的服务器，通过ssh服务在后台运行的（账户权限很高都是root的）：

为了逐个进行探查，我把上面结果保存到ip.txt文档中，由于可以连的机器太多看起来比较混乱，我用sort命令和uniq命令重新过滤一下重复的信息，最终显示可控机器30台

随机选择一台服务器来验证是否真的可控，这里就访问10.210.4.72，如图成功登录其ssh服务

继续扫描内网，发现一台linux主机10.210.4.153的ssh服务存在弱口令 root/admin@123

值得注意的是，该机器存在双网卡，之前横向的都是10.210.4.1/16这个IP地址段的，说明可能在172.16.0.1/16地址段还存在很多主机，而本机172.16.2.16恰好是通向第二层内网的（横向拓展过程在后面）

上面跑的qwserver 查看其日志

机器10.211.9.37存在redis未授权访问。这里我是现学现卖的（之前实战没遇到过），因为redis默认安装都是没有密码的，默认配置是bind 127.0.0.1，和其他数据库一样，redis支持导出备份文件，如果redis是以高权限用户（如root）运行的，就可以通过制定导出路径和文件名覆盖任意文件。而redis导出文件的内容是部分可控的，通过写入或覆盖一些有容错的文件就可以执行命令。

第二层内网

在第二层内网的跳板机器上，我首先利用fscan扫描172.16.0.0/24地址段，看看有没有易于攻击的主机。结果发现活跃网段172.16.2.0存在漏洞主机以及弱口令

JBoss服务器存在反序列化漏洞

执行命令后反弹shell到我的vps上，查看其ip地址如下

确认3389远程桌面服务开启后，我直接登录上去，发现上面运行的web程序是一种视频流媒体管理系统，存在弱口令admin/adimin直接就能以管理员身份登录

内网中常遇到的安防设备也是测试漏洞的重点，测试发现新华三防火墙管理权限弱口令admin/admin，可以配置其网络边界出口防护。

继续渗透，发现一套内网交互平台，通过测试也存在弱口令admin/admin，登录后也能控制音视频节目的采集、播放、删除、下载。

联汇ESB管理平台弱口令admin/123456，这个平台也是做音视频管理用的。

总结

攻击链路：   

    OA系统0day漏洞获取webshell—>搭建frp隐蔽隧道进入内网—>主机、域控存在MS17-010漏洞—>struts2命令执行漏洞—>二层内网大量服务存在弱口令、未授权。

    企业不能过于依赖边界防护，轻视对于内网的安全管理，如该企业存在大量MS17010、struts2命令执行漏洞和弱口令，进入后如入无人之境。此次渗透任务中，我也发现自身很多不足，面对网络安全技术的不断发展，新的漏洞和攻击技术出现，还是要不断学习进步，更新自己知识框架，多一些耐心和专注，才能取得更好成绩。

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关