記針對某單位一次相對完整的滲透測試?

給了7個IP地址

0x01 加載中

日常探測端口信息:

ipportx.x.x.2228009x.x.x.22320080x.x.x.398008 一度以為自己探測的姿勢不對，反復調整還是只掃出這些來。

都是web服務:

日常找目錄:

結合結合命名規律掃描最終找到以下有效率頁面

http://x.x.x.xxx:8888/z1234/
http://x.x.x.xxx:20080/download/

z1234是一個報名頁面,測試時已經過了報名日期,被停用,空有一個登陸頁面。

download頁面如下

日常反編譯:

端口對得上,走http協議,掛著代理轉換Web的方式進行測試。

很明顯APP有簽名機制，代碼段如下:

跟著算法寫腳本構造數據包,測試各類邏輯漏洞,代碼忘記放哪個文件夾了...看最終成果:

amt參數是轉賬金額,轉100就是參數值-100,對于的改成正數就就可以增加余額了...

按照系統機制這個金幣可以直接兌換RMB或者買東西...

日常測試：

任意文件上傳拿shell。

沒有域,但是每臺都有殺毒軟件。(據說之前被某安檢查出問題被罰過錢,就做了這個“防御”)

這個Hash沒能解密成功。有殺軟添加賬戶不方便,沒有賬戶密碼的話跑起TV來也是黑屏。有AV條件下添加用戶可以參考https://xz.aliyun.com/t/4078, 有密碼可以把端口轉發到公網，也可以上傳TeamViewer去遠程連接,轉發什么的都省了。

日常橫向：

掃一個C段半小時。。。

這里最終打到一個03的服務器,激活Guest空口令登陸。

Windows server 2003默認允許空口令登陸。
AV會攔截添加/刪除用戶,修改密碼的行為，但是不會攔截將已有用戶添加至管理組。

如圖,雙網卡。

上傳masscan探測兩個段:

然后批量采集端口信息并分類：

選擇相對核心的資產進行端口識別，尋找脆弱點。

同類資產擴散：

口令類也一樣，找到一個就在掃出來的資產里面去撞，成功率很高。

拿到命令執行權限的都讀讀口令,同樣的再拿去撞。

常見漏洞打一波(ms17010,st2,weblogic放序列化),未見過的核心的應用系統仔細測一測。

安服仔的時間不用來屯新漏洞沒翻身的空間啊。（圖：該單位的行業OA的注入）

0x03 加載成功

Web方面相對核心的系統:

ms17010因為AV的原因大部分打不成功。(03的可以)

RDP:

SSH

MSSQL

MYSQL

以上口令打碼的地方大部分都是該單位字母簡寫。

整個過程一個人花了將近三天,掃外網的7個IP幾乎就花了一早上,開放的端口太少且打開都是404或403直接懷疑狗生,換著姿勢掃了好幾遍，解決APP數據包簽名到拿到shell后已經是凌晨了,(其實可以直接Hook那個發包函數的,當時沒安卓機也不熟悉,放棄了,孤軍戰斗的悲哀。)，內網滲透主要擔心有態勢感知之類的被抓到權限容易掉。通過代理訪問網速慢, 這方面TV優化得是真香。其他都可以基本都是在收集信息,同類擴散。