記一次曲折的拿靶標記錄

前言

風和日麗的一天本來想去填一下自己之前挖的坑，突然接到任務要參加某個地市舉辦的hw。拿到靶標一看資產比較少，于是開始了一次漫長而曲折的拿靶標過程。

一、找到突破口

經過測試發現靶標無懈可擊，只能進一步收集信息通過旁站和關聯站點找找突破口，通過信息收集發現了一個旁站存在shiro漏洞

寫入webshell拿到shell，發現該用戶為管理員用戶，看了一下只有深信服edr，直接上免殺dump工具拿到該主機密碼直接連上去。

然后就是常規的收集信息、收割內網工作。這臺機器上東西不多也沒有和靶標關聯的信息，收集的差不多時間也比較晚了。該主機存在兩個內網網段，然后直接上掃描器掛著準備第二天來收米。

二、梅開二度

結果第二天一來發現站關了、代理也掉了。看來還是動靜太大，引起了守方警覺被應急了。這個口子就這樣丟了。

只有重新再找口子了，進一步發現另一個旁站貌似也用了同樣的組件大概率是存在shiro漏洞直接打一波，發現確實是這樣，口子又來了。

但是發現該主機是一臺docker且內網段和之前那臺不同，瞬間心情就不好了。

抱著試一試的目的居然發現和之前那臺機器的內網段是通的！(這個比較有意思，后面和師傅們討論了一下看網卡信息發現有openopenstack的標記，很有可能是openopenstack搭建的云平臺，可能是openopenstack內部的一些路由配置的原因)又是一波常規的內網信息收集操作。

這次為了避免上次被應急的慘劇，多留了幾個口子隱藏的深一些。然后掛上掃描器先利用之前那臺dump的密碼和賬戶進行噴灑，這樣動靜小一些，這次沒有掉嘎嘎穩，收獲了大概10臺機器。

三、陷入僵局

通過這些機器繼續信息收集發現其中一臺居然是深信服的edr控制管理端的機器，在網上查找了一下發現在/ac/dc/config/sys_account.json配置文件里存在加密的密碼，直接解密一下運氣比較好解出來登錄了edr控制管理端后臺

正當高興無比的時候發現40個管控終端都沒有在線，進一步查看發現該管控終端證書過期了已經沒有用了，但是明明這些登上去的機器都有edr且功能正常說明應該還是有一個管控終端的，果然在這個段又發現了一個管控終端但是用解出來的密碼沒法登陸......

先不管管控終端了然后繼續收割，又收獲10臺左右數據庫，里面存大量敏感信息超過10w+數據

但是都沒有和靶標相關的信息，進一步的收集也沒有發現突破。

四、柳暗花明

正當陷入僵局的時候經過師傅的提醒可以試一下udf提權通過數據庫拿主機權限，直接祭出MDUT但是發現這些數據庫都不行。又開始陷入絕望，師傅再次提醒不要太相信工具可以手動試試。

抱著試一下的心態果然打成功一臺，看來確實不能太過分依賴工具。

看了一下進程沒有殺毒直接poweshell上線，然后在信息收集的時候發現該主機的段居然有域！！！

馬上用zerologon洞打一下，結果漏洞存在，喜出望外！

接著通過zerologon獲得域管NTLM

pth至域控

進一步信息收集發現還有2臺域控，突然想起之前掃描結果也掃出了其他兩臺域控

再次pth拿下另外兩臺域控。進一步的收集信息發現域內有52臺機器。同時利用dump的密碼進行無情的收割。

六、拿下靶標

利用之前數據庫拿到的身份證信息和dump的域用戶密碼登錄了官方郵箱，連續登錄了幾個沒有用的普通用戶后終于撞到了管理員用戶，看了收發郵箱內容應該是一個運維人員。

通過郵箱中暴露的云平臺地址信息，郵箱用戶信息，通過域dump出可以解密的密碼成功登錄了云桌面

比對之前收集的信息發現和靶標居然在同一段，看來離目標越來越近了。通過查找該桌面云文件獲得靶標ssh賬密

登入靶標機器

進一步查看配置文件沒有數據庫的登入信息，通過查看端口連接情況發現了連接數據庫的地址，是站庫分離。再次利用桌面云文件獲取的密碼信息登入了數據庫機器。

通過歷史記錄獲取了數據庫的連接密碼

登錄數據庫，發現了登錄用戶的信息。但是密碼是加密的且管理員的密碼無法破解。

最后通過可以解密的用戶密碼去替換管理員密碼成功登錄靶標后臺（最后還原了管理員密碼）

至此任務完成！

七、總結

1.在陷入僵局的時候可以多和師傅們進行頭腦風暴，可以畫攻擊路線思維導圖的方式看一下那些地方有忽略的、那些地方可以再做嘗試的，可以很好的跳出自己的思維框架從而找到突破點。

2.工具的使用可以提高效率，但是工具畢竟是工具有出問題的時候，所以還是要搞懂漏洞原理有些情況下能夠手動嘗試需要去手動嘗試一下，不要讓工具欺騙了你。