文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!
背景:某次攻防演习,受邀作为攻击队参与。其中一个靶标是“拿下靶标的 xx审批系统 以及 官网控制权”。
靶标服务器通常存在于物理强隔离的机房中,再加上本次目标单位特殊,通过一次跨网段横向移动摸到靶标的可能性几乎为零,因此我们把目标聚焦于靶标所属的政务外网上。
(搜狗百科:政务外网与互联网是逻辑隔离,供非涉密及仅用,在地市级建有数据交换中心,可以将部分可山公开的信息转换至互联网区,供公众查阅。)
通过靶标单位在外网公开的业务,并没有找到入口点,于是我们进一步扩大范围,针对靶标单位的下属单位进行渗透,找到某综合服务平台存在弱口令。
虽然该平台涉及业务金额很大,功能齐全,但是并不在我们的靶标之内,所以必须尝试getshell后进行内网渗透。
很快找到了一处上传点,没有任何限制,成功上传aspx类型webshell成功getshell。
经过简单信息收集,获得如下关键信息:
1、双网卡主机,其中一张网卡通向我们想要进入的政务外网。
2、主机出网,于是建立socks5反向隧道成功进入政务外网。
政务外网的资产繁多,有多个单位的服务搭建在上面。为了快速锁定靶标单位所在网段,我们通过扫描80端口,得到对应的web title,从中提取出每个单位对应的大致网段。
锁定靶标大致网段后,针对该网段进行常用端口、带POC的扫描。通过本次扫描,获得了一些进展:
1、发现了靶标入口,但仅仅是个web界面的登录入口,不存在弱口令、命令执行等漏洞,暂无头绪。
2、发现某平台存在shiro反序列化漏洞。