某市一些单位从互联网到内网

赶在2023年的尾巴，我参加某市的一次HW。首先必须强调下面所有的行为都是经过授权的。因为这次内网没怎么打，好像没什么收获，那就把打到内网的所有目标大概写一下，不会非常详细。

某卫星中心

1. 通过资产收集发现该单位某服务平台，该服务平台的同IP下的某IP存在Springboot，存在CVE-2022-22947，通过工具写内存马直接Shell。
   
   
   
2. 因为是Linux服务器，没啥上线的必要，反弹个shell直接进内网开扫
3. 扫完发现内网其实没什么东西，先用默认密码登录了4个Nacos，里面没有配置文件，然后有一个Nacos密码改了，用Nacos未授权漏洞看了一下，发现里面有一个去年HW留下来的账号，但是不知道密码，于是我也用未授权添加了一个账号
   
   
4. 还扫出来了很多SSH弱口令，但是登录发现全是网络设备，不太会利用
   
5. 然后还有非常非常多的postgresql数据库的弱口令，这也是该单位的重大战果，在数据库中发现敏感地理数据超过500W条（无图）
   
6. 还有一些其他的Web弱口令啊、Redis未授权啊、MySQL弱口令、etcd未授权，虽然在里面都发现了一些可以进一步扩大攻击面的东西，但是我始终没有将内网的一些数据和系统对应上，再加上打内网时间非常短，也没仔细打。

某交通支付公司

该漏洞是同事打的，我大概看了一下原理

1. 通过资产收集发现该公司互联网存在一台Vcenter存在任意文件读取，下载data.mdb文件，通过读取该文件伪造了一个登录Cookie，然后进入到了Vcenter后台，获取了10台服务器权限，本来打算把快照下载下来然后重置密码试试进到虚拟机内，但是因为网速问题放弃了。
   

某大型游乐园

1. 历史shell直通内网
   

某小学

1. 刚爆出来没几天的Nday，没想到直接就用上了，直接一个上传WebShell，然后上线，发现是Windows2008，抓密码、建隧道、进入远程桌面
   
   
2. 翻了一下浏览器的记录，发现两个存在弱口令的网站，运维也没有在上面存其他密码
   
3. 直接开扫，但是发现内网并不大，除了这台服务器，剩下的全是海康威视的摄像头，可以未授权获查看镜头截图以及获取登录密码，我大概瞅了几个，能看到很多学生。
   

某生物科技公司

1. 通过资产收集发现该公司的金蝶云可以RCE，打入内存马并上线，因为是network权限，用土豆系列提权
   
   
2. 发现是双网卡机器，直接开扫。
3. 在金蝶服务器桌面发现一TXT文档记录了该服务器的RDP登录密码、数据库密码、两个子公司的金蝶云平台登录密码，那就RDP进去看看呗
   
   
4. 这个内网东西也不是很多，扫到了很多Shiro，但是找不到默认Key，还发现内网有一个非常旧的ASP站，我估计大概率有SQL注入，就挂着代理用Yakit扫了一下，果真找到一个UA注入点，好像能执行命令，但是没回显，盲打了几个payload，也没见成果就放弃了。
   
   
5. 有几个MS17-010，打成功了一个，直接进到RDP，这个机器上还有向日葵，也一块收集了，这个人机器上还有传奇这类游戏，挺有意思的
   
6. 内网还有一个不出网的cve-2019-7238，能执行命令，但是实在是想不到该怎么转发出来了，现在写这个想起了可以新建用户登录啊，还是脑子不够聪明。
   
7. 两个Redis，在里面发现存了登录数据，但是找不到对应的应用，而且未授权反弹shell也没成功，很可惜
   
8. 接着就是重大成果，通过弱口令登录了几个MySQL数据库，在里面发现了4k条财务数据，该公司在各个平台（旺店、天猫、抖音、有赞、快手、拼多多等）百万量级的订单数据（包含姓名、地址、手机号等）
   
   
9. 然后就是一些打印机啊、FTP、SMB之类的弱口令了，没什么意思，就不展示了。

《某市一些单位从互联网到内网》链接：https://xdym11235.com/archives/302.html
具体版权规定详见侧栏版权说明页面