记一次曲折的拿靶标记录

前言

风和日丽的一天本来想去填一下自己之前挖的坑，突然接到任务要参加某个地市举办的hw。拿到靶标一看资产比较少，于是开始了一次漫长而曲折的拿靶标过程。

一、找到突破口

经过测试发现靶标无懈可击，只能进一步收集信息通过旁站和关联站点找找突破口，通过信息收集发现了一个旁站存在shiro漏洞

写入webshell拿到shell，发现该用户为管理员用户，看了一下只有深信服edr，直接上免杀dump工具拿到该主机密码直接连上去。

然后就是常规的收集信息、收割内网工作。这台机器上东西不多也没有和靶标关联的信息，收集的差不多时间也比较晚了。该主机存在两个内网网段，然后直接上扫描器挂着准备第二天来收米。

二、梅开二度

结果第二天一来发现站关了、代理也掉了。看来还是动静太大，引起了守方警觉被应急了。这个口子就这样丢了。

只有重新再找口子了，进一步发现另一个旁站貌似也用了同样的组件大概率是存在shiro漏洞直接打一波，发现确实是这样，口子又来了。

但是发现该主机是一台docker且内网段和之前那台不同，瞬间心情就不好了。

抱着试一试的目的居然发现和之前那台机器的内网段是通的！(这个比较有意思，后面和师傅们讨论了一下看网卡信息发现有openopenstack的标记，很有可能是openopenstack搭建的云平台，可能是openopenstack内部的一些路由配置的原因)又是一波常规的内网信息收集操作。

这次为了避免上次被应急的惨剧，多留了几个口子隐藏的深一些。然后挂上扫描器先利用之前那台dump的密码和账户进行喷洒，这样动静小一些，这次没有掉嘎嘎稳，收获了大概10台机器。

三、陷入僵局

通过这些机器继续信息收集发现其中一台居然是深信服的edr控制管理端的机器，在网上查找了一下发现在/ac/dc/config/sys_account.json配置文件里存在加密的密码，直接解密一下运气比较好解出来登录了edr控制管理端后台

正当高兴无比的时候发现40个管控终端都没有在线，进一步查看发现该管控终端证书过期了已经没有用了，但是明明这些登上去的机器都有edr且功能正常说明应该还是有一个管控终端的，果然在这个段又发现了一个管控终端但是用解出来的密码没法登陆......

先不管管控终端了然后继续收割，又收获10台左右数据库，里面存大量敏感 信息超过10w+数据

但是都没有和靶标相关的信息，进一步的收集也没有发现突破。

四、柳暗花明

正当陷入僵局的时候经过师傅的提醒可以试一下udf提权通过数据库拿主机权限，直接祭出MDUT但是发现这些数据库都不行。又开始陷入绝望，师傅再次提醒不要太相信工具可以手动试试。

抱着试一下的心态果然打成功一台，看来确实不能太过分依赖工具。

看了一下进程没有杀毒直接poweshell上线，然后在信息收集的时候发现该主机的段居然有域！！！

马上用 zerologon洞打一下，结果漏洞存在，喜出望外！

接着通过 zerologon获得域管NTLM

pth至域控

进一步信息收集发现还有2台域控，突然想起之前扫描结果也扫出了其他两台域控

再次 pth拿下另外两台域控。进一步的收集信息发现域内有52台机器。同时利用dump的密码进行无情的收割。

六、拿下靶标

利用之前数据库拿到的身份证信息和 dump的域用户密码登录了官方邮箱，连续登录了几个没有用的普通用户后终于撞到了管理员用户，看了收发邮箱内容应该是一个运维人员。

通过邮箱中暴露的云平台地址信息，邮箱用户信息， 通过域dump出可以解密的密码成功登录了云桌面

比对之前收集的信息发现和靶标居然在同一段，看来离目标越来越近了。通过查找该桌面云文件获得靶标ssh账密

登入靶标机器

进一步查看配置文件没有数据库的登入信息，通过查看端口连接情况发现了连接数据库的地址，是站库分离。再次利用 桌面云文件获取的密码信息登入了数据库机器。

通过历史记录获取了数据库的连接密码

登录数据库，发现了登录用户的信息。但是密码是加密的且管理员的密码无法破解。

最后通过可以解密的用户密码去替换管理员密码成功登录靶标后台（最后还原了管理员密码）

至此任务完成！

七、总结

1.在陷入僵局的时候可以多和师傅们进行头脑风暴，可以画攻击路线思维导图的方式看一下那些地方有忽略的、那些地方可以再做尝试的，可以很好的跳出自己的思维框架从而找到突破点。

2.工具的使用可以提高效率，但是工具毕竟是工具有出问题的时候，所以还是要搞懂漏洞原理有些情况下能够手动尝试需要去手动尝试一下，不要让工具欺骗了你。