渗透的路还有很长，我们一直在前行

0x01 前言

其实想写这篇文章很久了，奈何工作比较饱和，涉事单位迟迟没有修复，所以就一直没写，今天接到通知，漏洞已经修复了，所以本着从实战角度出发，不忘记自己对技术的热爱，回归技术本质，从头来一遍真正的意义上的渗透测试，文章由真实事件而成，部分重要位置已做打码处理，核心涉密位置也已做脱敏处理。

谨以此文，那是一段美好又快乐的日子.........

0x02 前期准备

我接受到朋友的委托之后，根据提供的授权书信息指定目标进行渗透测试，目标比较大，具体是那个单位这里就不方便说了，先说说前期的信息收集我是怎么去做的。

第一步，全方位的去收集信息，并且分别列好图表

子域以及各个网站使用的中间件等其他信息：

C段以及各个网站使用的中间件等其他信息：

组织架构信息：

社会工程学——人员信息，密码本：

WAF信息等：

简单总结一下，无非就这些东西

第二步，对收集到的所有信息整合，分析脆弱点，也可以根据自己的需要去造轮子，写工具

分析发现几个后台位置，可以着重看一下：

VPN使用的是某服V*.**版本：

招投标人员泄露信息，几个重要人物泄露的信息：

使用的是**信的WAF：

几台服务器的端口可以尝试爆破一下：

几个服务器上使用的中间件可以测试一下：

有两个备份文件泄露：

做到这里，对目标的渗透准备基本就结束了，再根据收集到的关键信息，去自己原始积累的漏洞库里准备好需要的EXP和检测工具。

（PS:其实比较赞赏类似于零组漏洞库、狼组漏洞库、悬剑漏洞库、还有早些年的wooyun知识库，以及一些大佬们的博客漏洞复现过程，这些东西的存在无疑是每一位做安全人员的福音。因为，并不是人人都会积累足够多的东西，并且还愿意分享出来的。当然还有那些破解国外付费工具，制作GUI图形化武器的朋友们。）

0x03开始攻击

因为，前期已经做好了足够的信息收集，知道那些地方是要着重看的，这就像是已经准备好了足够“武器、弹药”，手里有家伙，做事才不慌。正所谓，不动则已，动则打它个体无完肤。

后台漏洞：

登入失败时，附带Gatag参数

会返回过来db的密码还有ssh用户的密码

通过base64解密发现数据库密码和ssh用户密码

直接可连SSH服务器：

连接后发现是单个的服务器，连边缘外网都算不上，故先暂时放弃这条进攻路线。

其余后台发现JS泄露初始密码，但早已修改，无法登入。

直接使用某服VPN**.**版本的0day进攻测试

成功连接至连接至内网！

对内网进行探索，进了内网这个时候就得慢慢的动了，看着应该有态势感知平台。

先从共享的文档中寻找蛛丝马迹：

（杂七杂八不重要的共享文档）

（杂七杂八不重要的共享文档）

（杂七杂八不重要的共享文档）

（重要文档）

根据获取到的信息，我们静静等待深夜（白天真的不建议连，鬼知道管理员会不会在）

凌晨4：30，连接，发现存在有360：

做个小免杀：

上号！

请教个巨佬要个骚姿势：

获取域控主机名：net group "domain controllers" /domain：

收集目标主机信息，发现一些后面也许有用的文件，先留好：

清理下痕迹，这可是个好东西（嘿嘿）

朋友想上去再看看，账号交给他，关灯上床睡觉。

睡到下午1点，朋友打电话过来了。

和我说拿到域控了，但是管理员发现他了。

当时我被手机的电话吵醒，有一点起床气，听他这么一说，顿时火就有点大了，赶忙打开屏幕，被控端已下线。

而且那边比较谨慎，直接先断网了，VPN入口被关闭

朋友一边给我道歉，一遍安慰我。

想想，没事，不是还有路子吗！

检测之前发现可能存在的漏洞的Weblogic

有之前未授权文件上传漏洞,可以getshell

准备提权试试？靠，站马上关了

感觉是触发了态势感知平台的报警。

这个东西还是有点用的。

此时就像是触发了一系列的连锁反应，很多原来能进去的站都关了，挂上了紧急维修的页面。

这感觉就像是捅了一下蚂蜂窝。

不过不慌，试试积累的密码本和信息，可不可以，

有一个进去了了，126邮箱，不过需要手机验证码认证。

（呜呜呜呜，心中一万只草泥马路过）

之前发出去的钓鱼邮件，也如同石沉大海一样，没有任何回应。

整个人绝望了，对面应急太及时，刚开个口就拦，有力使不出来。

0x04 绝处逢生！

之前的单个liunx服务器还在，上去看了一下，为什么我在里面做的那些动作？态势平台没有反应？现在还开着？东西就像是没有变过一样？！但是之前放在这里的马不见了？！

一个想法突然在我脑中出现：

没错！很有可能是蜜罐，我继续往上面放了几个文件，但是无一例外，第二天总会回到原来的样子，我猜测这是个会定时删除，定时启动的docker！

抓住这一点，只能碰碰运气试试了！

老板，换碟！

我们在实战的环境中，该如何判断服务器是不是Docker环境

第一种方式，搜索是否存在.dockerenv 文件

第二种方式，查看系统进程的cgroup信息

我们在环境中搜索，发现的确存在.dockerenv ,并且，也可以看到系统进程的cgroup信息！

尝试使用不同的EXP，逃逸docker:

成功获取主机shell！

芜湖！起飞！运维主机

这次不让朋友来了，自己一日到底！

运维主机上的宝贝：

上免杀马:

剩下的就是登入，截屏，登入截屏，好不快活。

整个周期时长：

信息收集2天

外网对抗5天

内网对抗5天

到此为止，已日穿，给朋友打电话。