重生HW之利用邮箱漏洞寻找突破口打穿目标内网

发布于 作者:

重生HW之利用邮箱漏洞寻找突破口打穿目标内网

sec0nd安全 2025-05-18 15:15

扫码领资料

获网安教程

图片

图片

本文由掌控安全学院 –  flysheep 投稿

Track安全社区投稿~

千元稿费!还有保底奖励~( https://bbs.zkaq.cn)

小编寄语:来看看一线红队打HW的骚操作,tql佬!!!!

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

前言

今天,我要和大家分享一次有趣的省级HVV实战经验–某某航空公司。这次经历是我从打点到成功获取内网机器权限的完整过程,绝对让人耳目一新!如果我们不考虑近源攻击和钓鱼攻击等常见手段,那么这次的分享相较于传统漏洞攻击穿越边界的方法,充满了挑战和惊喜。

为了保护演习的机密性,里面的截图会经过一定的打码处理,敬请谅解。让我们一起开始此次渗透测试之旅吧!

邮箱账号密码遍历漏洞

通过演习组给定的目标域名,我利用网络空间测绘平台找到一些目标资产,其中一个邮件系统引起了我的注意。通过指纹分析为exchang服务器,之所以考虑对其进行测试,主要是登录界面没有验证码机制而且没有进行限速。

img

通过常见用户名字典对exchang的枚举和爆破,最终成功获得2个账号/密码

img

img

两个用户分别具有不同的权限,不断翻找邮件内容看看有没有可以利用的东东

用户zhangyn

img

用户chenjun

img

利用VPN突破逻辑隔离进入内网

通过多次尝试发现使用账号zhangyn可以成功登录公司放置于DMZ区域的webvpn

img

这样就通过VPN突破逻辑隔离顺利进入内网了

点击页面上的链接还可以成功访问内网的OA办公系统

img

点击webvpn的链接还可以进入公司单点登录sso,10段机器,里面有挺多的功能,舒服啊。

img

核心业务网段渗透

挂上SSLVPN也同样能进入内网。继续在zhangyn的vpn中ping主站的域名,发现主站所在的内网网段是10.2.3.X网段

img

于是利用FSCAN扫描探测,但是奇怪的是发现该账号仅能访问4个主机地址,毕竟一个公司的内网是很大的,哪怕仅仅是办公内网也不可能仅仅只有4台机器。

通过询问组里有经
img

验的大佬,最终我们分析该账号是乘务组人员,it权限不高,所以能够访问的内网资源极其有限。
于是我又再次切换到之前的chenjun账号,这次发现可以访问更多10.2.3.X段的主机资源了。

img

在这些扫描到的内网资源中,我首先通过常见的weblogic 反序列化漏洞获取1台主机root权限

运行控制系统

img

获取域控服务器权限

通过前期进入核心内网后扫描发现域控地址

img

可以通过nopac域漏洞获得域控权限

img

img

添加域管账号后成功登录域控远程桌面

img

通过资产列表锁定核心业务系统

通过域内用户查询查到运维部张XX的hash,解开获得明文,登录其邮箱

img

获取信息资产列表,其中标注了重要系统。

img

在域控中可以看到对应的重要服务器

img

由于当前已有域管账号,因此可登录任意重要服务器,危害非常大。
演示登录WQAR系统10.2.3.X,wqar是无线地面快速存取记录器,为飞机维护和可靠性提供大量基础数据,重要性不言而喻,一旦被不法分子利用,会对旅客生命财产和社会安全造成严重的安全威胁。

img

继续邮箱爆破获得更多弱口令账号

感觉有些敏感信息在邮箱里面传递,于是继续利用内网搜集到的各种信息形成新的用户字典,继续对邮箱爆破获得更多弱口令账号,下面是成功的6个

img

通过上面爆破获取的用户信息进入了若干办公后台

安全管理平台:

img

机组信息管理系统

img

危险品培训管理系统

img

XX控制运行网

img

磐石应用服务器

img

磐石媒体网关

img

通过弱口令爆破获得主机权限2台

[+] SSH:10.2.7.42:22:admin

[+] SSH:10.2.7.41:22:admin

img

img

active mq后台管理员权限

img

新的网段收获

在该weblogic中发现主站内网地址并且可以连通。需要注意的是这里主站的内网ip地址变化到了10.0.2.X段(后面会说明该网段是核心内网段)

img

如图所示,通过ping命令测试发现,只有在10.2.3.33上才能访问核心内网10.0.2.0/24网段(仅仅在vpn入口是没有办法ping到核心内网网段机器的),证明已突破至内网强隔离至核心业务网段

img

内网访问官网主站

img

另一套办公系统

img

通过redis未授权访问写入公钥获得主机root权限

img

通过弱口令爆破获得主机权限 2 台

img

waf服务器权限

img

又是一个小时很快过去了,但是由于该网段没有扫描出特别有价值的系统,而且目标已经连同域控等被打穿了,就没有再花费时间渗透了

渗透重要成果梳理

获取域控服务器权限,可控制大部分核心业务服务器

通用弱口令X6

办公后台X6

内网redis主机X2

内网弱口令主机X2

内网web后台管理员X5,waf后台管理员X1

这个报告怎么说也得有小1W吧。

总结

1.这次总的来说花了很多时间,最后还是打穿了目标内网,中间实践了很多平时练习的方法,学习到了很多的知识,但是有时候的灵光一闪,真的让人欣喜若狂。

2.有一位大佬曾经说过:守需要考虑的是一个面,而攻只需要一个点。一定一定要细心。在打红队时,不要放过任何一个C段,也不要忽略任何一个很微小的信息泄露,在整个流程中每一个环节都显得尤其重要。

3.类似域控服务器或者vcenter这类集权系统非常重要,一旦被锁定拿下,分数非常高的。相反,企业也应该及时对集权系统维护更新,保护资产安全。

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

图片

没看够~?欢迎关注!

分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+交流群+靶场账号

图片

**分享后扫码加我!

回顾往期内容

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

图片

点赞+在看支持一下吧~感谢看官老爷~ 

你的点赞是我更新的动力