外网渗透实战：从信息收集到内网突破的完整流程

1. 信息收集阶段

1.1 子域名爆破

使用工具爆破目标域名(example.com.cn)的子域名
发现关键系统：
- sso.example.com.cn (单点登录系统)
- app.example.com.cn (人事APP)
- apply.example.com.cn (招聘系统)
- 其他系统：网络学院、培训系统、桶装水系统、运输系统、销售系统等

1.2 单点登录系统分析

系统特征：标题为"xxx集团单点登录系统"
安全缺陷：登录接口无验证码保护
爆破策略：
1. 常见用户名+常见密码组合
2. 常见人名+弱密码(如123456)
3. 常见人名+常见密码

2. 弱口令利用

2.1 爆破成功

使用弱密码"123456"成功爆破出数十个有效账户
示例用户名：litao、wangwei、zhangkai、liupeng等

2.2 关联系统测试

测试发现的单点登录系统在其他子系统中的通用性
发现多个系统共用同一套认证体系

3. 源码泄露利用

3.1 发现源码泄露

在培训系统中右键查看源码
通过GitHub搜索找到开发源代码
源码中包含：
- 内网地址
- 服务配置密码
- 系统权限设计信息

3.2 权限提升

通过人事APP获取公司通讯录(工号、部门、职位)
结合弱口令账户，寻找具有培训系统高级权限的用户
成功找到某部门主管账户可查看完整培训内容

4. SQL注入攻击

4.1 漏洞发现

在培训系统的数据筛选接口发现SQL注入漏洞
使用sqlmap自动化工具进行利用

4.2 数据库信息

数据库类型：PostgreSQL 11.3
数据库结构：
- information_schema
- pg_catalog
- public (包含1000+张表，约15G数据)

4.3 敏感数据获取

发现明文存储的密码字段
获取的业务数据包括：
- 面试信息
- 培训记录
- 奖金数据
- 生产信息

5. 招聘系统突破

5.1 密码复用测试

使用从数据库获取的密码尝试登录招聘系统(apply.example.com.cn)
成功登录多个账户

5.2 敏感信息获取

获取的个人信息包括：
- 身份证号码
- 住址
- 联系方式
- 学校学历
- 简历PDF文件
- 面试结果

6. VPN权限获取策略

6.1 目标筛选

筛选标准：
1. 岗位级别较高
2. 入职时间较晚
3. 行政或IT岗位
结合通讯录和数据库密码进行交叉比对

6.2 密码猜测技术

已知信息：
- 姓名：张三丰(示例)
- 旧密码：zhang0612
- 生日：199x0612(公历)，0518(农历)
密码构造策略：
1. 基础变形：
- zhang0612!
- zhang0612@
- zhang0612#
1. 大小写+符号：
- Zhang!0612
- Zhang@0612
- Zhang#0612
1. 农历生日替换：
- zhang0518!
- zhang0518@
- zhang0518#
- Zhang!0518
- Zhang@0518
- Zhang#0518

6.3 成功登录邮箱

使用构造的密码"Zhang0518!"成功登录公司邮箱
邮箱格式：zhangsanfeng@example.com.cn

7. VPN接入技术

7.1 默认密码发现

从IT部门邮件获取关键信息：
- VPN默认密码：aaaa1111
- 账号为员工工号
- 部分用户未按要求修改初始密码

7.2 VPN登录

使用目标员工的工号和默认密码aaaa1111成功登录VPN
VPN权限配置问题：
- 开放所有网段权限
- 部分网段标注了用途

8. 内网横向移动

8.1 跳板机选择

第一台Redis服务器：
- 可通过公钥写入直接控制
- 限制：无法出网但能ping通
- 尝试ICMP隧道未果
第二台Redis服务器：
- 服务公网环境
- 可出网，适合作为持久化跳板

8.2 内网漏洞利用

发现内网无隔离措施
存在的高危漏洞：
- ZeroLogon
- 永恒之蓝(EternalBlue)
使用自动化工具进行大规模利用

防御建议

密码安全：
- 强制修改所有弱口令
- 重要系统实施多因素认证(2FA)
- 禁止密码明文存储
系统管理：
- 下线不再使用的旧系统
- 实现数据库合理分离
- 限制VPN权限范围
漏洞修复：
- 及时修补已知高危漏洞
- 定期进行安全审计
- 对开发代码进行安全审查
监控措施：
- 实施异常登录检测
- 建立有效的日志审计机制
- 对敏感操作进行实时告警

攻击路径总结

信息收集 → SSO弱口令 → 源码泄露 → 权限提升 → SQL注入 → 密码复用 → 邮箱突破 → VPN默认凭证 → 内网接入 → 横向移动

此案例展示了如何通过组合多种基础漏洞实现从外网到内网的完整突破，强调了防御体系中"短板效应"的重要性。

外网渗透实战：从信息收集到内网突破的完整流程 1. 信息收集阶段 1.1 子域名爆破使用工具爆破目标域名(example.com.cn)的子域名发现关键系统： sso.example.com.cn (单点登录系统) app.example.com.cn (人事APP) apply.example.com.cn (招聘系统) 其他系统：网络学院、培训系统、桶装水系统、运输系统、销售系统等 1.2 单点登录系统分析系统特征：标题为"xxx集团单点登录系统" 安全缺陷：登录接口无验证码保护爆破策略：常见用户名+常见密码组合常见人名+弱密码(如123456) 常见人名+常见密码 2. 弱口令利用 2.1 爆破成功使用弱密码"123456"成功爆破出数十个有效账户示例用户名：litao、wangwei、zhangkai、liupeng等 2.2 关联系统测试测试发现的单点登录系统在其他子系统中的通用性发现多个系统共用同一套认证体系 3. 源码泄露利用 3.1 发现源码泄露在培训系统中右键查看源码通过GitHub搜索找到开发源代码源码中包含：内网地址服务配置密码系统权限设计信息 3.2 权限提升通过人事APP获取公司通讯录(工号、部门、职位) 结合弱口令账户，寻找具有培训系统高级权限的用户成功找到某部门主管账户可查看完整培训内容 4. SQL注入攻击 4.1 漏洞发现在培训系统的数据筛选接口发现SQL注入漏洞使用sqlmap自动化工具进行利用 4.2 数据库信息数据库类型：PostgreSQL 11.3 数据库结构： information_ schema pg_ catalog public (包含1000+张表，约15G数据) 4.3 敏感数据获取发现明文存储的密码字段获取的业务数据包括：面试信息培训记录奖金数据生产信息 5. 招聘系统突破 5.1 密码复用测试使用从数据库获取的密码尝试登录招聘系统(apply.example.com.cn) 成功登录多个账户 5.2 敏感信息获取获取的个人信息包括：身份证号码住址联系方式学校学历简历PDF文件面试结果 6. VPN权限获取策略 6.1 目标筛选筛选标准：岗位级别较高入职时间较晚行政或IT岗位结合通讯录和数据库密码进行交叉比对 6.2 密码猜测技术已知信息：姓名：张三丰(示例) 旧密码：zhang0612 生日：199x0612(公历)，0518(农历) 密码构造策略：基础变形： zhang0612 ! zhang0612@ zhang0612# 大小写+符号： Zhang !0612 Zhang@0612 Zhang#0612 农历生日替换： zhang0518 ! zhang0518@ zhang0518# Zhang !0518 Zhang@0518 Zhang#0518 6.3 成功登录邮箱使用构造的密码"Zhang0518 !"成功登录公司邮箱邮箱格式：zhangsanfeng@example.com.cn 7. VPN接入技术 7.1 默认密码发现从IT部门邮件获取关键信息： VPN默认密码：aaaa1111 账号为员工工号部分用户未按要求修改初始密码 7.2 VPN登录使用目标员工的工号和默认密码aaaa1111成功登录VPN VPN权限配置问题：开放所有网段权限部分网段标注了用途 8. 内网横向移动 8.1 跳板机选择第一台Redis服务器：可通过公钥写入直接控制限制：无法出网但能ping通尝试ICMP隧道未果第二台Redis服务器：服务公网环境可出网，适合作为持久化跳板 8.2 内网漏洞利用发现内网无隔离措施存在的高危漏洞： ZeroLogon 永恒之蓝(EternalBlue) 使用自动化工具进行大规模利用防御建议密码安全：强制修改所有弱口令重要系统实施多因素认证(2FA) 禁止密码明文存储系统管理：下线不再使用的旧系统实现数据库合理分离限制VPN权限范围漏洞修复：及时修补已知高危漏洞定期进行安全审计对开发代码进行安全审查监控措施：实施异常登录检测建立有效的日志审计机制对敏感操作进行实时告警攻击路径总结此案例展示了如何通过组合多种基础漏洞实现从外网到内网的完整突破，强调了防御体系中"短板效应"的重要性。