内网渗透实战：从外网钓鱼到内网漫游

前言

本文记录了一次授权攻防演练的全过程，从外网社工钓鱼开始，逐步深入内网，最终获取大量敏感信息和系统权限。攻击路径清晰展示了现代企业网络可能存在的安全风险。

攻击流程图概述

1. 外网钓鱼获取初始访问权限
2. 内网横向移动
   • 通过密码本访问多个系统
   • 源码审计发现0day漏洞
   • 云凭证泄露导致云资产接管
   • GitLab和Jenkins系统入侵
3. 最终获取全面内网控制权

详细攻击步骤

一、外网钓鱼阶段

1. 信息收集：

   • 收集目标企业公开信息
   • 识别关键人员（客服、总监等）

2. 社工钓鱼实施：

   • 针对客服：
   • 添加微信
   • 构造与客服业务相关的话术
   • 诱导点击木马文件
   • 针对总监：
   • 使用"商务合作"话术
   • 诱导点击木马文件

3. 结果：

   • 成功获取客服和总监机器控制权

二、内网横向移动

1. 登陆相关系统

• 密码本发现：

  • 在客服终端发现密码本文档
  • 包含多个系统的登录凭证

• 邮箱系统入侵：

  • 使用密码本凭证登录
  • 获取大量内部办公邮件

• 运营平台入侵：

  • 使用密码本凭证登录
  • 发现2000万+业务记录
  • 发现SQL注入漏洞：

    sqlmap获取数据库用户密码
    

• Zabbix监控系统入侵：

  • 使用密码本凭证登录
  • 获取服务器监控数据

2. 源码审计与0day利用

• 源码发现：

  • 在终端发现install.zip压缩包
  • 解压后确认是PHP系统源码

• 漏洞分析：

  • 后台插件添加功能存在任意文件上传
  • Build()函数直接将config数据写入插件目录的config.php
  • 关键漏洞代码：

    // 直接将请求的config数据写入文件
    file_put_contents($pluginPath.'/config.php', $configData);
    

• 漏洞利用：

  • 构造恶意数据包插入PHP代码
  • 成功上传webshell
  • 获取多台服务器权限

3. 云资产接管

• 凭证泄露：

  • 在服务器配置文件中发现数据库凭证
  • 在数据库表中发现阿里云AK/SK

• 影响：

  • 可完全接管阿里云所有系统

4. GitLab入侵

• 历史记录利用：

  • 通过Linux历史命令获取GitLab后台凭证

• 漏洞利用：

  • 发现GitLab存在CVE-2021-22205漏洞
  • 利用漏洞获取服务器权限
  • 通过Redis未授权访问写入SSH密钥
  • 获取root权限

• 信息挖掘：

  • 在代码中发现禅道系统数据库凭证
  • 直接修改数据库root密码
  • 通过后台功能获取webshell

5. Jenkins入侵

• 反向代理发现：

  • 通过nginx配置文件发现多个系统：
    • sonar
    • jenkins
    • 其他内部系统

• Cookie劫持：

  • 分析jenkins.conf日志格式
  • 获取用户登录cookie
  • 使用cookie直接登录Jenkins系统

关键安全教训

1. 社工防御：

   • 加强员工安全意识培训
   • 建立可疑文件检测机制

2. 密码管理：

   • 禁止明文存储密码本
   • 实施密码管理系统

3. 代码安全：

   • 严格代码审计流程
   • 修复已知漏洞

4. 云安全：

   • 严格管理AK/SK凭证
   • 实施最小权限原则

5. 系统加固：

   • 及时更新补丁
   • 配置安全基线
   • 关闭不必要的服务

防御建议

1. 实施多因素认证
2. 建立网络分段隔离
3. 部署EDR/XDR解决方案
4. 定期红蓝对抗演练
5. 建立完善的日志监控系统

总结

本次演练展示了从外网到内网的完整攻击链，凸显了企业安全防御中的薄弱环节。安全是一个整体，任何环节的疏忽都可能导致整个防御体系的崩溃。