0x00 前言

红蓝对抗无疑是一场持续性的博弈过程，随着近几年的攻防不断，打了一轮又一轮，web漏洞的急剧减少，社工钓鱼显然成为了主流的攻击手段之一。

0x01 免责声明

请您务必认真阅读、充分理解下列条款内容：

1、本公众号分享的任何文章仅面向合法授权的企业安全建设行为与个人学习行为，严禁任何组织或个人用于非法活动。

2、在使用本文相关工具及技术进行测试时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。

3、如果您在使用本文相关工具及技术的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。

4、严禁任何组织或个人使用本公众号的名义进行非法盈利。

5、本公众号的所有分享工具及技术文章，严禁不经过授权的公开分享。

如果发现上述禁止行为，我们将保留追究您法律责任的权利，并由您自身承担由禁止行为造成的任何后果。

0x02 常规操作走一遍

拿到靶标后 --> 资产收集 --> 找软柿子 --> 尝试打点

拿到靶标单位信息后，通过企查查查域名和企业架构，发现没有对外投资，只有一个上级单位总公司

找子域，也没啥可用资产（virustotal.com，快速简便但不准确）

通过qaxnb资产绘测平台来看看是否有可用信息，也是空空如也

通过多点Ping，域名解析等操作来找真实IP，发现都是指向阿里云

一套流程下来，除了一个打不动的官网（域名解析指向云，更没心情去深入挖掘了），没有任何可以打点的目标了

最终得出结论：软柿子竟是我自己

0x03 条条大路通罗马

web打不动，就不能走常规操作了，开始把矛头对准公众号，小程序

通过测移动端的应用，观察请求地址和回包内容，终于找到了真实IP地址，因此也得官网并没挂在云上

通过IP进行全端口扫描，发现存在H3C网管设备，可以大概猜测出该IP为出口IP了

通过扫描前后五个IP的全端口信息，喜出望外的发现了好几个应用系统，看着就像软柿子，感觉成功就在眼前了，马上就要一发入魂，直捣黄龙了，想想还有点小激动，嘿嘿嘿

结果，虽然存在一些漏洞，但还是一个都锤不动，getshell失败

果然，软柿子竟是我自己

但是，咱们做攻防的都是刚枪王，不到最后一秒是不会不放弃的，在渗透某系统的时候发现了一个大宝贝（在线人工一对一微信二维码 ）

0x04 我爱靶标客服

添加靶标客服后，我那激动的心，颤抖的手，无一都不暗示着我们俩之间会像是初恋那般的美好，干柴遇烈火，今晚指定得发生点什么，嘿嘿嘿

通过对话的时间间隔和回复的短短只言片语，不难看出，枉我一篇赤诚之心，她对我竟是敷衍。

但俗话说得好：”撑死胆大的，饿死胆小的”，我断定出她对我不够上心，故，我决定做个胆大的好男儿。

果然，在我那一句：“你确定吗？你有真心对我吗？”，在两个“？”的攻势下，她果然回心转意了，点开了我的大宝贝。我也成功的进入了她们单位的内网。

0x05 细节定成败

通过搜集进程信息和端口信息，发现内网存在金山杀毒，访问发现版本为v9（上传已修复）

细节来啦，在前面测公众号时，发现一处账户密码，便随手记录了下来

分析规律后手动重组几个账户密码，拿来碰撞金山杀毒，又是一发入魂，精准打击，成功拿下

古人云：”内网之，得集控者得天下“。至此，虽已足够让该单位内网沦陷，但还不够完美，总感觉还少了什么，所以还得继续冲

通过组装后的密码，拿下上文的H3C网络设备，发现我直接成为了网络管理员，清楚了所有的路由走向和网络策略，嘿嘿嘿

细心的师傅其实已经发现了，内网还存在vmware（上诉某图片的webtitle），那肯定也不能放过她，是吧，嘿嘿嘿

通过历史漏洞成功拿下，发现部署了核心生产系统，但是居然历史漏洞都没补

getshell --> 拿data.mdb --> 解密 --> 获取cookie --> 进后台

其他都是一些零零碎碎的东西了，没啥技术含量，想必各位师傅也不喜欢，那么就到此为止吧，再打就不礼貌了

0x06 攻击路线

0x07 最后的话

文章内容有不合理或者不理解的地方，欢迎评论，咱们共同交流共同进步

文章内容有不合法或者侵权的地方，欢迎指出，核实后将立马删除本文