这是一次内网***,为何标题不写内网呢，因为当时搞的时候不知道是内网,搞到一台主机之后才知道是双网卡，有对内的网卡，以为只是一次简单web***， 所以没必要夸大标题。

不会写的太详细,大概记录下流程

1、突破口

通过内部扫描器没有什么服务器方面漏洞,只有一些信息泄漏，调试信息等，根本对这次的***起不到关键的作用，当时看了几天没啥思路了,该看的漏洞都看过去了，比如上传啊 社工啊  注入啊等等的都没办法用,当时二级域名扫出来了,也没啥思路了，就去看二级域名的c段了，在二级域名的c段的用iis put scaner(可返回title)工具扫描的时候发现了一个主机头绑定是blog的子域名,当时其实他们的blog的子域名是解析到另外一台主机的,我本地host绑定扫出来ip跟blog域名,直接访问,变成了另外的一个网站，是wordpress,那么剩下的就是找漏洞了。wpscan扫描没啥漏洞,通过目测wordpress插件进行查找，也没啥大的问题，祭出最无奈的一招，暴力破解，抓取用户，进行密码爆破,密码为弱口令,进去后台，在模版处拿webshell,ifconfig查看双网卡，内网。

2、内网***

从上面博客已拿到了webshell,开启s5的反向代理,在博客的那个机器用py脚本扫描常见的端口，常见端口，通过扫描发现9200 27017  27018 6379端口,看到9200立马想到了ElasticSearch的代码执行，发现存在CVE-2014-3120漏洞，直接执行命令，wget下载 反弹个shell，通过翻看/etc/配置文件目录发现zabbix的服务端地址，正常情况下服务端都有web管理界面(其实zabbix服务端的机器当时我看过,但是直接现显示是redhat页面还是apache页面默认的页面，忘记了,当时没扫目录,假如扫目录就可以发现zabbix的机器，因为zabbix的web控制端目录是zabbix)，访问zabbix web管理端,脑子立马反映这玩意有个注入Zabbix SQL Injection/RCE – CVE-2013-5743,哦呵呵  一测试 还确实存在 但是表名修改了,丢到sqlmap里面去跑了,跑到密码，有几个不能解密，解密了一个登录进去，权限太低，啥都干不了， 当前库的用户是新建的用户不是root但是权限挺大可以直接访问mysql数据库,查询mysql.user查看到root的密码,(这个Mysql的密码 还是blog的机器的ss密码，当时blog的时候)连接mysql,update了一个高权限的用户,进去zabbix的管理控制端,本来是想着利用zabbix的命令执行搞内网的机器呢,结果客户端不能执行命令，只有zabbix服务端可以执行命令,那么我就把zabbix服务端这太机器反弹回来了。(zabbix的表中存有session id 可以利用session欺骗进去，不用添加用户的，两种办法。)

3.跨网段

上面把zabbix的机器反弹回来了，因为目标的主站客户说在40网段，但是我们搞的是198.168.1.1,跨不过去,但是把zabbix机器搞下来的时候时候可以跨了，因为对内网的很多主机要进行监控，当然不能做隔离嘛,并且通过netstat 查看发现很多内网ip，之后有在zabbix的机器配置文件 发现了内网dns服务器.测试发现存在域传送漏洞。并知道主站的ip地址，其实发现dns域传送漏洞之前我们已经找到了目标站了,并不是客户说的40网段，在20网段，我们怎么样的发现的呢？ 是这样发现的,用nmap扫描的在Zabbix看到网段的时候,访问内网的一个ip的时候直接跳转到主站了,那时候%70确定了，之后有发现了dns域传送，更加确定了。之后通过收集的信息,拿下了客户的数据。

简单的叙述下这次的过程

进内网 本地host绑定blog,blog爆破拿websell进入内网-> 内网*** 扫描192.168.1网段发现ElasticSearch的代码执行, 在这个ElasticSearch的机器上在配置文件发现zabbix的服务端,->转战zabbix的机器，访问管理页面发现存在注入,拿到了数据库的账户密码,且数据库的密码是blog的那台服务器ssh->跨网段 通过zabbix机器发现内网其他网段的ip地址,并可达,查看配置文件发现内网dns->确定目标 扫描zabbix的网段访问20段某个内网ip跳转的主站,猜测是目标,更加确定，过zabbix发现内网的dns 发现域传送 发现目标主机。

由于工作原因,不能写太过于详细,要是有什么问题,或者疑问直接留言给我就行了。