背景

这是一个真实的故事。

有一天，我正躺在工位上，一边吹着空调，一边悠闲地陪青春靓丽的实习生小妹妹唠嗑。突然接到销售大大的电话说去给一个客户做个扫描，让我带个人赶紧过去支撑。

听到这话，我淡定咬了一口手里的苹果，咽了下去，然后打开手机APP预约租了一辆最便宜的车开向了目的地。时间紧，目的地远.

我家都没有回带着另一个实习生妹妹直接去了目的地。阴森森的夜晚还夹闪着电光，车窗外隐约带着些细雨，到现场的时候已经是深夜了，我只好带着浑身打着冷颤的实习生妹妹开了2间房间先行休息。

自动档+手动挡同时进行

第二天到达现场非常壮观，人烟稀薄，一个妹妹也没有看到。耐着性子跟他们的技术负责人吹了会牛x，了解了一下目前情况就把他打发走，自己开始干活。

掏出去年省吃俭用在咸鱼二手市场低价买的电脑，随便拷贝了几个安装环境和工具。

这么大的网络，这么多的C段，漏洞如数家珍，自动化必不可少。

我暂时用的是内网扫描套装，Goby内测版+Xray高级版+爬虫。

自动话思路：

把目标网段丢到Goby中，调用接口扫描出来的资产，（域名/ip）+端口的形式丢到爬虫自动爬，爬完会自动丢到正在监听状态的Xray。

Goby新建扫描任务

调用爬虫的核心代码，从github拿来的

很简单，不多说了。

Xray怎么配置监听，很简单，不多说了。

手动思路：

Goby+Xray+Burpsuite

burp多设置一个上层代理就行了，如图。很简单，不多说了。

一边自己抓包测试，一边xray帮忙fuzz测试，美滋滋。

当然视情况，如果有安全设备防御，尝试降低请求速度来绕过，很简单，不多说了。

从冰蝎到哥斯拉

没花多长时间，高危漏洞就来了：

struts2-045，struts2-046，046基本包含045，懂的都懂，我自己也没去动手研究过原理，手动构造利用payload不太清楚，这边直接上struts2漏洞利用工具，很简单，不多说了。

看了下用户是administrator用户。

直接上传文件，先尝试上传了一个txt测试文件，发现在网站根目录可以正常访问。

然后上传了一个老版 冰蝎jsp木马，提示上传成功。

但是冰蝎连接失败，打开显示500报错。

随后尝试了一下新版的冰蝎，不过连都连不上，估计是有BUG。我这边初步判断冰蝎马是被拦截了。

尝试上传免杀大马，由于大马文件体积稍大了点，200多K，通过利用工具无法成功上传。

随后我掏出Webshell管理工具-哥斯拉，用它生成了一个shell.

点开标签，管理-生成

接着使用Struts漏洞利用工具上传。

提示上传成功，使用哥斯拉工具连接也成功了，很简单，不多说了。

从代理转发到远程连接

意料之中。这是一台windows的服务器，看了一下本地杀软，发现老朋友360，习惯性的，我先是上传了流量转发脚本。

打开网页，查看代理转发是否成功执行。

这里开启代理转发的时候，本地python缺个库，到外网拷贝一个过来,很简单，不多说了。

然后就可以连接本地9999端口，进行代理。

再进行代理访问,很简单，不多说了。

本来是直接配置Goby直接连接sock5代理来扫描，但是这个服务器扫描起来网络跟抽了风一样，所以直接放弃。

看了下本地没有开防火墙，且在之前的测试过程中，猜测我和服务器连接的中间也没有硬件防火墙的策略，所以尝试看能不能直接连服务器,很简单，不多说了。

看了一下，服务器没有开启远程端口服务。

没有开相关服务，因为是管理员权限了，老套路了。

先直接新建一个名叫txf 的管理员账号,很简单，不多说了。

执行开启3389的命令

查看是否开启成功。

尝试直接连接，很简单，不多说了。

ipconfig /all ，看了一下，大概有3个网口，这个内网应该不算小。

随便翻了翻配置文件，收集到了一堆账号密码，很简单，不多说了。

本地不能直接往服务器直接拖拽工具，且通过webshell或者大马上传会连接超时。

断开连接，进行配置，设置共享,很简单，不多说了。

上传个mimikatz抓hash。

咱们肯定要横向渗透，扩大战果的嘛。通过之前收集的密码和当前的密码爆破其他网段的smb服务，最终拿下域控。很简单，不多说了。

总结

本文略微基础，没有什么特别要注意的知识点，很简单，不多说了。