某次重要攻防演练细节打点到攻陷内网分享
💡
原文中文,约3000字,阅读约需7分钟。
📝
内容提要
该文章介绍了作者在渗透测试中的成果,包括外网打点和内网渗透阶段。作者成功获取了若依系统的权限,并获得了大量敏感信息和管理员账户的凭证。在内网渗透阶段,作者成功获得多个主机权限、FTP权限、数据库权限和内网邮箱接管,并接管了企业邮箱,泄露了大量机密文件。
🎯
关键要点
- 文章介绍了作者在渗透测试中的成果,包括外网打点和内网渗透阶段。
- 作者成功获取了若依系统的权限,并获得了大量敏感信息和管理员账户的凭证。
- 在外网打点阶段,作者通过JeecgBoot的漏洞获取了身份凭证和敏感信息。
- 作者成功登录JeecgBoot后台,发现了三千多条敏感信息,并创建了一个新的管理员用户。
- 通过JeecgBoot后台的SQL增强功能,作者成功对RuoYi系统的数据库进行写入,添加了一个管理员账户。
- 在内网渗透阶段,作者获取了多个主机权限、FTP权限、数据库权限和内网邮箱接管。
- 作者利用边界机扫描内网,发现多个资产存在漏洞,成功突破内网逻辑隔离。
- 通过SSH和MS17-010漏洞,作者获得了多个内网服务器的Administrator权限。
- 作者成功接管企业邮箱,泄露了大量机密文件。
➡️
