WooYun.org

渗透起源于wooyun 前案例 WooYun: 城市热点公司安全隐患导致内网被渗透，大量客户资料泄露

发现 有外网入口 于是利用该用户密码登录了一下 密码当然修改了 已经不事这个密码了
然后发现密码是 名字缩写＋drcom123 组成的 初始密码 所以只要拿到员工名单就可以以默认密码尝试登录 于是利用 目录遍历漏洞 找到了 考勤数据库 mdb格式的
http://210.21.59.57:99/test/kq.mdb

顺利找到一个普通权限的进去 发表文章上传附件 php跟asp有过滤 aspx没有过滤 上传aspx一句话后上传php 获得管理员权限(windows环境)

内网ip 利用 htran 开反弹代理 成功进入内网
数据库 root drcom
连接数据库 破解密码 撞库登录网易企业邮箱
找到一个系统

用户名 hgs 密码 admin
该系统只对前台进行了上传过滤 抓包改后缀名 上传 jsp一句话

收集信息
<driver-url>jdbc:oracle:thin:@192.168.0.203:2505:drcom</driver-url>
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
<driver-properties>
<property name="user" value="drcom"/>
<property name="password" value="drcom"/>
<driver-url>jdbc:mysql://192.168.0.203:3306/drcomweixin</driver-url>
<driver-class>com.mysql.jdbc.Driver</driver-class>
<driver-properties>
<property name="characterEncoding" value="UTF-8"/>
<property name="user" value="root"/>
<property name="password" value="drcom"/>
我相信 这绝对不是偶然 密码都是 drcom
所以 扫描 3306和1521端口 3306 用root/drcom 1521用 drcom/drcom sid drcom
尝试登录 得到以下数据库权限
mysql

oracle
192.168.0.76 1521号端口打开
192.168.0.115 1521号端口打开
192.168.2.152 1521号端口打开
192.168.14.111 1521号端口打开
192.168.31.151 1521号端口打开
192.168.31.161 1521号端口打开
192.168.31.214 1521号端口打开
192.168.32.150 1521号端口打开
192.168.34.49 1521号端口打开
192.168.34.58 1521号端口打开
用户密码SID 都为drcom
然后发现 交换机web登录密码都为 admin/drcom
然后找到二个海康的监控 admin/12345
http://192.168.12.201/doc/page/main.asp
http://192.168.12.202/doc/page/main.asp
不过貌似废弃？ 监控头只有一两个
然后 没有然后了
到这渗透结束 期间发现万达的wifi认证页面 可以上传 不过php和jsp 不解析直接下载了
要不然或许还可以渗透到万达内网T_T