WooYun.org

根据对内网摸查，排除了未知的网络部分，这里简单绘制已经完全了解的如下图的拓扑：

其实该拓扑也是早期网络中最常见的形式，如果现在看图说话，那按照位置的话在mis和sis中间的实时数据库就相当于以前堡垒机了.
有了拓扑都不想打太多字了，下面简单说一下每一步的操作步骤和往下撸的思路供大家参考
1、当时的入口选择的还是企业的公司官网，拿下了网站的shell，至于怎么找这种企业，个人感觉可以找网上的应用、成功案例、案例展示等熟悉企业应用，当然这么说是准备着长期APT了，其实讲个笑话很多集成商企业在发布成功案例时就有可能手滑了没打码，好吧如果存活的话，这就是一个入口了，在我之前的案例中基本都是这样确定了目标，而且还是屡见不鲜。
2、以这个案例来说，危险的是他的服务是直接在内网做的WEB发布，而没有租用虚拟主机，我相信这种企业其实不在少数。

3、如何撸WEB这块就直接省略了，现在都忘了是怎么拿下的shell，因为shell趟了太常时间，web服务器这块因为是IIS支持asp和asp.net，当时环境下可以运行程序，提权的话用的方式是可以getpass直接读内存中的登录密码或者直接用程序提权加用户，个人做法是直接读登录密码，一般拿到的密码其实能通关很多服务器，其实这步最关键。

4、拿下web服务器知道了系统常用的密码，这时又到了最上面的内网，就可以在内网开撸了，根据网络连接，服务基本可以先确认一部分子网。

5、如下图确认了一台没有密码的XP疑似办公机，遍历此网段服务，发现多个网络摄像头web监控界面，不知道是否与泵房部门有关系，能判断是办公网是因为，存活主机远程桌面显示清一色为XP，推测192.168.10*.0类型网段应该是不同部门使用，

6、翻查办公机的浏览记录确认了几台应用服务器地址，因为浏览器的下拉菜单中记录了几个曾经登录过的的用户名，这确认多个用户名和一个用户的弱口令，基本确认为管理员权限

7、在内网环境又确认了多台应用服务器，包含科远的sis监控服务器，这里确认主机房监控等正好与之前的存活IP相符

8、关键的来了，得到了SIS监控的地址，这时就着数据源就可以找到下面的设备了

9、其实要放大攻击面也就需要拿下SIS监控的实时数据库，至于怎么搞，那就请看前面的案例吧，要不社社社。

10、到这里基本确定了已经身处生产网络当中，这里再次确认了存活性和几个简单的服务，例如通过指纹信息发现赫斯曼的交换机和modbus子站。

11、如何确认是真实的modbus slave从站控制设备？而不是别的系统转发的的数据呢，基本可以通过telnet系统开饭端口判断139 135 等系统端口是否开放这样排除.

12、到这里攻击者想下置修改数据，亦或是直接让其拒绝服务这都不是事儿。