WooYun.org

起因， WooYun: 对新浪的一次渗透测试 ，修复不完整，401认证的密码改了，但是搭建的VPN并没有处理（直到详细报告提交给厂商时，VPN还可以直接连接）
pptp，很稳定，账户在/etc/ppp/chap-secrets，记得pptp卸载。
直接上vpn

爆破邮箱

*****X	302	false*****
*****X	302	fals*****
*****	302	fals*****
*****SX	302	fals*****
*****X	302	fals*****
*****SX	302	fals*****
*****WSX	302	fals*****
*****@WSX	302	f*****

然后开始分工合作，ifso办公网，我就去生产网溜达了
ifso老司机先开一段：
https://10.210.x.x/login.html DELL Management Control
弱口令 root root

存在远程控制功能，可以成功访问Sina内网域控

如图，可以看出这台机器是新浪域控，Sina-xxxxx
由于只是处于内网环境中，无法列举出域内机器、域管理员，所以这个发现是致命的。
之前破解出的邮件弱口令派上了大用场。
基于Windows域的特性，可以配合一个经典的漏洞，就是Windows Gpp组策略漏洞。
因为每个域成员，不论权限高低都可以访问域控上的对域成员的基础共享。

搜索groups.xml，成功搜索出2个

使用Gpp-decrypt破解

成功获得2个Administrator密码：
yyQxxxxxx##@ 和xxxxxxxxx@@yyQ，应该是服务器内置的本机密码，非域里面的administrator，因为域的administrator已经被停用，去Sina-xxxxxx去尝试登陆，发现密码不对。
虽然密码不对，但只是域控的密码不对，因为服务器本机的Administrator很少启用，并且不受域策略的限制，所以其他机器的本机密码很有可能是这2个。
终于10.210.x.x的本机administrator密码是xxxxxxx@@yyQ，成功进入服务器。

抓到一部分密码

*****enxxx*****
*****n: S*****
*****d: xx*****
*****......*****

发现xxxx就是域管理员，正好抓出的账户中就有，这个时候已经拥有内网域的最高权限。
成功进入域控制器

有了域管理员就进入了上帝模式，可以获取任何人的邮件信息和机器权限（前提要开机并且加入了域中）
尝试去导出邮件，选一个dba的xxxx吧

下面就是本地outlook看邮件了

如图，大量邮件，各种敏感信息。
下面再来证明有了域权限后，对域内个人机器的威胁。
由于域的特性，只要加入域中，就受到域的管控，并且电脑在域中的名字就是‘邮箱前缀.xxx.xxx.xx.xxx’,所以想要控制某台机器，直接远程桌面连接或者访问其IP共享即可。

域控制器上都写得清清楚楚，谁在哪个部门。哪台电脑
由于是周末，大部分电脑都关机了，找了一会找到一个

如图，一看就是员工的电脑，使用域管理员xxxxx的账号登陆，成功登陆

ssh客户端本地保存了几台服务器的密码直接连接了

员工机器上也发现了一部分数据库备份

ifso就去陪媳妇了。。。
内网还是很大的，找到某系统，进去获取一部分信息，找到一台服务器

有点意外惊喜

服务器上发现了一些运维脚本，找到了rsync，

还有很多机器的，你们自己内部排查吧，我就不贴了。
大概翻了翻服务器上面的代码，api接口还都能用
给x.x.x.x, rsync上传了一个shell，1.php，刚好是web目录直接

上面有几个G的数据库文件。。。。。。，没下载，记得删除了吧
机器上面还在往其他服务器同步代码,服务器5.4，可以root的，提权后可以接着同步代码，继续深入的
通过分析服务器上的history，找到了svn服务器地址,前期的信息收集过程获取了相关svn账户的密码，直接登录

已经证明危害，就不再深入了。