2019年支付边界机漏洞：内网渗透实录与安全警钟

本文档探讨了一起因某第三方支付公司的边界机存在漏洞引发的内网渗透事件。事件发生在2019年，攻击者在2018年发现的漏洞被利用，这表明了系统的安全更新滞后。攻击者通过朋友的邀请进入某个圈子，并分享了一篇关于此次渗透的文章，因为文章涉及到敏感内容，所以部分内容经过了打码处理。 文章开始时，攻击者偶然发现了该支付公司的测试环境服务器，其IP地址为11.*.*.3。服务器上开放了多个端口，包括SSH和RDP，显示出这是一台对外连接的边界机，通常这种机器的安全性较低。攻击者利用55端口上的http服务，发现存在目录遍历漏洞，进而找到了一个包含攻击者真实IP的日志文件，这让他们感到不悦。 接下来，攻击者发现了运行在该服务器上的旧版phpMyAdmin，利用空口令（root）登录并创建了一个shell。为了方便进一步操作，他们上传了一个恶意脚本（xx.php），并通过这个脚本尝试执行各种命令，尽管遇到了限制，但发现可以通过管理员权限访问桌面文件夹。 由于系统环境为Windows XP且缺乏whoami命令支持，攻击者怀疑这是一个可能的蜜罐或虚拟机。然而，随着内网探索的深入，他们发现内网规模庞大，存在多个服务器，包括172.16.1.20和172.16.1.210，这些服务器存在MS17-010漏洞，意味着内网存在大规模易受攻击的设备。 在确认宿主机可能存在更多价值后，攻击者对一台服务器进行了ms17010漏洞的利用，获得了反弹shell。通过这个shell，攻击者可以进一步控制和渗透内网，显示出攻击者熟练的渗透技巧和对漏洞的利用能力。 总结来说，这篇文档揭示了网络安全中的一次实际案例，涉及到了漏洞发现、利用、内网渗透以及攻击者对系统权限的逐步获取。它强调了及时更新系统安全补丁、强化边界防护以及对内部网络结构的严密监控的重要性。同时，也反映出攻击者对技术细节的敏感度和渗透手段的多样性。