文章总结： 本文记录了一次针对地市卫校的内网渗透实战。作者利用Shiro反序列化漏洞获取初始权限，通过Pwnkit提权至Root并搭建Socks代理。后续在内网扫描中发现了永恒之蓝漏洞、Redis未授权访问、MSSQL数据库权限、多个RDP及SMB弱口令等高危风险，最终获取了大量敏感系统权限。 综合评分： 85 文章分类： 红队,内网渗透,渗透测试,WEB安全,实战经验

【攻防实战4】记一次某地市卫校内网穿透

原创

十二

十二主神

2026年1月2日 09:30 江西

“ 此次针对某地市卫生学校的实战攻防，通过shiro反序列化拿到口子，提权至root权限后，进行内网漫游和穿透，获取永恒之蓝漏洞2个，2个redis未授权，1台SSH服务器，2个MSSQL数据库权限，3个web应用弱口令，3个FTP匿名登录，2个SMB弱口令，智慧宿舍平台弱口令，4台RDP远程桌面权限。”

师傅们，阅读之前，动动小手指，设个星标，灰常感谢

01-入口打点

—

shiro反序列化

shiro使用了默认的key，密钥 kPH+bIxk5D2deZiIxcaaaA==

通过工具直接利用，获取命令执行权限。

执行whoami后，没有获取到管理员的权限

使用Pwnkit进行提权，拿到root权限，通过socks协议把内网代理出来

02-内网穿透

—

内网权限

MS17-010 永恒之蓝漏洞

因漏洞利用有一定系统崩溃风险，现提供验证截图，暂不进行利用

192.168.197.189

192.168.197.162

redis未授权-192.168.200.210

redis未授权 -192.168.209.236:6379

获取一台SSH服务器的权限

获取2个mssql数据库的sa权限

获取3个设备web账号权限

获取3个ftp匿名登录

ftp://192.168.190.30:21

ftp://192.168.197.42:21

ftp://192.168.197.178:21

获取2个smb弱口令

智慧宿舍管理平台又是一个弱口令，管理员权限到手

获取4个RDP远程桌面管理员权限

SpringBoot未授权泄露账号密码

Swagger接口泄露

免责声明：

本文章仅做网络安全技术研究使用！严禁用于非法犯罪行为，请严格遵守国家法律法规；请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。公众号发表的一切文章如有侵权烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！感谢您的理解！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：十二主神 十二《【攻防实战4】记一次某地市卫校内网穿透》