文章总结： 本文记录了一次医药公司渗透测试实战。攻击者利用呼叫中心系统的任意文件读取漏洞获取凭证，登录后台上传Webshell拿下权限。随后在内网通过SSH碰撞及MS17-010漏洞横向移动，控制多台主机与数据库。文章详细展示了从入口打点到内网深度渗透的完整攻击链，强调了配置文件泄露与历史命令审计的重要性。 综合评分： 86 文章分类： 渗透测试,内网渗透,实战经验,红队,WEB安全

【攻防实战10】记一次医药公司的深度穿透（一）

天启攻防实验室

2026年1月8日 22:49 广东

以下文章来源于十二主神 ，作者十二

十二主神 .

十二主神安全团队，成立于2022年05月26日，是一群白帽子组织成立的非营利性的研究机构，以网络信息安全领域为焦点，致力于网络安全、应用安全与WEB安全领域的研究探索。

01-前言

这次是针对某个医药公司的实战攻防，这次拿到的内网权限比较多，一篇肯定是写不完的，所以分开来写，但是我会尽量把细节阐述清楚，各位大佬勿喷，刚开始以为可以通过smart bi的RCE漏洞打进去的，没想到最后是通过一个任意文件读取的漏洞打进内网，进而打通全网，姿势确实有点骚，所以在实战的过程中，只要漏洞有利用的价值，千万不要放弃，说不定有柳暗花明的时候。

02-入口打点

开始信息收集发现一个smart bi组件的资产，随机进行测试，发现存在漏洞。

使用poc进行测试，发现可以设置引擎地址

也拿到管理员的smart bi的管理员token

以为拿到token稳了一波，结果没有登录成功，result：false

真是有点戏剧性，那么就继续打点，这次是发现了一个呼叫中心系统

对目标站点进行漏洞挖掘，发现path参数可以进行任意文件读取，那么直接去读取.bash_history文件，发现有root密码修改的命令，并且泄露了出来

把history文件里面的历史命令进行汇总，获取网站路径，继续进行利用，读取

config.properties配置文件，获取到内网ftp的用户密码

继续读取datasource.properties数据库配置文件内容，拿到了两个数据库的用户密码

这个时候拿到数据库的密码，去撞呼叫系统网站后台的密码，一下就可以直接进，这个运气直接逆天

进了网站后台，直接寻找上传的口子，在通知中心找到一个文件上传的功能点

上传成功

直接开连，马子已上线

Oracle:10.0.91.119:1521  ，获取数据库权限

Oracle:10.0.91.31:1521，获取数据库权限

03-内网成果

把内网代理出来之后，开始搞内网成果，在内网发现另外一套呼叫中心系统，使用前面一样的手法，读取history文件

同样拿到修改后的root密码，那么开始对内网的SSH进行密码碰撞了

SSH:10.0.91.113  root权限

可以碰撞出一台root权限的主机，并且发现了上次登录的地址是172网段的

mysql:10.0.91.31

通过对这台主机进行信息收集，拿到了10.0.91.31的Oracle数据库用户密码

10.0.91.182 ms17-010

并且182存在永恒之蓝漏洞，获取182的system权限

mstsc:10.0.91.182

dump用户密码凭证，获取了远程桌面的权限

而拿到了182这台主机的权限，相当于拿到了通往内网其他网段的一把钥匙，欲知后事如何，请看下篇文章。

免责声明：本文章仅做网络安全技术研究使用！严禁用于非法犯罪行为，请严格遵守国家法律法规；请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。公众号发表的一切文章如有侵权烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！感谢您的理解！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天启攻防实验室 《【攻防实战10】记一次医药公司的深度穿透（一）》