文章总结： 本文记录了某北交所上市公司的红队实战，攻击者利用致远OA文件上传漏洞获取初始权限，通过本地配置发现数据库密码。后续利用Redis未授权与弱口令突破边界，结合HackBrowserData绕过EDR抓取凭据。最终通过密码喷洒横向移动，打通多个内网网段并获取敏感系统权限，展示了内网渗透与权限提升的完整链路。 综合评分： 88 文章分类： 红队,内网渗透,WEB安全,渗透测试,免杀

记一起北交所上市公司的实战记录

sec0nd安全

2025年12月30日 15:28 北京

以下文章来源于十二主神 ，作者十二

十二主神 .

十二主神安全团队，成立于2022年05月26日，是一群白帽子组织成立的非营利性的研究机构，以网络信息安全领域为焦点，致力于网络安全、应用安全与WEB安全领域的研究探索。

重要通知

师傅们，动动小手指，设个星标，灰常感谢

撕开入口

开局一个致远OA的登录界面，使用Nday进行探测一番

致远A8  ajax.do文件上传，红队大手子都知道，上个马子

权限也准备就位，准备大干一场

信息收集

先收集一下本机的信息，系统信息、软件配置、密码配置等，数据库密码直接放在桌面，咱也是头一回见

数据库连接配置解出来的密码跟桌面是一样的

直接代理出来，连接数据库

查看下数据库中是否存在敏感数据，翻了很多个表都没翻到，2千多张表，人都要翻麻了

只能回来再去翻本机系统的文件，发现一些人员岗位信息，并不能算作特别敏感的数据

突破网络边界

redis未授权

mysql弱口令

部署远程软件，获取远程桌面权限

通过360和EDR把HackBrowserData直接加白，读取浏览器保存的密码数据，以子之矛，攻子之盾，但是读出来的并没有特别有用的密码

获取mstsc的远程登录密码

针对同一个密码进行喷洒攻击

获取到私有云部分敏感信息

获取1.250远程桌面权限

继续收集内网信息，数据库密码，web应用密码

通过浏览器保存密码，获取安全文档审批管理系统权限

收集360浏览器的历史保存密码

获取中软文档安全网关权限

获取1.253远程桌面权限

下图证明 网段可通

172.16.*.0/24

192.168.*.0/24

172.19.*.0/24

10.251.*.0/24

通过360浏览器获取密码，以及上面获取的密码形成密码本

针对172.16网段进行密码喷洒，其实后面可以继续针对内网的192.168的其他网段，以及172网段进行后续利用，可惜时间不够了

免责声明：

本文章仅做网络安全技术研究使用！严禁用于非法犯罪行为，请严格遵守国家法律法规；请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。公众号发表的一切文章如有侵权烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！感谢您的理解！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec0nd安全 《记一起北交所上市公司的实战记录》