刚入门小黑客记一次对某站点的渗透测试(bypass)

记一次对某站点的渗透测试(bypass)

0x01、起因

某天A把我留下，想让我检测一下某站点的安全程度（有授权的，领导的任务罢了）

我想了没想就拒绝了，说，上次不是给你挖出过一个sql注入了吗

他说，不亏待你，有额外奖励的

不是因为奖励啊，只是单纯的喜欢渗透网站罢了

垃圾水文，轻喷

0x02、一战

先访问某站（原谅我不放图片，不然无法过审）

看样子是一个平平无奇的网站

看到.action后缀，立马想到java环境，多半是tomcat+struts2

直接掏出大宝贝一把嗦

很明显失败了

不慌，再看看别的啥的

扫了端口发现oa系统，通过信息收集手段获取账号密码

但我认为此处功能点没什么用，故暂时放弃（打脸了）

掏出lijiejie的神器一顿扫，也只发现了一处DS_Store文件泄露

棒极了，啥都没有

接下来还发现了一处反射xss

但这种漏洞要是交差，估计会被A骂死

身为聪明勇敢的读书人，怎么可能会放弃呢

备份文件，扫不到；目录爆破，啥都没有；中间件漏洞，不存在；端口服务开放，做梦呢

就连废弃系统都在嘲笑我

好在天无绝人之路，我在网站底部看到了一丝希望

此时我的思路是:fofa找相同系统站点------getshell------拖源码审计------再回到主站

直接fofa大宝贝一把梭

但站点少的可怜，拿lijiejie的神器跑了一轮，也没有啥泄露。。。

还是硬着头皮看了一眼

这次运气挺好，使用相同系统的站点存在struts2漏洞

果断上传拿shell

工具也有不准的时候，虽然显示上传失败了，但仍然能getshell

冰蝎连接成功！芜湖，起飞

但接下来这权限着实把我整吐了，systeminfo无法执行，rar也用不了，但我又懒得一个一个下载源码

因为本人太菜了，提权基本上不会

但身为聪明勇敢的读书人，怎么能放弃呢？

这里就去讨教了一下某前辈

对某前辈表示感谢

因为此处使用的windows环境，不太方便反弹shell，把木马换成了哥斯拉的马儿

哥斯拉下有个模块，方便操作shell

监听——nc直连——运行systeminfo文件。成功！

复制补丁号，然后找到了一下缺失的补丁

在此推荐某位师傅的网站：https://bugs.hacking8.com/tiquan/，方便查找

这里采用Potato提权

但生活总喜欢在为我关了一扇窗后，再用门狠狠的夹我的脑子

提权一直失败，换用了其它的方式也不行

后面才知道，原来SweetPotato源码中的默认路径与我的环境不符，要重新修改后再编译

编译完，再重新执行

成功提权！

然后就是源码打包，下载

(PS：用哥斯拉默认的源码打包，下载下来后文件会报错，而且缺失很多，也不知道为什么，但权限提升后用7z打包就好了，很奇怪。如果有知道的表哥，在下方留个联系方式)

接下来就是java源码审计了

大体目录是这样的。老规矩，先翻看一下配置文件，看一下它用了哪些框架

看样子是使用了Hibernate+Struts2+Spring框架

用jd-gui快速反编译class文件，获取java源码

将Hibernate和Struts2框架的相关配置文件、action对象、filter大体熟悉以后，就开始审计了

这里不得不吐槽一句，这个开发是真的懒，部分源码还留着与该站点相关的注释

既然是为了证明危害，那么基本是以getshell-sql-信息泄露为主

全文查找文件上传的地方

在搜索处发现了一处可以upload的地点

（此处图片找不到了，假装我是图片1）

查看对应java文件源码，发现无任何过滤

去掉注释，上传，不过不知道为什么会出现这种状况，查询了很多资料也没弄明白

直接构造接口上传，发现会有拦截，但本地源码审计无拦截，估计是某站点二次开发了

第一处水洞：账号密码可爆破

顺便看了一下oa系统

成熟的框架，也导致了sql注入和越权不存在

但是逻辑漏洞仍然存在，修改密码处未限制，能批量爆破账号改密码

后面因不可抗力，A也叫停了我，遂暂停了测试

0x03、二战

几个星期后的某天，A又提到了某站点，从它口中得知，该站点翻新了

那我上次的源码也约等于白费了。。。

果不其然，A又找到了我，我也是很《轻松》且《愉快》的接下了任务

第一处漏洞：弱口令

我想了想，既然翻新了，那多多少少会加点东西

更新后发现了部分文章页面泄露了某editor的组件信息

抱着尝试的心态，来到了登录页面

结果发现，admin/admin一发入魂

第二处漏洞：部分源码+密钥泄露

四处翻看目录，偶然间发现一个压缩包

看了看大小，感觉像是源码，下载下来了

果然，泄露了很多secret，有关aliyun、钉钉、wechat、云盘等等

其中部分还与其它公司资产相关联

oss也能成功接管，也涉及了很多的敏感信息（不敢多说，保命要紧）

但还是高兴早了，class相关文件没打包下来。。意味着只能看jsp的源码，也就只有对找接口来说，会方便一些

通过配置文件查看，发现站点改成SSM框架，晕，别想与sql注入相遇了

第三处漏洞：bool ssrf

上面下载下来的源码对接的是oa系统，而第一次的源码对应的是主站，所以我将重心又重新转回了oa系统

根据上方的源码可以看到增添了ueditor组件，1.4.3的jsp版本，相信大家都懂

第四处漏洞：bypass 多个waf—>getshell

又是通过新的源码，我找到了oa内一个极为隐蔽的上传点

话不多说，登录oa，找到页面开始上传

一开始我先传了个jpg，发现能正常解析

再传了个html，直接g了，显示Connection reset

我心里一惊，常规应该不会那么拦截，多半是有硬件waf

通过大小写上传SVG文件发现，此处应该采用了黑名单，心想，90%是稳了

然而后面的情况让我挺绝望的，光是后缀名这里我就绕过了很久

换行、多个等号、加点、脏数据、不常见后缀名、去掉引号绕过等组合手段，都无一例外的被干掉了

在这里苦苦绕了一晚上

也算是比较好玩吧，这里的开发有一个逻辑，你把content-type改成text/html，再把filename里改成xxx时（不加后缀，直接xxx），系统会自动帮你重命名成时间戳.xxx

于是乎，后缀名就成功绕过了

可内容拦截比较变态，出现一点java特征都不行，连赋值都会被干掉（el表达式除外）

既然是硬件waf，我想到了脏数据绕过，jsp内容中可以包含html的注释

最终经过测试，大约80w的脏数据可以成功绕过

可上传上去冰蝎马后，无法连接，估计是落地就被干掉了，怀疑存在AV，于是厚着脸皮向某前辈白嫖了免杀马

上传成功

这次连接成功，没有被杀掉

看了一眼，艹，全家桶啊简直

最后，象征性的whoami，结束战斗

（本来想进内网的，但想了想，不节外生枝了，如果有机会再说）

0x04、结尾

站在前辈们的肩膀上，结合实际情况，巧妙了绕过了waf，也是蛮开心的

最后也是从A手中拿到了应有的奖励

安全，狗都不学

点击收藏 | 7关注 | 5

黑客学习路线&资源

如果你是一个安全行业新人，我建议你先从网络安全或者Web安全/渗透测试这两个方向先学起，一是市场需求量高，二则是发展相对成熟入门比较容易。

值得一提的是，学网络安全，是先网络后安全；学Web安全，也是先Web再有安全。

安全不是独立存在的，而是建立在其他技术基础之上的上层应用技术。脱离了这个基础，就很容易变成纸上谈兵，变成“知其然，不知其所以然”，在安全的职业道路上也很难走远。

如果你是原本从事网工运维，那么可以选择网络安全方向入门；如果你原本从事程序开发，推荐选择Web安全/渗透测试方向入门.当然学到一定程度、或者有了一定工作经验，不同方向的技术耦合会越来越高，各个方向都需要会一点。

根据以上网络安全技能表不难看出，网络安全需要接触的技术还远远很多，常见的技能需要学习：外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

03网络安全的知识多而杂，怎么科学合理安排？

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全学习路线&学习资源

扫描下方卡片可获取最新的网络安全资料合集（包括200本电子书、标准题库、CTF赛前资料、常用工具、知识脑图等）助力大家提升进阶！

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！