演练攻防评估别想着高大上安全基础也得有人做，要多听前辈建议！

最新推荐文章于 2024-10-18 18:18:26 发布

leah126

最新推荐文章于 2024-10-18 18:18:26 发布

阅读量729

点赞数 7

分类专栏：渗透测试 web 程序员文章标签：安全 windows

本文链接：https://blog.csdn.net/leah126/article/details/138556982

版权

程序员同时被 3 个专栏收录

842 篇文章 139 订阅

订阅专栏

渗透测试

754 篇文章 30 订阅

订阅专栏

web

383 篇文章 12 订阅

订阅专栏

背景

在每年一度的对抗行动即将展开之际，各行各业都将迎来演练的检验。在正式检验开始之前，各单位都会进行一些演练，以确保自身系统的完善，及时查漏补缺。而本次评估任务正是在这样的背景下展开的。

某个明媚的午后，当我接到上级交代的任务时，我毫不起眼地打开了笔记本，浏览了一下任务列表，然后开始了工作。这是又一个平凡的过程。

信息收集

通过前期的侦察，我对目标有了初步的了解。虽然目标的安全建设并不是最完善的，但它们仍然有一些防护措施，我猜测这些可能是临时性的设备堆砌而成，因此安全设备的配置很可能存在问题。

我按照正常的信息收集流程进行了一轮扫描，包括目录结构、端口情况、子域名、网站指纹以及C段信息。有趣的是，在信息收集的过程中，我发现其中一个站点使用了CDN，但我只需简单地ping了一下就直接获取了真实的IP地址。这是一个典型的配置错误，因此我轻易地获取了真实IP，节省了后续C段探测的时间。

最后，我整理了目标站点收集到的信息，制作成了一个列表，以便查漏补缺。经过梳理，我发现有几个后台和一些可能存在注入漏洞的站点值得深入研究。

通过分析，我准备先攻破其中一个站点的后台。

sql注入

在前期收集到的一些后台中，我首先选择了没有验证码的一个进行尝试。经过手动测试，我发现了一个名为XX的测试账号。尽管我尝试了手动猜解密码，但遗憾的是未能成功。于是我立即动用了之前收集到的密码字典，进行了一番爆破尝试。幸运地，我成功地破解了密码，顺利地登录了后台。

在登录系统后，我逐步浏览了各个页面，但并没有找到可以直接获取权限的入口。因此，我开始对系统进行其他漏洞的测试。在某个查询页面，我试图查看返回的结果，首先怀疑是否存在SQL注入漏洞。我对查询处进行了抓包测试，并结合DNS日志观察，最终确认系统存在注入漏洞。

我成功获取了DNS日志记录。

在确认存在SQL注入漏洞，并且成功执行了相关命令后，准备进一步利用漏洞。然而，突然间，这个网站已经被关闭了。显然，我的爆破和SQL注入测试引起了安全设备的警觉，有人采取了措施。这让我感到有些为难。

保持冷静，不要慌张。当一条路走不通时，就要寻找其他的出路。只要我们将所有可能的途径都探索一遍，就能让别人无路可走。

注入获取shell

就像之前所说的，发现有SQL注入漏洞的站点被关闭了，虽然有点为难，但并不太意外。

由于目标业务广泛，范围大，而且已经收集到了几个可能的突破点站点，因此影响并不太大。

现在，我转移了注意力，把精力集中到另一个看起来比较老旧的站点上。在浏览过程中，我发现了一个培训查询的前台入口，采用了老旧的方法进行了SQL注入测试，并成功发现了姓名处的SQL注入漏洞。

在测试的过程中，我发现这个站点正在使用MSSQL数据库，并且存在一个堆叠注入漏洞。我利用这个漏洞手动打开了xp_cmdshell。

通过xp_cmdshell执行系统命令来写入一句话木马后，我首先准备了一个恶意脚本，然后使用xp_cmdshell执行系统命令将该脚本写入服务器文件系统的合适位置。接着，我通过浏览器发起请求，触发恶意脚本的执行，成功地在目标系统上部署了一句话木马。

拿到shell后，我使用蚁剑连接到了目标服务器，从而获得了对Web的访问权限。随后，我开始对当前机器进行信息收集。首先，我查看了web.config文件，获取了其中包含的配置信息。然后，我搜索了数据库密码和连接记录，以及当前开放的端口和连接记录，以全面了解目标系统的环境和配置。

在进行信息收集时，我查找了applicationContext_common.xml文件，并成功找到了MSSQL数据库的sa用户密码。

得知当前已经获取了system权限后，我直接上传了Mimikatz工具，用于抓取密码。

通过收集整理，我成功获取了administrator的密码和MSSQL数据库的密码。此外，我还发现当前机器有两张网卡，一张连接到互联网，另一张连接到内网。通过运行netstat -ano命令，我收集到了三个内网网段。

接下来的任务是搭建代理，以便进入内网，并开始进行愉快的内网探索。

内代reGeorg

通过之前获得的shell，我直接使用了reGeorg和Proxifier的方式进行内网穿透。我将tunnel.jsp文件上传到目标服务器的合适目录中，并确保它可以被访问。然后，我访问了地址加上tunnel.jsp，如果看到了"Georg says, ‘All seems fine’"的提示，就表示脚本运行正常，内网穿透已经成功建立。

在服务器上执行如下命令：

reGeorgSocksProxy.py -p 9999 -u http://pentest.com/tunnel.jsp

然后，配置Proxifier，运行Proxifier之后设置代理。在一切正常的情况下，我们即可通过Proxifier访问内网资源。

使用之前通过Mimikatz读取到的密码，我登录了服务器。

在拿到服务器权限并通过代理成功登录后，我继续进行信息收集。我查找并检索了所有可能的信息源，包括txt文本、各种配置文件等。

同时，我使用了BrowserGhost工具对当前浏览器存储的密码进行读取，成功获取了部分内网服务的登录凭证。

中间件弱口令

有了据点后，我开始对已知网段开放的服务进行探测。进入内网后，我避免盲目扫描，以免引起安全设备的警觉。相反，我采取了更加谨慎的方式，只对我想探测的服务进行单独的探测。我将线程调低，以确保不会触发任何风险感知阀值，这样就可以安心地继续进行渗透测试。

我使用了F-NAScan.py工具，专门针对Web服务进行了探测。在整理探测结果后，我发现了一些tomcat服务，而tomcat通常是一个较好的突破点。

接下来，我对这些tomcat服务的弱口令进行了探测。一开始并不顺利，尝试了两个站点均以失败告终。但在对第三个tomcat服务的弱口令进行探测时，幸运降临，我发现了存在默认口令。我使用了xx登陆：

到这里，熟悉的页面，熟悉的操作，直接上传war包部署webshell。

浏览器密码到getshell

在除了tomcat服务外，我还获取到了其他的web服务。经过手动判断，我发现了其中一个存在管理员账户，但手动猜解密码没有成功。于是，我决定使用Burp Suite对密码进行爆破。

然而，当跑完一个字典没有结果时，我开始感到不妙。我再次尝试了备用字典，但依然没有成功。

正当我准备先放一边寻找其他突破点时，突然想到我之前在做代理的那台机器上通过xx读取到的浏览器中存储的部分密码。虽然方法有些冒险，但我觉得值得一试。万一有些站点管理员是同一个人，那么密码也有可能是相同的。

我使用之前收集到的浏览器密码尝试登录，结果意外地成功登陆了该站点的后台……

在寻找能够获取权限的入口时，我发现了后台的一个添加xx功能处存在任意文件上传的漏洞。经过测试，我成功上传了一个shell文件，并获得了上传成功的反馈，包括返回的文件名。

我将URL和文件名进行拼接后确认，然后使用菜刀连接成功。

这时我意识到一个一个地获取权限效率不高，于是想起最开始收集到的MSSQL数据库密码，决定尝试另一条弱口令的爆破路线。

口令沦陷

得知了1433端口MSSQL数据库的密码后，我针对已知的网段进行了扫描，并整理出了一批内网开放1433服务的列表。接着，我使用sa用户和单一口令对这些数据库进行了爆破。下面是我的成果：

根据之前抓到的服务器密码，我继续使用传统方法，依然采用口令进行爆破。下面是我获取到的部分服务器的成果：

MSSQL导出WEBSHELL

我直接使用Navicat连接到了MSSQL数据库，并测试了执行命令的功能。我发现可以直接执行命令，于是我使用系统命令写入了一句话。

随后，我使用菜刀成功连接到了目标系统。

DNS隧道

对获取到的目标进行控制，我使用Cobalt Strike生成了后门，并将其扔到了目前已经拿到权限的所有目标机器上。以下是相关上线主机：

[列出上线主机列表]

清理痕迹

在这一步，因为这次任务只是一个普通的评估任务，并没有要求拿到特定的目标。而且，我在整个过程中一直与客户保持沟通。因此，当任务被叫停后，我们立即对上传的shell、dns.exe、tunnel.jsp等后门以及其他文件进行了逐一清除。同时，我们将执行的关键操作都在报告中进行了详细记录。随后，我们提交了报告，标志着本次任务的正式结束。