记一次某红蓝演练经历
字数 1492 2025-08-22 12:23:19

FastAdmin与Jeecg-Boot渗透测试实战教学

信息收集阶段

资产发现工具

  • 推荐工具
    • Hunter:企业信息收集
    • Fofa:网络空间测绘
    • 360Quake:资产测绘
    • 无影TscanPlus:新型资产测绘工具(特别推荐,支持全量POC)

目标定位技巧

  1. 通过企业备案信息收集旗下资产
  2. 多地ping检测真实IP(适用于未使用CDN的目标)
  3. 使用Nmap确认开放端口(特别是3306数据库端口)

FastAdmin框架渗透

漏洞利用链

  1. 任意文件读取漏洞

    • POC:GET /index/ajax/lang?lang=../../application/database
    • 可读取数据库配置文件获取账号密码

  2. 后台密码重置

    • 数据库密码加盐处理,但可通过以下方式绕过:
      • 查找Fastadmin默认盐值
      • 修改后台密码为已知值(如123456)
      • 示例SQL:UPDATE fa_admin SET password='加盐后的123456哈希' WHERE id=1

  3. 后台getshell

    • 通过朋友交流获取的未公开方法(文中未详细描述)
    • 使用哥斯拉(Godzilla)连接webshell

Jeecg-Boot框架渗透

漏洞利用

  1. 未授权访问

    • 直接访问后台无需认证

  2. 积木报表RCE漏洞

    • 使用工具:I-Wanna-GetALL
    • 备选方案:MSF(当Vshell上线失败时)

云服务渗透技巧

OSS/AK-SK泄露

  1. 发现方法

    • 扫描JS文件寻找云服务凭证
    • 阿里云特征:LTAI开头的密钥
    • 其他云厂商也有特定特征模式

  2. 利用工具

    • CF(狼组安全团队开发)
      • 功能:列举权限、创建后门用户、管理云资源
      • 文档:https://wiki.teamssix.com/CF/
    • 云鉴(替代方案)

  3. 风险提示

    • 创建后门用户会触发阿里云告警
    • 必须清理后门用户避免追责

云服务器控制

  1. 批量上线技术
    • 通过AK/SK列举ECS实例
    • 使用反弹shell或执行命令上线
    • 文中案例:成功上线10+台机器

内网渗透扩展

常见服务漏洞

  1. Nacos配置泄露

    • 获取SSH凭证、数据库配置
    • 连接工具推荐:DBeaver、Navicat

  2. 泛微E-mobile漏洞

    • 弱口令攻击(尝试通用默认密码)
    • 任意文件读取漏洞:
      • Linux:/etc/passwd
      • Windows:windows/win.ini
      • 注意302重定向可能表示鉴权存在

  3. 其他信息泄露

    • Gitlab配置文件泄露代码仓库
    • Apixis配置信息泄露

防护绕过技巧

  1. 鉴权绕过

    • 通过接口直接访问后台功能
    • 查找未受保护的API端点

  2. 持久化技术

    • 云上创建后门账户
    • 建立内网隧道维持访问

报告与清理

  1. 证据收集

    • 全程记录操作过程
    • 截图关键步骤和获取的数据

  2. 清理要求

    • 删除创建的后门账户
    • 清除植入的webshell
    • 恢复修改的配置(如数据库密码)

防御建议

  1. 企业防护措施

    • 购买云安全服务(如阿里云安全产品)
    • 加强AK/SK管理,避免硬编码
    • 定期更新框架补丁

  2. 安全意识

    • 定期进行红蓝演练
    • 加强员工安全培训

法律声明

  • 本文仅用于网络安全技术研究
  • 所有渗透测试必须获得授权
  • 未经授权测试可能导致法律后果

工具清单

  1. 信息收集:Hunter/Fofa/360Quake/无影TscanPlus
  2. 漏洞利用:I-Wanna-GetALL/MSF/Vshell
  3. 云渗透:CF/云鉴
  4. 数据库:DBeaver/Navicat
  5. Webshell:哥斯拉(Godzilla)

通过本教学文档,安全研究人员可以全面了解从信息收集到内网渗透的完整攻击链,以及相应的防御措施。

FastAdmin与Jeecg-Boot渗透测试实战教学 信息收集阶段 资产发现工具 推荐工具 : Hunter:企业信息收集 Fofa:网络空间测绘 360Quake:资产测绘 无影TscanPlus:新型资产测绘工具(特别推荐,支持全量POC) 目标定位技巧 通过企业备案信息收集旗下资产 多地ping检测真实IP(适用于未使用CDN的目标) 使用Nmap确认开放端口(特别是3306数据库端口) FastAdmin框架渗透 漏洞利用链 任意文件读取漏洞 POC: GET /index/ajax/lang?lang=../../application/database 可读取数据库配置文件获取账号密码 后台密码重置 数据库密码加盐处理,但可通过以下方式绕过: 查找Fastadmin默认盐值 修改后台密码为已知值(如123456) 示例SQL: UPDATE fa_admin SET password='加盐后的123456哈希' WHERE id=1 后台getshell 通过朋友交流获取的未公开方法(文中未详细描述) 使用哥斯拉(Godzilla)连接webshell Jeecg-Boot框架渗透 漏洞利用 未授权访问 直接访问后台无需认证 积木报表RCE漏洞 使用工具:I-Wanna-GetALL 备选方案:MSF(当Vshell上线失败时) 云服务渗透技巧 OSS/AK-SK泄露 发现方法 : 扫描JS文件寻找云服务凭证 阿里云特征:LTAI开头的密钥 其他云厂商也有特定特征模式 利用工具 : CF(狼组安全团队开发) 功能:列举权限、创建后门用户、管理云资源 文档:https://wiki.teamssix.com/CF/ 云鉴(替代方案) 风险提示 : 创建后门用户会触发阿里云告警 必须清理后门用户避免追责 云服务器控制 批量上线技术 : 通过AK/SK列举ECS实例 使用反弹shell或执行命令上线 文中案例:成功上线10+台机器 内网渗透扩展 常见服务漏洞 Nacos配置泄露 : 获取SSH凭证、数据库配置 连接工具推荐:DBeaver、Navicat 泛微E-mobile漏洞 : 弱口令攻击(尝试通用默认密码) 任意文件读取漏洞: Linux:/etc/passwd Windows:windows/win.ini 注意302重定向可能表示鉴权存在 其他信息泄露 : Gitlab配置文件泄露代码仓库 Apixis配置信息泄露 防护绕过技巧 鉴权绕过 : 通过接口直接访问后台功能 查找未受保护的API端点 持久化技术 : 云上创建后门账户 建立内网隧道维持访问 报告与清理 证据收集 : 全程记录操作过程 截图关键步骤和获取的数据 清理要求 : 删除创建的后门账户 清除植入的webshell 恢复修改的配置(如数据库密码) 防御建议 企业防护措施 : 购买云安全服务(如阿里云安全产品) 加强AK/SK管理,避免硬编码 定期更新框架补丁 安全意识 : 定期进行红蓝演练 加强员工安全培训 法律声明 本文仅用于网络安全技术研究 所有渗透测试必须获得授权 未经授权测试可能导致法律后果 工具清单 信息收集:Hunter/Fofa/360Quake/无影TscanPlus 漏洞利用:I-Wanna-GetALL/MSF/Vshell 云渗透:CF/云鉴 数据库:DBeaver/Navicat Webshell:哥斯拉(Godzilla) 通过本教学文档,安全研究人员可以全面了解从信息收集到内网渗透的完整攻击链,以及相应的防御措施。