安服渗透测试实战教学：从信息收集到漏洞挖掘

1. 信息收集阶段

1.1 备案查询

• 通过查询目标单位备案信息获取初始域名（本例中获取到4个主域名）
• 备案查询工具推荐：ICP备案查询网站、天眼查、爱企查等

1.2 资产发现

• 鹰图平台：批量提交域名进行资产测绘
• 灯塔系统：自动化资产发现和指纹识别工具
• 子域名爆破：使用工具如subfinder、ksubdomain、OneForAll等

1.3 目录扫描

• 使用dirsearch工具进行目录扫描：

  dirsearch -u https://domain/ -r -x 404
  

• 遇到403页面时，可能是：
  • 网站根目录下无默认页面
  • 一台主机托管多个网站（不同目录对应不同网站）
  • 重定向配置不当

2. 漏洞挖掘实战

2.1 弱口令爆破

• 使用Burp Suite抓取登录请求
• 对登录接口进行爆破测试
• 注意：本例中虽然爆破出弱口令账号，但大多无后台权限

2.2 常见接口测试

• Swagger接口：测试/api-docs、/swagger-ui.html等常见路径
• Druid监控：测试/druid/index.html等路径
  • 尝试常见弱口令：admin/admin、admin/123456等
  • 本例中成功通过弱口令进入Druid监控

2.3 未授权访问

• 从已发现的接口中提取URL进行未授权测试
• 使用dirsearch配合Burp代理进行深度扫描：

  dirsearch -u http://domain/ -w dir --proxy=http://127.0.0.1:8080
  

• 发现heapdump文件（需分析但本例中无有用信息）

2.4 敏感接口发现

• 通过拼接参数直接获取用户账号密码
  • 密码为MD5哈希（可通过破解得到明文，如"123"）
  • 用户名格式分析："AA001"、"xxxx0000"（4字母缩写+4数字）
• 发现系统管理接口，扩大资产收集范围

3. 技术要点总结

1. 资产收集优先级：

   • 备案信息→主域名→子域名→目录/文件
   • 多工具交叉验证（鹰图+灯塔+自定义扫描）

2. 爆破技巧：

   • 先尝试常见弱口令
   • 结合Burp进行精细化爆破
   • 注意账号命名规则（本例中的"AA001"格式）

3. 接口测试方法论：

   • 常见管理接口优先（Swagger、Druid等）
   • 参数拼接测试
   • 未授权访问检测

4. 文件泄露利用：

   • heapdump文件分析
   • 配置文件、备份文件扫描

4. 工具清单

5. 防御建议

1. 密码安全：

   • 禁用简单密码和默认密码
   • 实施密码复杂度策略
   • 定期更换密码

2. 接口防护：

   • 管理接口添加强认证
   • 禁用或限制Swagger、Druid等测试接口的外网访问

3. 目录权限：

   • 合理配置目录访问权限
   • 禁用目录列表

4. 敏感信息：

   • 定期检查并删除heapdump等调试文件
   • 实施最小权限原则

5. 资产管控：

   • 建立完整的资产清单
   • 定期进行资产梳理和漏洞扫描

6. 后续渗透思路

1. 根据已获取的账号密码尝试横向移动
2. 对发现的系统管理接口进行深入测试
3. 分析heapdump文件中的潜在敏感信息
4. 基于用户名格式生成更完整的字典进行爆破
5. 检查是否存在其他框架漏洞（如Shiro、Fastjson等）

本案例展示了从信息收集到漏洞挖掘的完整流程，虽然最终未能完全拿下目标，但通过系统化的测试方法仍发现了多个有价值的安全问题。