棋牌网站渗透测试实战教学文档

前言

本教学文档基于一次真实的棋牌网站渗透测试经历，详细记录了从信息搜集到最终获取系统权限的全过程。棋牌赌博网站属于非法网站，但通过分析其安全漏洞可以帮助我们了解常见Web应用的安全风险。

渗透测试过程详解

1. 信息搜集阶段

• 目标发现：使用FOFA网络空间搜索引擎发现棋牌后台管理系统
• 初步探测：尝试常见弱口令登录（admin/admin等组合），未成功
• 扩大测试：使用Burp Suite加载Top 100常见密码字典进行爆破测试，仍然失败

2. 漏洞发现与利用

SQL注入漏洞利用

• 发现注入点：在登录表单的username参数发现SQL注入漏洞

  • 真条件响应：用户名或者密码错误
  • 假条件响应：账号不存在

• 验证注入：

  真：userName=admin'AND 1=1 AND 't'='t&password=
  假：userName=admin'AND 1=1 AND 't'='k&password=
  

• 自动化工具利用：

  • 使用sqlmap进行自动化注入测试
  • 命令：sqlmap -r sql_pointer.txt --random-agent
  • 发现数据库类型：Microsoft SQL Server 2014

权限提升与系统控制

• 获取系统交互shell：

  • 使用sqlmap的--os-shell参数获取系统交互式shell
  • 通过CS(Cobalt Strike)生成one-liner payload并执行

• 权限提升尝试：

  • 初始权限：低权限MSSQLSERVER账户
  • 尝试方法：
    • 哈希转储
    • Mimikatz获取凭证
    • 默认CS提权方法
    • 烂土豆(Local Potato)提权
    • BypassUAC绕过
  • 成功方法：利用MS14-058漏洞成功提权至SYSTEM

3. 内网横向移动

• 凭证获取：
  • 使用Mimikatz成功获取系统账户和明文密码
• 远程访问：
  • 发现RDP服务运行在非标准端口23389
  • 使用获取的凭证成功远程登录
• Webshell植入：
  • 发现后台运行目录并上传哥斯拉(Godzilla)Webshell
• 数据库访问：
  • 从web.config文件中获取数据库连接信息
  • 本地连接数据库成功，获取管理员账号密码
  • 通过cmd5查询发现为弱口令

4. 资产确认与清理

• 资产确认：
  • 通过FOFA确认该棋牌系统有大量部署实例
• 痕迹清理：
  • 清除所有登录和操作痕迹

技术要点总结

1. SQL注入利用流程：

   • 发现注入点 → 验证注入 → 自动化工具利用 → 获取系统权限

2. 权限提升方法论：

   • 从低权限开始，逐步尝试各种提权技术
   • 重点关注未修补的系统漏洞(如MS14-058)

3. 内网渗透关键步骤：

   • 凭证获取(Mimikatz)
   • 远程服务利用(RDP)
   • Webshell维持访问
   • 配置文件信息收集(web.config)

4. 棋牌系统常见安全问题：

   • SQL注入漏洞普遍存在
   • 系统补丁更新不及时
   • 使用弱口令问题严重
   • 配置文件信息暴露

防御建议

1. 针对SQL注入：

   • 使用参数化查询
   • 实施最小权限原则
   • 部署WAF防护

2. 系统安全加固：

   • 及时安装安全补丁
   • 禁用不必要的系统功能(xp_cmdshell等)
   • 配置强密码策略

3. 应用安全：

   • 配置文件敏感信息加密
   • 实施多因素认证
   • 定期安全审计

4. 监控与响应：

   • 部署EDR/XDR解决方案
   • 建立异常登录检测机制
   • 实施日志集中管理

工具清单

• 信息搜集：FOFA、Nmap
• 漏洞利用：Burp Suite、sqlmap
• 权限提升：Cobalt Strike、Mimikatz
• Webshell：哥斯拉(Godzilla)
• 密码破解：cmd5

通过本案例可以清晰了解一个完整渗透测试的流程和方法，以及棋牌类网站常见的安全问题。在实际安全工作中，这些技术应仅用于合法授权的安全测试。