记一次地级市某行业专项攻防演练
字数 2143 2025-08-06 18:07:33

地级市某行业专项攻防演练技术分析报告

0x00 前言

本报告记录了一次针对地级市某行业的专项攻防演练全过程,详细分析了从信息收集到最终云平台接管的完整攻击链。本次演练中,攻击者通过系统性的渗透测试方法,成功获取目标系统权限并接管云平台,展现了现代网络安全攻防中的典型技术路径。

0x01 信息收集阶段

1.1 目标信息收集

关键工具与方法:

  • 企业信息查询:使用爱企查、天眼查等工具查询目标及下属单位信息
  • 自动化工具:ENEScan_GO(企业信息收集工具)

操作要点:

  1. 通过公开渠道获取目标单位完整组织架构
  2. 收集所有关联子公司、分支机构信息
  3. 建立目标资产关系图谱

1.2 资产发现

技术手段:

  • 子域名收集
    • OneForAll(需配置完整API)
    • Subfinder
    • FOFA
    • Hunter
  • IP收集
    • Eeyes
    • domain2ip
  • 端口扫描
    • Goby(全端口扫描,展示效果好但速度较慢)
    • Nmap
    • Masscan

分类处理:

  1. 将扫描结果分为Web类和非Web类端口
  2. Web类优先进行指纹识别,重点关注:
    • Shiro框架
    • 通达OA
    • 用友NC等常见企业系统
  3. 非Web类端口进行服务爆破,特别关注:
    • Redis(6379端口)
    • MySQL(3306端口)
    • SSH(22端口)等

0x02 漏洞发现与利用

2.1 Shiro框架攻击

攻击路径:

  1. 发现使用Shiro框架的系统,该系统通过SSO平台进行认证
  2. 弱口令尝试失败后转向Shiro反序列化漏洞利用

技术要点:

  • 工具选择:使用多个Shiro反序列化工具进行测试(不同工具可能检测出不同结果)
  • 验证方法
    • 确认Linux系统,root权限
    • 验证出网情况(ping www.baidu.com)
  • 权限维持
    • 使用find / -name 404.jsp定位网站目录
    • 通过wget下载JSP Webshell到可访问目录
    • 使用蚁剑连接维持访问

2.2 横向移动

发现:

  • /webapps目录下存在3个系统+SSO系统
  • 确认通过SSO认证后可访问其他系统

敏感信息收集:

  1. 检查/WEB-INF/classes/目录下的配置文件
  2. 发现dbconfig.properties文件,包含:
    • MySQL连接信息(阿里云RDS)
    • Redis连接信息
  3. 数据库分析:
    • 发现SSO库和其他3个系统的库
    • sso_pwd字段使用非标准加密方式

0x03 关键突破点

3.1 发现敏感配置文件

关键文件:config.properties
包含信息

  1. SSO系统的RSA加密密钥对
  2. 阿里云AccessKey ID和Secret

3.2 SSO密码解密

解密过程:

  1. 使用在线RSA解密工具解密数据库中的密码
  2. 发现密码为随机生成,无法通过爆破获取
  3. 成功登录SSO系统
  4. 使用数据库中的其他系统密码访问关联系统

0x04 云平台接管

4.1 工具准备

使用工具:CF(Cloud Exploitation Framework)

  • GitHub地址:teamssix/cf
  • 功能:云环境利用框架,专为红队设计

4.2 云资源枚举

执行命令cf alibaba ls
发现资源

  1. 1个Bucket存储桶
  2. 2个OSS资源
  3. 1个ECS实例

4.3 控制台接管

操作步骤

  1. cf alibaba console添加后门用户
  2. 确认获得AdministratorAccess权限(完全控制权限)
  3. 检查OSS资源内容
  4. 检查ECS实例信息

0x05 攻击总结

5.1 攻击路径回顾

  1. 信息收集 → 2. Shiro反序列化利用 → 3. 配置文件泄露 → 4. SSO系统突破 → 5. 云AK泄露 → 6. 云平台接管

5.2 关键发现

  1. 框架漏洞:Shiro反序列化漏洞是初始突破口
  2. 配置不当:敏感配置文件未妥善保护
  3. 密钥管理:加密密钥与业务密码存储在一起
  4. 云安全:AccessKey直接存储在配置文件中

5.3 防御建议

  1. 框架安全
    • 及时更新Shiro等框架版本
    • 禁用不必要的反序列化功能
  2. 配置管理
    • 敏感配置文件与代码分离
    • 实施最小权限原则
  3. 加密策略
    • 使用专业的密钥管理系统
    • 业务密码不应与加密密钥同存储
  4. 云安全
    • 避免在代码/配置中硬编码AccessKey
    • 使用RAM角色进行权限管理
    • 定期轮换密钥
  5. 监控预警
    • 建立异常登录检测机制
    • 监控云平台特权操作

0x06 经验总结

  1. 工具多样性:不同工具对同一漏洞的检测效果可能差异很大,应准备多套工具
  2. 配置文件审计:WEB-INF/classes/目录是重点检查区域
  3. 云安全趋势:云平台接管成为新型攻击路径,需特别关注AK/SK保护
  4. 攻击链思维:从Web漏洞到云平台接管的完整攻击链构建能力

附录:工具列表

  1. 信息收集:
    • ENEScan_GO
    • OneForAll
    • Subfinder
    • FOFA/Hunter
  2. 漏洞利用:
    • Shiro反序列化工具集
    • 蚁剑(AntSword)
  3. 云平台利用:
    • CF (Cloud Exploitation Framework)

本案例展示了从传统Web渗透到云平台接管的完整攻击链路,强调了现代网络安全防护需要覆盖从应用到基础设施的全方位防护。

地级市某行业专项攻防演练技术分析报告 0x00 前言 本报告记录了一次针对地级市某行业的专项攻防演练全过程,详细分析了从信息收集到最终云平台接管的完整攻击链。本次演练中,攻击者通过系统性的渗透测试方法,成功获取目标系统权限并接管云平台,展现了现代网络安全攻防中的典型技术路径。 0x01 信息收集阶段 1.1 目标信息收集 关键工具与方法: 企业信息查询 :使用爱企查、天眼查等工具查询目标及下属单位信息 自动化工具 :ENEScan_ GO(企业信息收集工具) 操作要点: 通过公开渠道获取目标单位完整组织架构 收集所有关联子公司、分支机构信息 建立目标资产关系图谱 1.2 资产发现 技术手段: 子域名收集 : OneForAll(需配置完整API) Subfinder FOFA Hunter IP收集 : Eeyes domain2ip 端口扫描 : Goby(全端口扫描,展示效果好但速度较慢) Nmap Masscan 分类处理: 将扫描结果分为Web类和非Web类端口 Web类优先进行指纹识别,重点关注: Shiro框架 通达OA 用友NC等常见企业系统 非Web类端口进行服务爆破,特别关注: Redis(6379端口) MySQL(3306端口) SSH(22端口)等 0x02 漏洞发现与利用 2.1 Shiro框架攻击 攻击路径: 发现使用Shiro框架的系统,该系统通过SSO平台进行认证 弱口令尝试失败后转向Shiro反序列化漏洞利用 技术要点: 工具选择 :使用多个Shiro反序列化工具进行测试(不同工具可能检测出不同结果) 验证方法 : 确认Linux系统,root权限 验证出网情况(ping www.baidu.com) 权限维持 : 使用 find / -name 404.jsp 定位网站目录 通过wget下载JSP Webshell到可访问目录 使用蚁剑连接维持访问 2.2 横向移动 发现: /webapps目录下存在3个系统+SSO系统 确认通过SSO认证后可访问其他系统 敏感信息收集: 检查/WEB-INF/classes/目录下的配置文件 发现dbconfig.properties文件,包含: MySQL连接信息(阿里云RDS) Redis连接信息 数据库分析: 发现SSO库和其他3个系统的库 sso_ pwd字段使用非标准加密方式 0x03 关键突破点 3.1 发现敏感配置文件 关键文件 :config.properties 包含信息 : SSO系统的RSA加密密钥对 阿里云AccessKey ID和Secret 3.2 SSO密码解密 解密过程: 使用在线RSA解密工具解密数据库中的密码 发现密码为随机生成,无法通过爆破获取 成功登录SSO系统 使用数据库中的其他系统密码访问关联系统 0x04 云平台接管 4.1 工具准备 使用工具 :CF(Cloud Exploitation Framework) GitHub地址:teamssix/cf 功能:云环境利用框架,专为红队设计 4.2 云资源枚举 执行命令 : cf alibaba ls 发现资源 : 1个Bucket存储桶 2个OSS资源 1个ECS实例 4.3 控制台接管 操作步骤 : cf alibaba console 添加后门用户 确认获得AdministratorAccess权限(完全控制权限) 检查OSS资源内容 检查ECS实例信息 0x05 攻击总结 5.1 攻击路径回顾 信息收集 → 2. Shiro反序列化利用 → 3. 配置文件泄露 → 4. SSO系统突破 → 5. 云AK泄露 → 6. 云平台接管 5.2 关键发现 框架漏洞 :Shiro反序列化漏洞是初始突破口 配置不当 :敏感配置文件未妥善保护 密钥管理 :加密密钥与业务密码存储在一起 云安全 :AccessKey直接存储在配置文件中 5.3 防御建议 框架安全 : 及时更新Shiro等框架版本 禁用不必要的反序列化功能 配置管理 : 敏感配置文件与代码分离 实施最小权限原则 加密策略 : 使用专业的密钥管理系统 业务密码不应与加密密钥同存储 云安全 : 避免在代码/配置中硬编码AccessKey 使用RAM角色进行权限管理 定期轮换密钥 监控预警 : 建立异常登录检测机制 监控云平台特权操作 0x06 经验总结 工具多样性 :不同工具对同一漏洞的检测效果可能差异很大,应准备多套工具 配置文件审计 :WEB-INF/classes/目录是重点检查区域 云安全趋势 :云平台接管成为新型攻击路径,需特别关注AK/SK保护 攻击链思维 :从Web漏洞到云平台接管的完整攻击链构建能力 附录:工具列表 信息收集: ENEScan_ GO OneForAll Subfinder FOFA/Hunter 漏洞利用: Shiro反序列化工具集 蚁剑(AntSword) 云平台利用: CF (Cloud Exploitation Framework) 本案例展示了从传统Web渗透到云平台接管的完整攻击链路,强调了现代网络安全防护需要覆盖从应用到基础设施的全方位防护。