不出网环境下的渗透测试技术文档<\/h1>

1. 环境概述<\/h2>

1.1 靶机配置<\/h3>

靶机IP: 10.10.10.135<\/li>
开放服务: Confluence服务(端口8090)<\/li>

存在漏洞: CVE-2022-26134 (Confluence远程代码执行漏洞)<\/li> <\/ul>

1.2 攻击机配置<\/h3>

攻击机IP: 10.10.10.1<\/li>

使用工具:

vshell (正向shell工具)<\/li>
suo5 (代理工具)<\/li>
哥斯拉 (Webshell管理工具)<\/li>
Proxifier (代理工具)<\/li>

Navicat (数据库管理工具)<\/li> <\/ul> <\/li> <\/ul>

2. 攻击流程详解<\/h2>

2.1 初始入侵阶段<\/h3>

利用CVE-2022-26134漏洞上传内存马<\/strong><\/p>

E:\web\tools\ONE-FOX集成工具箱_V8.2公开版_by狐狸\Java_path\Java_8_win\bin\java.exe -jar CVE-2022-26134.jar http:\/\/10.10.10.135:8090\/ pass key
<\/code><\/pre>
使用哥斯拉连接内存马<\/strong><\/p>

成功连接后获得初步控制权限<\/li>
<\/ul>
2.2 建立第一层代理<\/h3>
使用suo5插件注入Suo5Filter马<\/strong><\/p>

通过哥斯拉注入Suo5Filter内存马<\/li>
使用suo5客户端连接建立代理通道<\/li>
<\/ol>
2.3 获取正向shell<\/h3>
部署vshell监听器<\/strong><\/p>

通过哥斯拉上传vshell的tcp_linux_amd64到\/var\/tmp目录<\/li>
赋予执行权限并后台运行:<\/li>
<\/ol>
cd \/var\/tmp
chmod +x tcp_linux_amd64
nohup .\/tcp_linux_amd64 > \/dev\/null 2>&1 &
<\/code><\/pre>

查看内网IP配置:<\/li>
<\/ol>
cat \/etc\/hosts
<\/code><\/pre>
(发现内网IP为172.18.0.3)<\/p>

在vshell客户端建立正向连接<\/li>
<\/ol>
2.4 数据库信息收集<\/h3>
获取Confluence数据库配置<\/strong><\/p>

查看配置文件:<\/li>
<\/ol>
\/var\/atlassian\/application-data\/confluence\/confluence.cfg.xml
<\/code><\/pre>


发现数据库凭证:<\/p>

用户名: postgres<\/li>
密码: postgres<\/li>
数据库地址: db (通过hosts解析为172.18.0.2)<\/li>
端口: 5432<\/li>
<\/ul>
<\/li>

验证数据库连接:<\/p>
<\/li>
<\/ol>
curl db -vv
<\/code><\/pre>
2.5 建立第二层代理访问数据库<\/h3>
使用vshell创建隧道<\/strong><\/p>

在vshell中设置数据库端口转发<\/li>
<\/ol>
配置Proxifier<\/strong><\/p>

设置代理规则将数据库流量通过建立的隧道转发<\/li>
<\/ol>
使用Navicat连接数据库<\/strong><\/p>

通过代理连接PostgreSQL数据库(172.18.0.2:5432)<\/li>
查询confluence库中的cwd_user表获取管理员凭证<\/li>
<\/ol>
2.6 凭证操作与持久化<\/h3>
密码处理过程<\/strong><\/p>

备份原始PBKDF2加密密码:<\/li>
<\/ol>
{PKCS5S2}X1AmkpM26Jj50k\/2GNBEHB2DfbvKTmoevf90yaWYgALYVarRZK1Bmv2XcdxjDvPR
<\/code><\/pre>

替换为已知密码的哈希值(123456):<\/li>
<\/ol>
{PKCS5S2}UokaJs5wj02LBUJABpGmkxvCX0q+IbTdaUfxy1M9tVOeI38j95MRrVxWjNCu6gsm
<\/code><\/pre>
Confluence登录与账号操作<\/strong><\/p>

使用修改后的密码(123456)登录Confluence<\/li>
创建新的管理员账号<\/li>
退出后将admin账号密码恢复为原始哈希值<\/li>
<\/ol>
3. 技术要点总结<\/h2>
3.1 关键工具链<\/h3>

CVE-2022-26134利用<\/strong>: 用于初始攻击向量<\/li>
哥斯拉<\/strong>: Webshell管理<\/li>
suo5<\/strong>: 第一层代理建立<\/li>
vshell<\/strong>: 正向shell获取<\/li>
Proxifier<\/strong>: 第二层代理配置<\/li>
Navicat<\/strong>: 数据库管理<\/li>
<\/ul>
3.2 渗透技巧<\/h3>

不出网环境下使用多层代理技术<\/li>
nohup后台运行不留痕迹:<\/li>
<\/ol>
nohup .\/tcp_linux_amd64 > \/dev\/null 2>&1 &
<\/code><\/pre>

数据库凭证获取路径:<\/li>
<\/ol>
\/var\/atlassian\/application-data\/confluence\/confluence.cfg.xml
<\/code><\/pre>

密码哈希替换技术实现持久化<\/li>
<\/ol>
3.3 防御建议<\/h3>

及时修补Confluence漏洞(CVE-2022-26134)<\/li>
限制数据库仅内网访问<\/li>
监控异常进程(如\/var\/tmp下的可疑文件)<\/li>
实施严格的密码哈希保护机制<\/li>
网络隔离策略，防止横向移动<\/li>
<\/ol>
4. 免责声明<\/h2>
本技术文档仅用于网络安全研究目的，所有技术信息应按照《中华人民共和国网络安全法》合法使用。任何未经授权的渗透测试行为均属违法。<\/p>

不出网环境下的渗透测试技术文档<\/h1>

1. 环境概述<\/h2>

2. 攻击流程详解<\/h2>

3. 技术要点总结<\/h2>

4. 免责声明<\/h2> 本技术文档仅用于网络安全研究目的，所有技术信息应按照《中华人民共和国网络安全法》合法使用。任何未经授权的渗透测试行为均属违法。<\/p>

4. 免责声明<\/h2>
本技术文档仅用于网络安全研究目的，所有技术信息应按照《中华人民共和国网络安全法》合法使用。任何未经授权的渗透测试行为均属违法。<\/p>