渗透测试实战案例教学文档<\/h1>

0x1 前言<\/h2>

项目背景<\/h3>

与市网信办合作的渗透测试项目<\/li>
测试范围广泛：包含市政企单位和学校<\/li>
资产类型多样：Web资产、APP、小程序等<\/li>

所有发现的漏洞已修复，仅用于教学目的<\/li> <\/ul>

准备工作<\/h3>

资产整理<\/strong>：<\/p>

收集甲方提供的资产表格（Excel\/TXT格式）<\/li>
分类整理Web资产、APP、小程序漏洞<\/li>
示例资产表格内容：
http:\/\/example1.gov.cn http:\/\/example2.edu.cn app:\/\/com.example.app <\/code><\/pre> <\/li> <\/ul> <\/li> 授权文件<\/strong>：<\/p> 确保获得合法渗透测试授权书<\/li> 明确测试范围和边界<\/li> <\/ul> <\/li> <\/ol> 0x2 漏洞一：短信轰炸漏洞<\/h2> 纵向轰炸（同一手机号多次发送）<\/h3> 测试步骤<\/strong>：<\/p> 定位手机验证码登录接口<\/li> 使用Burp Suite拦截发送验证码请求<\/li> 首次发送正常，第二次被限制<\/li> <\/ul> <\/li> 绕过技巧<\/strong>：<\/p> 尝试特殊字符绕过：@<\/code>、空格、+86<\/code>、逗号等<\/li> 示例有效载荷：13800138000@<\/code>、13800138000,<\/code><\/li> <\/ul> <\/li> 自动化攻击<\/strong>：<\/p> 使用Burp Intruder进行并发爆破<\/li> 配置多个绕过字符作为payload<\/li> 实现每分钟发送大量验证码<\/li> <\/ul> <\/li> <\/ol> 横向轰炸（不同手机号同时发送）<\/h3> 测试步骤<\/strong>：<\/p> 拦截验证码发送请求<\/li> 修改手机号参数为双手机号格式： 13800138000,15800158000<\/code><\/li> 13800138000@15800158000<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> 漏洞利用<\/strong>：<\/p> 使用卡二收到的验证码登录卡一账号<\/li> 潜在危害：越权登录高权限账号<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h3> 后端严格验证手机号格式<\/li> 限制同一IP的发送频率<\/li> 增加图形验证码<\/li> <\/ul> 0x3 漏洞二：SessionKey三要素泄露<\/h2> 漏洞原理<\/h3> 微信小程序SessionKey、iv、encryptedData三要素泄露导致未授权登录<\/p> 利用工具<\/h3> 独立工具<\/strong>： wx_sessionkey_decrypt：https:\/\/github.com\/mrknow001\/wx_sessionkey_decrypt<\/li> <\/ul> <\/li> Burp插件<\/strong>： BurpAppletPentester：https:\/\/github.com\/mrknow001\/BurpAppletPentester<\/li> <\/ul> <\/li> <\/ol> 测试步骤<\/h3> 定位微信小程序手机号快捷登录功能<\/li> 拦截登录请求，获取SessionKey三要素<\/li> 使用工具解密获取手机号<\/li> 替换数据包中的手机号为管理员号码<\/li> 重放请求实现未授权登录<\/li> <\/ol> 关联漏洞：弱口令<\/h3> 通过获取的手机号尝试常见弱口令<\/li> 示例：手机号后六位<\/code>、123456<\/code>、admin123<\/code><\/li> 成功登录后台获取敏感信息<\/li> <\/ol> 0x4 漏洞三：JWT攻击<\/h2> JWT爆破攻击<\/h3> 测试步骤<\/strong>：<\/p> 拦截包含JWT令牌的请求<\/li> 使用jwt.io分析令牌结构<\/li> 爆破常见密钥（如123456）<\/li> 修改payload中的关键字段（如userID、role）<\/li> <\/ul> <\/li> payload结构分析<\/strong>：<\/p> { <\/span><\/span> "role"<\/span>: "appUser"<\/span>, <\/span><\/span> "exp"<\/span>: 1747377338<\/span>, <\/span><\/span> "userId"<\/span>: "xxxxxxxxxx"<\/span>, <\/span><\/span> "user_key"<\/span>: "xxxx-xxxx"<\/span>, <\/span><\/span> "username"<\/span>: "13800138000"<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ol> None算法绕过<\/h3> 使用jwt_tool工具（https:\/\/github.com\/ticarpi\/jwt_tool）<\/li> 生成四种None算法变体： python3 jwt_tool.py <JWT> -X a <\/span><\/span><\/code><\/pre><\/li> 依次尝试替换原始令牌<\/li> <\/ol> 防御建议<\/h3> 使用强密钥<\/li> 禁用None算法<\/li> 严格验证签名<\/li> <\/ul> 0x5 漏洞四：OAuth2.0漏洞<\/h2> 漏洞原理<\/h3> 二维码扫描登录缺少二次确认，导致钓鱼攻击可能<\/p> 测试步骤<\/h3> 定位第三方登录功能<\/li> 获取登录二维码<\/li> 制作钓鱼页面诱导扫描<\/li> 攻击者账号被绑定到受害者账户<\/li> <\/ol> 防御建议<\/h3> 扫描后需用户确认<\/li> 记录登录设备信息<\/li> 设置绑定提醒<\/li> <\/ul> 0x6 漏洞五：Jeecg框架漏洞<\/h2> 框架介绍<\/h3> JeecgBoot：基于SpringBoot的低代码开发平台<\/p> 综合利用工具<\/h3> jeecg漏洞利用工具：https:\/\/github.com\/MInggongK\/jeecg-<\/li> <\/ul> 常见漏洞<\/h3> 接口信息泄露<\/strong>：<\/p> 通过tableName参数获取数据库表信息<\/li> 示例泄露接口：\/api\/table\/list<\/code><\/li> <\/ul> <\/li> SQL注入<\/strong>：<\/p> 测试tableName参数：<\/li> <\/ul> tableName=<\/span>sys_user where<\/span> 1<\/span>=<\/span>1<\/span>-- <\/span><\/span><\/span><\/code><\/pre><\/li> 权限提升<\/strong>：<\/p> 注册普通账号<\/li> 查找管理员ID<\/li> 使用提权接口：<\/li> <\/ul> { <\/span><\/span> "roleId"<\/span>: "admin_role_id"<\/span>, <\/span><\/span> "userIdList"<\/span>: ["your_user_id"<\/span>] <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ol> 其他利用技巧<\/h3> 常见敏感接口<\/strong>：<\/p> \/jeecg-boot\/**<\/code><\/li> \/api\/**<\/code><\/li> \/sys\/user\/list<\/code><\/li> <\/ul> <\/li> 默认弱口令<\/strong>：<\/p> admin\/123456<\/li> jeecg\/jeecg123<\/li> test\/123456<\/li> <\/ul> <\/li> <\/ol> 0x7 总结<\/h2> 渗透测试要点<\/h3> 资产收集<\/strong>：全面收集Web、APP、小程序等资产<\/li> 漏洞验证<\/strong>：从低危漏洞入手，逐步深入<\/li> 关联利用<\/strong>：组合多个漏洞提升危害等级<\/li> <\/ol> 防御建议<\/h3> 定期安全评估<\/li> 及时修复已知漏洞<\/li> 加强开发人员安全意识培训<\/li> <\/ul> 注意事项<\/h3> 所有测试必须获得授权<\/li> 敏感信息需脱敏处理<\/li> 测试完成后及时提交报告<\/li> <\/ul> 附录：工具列表<\/h2> Burp Suite<\/li> wx_sessionkey_decrypt<\/li> jwt_tool<\/li> jeecg漏洞利用工具<\/li> HAE插件（Burp历史请求分析）<\/li> <\/ol> 参考链接<\/h2> OAuth2.0漏洞详解：https:\/\/xz.aliyun.com\/news\/16153<\/li> Jeecg官网：https:\/\/www.jeecg.com\/<\/li> <\/ul>