实战|近期某省级HVV实战回忆录
字数 1344 2025-09-23 19:27:38

HVV实战渗透测试教学文档

目标:某省级YL行业靶标

一、前期信息收集

  • 对靶标公众号、小程序、API接口进行常规测试,未发现漏洞。
  • 通过子域名枚举发现.net开发站点,位于私有IP段(172.x),存在SQL注入点。

二、入口1:SQL注入获取系统权限

关键步骤:

  1. 手工注入检测:确认注入点,直接获取系统权限(system权限)。
  2. 网络探测
    -- 查询网络连接  
EXEC xp_cmdshell 'netstat -ano';
    发现内网网段:172.16.x.x172.18.x.x
  3. 用户添加
    EXEC xp_cmdshell 'net user hacker Password123! /add';  
EXEC xp_cmdshell 'net localgroup administrators hacker /add';

遇到的问题与解决方案:

  • 机器不出网:无法直接上线C2(如Cobalt Strike)。
  • 尝试方法
    • PowerShell、CertUtil、BitsAdmin等无果。
    • 改用WebShell + 端口转发 + RDP方案。
  • 中文路径报错:使用以下命令遍历Web路径: 
    for /r C:\ %i in (*.aspx) do echo %i >> path.txt
  • WebShell写入失败
    • 尝试写入ASPX一句话木马,返回401/404。
    • 最终放弃该入口。

三、入口2:社工钓鱼攻击

关键步骤:

  1. 数据泄露利用:通过SQL注入Dump数据库,获取医护人员手机号。
  2. 微信社工
    • 添加医生微信,冒充内部人员。
    • 获取信任后推送“系统更新包”(实为木马)。
  3. 绕过防御
    • 免杀马未上线 → 改用向日葵便携版远程控制。
    • 通过向日葵直接操作目标机器。

后续操作:

  • 退出360杀软,上传CS原生马(64位)。
  • 提取浏览器密码、历史记录备用。
  • 发现HIS系统需UKey认证,无法直接登录。

四、入口3:横向移动与隧道搭建

关键步骤:

  1. 二次社工:通过已有联系人推荐,获取另一科室主任信任。
  2. 双网卡突破:目标机器为双网卡,连接内网+互联网。
  3. 隧道搭建
    • 使用NPS进行端口转发。
    • 尝试转发3389失败(疑似网闸限制)。
  4. 锐捷代理连接
    • 目标机安装Inode客户端,通过锐捷代理接入核心网。
    • 成功RDP连接内网服务器。

成果:

  • 控制多台内网服务器及数据库。
  • 获取核心业务数据。

五、技术总结与关键知识点

1. 不出网环境的应对策略:

  • 优先尝试WebShell + 端口转发。
  • 使用RDP、VNC、向日葵等合法工具绕过检测。
  • 利用DNS、ICMP、HTTP隧道工具(如NPS、Frp)。

2. 社工钓鱼要点:

  • 利用已有数据(如手机号、姓名)建立信任。
  • 冒充内部人员或技术支持。
  • 结合电话+微信多渠道增强可信度。

3. 内网横向技巧:

  • 优先探测双网卡机器。
  • 利用代理软件(如Inode)突破网络隔离。
  • 使用轻量级扫描工具(如Fscan)避免触发告警。

4. 免杀与绕过:

  • 免杀马需适配系统架构(32/64位)。
  • 合法软件(向日葵、AnyDesk)往往更有效。

5. 数据库利用:

  • 注意字段是否为加密(如加盐MD5),避免盲目破解。
  • 优先提取手机号、邮箱等可用于社工的信息。

六、防御建议

  1. 网络层面
    • 严格限制互联网映射机器的出网策略。
    • 部署网络隔离设备(网闸、防火墙)。
  2. 系统层面
    • 禁用不必要的系统功能(如xp_cmdshell)。
    • 定期更新系统补丁。
  3. 安全意识
    • 加强员工社工防范培训。
    • 禁止非授权远程工具安装。
  4. 监控与响应
    • 监控异常账号添加、网络连接行为。
    • 建立应急响应流程,及时隔离受控机器。

如果有新的想法,欢迎随时和我讨论!

HVV实战渗透测试教学文档 目标:某省级YL行业靶标 一、前期信息收集 对靶标公众号、小程序、API接口进行常规测试,未发现漏洞。 通过子域名枚举发现 .net 开发站点,位于私有IP段(172.x),存在SQL注入点。 二、入口1:SQL注入获取系统权限 关键步骤: 手工注入检测 :确认注入点,直接获取系统权限( system 权限)。 网络探测 : 发现内网网段: 172.16.x.x 、 172.18.x.x 。 用户添加 : 遇到的问题与解决方案: 机器不出网 :无法直接上线C2(如Cobalt Strike)。 尝试方法 : PowerShell、CertUtil、BitsAdmin等无果。 改用WebShell + 端口转发 + RDP方案。 中文路径报错 :使用以下命令遍历Web路径: WebShell写入失败 : 尝试写入ASPX一句话木马,返回401/404。 最终放弃该入口。 三、入口2:社工钓鱼攻击 关键步骤: 数据泄露利用 :通过SQL注入Dump数据库,获取医护人员手机号。 微信社工 : 添加医生微信,冒充内部人员。 获取信任后推送“系统更新包”(实为木马)。 绕过防御 : 免杀马未上线 → 改用 向日葵便携版 远程控制。 通过向日葵直接操作目标机器。 后续操作: 退出360杀软,上传CS原生马(64位)。 提取浏览器密码、历史记录备用。 发现HIS系统需UKey认证,无法直接登录。 四、入口3:横向移动与隧道搭建 关键步骤: 二次社工 :通过已有联系人推荐,获取另一科室主任信任。 双网卡突破 :目标机器为双网卡,连接内网+互联网。 隧道搭建 : 使用NPS进行端口转发。 尝试转发3389失败(疑似网闸限制)。 锐捷代理连接 : 目标机安装Inode客户端,通过锐捷代理接入核心网。 成功RDP连接内网服务器。 成果: 控制多台内网服务器及数据库。 获取核心业务数据。 五、技术总结与关键知识点 1. 不出网环境的应对策略: 优先尝试WebShell + 端口转发。 使用RDP、VNC、向日葵等合法工具绕过检测。 利用DNS、ICMP、HTTP隧道工具(如NPS、Frp)。 2. 社工钓鱼要点: 利用已有数据(如手机号、姓名)建立信任。 冒充内部人员或技术支持。 结合电话+微信多渠道增强可信度。 3. 内网横向技巧: 优先探测双网卡机器。 利用代理软件(如Inode)突破网络隔离。 使用轻量级扫描工具(如Fscan)避免触发告警。 4. 免杀与绕过: 免杀马需适配系统架构(32/64位)。 合法软件(向日葵、AnyDesk)往往更有效。 5. 数据库利用: 注意字段是否为加密(如加盐MD5),避免盲目破解。 优先提取手机号、邮箱等可用于社工的信息。 六、防御建议 网络层面 : 严格限制互联网映射机器的出网策略。 部署网络隔离设备(网闸、防火墙)。 系统层面 : 禁用不必要的系统功能(如xp_ cmdshell)。 定期更新系统补丁。 安全意识 : 加强员工社工防范培训。 禁止非授权远程工具安装。 监控与响应 : 监控异常账号添加、网络连接行为。 建立应急响应流程,及时隔离受控机器。 如果有新的想法,欢迎随时和我讨论!