HVV实战渗透测试教学文档<\/h1>

目标：某省级YL行业靶标<\/h2>

一、前期信息收集<\/h3>
对靶标公众号、小程序、API接口进行常规测试，未发现漏洞。<\/li>
通过子域名枚举发现
.net<\/code>开发站点，位于私有IP段（172.x），存在SQL注入点。<\/li>
<\/ul>

二、入口1：SQL注入获取系统权限<\/h3>
关键步骤：<\/h4>

手工注入检测<\/strong>：确认注入点，直接获取系统权限（system<\/code>权限）。<\/li>
网络探测<\/strong>：
-- 查询网络连接  
<\/span><\/span><\/span><\/span>EXEC<\/span> xp_cmdshell 'netstat -ano'<\/span>;  
<\/span><\/span><\/code><\/pre>发现内网网段：172.16.x.x<\/code>、172.18.x.x<\/code>。<\/li>
用户添加<\/strong>：
EXEC<\/span> xp_cmdshell 'net user hacker Password123! \/add'<\/span>;  
<\/span><\/span>EXEC<\/span> xp_cmdshell 'net localgroup administrators hacker \/add'<\/span>;  
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
遇到的问题与解决方案：<\/h4>

机器不出网<\/strong>：无法直接上线C2（如Cobalt Strike）。<\/li>
尝试方法<\/strong>：

PowerShell、CertUtil、BitsAdmin等无果。<\/li>
改用WebShell + 端口转发 + RDP方案。<\/li>
<\/ul>
<\/li>
中文路径报错<\/strong>：使用以下命令遍历Web路径：
for<\/span> \/r C:\ %i in (*.aspx) do echo %i >> path.txt  
<\/span><\/span><\/code><\/pre><\/li>
WebShell写入失败<\/strong>：

尝试写入ASPX一句话木马，返回401\/404。<\/li>
最终放弃该入口。<\/li>
<\/ul>
<\/li>
<\/ul>

三、入口2：社工钓鱼攻击<\/h3>
关键步骤：<\/h4>

数据泄露利用<\/strong>：通过SQL注入Dump数据库，获取医护人员手机号。<\/li>
微信社工<\/strong>：

添加医生微信，冒充内部人员。<\/li>
获取信任后推送“系统更新包”（实为木马）。<\/li>
<\/ul>
<\/li>
绕过防御<\/strong>：

免杀马未上线 → 改用向日葵便携版<\/strong>远程控制。<\/li>
通过向日葵直接操作目标机器。<\/li>
<\/ul>
<\/li>
<\/ol>
后续操作：<\/h4>

退出360杀软，上传CS原生马（64位）。<\/li>
提取浏览器密码、历史记录备用。<\/li>
发现HIS系统需UKey认证，无法直接登录。<\/li>
<\/ul>

四、入口3：横向移动与隧道搭建<\/h3>
关键步骤：<\/h4>

二次社工<\/strong>：通过已有联系人推荐，获取另一科室主任信任。<\/li>
双网卡突破<\/strong>：目标机器为双网卡，连接内网+互联网。<\/li>
隧道搭建<\/strong>：

使用NPS进行端口转发。<\/li>
尝试转发3389失败（疑似网闸限制）。<\/li>
<\/ul>
<\/li>
锐捷代理连接<\/strong>：

目标机安装Inode客户端，通过锐捷代理接入核心网。<\/li>
成功RDP连接内网服务器。<\/li>
<\/ul>
<\/li>
<\/ol>
成果：<\/h4>

控制多台内网服务器及数据库。<\/li>
获取核心业务数据。<\/li>
<\/ul>

五、技术总结与关键知识点<\/h3>
1. 不出网环境的应对策略：<\/h4>

优先尝试WebShell + 端口转发。<\/li>
使用RDP、VNC、向日葵等合法工具绕过检测。<\/li>
利用DNS、ICMP、HTTP隧道工具（如NPS、Frp）。<\/li>
<\/ul>
2. 社工钓鱼要点：<\/h4>

利用已有数据（如手机号、姓名）建立信任。<\/li>
冒充内部人员或技术支持。<\/li>
结合电话+微信多渠道增强可信度。<\/li>
<\/ul>
3. 内网横向技巧：<\/h4>

优先探测双网卡机器。<\/li>
利用代理软件（如Inode）突破网络隔离。<\/li>
使用轻量级扫描工具（如Fscan）避免触发告警。<\/li>
<\/ul>
4. 免杀与绕过：<\/h4>

免杀马需适配系统架构（32\/64位）。<\/li>
合法软件（向日葵、AnyDesk）往往更有效。<\/li>
<\/ul>
5. 数据库利用：<\/h4>

注意字段是否为加密（如加盐MD5），避免盲目破解。<\/li>
优先提取手机号、邮箱等可用于社工的信息。<\/li>
<\/ul>

六、防御建议<\/h3>

网络层面<\/strong>：

严格限制互联网映射机器的出网策略。<\/li>
部署网络隔离设备（网闸、防火墙）。<\/li>
<\/ul>
<\/li>
系统层面<\/strong>：

禁用不必要的系统功能（如xp_cmdshell）。<\/li>
定期更新系统补丁。<\/li>
<\/ul>
<\/li>
安全意识<\/strong>：

加强员工社工防范培训。<\/li>
禁止非授权远程工具安装。<\/li>
<\/ul>
<\/li>
监控与响应<\/strong>：

监控异常账号添加、网络连接行为。<\/li>
建立应急响应流程，及时隔离受控机器。<\/li>
<\/ul>
<\/li>
<\/ol>

如果有新的想法，欢迎随时和我讨论！<\/p>