记一次小组合拳测试 - 渗透测试教学文档

记一次小组合拳测试 - 渗透测试教学文档 1. 测试概述 本次渗透测试展示了如何通过组合多种简单技术手段（SQL注入、WAF绕过、权限提升、文件上传漏洞）最终获取目标系统shell权限的过程。测试发生在2021年8月，目标系统存在多个安全缺陷，但单个漏洞不足以直接获取系统权限。 2. 测试过程详解 2.1 初始信息收集 通过Burp Suite历史记录分析后台交互点 发现存在SQL注入漏洞的接口 2.2 SQL注入与WAF绕过 发现点 ： 目标系统存在SQL注入漏洞 但部署了WAF防护 绕过方法 ： 使用自定义tamper脚本绕过WAF检测 成功获取后台用户名和密码 结果 ： 高权限管理员密码无法解密 获取到低权限用户凭证 2.3 低权限访问 使用获取的低权限账户登录后台 尝试常规上传点： 新闻上传功能 图片缩略图重命名功能 均被防护措施拦截 2.4 URL分析与权限提升 关键发现 ： 后台URL路由设计简洁明了 可能存在权限控制缺陷 越权测试 ： 通过FUZZ测试发现权限控制不严 直接尝试用户赋权操作 成功将低权限用户提升为管理员 2.5 文件上传漏洞利用 发现点 ： 后台编辑器存在图片上传功能 初步测试可上传任意文件 问题 ： 上传后访问返回500错误 可能原因： 目录执行权限限制 文件内容被拦截 深入分析 ： 检查上传请求报文 发现包含路径定义参数 尝试修改路径为已知可执行目录(如admin目录) 最终利用 ： 上传免杀的一句话木马 成功获取系统shell权限 3. 技术要点总结 3.1 关键漏洞组合 SQL注入 ：获取初始凭证 WAF绕过 ：突破安全防护 权限提升 ：从低权限到高权限 目录穿越 ：绕过上传限制 免杀技术 ：绕过内容检测 3.2 学习要点 信息收集 ：Burp历史记录分析 WAF绕过 ：tamper脚本编写 权限控制测试 ：URL路由分析 上传漏洞利用 ：路径参数修改 免杀技术 ：绕过安全检测 4. 防御建议 输入验证 ：对所有用户输入进行严格过滤 权限控制 ：实施最小权限原则和权限分离 WAF配置 ：定期更新规则，防止已知绕过 上传限制 ： 限制上传文件类型 随机化上传目录 禁用上传目录脚本执行 日志监控 ：对异常操作进行实时报警 5. 现代工具补充 原文提到当时尚未使用冰蝎、哥斯拉等工具，现代测试中可考虑： 冰蝎/哥斯拉 ：加密流量，绕过检测 C2框架 ：更稳定的控制通道 内存马 ：更隐蔽的持久化方式 6. 思考方式 本次测试展示了"组合拳"思维的重要性： 单个漏洞可能不足以直接利用 多个简单漏洞组合可能产生重大影响 需要全面分析系统各环节的安全控制 保持耐心，逐步推进测试流程