记一次授权实战
字数 1425 2025-08-05 08:19:43

授权渗透测试实战教学文档

0x01 前期信息收集

1.1 基础信息收集

  • IP地址扫描
  • 端口扫描
  • Whois查询
  • 目录扫描(使用工具如dirsearch、gobuster等)

1.2 非常规信息收集

  • 在目标官网发现微信公众号二维码
  • 关注公众号后抓包(使用Burp Suite或Fiddler)
  • 发现信息泄露漏洞,获取数百条用户数据:
    • 姓名
    • 电话号码
    • 邮箱地址

1.3 数据处理

  • 使用Python编写爬虫脚本提取有效信息
  • 整理为字典文件用于后续爆破

0x02 突破口发现与利用

2.1 后台爆破尝试

  • 目标防护措施:
    • 验证码机制
    • 登录次数限制
  • 结论:爆破不可行

2.2 文件上传漏洞利用

  1. 发现可上传文件的注册页面

  2. 初始尝试:

    • 直接修改文件后缀失败
    • 检测到安全狗WAF防护

  3. 绕过方法:

    • 采用双写filename方式绕过安全狗
    • 示例:filename="shell.jsp.jpg"改为filename="shell.jsp.phppjpg"

  4. 上传成功但路径不完整:

    • 通过fuzz测试找到完整路径

0x03 Webshell连接问题与解决

3.1 初始连接失败

  • 使用冰蝎3连接失败
  • 错误信息:无法编译

3.2 问题分析

  1. WAF干扰
  2. Tomcat版本过低(可能性)
  3. 文件头干扰导致解析失败

3.3 解决方案

  1. 改用冰蝎2的Webshell

  2. 添加图片文件头并用注释符包裹:

    <%/* GIF89a */%>
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
[...其他webshell代码...]

  3. 成功建立连接,获取系统信息:

    • Windows Server 2008 R2
    • 站库分离架构
    • 目标不出网
    • 开放3389端口

0x04 内网渗透

4.1 流量转发

  1. 使用reGeorg+Proxifier组合

    • 标准reGeorg被WAF拦截
    • 改用Neo-reGeorg(加密版):
      • 项目地址:https://github.com/L-codes/Neo-reGeorg

  2. 配置步骤:

    • 上传Neo-reGeorg的tunnel文件
    • 本地配置Proxifier规则
    • 成功将流量带入内网

4.2 凭证收集

  1. 抓取浏览器保存的密码
  2. 获取本地系统密码
  3. 查找文件发现MySQL数据库密码

4.3 数据库访问

  1. 通过Proxifier代理Navicat.exe
  2. 连接SQL服务器
  3. 获取大量密码数据

4.4 横向移动

  1. 目标SQL服务器开放3389
  2. 使用收集的密码进行爆破
  3. 成功横向移动到内网SQL服务器

0x05 虚拟化环境发现

5.1 环境识别

  1. 发现特征:

    • 用户名为openstacklocal
    • 存在cloudinit相关文件
    • ARP表中存在特殊IP 169.254.169.254

  2. 确认环境:

    • OpenStack云平台
    • 使用cloud-init进行实例初始化

5.2 未解决问题

  • OpenStack虚拟机逃逸技术
  • 未找到管理面板(dashboard)

附录:工具与资源

  1. 主要工具:

    • Burp Suite/Fiddler(抓包)
    • Neo-reGeorg(加密流量转发)
    • Proxifier(流量代理)
    • 冰蝎2(Webshell管理)

  2. 参考资源:

    • 流量转发技术博客:https://www.cnblogs.com/lightwind6/p/15029506.html
    • Neo-reGeorg项目:https://github.com/L-codes/Neo-reGeorg

  3. 防御建议:

    • 加强文件上传过滤
    • 监控169.254.169.254等元数据服务访问
    • 实施网络分段,限制横向移动
    • 定期审计系统凭证和敏感文件权限
授权渗透测试实战教学文档 0x01 前期信息收集 1.1 基础信息收集 IP地址扫描 端口扫描 Whois查询 目录扫描(使用工具如dirsearch、gobuster等) 1.2 非常规信息收集 在目标官网发现微信公众号二维码 关注公众号后抓包(使用Burp Suite或Fiddler) 发现信息泄露漏洞,获取数百条用户数据: 姓名 电话号码 邮箱地址 1.3 数据处理 使用Python编写爬虫脚本提取有效信息 整理为字典文件用于后续爆破 0x02 突破口发现与利用 2.1 后台爆破尝试 目标防护措施: 验证码机制 登录次数限制 结论:爆破不可行 2.2 文件上传漏洞利用 发现可上传文件的注册页面 初始尝试: 直接修改文件后缀失败 检测到安全狗WAF防护 绕过方法: 采用双写filename方式绕过安全狗 示例: filename="shell.jsp.jpg" 改为 filename="shell.jsp.phppjpg" 上传成功但路径不完整: 通过fuzz测试找到完整路径 0x03 Webshell连接问题与解决 3.1 初始连接失败 使用冰蝎3连接失败 错误信息:无法编译 3.2 问题分析 WAF干扰 Tomcat版本过低(可能性) 文件头干扰导致解析失败 3.3 解决方案 改用冰蝎2的Webshell 添加图片文件头并用注释符包裹: 成功建立连接,获取系统信息: Windows Server 2008 R2 站库分离架构 目标不出网 开放3389端口 0x04 内网渗透 4.1 流量转发 使用reGeorg+Proxifier组合 标准reGeorg被WAF拦截 改用Neo-reGeorg(加密版): 项目地址:https://github.com/L-codes/Neo-reGeorg 配置步骤: 上传Neo-reGeorg的tunnel文件 本地配置Proxifier规则 成功将流量带入内网 4.2 凭证收集 抓取浏览器保存的密码 获取本地系统密码 查找文件发现MySQL数据库密码 4.3 数据库访问 通过Proxifier代理Navicat.exe 连接SQL服务器 获取大量密码数据 4.4 横向移动 目标SQL服务器开放3389 使用收集的密码进行爆破 成功横向移动到内网SQL服务器 0x05 虚拟化环境发现 5.1 环境识别 发现特征: 用户名为openstacklocal 存在cloudinit相关文件 ARP表中存在特殊IP 169.254.169.254 确认环境: OpenStack云平台 使用cloud-init进行实例初始化 5.2 未解决问题 OpenStack虚拟机逃逸技术 未找到管理面板(dashboard) 附录:工具与资源 主要工具: Burp Suite/Fiddler(抓包) Neo-reGeorg(加密流量转发) Proxifier(流量代理) 冰蝎2(Webshell管理) 参考资源: 流量转发技术博客:https://www.cnblogs.com/lightwind6/p/15029506.html Neo-reGeorg项目:https://github.com/L-codes/Neo-reGeorg 防御建议: 加强文件上传过滤 监控169.254.169.254等元数据服务访问 实施网络分段,限制横向移动 定期审计系统凭证和敏感文件权限