一次hvv打点和不断试错
字数 1553 2025-08-05 08:18:04

HVV渗透测试实战:从打点到提权的完整过程

1. 目标侦察与信息收集

1.1 目标选择策略

  • 优先选择医院或学校等边缘资产或子目录网站,这类目标通常存在较大安全风险
  • 目标网站:www.xxxx.com
  • 真实IP:139.9.xx.xxx

1.2 信息收集工具

  • 使用云溪进行指纹识别、C段扫描和旁站查询
  • 通过页面结构分析,初步判断为ThinkPHP(TP)二次开发框架

1.3 开发商信息利用

  • 在页脚发现开发商信息
  • 通过百度搜索开发商名称,找到默认后台地址

2. 旁站突破与弱口令利用

2.1 旁站攻击策略

  • 主站无子域名时,转向旁站突破
  • 通过开发商默认后台确认,尝试多个旁站

2.2 弱口令成功案例

  • 使用组合:Admin/123456 成功登录一个后台
  • 遇到Flash版本不兼容问题,切换至360浏览器解决

3. Onethink框架漏洞利用

3.1 框架识别

  • 通过登录界面特征识别为Onethink后台

3.2 插件Getshell方法

  1. 参考T00ls文章(https://www.t00ls.net/viewthread.php?tid=57577)
  2. 插件配置路径:http://onethink.com/Addons/插件名称/config.php
  3. 示例:新建插件test,访问http://onethink.com/Addons/test/config.php
  4. 问题:添加的插件未出现在插件列表,原因未知

3.3 后台SQL注入漏洞

  • Payload:
username[]=like 1)and 1 in (2) union select 1,2,'',4,5,6,7,8,9,10,11%23&username[]=0&password=&verify=yzm

4. Shell获取与权限提升

4.1 成功获取Shell

  • 通过不断尝试旁站列表,最终获取一个Webshell

4.2 跨目录限制突破

  • 初始无法跨目录访问
  • 函数被禁用,且因.gov域名限制无法使用蚁剑连接
  • 解决方案:使用哥斯拉(Godzilla)的bypass execute功能成功跨目录

4.3 目标站点定位

  • 在Shell环境中成功搜寻到目标站点路径

5. 权限维持与提权尝试

5.1 PHP版本适配

  • 原始Shell环境为PHP5
  • 寻找PHP7的bypass方法

5.2 反弹Shell尝试

  • 尝试方法:
    • bash反弹
    • php反弹
    • openssl反弹
    • msfvenom生成payload
  • 全部失败,可能被安全机制拦截

5.3 替代方案:socat与base64加密

  1. 将payload进行base64加密后上传
  2. 在目标服务器解密:
base64 -d /www/wwwroot/test1 > /www/wwwroot/test2
  1. VPS监听相应端口

5.4 Linux提权尝试

  • 使用辅助提权脚本
  • 尝试多种exp均失败

6. 特殊环境限制与解决方案

6.1 .gov站点限制

  • 蚁剑无法直接连接.gov域名站点
  • 解决方案:使用哥斯拉等替代工具

6.2 函数禁用环境

  • 关键函数被禁用情况下,需要寻找替代执行方法
  • 通过bypass技术绕过限制

7. 经验总结与最佳实践

  1. 信息收集是关键:开发商信息、框架识别等能为后续攻击提供方向
  2. 弱口令永远有效:不要忽视简单密码组合的尝试
  3. 多工具备选:当一种工具受限时(如蚁剑),准备替代方案(如哥斯拉)
  4. 环境适配:注意PHP版本差异,准备不同环境的payload
  5. 持久化尝试:当直接反弹失败时,考虑加密传输、替代协议等方法
  6. 提权需耐心:尝试多种exp和脚本,没有通用解决方案

8. 参考资源

  1. Onethink插件Getshell方法:https://www.t00ls.net/viewthread.php?tid=57577
  2. 哥斯拉(Godzilla)工具:用于复杂环境下的Webshell管理
  3. 云溪工具:用于指纹识别和资产测绘
  4. 常用反弹Shell方法备忘:bash、php、openssl、socat等
  5. Linux提权检查脚本:如LinEnum、linux-exploit-suggester等
HVV渗透测试实战:从打点到提权的完整过程 1. 目标侦察与信息收集 1.1 目标选择策略 优先选择医院或学校等边缘资产或子目录网站,这类目标通常存在较大安全风险 目标网站:www.xxxx.com 真实IP:139.9.xx.xxx 1.2 信息收集工具 使用云溪进行指纹识别、C段扫描和旁站查询 通过页面结构分析,初步判断为ThinkPHP(TP)二次开发框架 1.3 开发商信息利用 在页脚发现开发商信息 通过百度搜索开发商名称,找到默认后台地址 2. 旁站突破与弱口令利用 2.1 旁站攻击策略 主站无子域名时,转向旁站突破 通过开发商默认后台确认,尝试多个旁站 2.2 弱口令成功案例 使用组合: Admin/123456 成功登录一个后台 遇到Flash版本不兼容问题,切换至360浏览器解决 3. Onethink框架漏洞利用 3.1 框架识别 通过登录界面特征识别为Onethink后台 3.2 插件Getshell方法 参考T00ls文章(https://www.t00ls.net/viewthread.php?tid=57577) 插件配置路径: http://onethink.com/Addons/插件名称/config.php 示例:新建插件test,访问 http://onethink.com/Addons/test/config.php 问题:添加的插件未出现在插件列表,原因未知 3.3 后台SQL注入漏洞 Payload: 4. Shell获取与权限提升 4.1 成功获取Shell 通过不断尝试旁站列表,最终获取一个Webshell 4.2 跨目录限制突破 初始无法跨目录访问 函数被禁用,且因.gov域名限制无法使用蚁剑连接 解决方案:使用哥斯拉(Godzilla)的bypass execute功能成功跨目录 4.3 目标站点定位 在Shell环境中成功搜寻到目标站点路径 5. 权限维持与提权尝试 5.1 PHP版本适配 原始Shell环境为PHP5 寻找PHP7的bypass方法 5.2 反弹Shell尝试 尝试方法: bash反弹 php反弹 openssl反弹 msfvenom生成payload 全部失败,可能被安全机制拦截 5.3 替代方案:socat与base64加密 将payload进行base64加密后上传 在目标服务器解密: VPS监听相应端口 5.4 Linux提权尝试 使用辅助提权脚本 尝试多种exp均失败 6. 特殊环境限制与解决方案 6.1 .gov站点限制 蚁剑无法直接连接.gov域名站点 解决方案:使用哥斯拉等替代工具 6.2 函数禁用环境 关键函数被禁用情况下,需要寻找替代执行方法 通过bypass技术绕过限制 7. 经验总结与最佳实践 信息收集是关键 :开发商信息、框架识别等能为后续攻击提供方向 弱口令永远有效 :不要忽视简单密码组合的尝试 多工具备选 :当一种工具受限时(如蚁剑),准备替代方案(如哥斯拉) 环境适配 :注意PHP版本差异,准备不同环境的payload 持久化尝试 :当直接反弹失败时,考虑加密传输、替代协议等方法 提权需耐心 :尝试多种exp和脚本,没有通用解决方案 8. 参考资源 Onethink插件Getshell方法:https://www.t00ls.net/viewthread.php?tid=57577 哥斯拉(Godzilla)工具:用于复杂环境下的Webshell管理 云溪工具:用于指纹识别和资产测绘 常用反弹Shell方法备忘:bash、php、openssl、socat等 Linux提权检查脚本:如LinEnum、linux-exploit-suggester等