某次演练复盘总结
字数 1596 2025-08-06 08:35:44

渗透测试实战演练复盘与技巧总结

1. 初始入侵与Webshell获取

1.1 目标发现

  • 通过公众号抓取目标URL
  • 系统类型:Linux系统,普通用户权限

1.2 文件上传绕过技巧

  • 黑名单绕过:使用非常规后缀如'1.jsp...'(注意点号)
  • 上传失败时尝试多种变形:
    • 大小写混合
    • 特殊字符添加
    • 非常规后缀组合

1.3 Webshell连接问题解决

  • 冰蝎连接失败原因分析
    1. 流量特征被识别
    2. Webshell免杀不足
  • 解决方案
    • 对Webshell进行简单免杀处理
    • 改用蚁剑连接

2. Linux系统提权尝试

2.1 提权方法

  • 尝试最新sudo提权漏洞
  • 安装nmap进行内网扫描
  • 注意事项
    • Linux提权可能具有破坏性
    • 评估业务影响后再决定是否继续

2.2 内网代理建立

  • 使用ew(earthworm)进行流量代理
  • 将内网流量代理到外部

3. 内网横向移动

3.1 内网扫描策略

  • 先扫描同C段
  • 无果后尝试B段扫描

3.2 常见内网问题

  • Web后台普遍存在弱口令
  • JSP系统居多但缺乏上传点

3.3 内网Getshell案例

  1. 通过aspx后台任意文件上传

    • 上传路径技巧:使用临时目录C:\windows\temp\
    • 文件上传限制绕过:
      • 分片上传
      • 使用临时目录避开权限限制

  2. Windows提权过程

    • 执行systeminfo分析补丁情况
    • 存在360全家桶防护
    • 使用CVE-2018-8120内核提权(适用于Win7/2008)
    • 绕过360技巧:
      • 使用非常用提权漏洞
      • 分阶段执行

4. 内网代理与上线技巧

4.1 多层代理建立

  1. 本地全局ew代理(第一层)
  2. 内网HTTP隧道代理(第二层)

4.2 内网机器上线方案

  • 问题:内网不通外网
  • 解决方案
    1. 寻找可通外网的服务器作为跳板
    2. 在该服务器设置监听
    3. 生成针对该服务器的CS马
    4. 通过多层代理实现控制

5. 其他突破案例

5.1 IIS6.0解析漏洞利用

  • 突破方式:后台弱口令
  • 上传技巧:
    • 1.asp/1.jpg形式
    • 利用IIS6.0解析漏洞
  • 问题:存在执行延迟(第二天才生效)

5.2 安全狗绕过尝试

  • 现象:cmd被禁用,无法执行命令
  • 尝试方案:
    • 修改终端位置
    • 其他已知绕过方法(未成功)

5.3 MSSQL注入利用

  • 突破方式:后台普通用户弱口令+SQL注入
  • 数据库类型:SQL Server
  • 利用方式:
    1. 启用xp_cmdshell执行命令
    2. 使用CS上线
  • 提权过程
    • 读取hash发现空密码
    • 360阻止空密码登录
    • 使用烂土豆提权
    • 最终修改administrator密码为复杂密码

6. MSSQL注入高级技巧

6.1 无堆叠查询执行命令

  • 使用openrowset突破限制
  • 需要Ad Hoc Distributed Queries组件
  • 示例Payload:
select 1 where 1=1 if 1=1 execute('exec sp_configure ''show advanced options'',1;reconfigure;exec sp_configure ''xp_cmdshell'', 1;reconfigure;exec xp_cmdshell''whoami''');

6.2 其他MSSQL利用方式

  1. sp_oacreate
  2. 日志备份getshell

7. 当前防护趋势与应对

  • 文件上传新防护
    • 使用图床服务器,难以直接getshell
  • 内网Linux机器难点
    • 权限控制严格
    • 防护措施完善
    • 需要更高级的持久化技术

8. 关键工具与资源

  1. EarthWorm(ew):内网代理工具
  2. Cobalt Strike:内网渗透框架
  3. 蚁剑:Webshell管理工具
  4. 参考博客:多层代理技术详解

9. 总结与建议

  1. 信息收集要全面:从外网到内网,从Web到系统
  2. 绕过技巧要多样:黑名单绕过、流量混淆、多层代理
  3. 提权要针对性:根据系统类型、补丁情况选择合适漏洞
  4. 内网渗透要耐心:可能需要多层跳板和时间延迟
  5. 防护绕过要创新:对抗360等安全产品需要不断更新技术

通过本次演练可以看出,现代渗透测试需要综合运用多种技术,从Web漏洞到系统提权,从单点突破到内网横向移动,每个环节都可能遇到各种防护措施,需要测试人员具备全面的知识储备和灵活的应变能力。

渗透测试实战演练复盘与技巧总结 1. 初始入侵与Webshell获取 1.1 目标发现 通过公众号抓取目标URL 系统类型:Linux系统,普通用户权限 1.2 文件上传绕过技巧 黑名单绕过 :使用非常规后缀如 '1.jsp...' (注意点号) 上传失败时尝试多种变形: 大小写混合 特殊字符添加 非常规后缀组合 1.3 Webshell连接问题解决 冰蝎连接失败原因分析 : 流量特征被识别 Webshell免杀不足 解决方案 : 对Webshell进行简单免杀处理 改用蚁剑连接 2. Linux系统提权尝试 2.1 提权方法 尝试最新sudo提权漏洞 安装nmap进行内网扫描 注意事项 : Linux提权可能具有破坏性 评估业务影响后再决定是否继续 2.2 内网代理建立 使用ew(earthworm)进行流量代理 将内网流量代理到外部 3. 内网横向移动 3.1 内网扫描策略 先扫描同C段 无果后尝试B段扫描 3.2 常见内网问题 Web后台普遍存在弱口令 JSP系统居多但缺乏上传点 3.3 内网Getshell案例 通过aspx后台任意文件上传 上传路径技巧:使用临时目录 C:\windows\temp\ 文件上传限制绕过: 分片上传 使用临时目录避开权限限制 Windows提权过程 执行systeminfo分析补丁情况 存在360全家桶防护 使用CVE-2018-8120内核提权(适用于Win7/2008) 绕过360技巧: 使用非常用提权漏洞 分阶段执行 4. 内网代理与上线技巧 4.1 多层代理建立 本地全局ew代理(第一层) 内网HTTP隧道代理(第二层) 4.2 内网机器上线方案 问题 :内网不通外网 解决方案 : 寻找可通外网的服务器作为跳板 在该服务器设置监听 生成针对该服务器的CS马 通过多层代理实现控制 5. 其他突破案例 5.1 IIS6.0解析漏洞利用 突破方式:后台弱口令 上传技巧: 1.asp/1.jpg 形式 利用IIS6.0解析漏洞 问题:存在执行延迟(第二天才生效) 5.2 安全狗绕过尝试 现象:cmd被禁用,无法执行命令 尝试方案: 修改终端位置 其他已知绕过方法(未成功) 5.3 MSSQL注入利用 突破方式:后台普通用户弱口令+SQL注入 数据库类型:SQL Server 利用方式: 启用xp_ cmdshell执行命令 使用CS上线 提权过程 : 读取hash发现空密码 360阻止空密码登录 使用烂土豆提权 最终修改administrator密码为复杂密码 6. MSSQL注入高级技巧 6.1 无堆叠查询执行命令 使用openrowset突破限制 需要Ad Hoc Distributed Queries组件 示例Payload: 6.2 其他MSSQL利用方式 sp_ oacreate 日志备份getshell 7. 当前防护趋势与应对 文件上传新防护 : 使用图床服务器,难以直接getshell 内网Linux机器难点 : 权限控制严格 防护措施完善 需要更高级的持久化技术 8. 关键工具与资源 EarthWorm(ew):内网代理工具 Cobalt Strike:内网渗透框架 蚁剑:Webshell管理工具 参考博客: 多层代理技术详解 9. 总结与建议 信息收集要全面 :从外网到内网,从Web到系统 绕过技巧要多样 :黑名单绕过、流量混淆、多层代理 提权要针对性 :根据系统类型、补丁情况选择合适漏洞 内网渗透要耐心 :可能需要多层跳板和时间延迟 防护绕过要创新 :对抗360等安全产品需要不断更新技术 通过本次演练可以看出,现代渗透测试需要综合运用多种技术,从Web漏洞到系统提权,从单点突破到内网横向移动,每个环节都可能遇到各种防护措施,需要测试人员具备全面的知识储备和灵活的应变能力。