HW渗透测试实战：从外网打点到内网漫游

一、渗透测试概述

本次渗透测试记录了一次护网行动中的完整打点过程，攻击链路清晰展示了从外网突破到内网漫游的典型路径。攻击者利用组合漏洞最终获取系统权限，为内网渗透奠定基础。

二、渗透测试流程

1. 信息收集阶段

• 目标系统：某用户登录系统
• 发现漏洞点：忘记密码功能处存在用户名遍历漏洞

2. 漏洞利用过程

2.1 用户名枚举漏洞

• 使用PKAV工具进行用户名遍历
• 服务端返回存在用户的手机号信息
• 漏洞利用效果：

  用户名1 → 手机号1
  用户名2 → 手机号2
  ...
  

2.2 验证码前端返回漏洞

• 点击"下一步"修改密码时，服务端将短信验证码直接返回至前端
• 攻击者可无需接收短信即可获取验证码

2.3 任意密码修改

• 结合获取的验证码，可修改任意用户的密码
• 修改密码后成功登录普通用户账户

2.4 管理员账户发现

• 在消息通知处发现网站管理员用户名
• 使用相同方法修改管理员密码
• 成功登录管理员后台

2.5 后台文件上传漏洞

• 管理员后台存在文件上传功能
• 上传webshell并抓包获取上传路径
• 使用冰蝎连接webshell执行系统命令

2.6 权限提升尝试

• 初始获取的为低权限用户
• 尝试多种提权方法未果
• 转为内网横向移动策略

2.7 内网横向移动

• 使用CS上线代理出流量
• 利用MS17-010漏洞扫描内网
• 发现多台存在漏洞的主机
• 成功实现内网漫游

三、技术要点总结

1. 组合漏洞利用：通过串联多个漏洞实现从外网到内网的突破

   • 用户名枚举 → 验证码泄露 → 密码重置 → 后台文件上传 → 内网漏洞利用

2. 权限提升思路：

   • 从普通用户到管理员账户
   • 从低权限系统用户到内网其他主机

3. 内网渗透技巧：

   • 使用CS进行持久化控制
   • 利用永恒之蓝(MS17-010)进行内网扩散

四、防御建议

1. 前端安全：

   • 修复用户名枚举漏洞，限制错误信息返回
   • 验证码不应返回至前端，应直接发送至用户手机

2. 权限控制：

   • 实施最小权限原则
   • 管理员功能与普通用户严格分离

3. 文件上传防护：

   • 严格校验上传文件类型和内容
   • 限制上传文件的可执行权限

4. 内网安全：

   • 及时修补已知漏洞(如MS17-010)
   • 实施网络分段，限制横向移动

5. 监控与响应：

   • 部署异常登录检测机制
   • 监控可疑文件上传行为

五、渗透测试启示

本次渗透测试展示了"打点-突破-横向移动"的完整攻击链，强调了以下几个关键点：

1. 信息收集的全面性决定了渗透测试的成败
2. 组合漏洞利用往往比单一漏洞更具破坏性
3. 内网安全与边界安全同等重要
4. 简单的漏洞(如用户名枚举)可能成为整个攻击链的起点

通过分析此类攻击案例，安全团队可以更好地理解攻击者的思维方式和攻击路径，从而制定更有针对性的防御策略。