渗透测试实战：BC推广平台入侵分析<\/h1>

目标概述<\/h2>
本次渗透测试针对一个博彩（BC）推广平台，主站无直接入口，攻击者选择其推广平台作为突破口。<\/p>

信息收集阶段<\/h2>

1. 目录扫描<\/h3>

使用在线接口快速扫描：https:\/\/scan.top15.cn\/web\/infoleak<\/li>

扫描结果分析：

config.inc.php<\/code>：大小为0B，可能是数据库配置文件但无内容<\/li>
upload<\/code>目录：返回403状态码<\/li>

\/index.php\/login\/<\/code>：仅2KB，非真实后台<\/li>
<\/ul>
<\/li>
<\/ul>
2. 端口扫描<\/h3>

仅发现一个Web服务端口，无其他开放服务<\/li>
<\/ul>
漏洞发现与利用<\/h2>
SQL注入漏洞<\/h3>

漏洞位置<\/strong>：网站查询功能存在SQL注入<\/li>
Payload构造<\/strong>：
account=1') and (extractvalue(1,concat(0x7e,(select database()),0x7e)))--('
<\/code><\/pre>
<\/li>
踩坑经验<\/strong>：

初始payload使用--+<\/code>注释失败<\/li>
发现系统会追加')<\/code>，需相应调整闭合方式<\/li>
<\/ul>
<\/li>
<\/ol>
SQLMap高级用法<\/h3>


特殊参数配置<\/strong>：<\/p>
python2 sqlmap.py -r 1.txt --prefix "')"<\/span> --suffix "--('"<\/span> --level 3<\/span> --tamper=<\/span>space2plus --skip-urlencode
<\/span><\/span><\/code><\/pre><\/li>

参数说明<\/strong>：<\/p>

--prefix<\/code>和--suffix<\/code>：处理特殊闭合情况<\/li>
--skip-urlencode<\/code>：防止空格被URL编码导致payload失效<\/li>
<\/ul>
<\/li>

获取信息<\/strong>：<\/p>

数据库名称<\/li>
高权限账户凭证（priv非NULL）<\/li>
<\/ul>
<\/li>
<\/ol>
权限提升尝试<\/h2>
1. 直接获取Shell<\/h3>

尝试--os-shell<\/code>失败<\/li>
尝试--hex<\/code>编码写入失败<\/li>
尝试--sql-shell<\/code>堆叠查询写入失败<\/li>
<\/ul>
2. 文件写入尝试<\/h3>
select<\/span> 1<\/span> into<\/span> outfile 'D:\/wwwroot\/wnshd.com_22fqiz\/web\/1.txt'<\/span>
<\/span><\/span><\/code><\/pre>
写入失败，防护系统拦截<\/li>
<\/ul>
3. 备用方案<\/h3>

收集后台账号密码<\/li>
寻找后台入口<\/li>
<\/ul>
突破路径<\/h2>
1. 目录发现<\/h3>

通过报错信息发现隐藏目录：wolsoowpppps<\/code><\/li>
目录结构：

\/web\/wolsoowpppps<\/code>：403<\/li>
\/wolsoowpppps\/admin<\/code>：无内容<\/li>
\/wolsoowpppps\/login<\/code>：无内容<\/li>
<\/ul>
<\/li>
<\/ul>
2. 最终突破<\/h3>

通过fuzzing发现\/web\/temp.php<\/code>：存在Webshell<\/li>
爆破Webshell密码成功<\/li>
上传中国蚁剑连接成功<\/li>
<\/ul>
系统环境分析<\/h2>
1. 防护系统<\/h3>

火绒杀毒软件<\/li>
护卫神主机安全系统<\/li>
安全狗防护<\/li>
<\/ul>
2. 限制条件<\/h3>

仅D盘有查看修改权限<\/li>
exe文件无法执行<\/li>
常见提权方法失效：

MS系列漏洞利用失败<\/li>
土豆家族工具无法上传<\/li>
IIS提权失败<\/li>
CS的dll和Mshta执行卡死<\/li>
<\/ul>
<\/li>
<\/ul>
攻击者推测的入侵路径<\/h2>

SQL注入起手<\/li>
发现XSS漏洞（客服系统已下线导致无法利用）<\/li>
找到后台入口<\/li>
利用ThinkPHP 3.2.3缓存getshell漏洞<\/li>
上传Webshell<\/li>
<\/ol>
技术要点总结<\/h2>


SQL注入技巧<\/strong>：<\/p>

注意payload闭合方式<\/li>
报错注入中extractvalue<\/code>函数的使用<\/li>
SQLMap特殊场景参数配置<\/li>
<\/ul>
<\/li>

目录发现<\/strong>：<\/p>

重视报错信息中的路径提示<\/li>
结合fuzzing技术发现隐藏目录<\/li>
<\/ul>
<\/li>

绕过防护<\/strong>：<\/p>

护卫神主要防护ASP，可尝试冰蝎马<\/li>
多种文件写入方式尝试<\/li>
<\/ul>
<\/li>

提权限制<\/strong>：<\/p>

了解不同防护系统的特点<\/li>
在有限权限下寻找突破口<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>


针对SQL注入<\/strong>：<\/p>

使用参数化查询<\/li>
最小权限原则配置数据库账户<\/li>
<\/ul>
<\/li>

目录安全<\/strong>：<\/p>

限制目录列表<\/li>
隐藏敏感路径<\/li>
<\/ul>
<\/li>

文件上传<\/strong>：<\/p>

严格校验上传文件类型<\/li>
设置不可执行权限<\/li>
<\/ul>
<\/li>

系统防护<\/strong>：<\/p>

多层面防护系统组合<\/li>
定期更新防护规则<\/li>
<\/ul>
<\/li>

错误处理<\/strong>：<\/p>

自定义错误页面<\/li>
避免泄露系统路径信息<\/li>
<\/ul>
<\/li>
<\/ol>
后续研究方向<\/h2>

ThinkPHP 3.2.3缓存getshell漏洞利用<\/li>
护卫神防护系统绕过技术<\/li>
受限环境下的提权方法<\/li>
Webshell的隐藏与检测技术<\/li>
<\/ol>

渗透测试实战：BC推广平台入侵分析<\/h1>

目标概述<\/h2> 本次渗透测试针对一个博彩（BC）推广平台，主站无直接入口，攻击者选择其推广平台作为突破口。<\/p>

信息收集阶段<\/h2>

漏洞发现与利用<\/h2>

权限提升尝试<\/h2>

突破路径<\/h2>

系统环境分析<\/h2>

后续研究方向<\/h2> ThinkPHP 3.2.3缓存getshell漏洞利用<\/li> 护卫神防护系统绕过技术<\/li> 受限环境下的提权方法<\/li> Webshell的隐藏与检测技术<\/li> <\/ol>

目标概述<\/h2>
本次渗透测试针对一个博彩（BC）推广平台，主站无直接入口，攻击者选择其推广平台作为突破口。<\/p>

后续研究方向<\/h2>

ThinkPHP 3.2.3缓存getshell漏洞利用<\/li>
护卫神防护系统绕过技术<\/li>
受限环境下的提权方法<\/li>
Webshell的隐藏与检测技术<\/li> <\/ol>