一次不太成功的反诈骗渗透测试
字数 1119 2025-08-06 08:35:27

反诈骗渗透测试实战教学文档

1. 案例背景

这是一次针对诈骗网站的渗透测试实战案例,诈骗网站使用"某转"平台名义进行手机交易诈骗。受害者被骗1200元,测试者通过技术手段对诈骗网站进行渗透测试。

2. 信息收集阶段

2.1 初步侦查

  • 获取诈骗网站地址
  • 识别网站架构:宝塔面板搭建
  • 开放端口检测:80端口开放

2.2 后台发现

  • 通过客服软件教程发现后台路径为/admin
  • 尝试默认凭证:admin:123456成功登录

3. 漏洞利用阶段

3.1 获取Webshell

  • 发现可直接编辑语言配置文件
  • 首次尝试简单一句话木马被云盾拦截
  • 改用哥斯拉(Godzilla)Webshell管理工具
    • 使用带bypass function的功能绕过防护

3.2 绕过限制

  • 发现目录读取限制
  • 使用哥斯拉的目录访问绕过功能
  • 发现服务器运行多个PHP版本

4. 权限提升尝试

4.1 系统环境分析

  • 发现Linux内核版本较新
  • 获取低权限shell(www用户)
  • 发现杀猪盘工具"框框",可一键生成诈骗链接

4.2 数据库访问

  • 尝试通过哥斯拉连接数据库失败
  • 搭建frp进行内网穿透访问数据库

4.3 提权尝试

  • 无法通过MySQL提权(www用户无写入权限)
  • sudo需要www密码但未知
  • 检查SUID位命令: 
    /usr/bin/chage
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/mount
/usr/bin/su
/usr/bin/umount
/usr/bin/pkexec
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/at
/usr/bin/sudo
/usr/bin/crontab
/usr/bin/passwd
/usr/sbin/grub2-set-bootflag
/usr/sbin/unix_chkpwd
/usr/sbin/pam_timestamp_check
/usr/lib/polkit-1/polkit-agent-helper-1
  • 尝试使用CVE-2018-18955漏洞提权

5. 安全防护措施分析

诈骗网站采用的安全措施:

  1. 云盾防护系统
  2. 禁用大量危险函数
  3. 目录访问限制
  4. 较新的Linux内核版本

6. 防御建议

6.1 针对诈骗网站

  1. 不使用默认或弱密码
  2. 及时修补已知漏洞(CVE-2018-18955等)
  3. 限制后台访问IP
  4. 加强文件权限设置

6.2 针对普通用户防诈骗

  1. 不在QQ/微信等非正规平台进行交易
  2. 警惕"一键生成"的链接
  3. 通过正规平台交易,避免私下转账

7. 工具与技术总结

工具/技术 用途 备注
哥斯拉(Godzilla) Webshell管理 带bypass function功能
frp 内网穿透 用于访问受限资源
CVE-2018-18955 提权漏洞 针对polkit的本地提权漏洞
端口扫描 信息收集 识别开放服务
默认凭证尝试 漏洞利用 admin:123456

8. 后续处理

  • 将收集到的信息提交给受害者和警方
  • 未进行更深入的渗透测试以避免法律风险

9. 经验总结

  1. 诈骗网站往往存在安全配置不当问题
  2. 多层防护(云盾+函数禁用)仍可能被绕过
  3. 提权需要针对具体环境选择合适方法
  4. 渗透测试需注意法律边界
反诈骗渗透测试实战教学文档 1. 案例背景 这是一次针对诈骗网站的渗透测试实战案例,诈骗网站使用"某转"平台名义进行手机交易诈骗。受害者被骗1200元,测试者通过技术手段对诈骗网站进行渗透测试。 2. 信息收集阶段 2.1 初步侦查 获取诈骗网站地址 识别网站架构:宝塔面板搭建 开放端口检测:80端口开放 2.2 后台发现 通过客服软件教程发现后台路径为 /admin 尝试默认凭证: admin:123456 成功登录 3. 漏洞利用阶段 3.1 获取Webshell 发现可直接编辑语言配置文件 首次尝试简单一句话木马被云盾拦截 改用哥斯拉(Godzilla)Webshell管理工具 使用带bypass function的功能绕过防护 3.2 绕过限制 发现目录读取限制 使用哥斯拉的目录访问绕过功能 发现服务器运行多个PHP版本 4. 权限提升尝试 4.1 系统环境分析 发现Linux内核版本较新 获取低权限shell(www用户) 发现杀猪盘工具"框框",可一键生成诈骗链接 4.2 数据库访问 尝试通过哥斯拉连接数据库失败 搭建frp进行内网穿透访问数据库 4.3 提权尝试 无法通过MySQL提权(www用户无写入权限) sudo需要www密码但未知 检查SUID位命令: 尝试使用CVE-2018-18955漏洞提权 5. 安全防护措施分析 诈骗网站采用的安全措施: 云盾防护系统 禁用大量危险函数 目录访问限制 较新的Linux内核版本 6. 防御建议 6.1 针对诈骗网站 不使用默认或弱密码 及时修补已知漏洞(CVE-2018-18955等) 限制后台访问IP 加强文件权限设置 6.2 针对普通用户防诈骗 不在QQ/微信等非正规平台进行交易 警惕"一键生成"的链接 通过正规平台交易,避免私下转账 7. 工具与技术总结 | 工具/技术 | 用途 | 备注 | |----------|------|------| | 哥斯拉(Godzilla) | Webshell管理 | 带bypass function功能 | | frp | 内网穿透 | 用于访问受限资源 | | CVE-2018-18955 | 提权漏洞 | 针对polkit的本地提权漏洞 | | 端口扫描 | 信息收集 | 识别开放服务 | | 默认凭证尝试 | 漏洞利用 | admin:123456 | 8. 后续处理 将收集到的信息提交给受害者和警方 未进行更深入的渗透测试以避免法律风险 9. 经验总结 诈骗网站往往存在安全配置不当问题 多层防护(云盾+函数禁用)仍可能被绕过 提权需要针对具体环境选择合适方法 渗透测试需注意法律边界