渗透测试 | 骗局仿平台官方客服系统+Sqlmap WAF bypass
字数 1571 2025-08-20 18:18:10

仿冒客服平台渗透测试与WAF绕过技术分析

1. 骗局背景分析

1.1 常见诈骗手法

  • 白嫖诈骗:以各种优惠活动吸引受害者
  • 官方名义诈骗:冒充平台客服,声称交易存在问题需要解决
  • 支付截图伪造:使用伪造的支付凭证欺骗卖家

1.2 技术特征

  • 使用多个备用域名逃避安全检测
  • 二维码作为入口,解码后获取恶意URL
  • URL结构特征:http://XXXXX.XXXX.cc/XXXXX.XXXX.XXXX/zz.php?id=1
  • 通过修改文件名(如zz改为xy)可访问不同平台的仿冒页面

2. 渗透测试方法论

2.1 信息收集阶段

Wappalyzer指纹识别

  • 技术栈识别:CMS、框架、库、插件、服务器软件
  • 安全软件检测:防火墙、入侵检测系统
  • 开发环境分析:开发语言(PHP)、数据库(MySQL)
  • 配置信息获取:服务器版本、操作系统版本

目录扫描

  • 敏感文件发现
    • 配置文件:.config, .ini, .txt
    • 备份文件:.bak, .old
    • 源代码文件:.php, .js
    • 压缩文档:.zip, .rar
  • 扫描策略:控制线程防止服务崩溃

端口扫描

  • 常用端口检测:
    • 21/tcp (FTP)
    • 22/tcp (SSH)
    • 80/tcp (HTTP)
    • 888/tcp (accessbuilder)
  • 爆破可能性评估

前端审计

  • JS代码分析寻找测试账号、接口、Token等敏感信息
  • 异常参数和URL地址检查
  • 文件下载路径分析

3. SQL注入攻击与WAF绕过技术

3.1 手工测试发现

  • 参数测试:id=1'and'1'='1 (正常)
  • 异常检测:id=1'and'1'='2 (跳转百度)
  • 时间型盲注:1' or SLEEP(3)-- 存在延迟但触发非法操作记录

3.2 SQLmap自动化测试

基础命令

python3 sqlmap.py -r 123.txt -p id --batch --level 3 --dbs

WAF绕过技术

  • Tamper脚本组合

    --tamper=randomcase,between,bluecoat
    • randomcase:随机大小写转换SQL关键字
    • between:将>替换为NOT BETWEEN 0 AND
    • bluecoat:将空格替换为%09(水平制表符)

  • 高级绕过技术

    python3 sqlmap.py -r 456.txt -p id --batch --level 5 --dbs --threads=1 --random-agent --technique=T --tamper=charencode
    • --random-agent:随机User-Agent
    • --technique=T:时间型盲注
    • --tamper=charencode:字符编码转换

3.3 分块传输绕过

  • 用于绕过非法操作检测机制
  • 将请求数据分块发送,避免触发安全规则

4. 数据库分析发现

4.1 数据特征

  • 管理用户列表显示违法活动持续1个多月
  • 存在以Telegram账号为用户名的记录
  • 可能涉及平台出租或广告业务

4.2 权限分析

  • 数据库用户仅具有USAGE权限
  • 无法执行写Shell等高级操作

5. 系统架构分析

5.1 二开特征

  • 基于开源系统二次开发
  • 数据库结构有自定义修改(多出两列表)
  • 后台路径被修改为复杂结构:aaaaa.bbbb.cccc/zz.php

5.2 防御机制

  • 长随机目录名增加扫描难度
  • 非法操作检测与记录
  • WAF防护规则

6. 防御建议

6.1 针对企业

  • 实施严格的输入验证和参数化查询
  • 部署多层次WAF防护
  • 定期进行安全审计和渗透测试
  • 避免使用可预测的目录结构

6.2 针对用户

  • 警惕非官方渠道的客服链接
  • 验证二维码解码后的URL真实性
  • 不轻信伪造的支付凭证
  • 通过官方渠道验证交易问题

7. 技术总结

本案例展示了从诈骗手法分析到完整渗透测试的全过程,重点包括:

  1. 通过Wappalyzer和目录扫描进行信息收集
  2. 针对SQL注入点的多种测试方法
  3. 使用Tamper脚本组合绕过WAF防护
  4. 分块传输技术绕过非法操作检测
  5. 数据库权限分析和数据取证

渗透测试中,耐心和细致的测试策略是关键,特别是在面对WAF防护时,需要尝试多种绕过技术并控制测试节奏。

仿冒客服平台渗透测试与WAF绕过技术分析 1. 骗局背景分析 1.1 常见诈骗手法 白嫖诈骗 :以各种优惠活动吸引受害者 官方名义诈骗 :冒充平台客服,声称交易存在问题需要解决 支付截图伪造 :使用伪造的支付凭证欺骗卖家 1.2 技术特征 使用多个备用域名逃避安全检测 二维码作为入口,解码后获取恶意URL URL结构特征: http://XXXXX.XXXX.cc/XXXXX.XXXX.XXXX/zz.php?id=1 通过修改文件名(如zz改为xy)可访问不同平台的仿冒页面 2. 渗透测试方法论 2.1 信息收集阶段 Wappalyzer指纹识别 技术栈识别 :CMS、框架、库、插件、服务器软件 安全软件检测 :防火墙、入侵检测系统 开发环境分析 :开发语言(PHP)、数据库(MySQL) 配置信息获取 :服务器版本、操作系统版本 目录扫描 敏感文件发现 : 配置文件: .config , .ini , .txt 备份文件: .bak , .old 源代码文件: .php , .js 压缩文档: .zip , .rar 扫描策略 :控制线程防止服务崩溃 端口扫描 常用端口检测: 21/tcp (FTP) 22/tcp (SSH) 80/tcp (HTTP) 888/tcp (accessbuilder) 爆破可能性评估 前端审计 JS代码分析寻找测试账号、接口、Token等敏感信息 异常参数和URL地址检查 文件下载路径分析 3. SQL注入攻击与WAF绕过技术 3.1 手工测试发现 参数测试: id=1'and'1'='1 (正常) 异常检测: id=1'and'1'='2 (跳转百度) 时间型盲注: 1' or SLEEP(3)-- 存在延迟但触发非法操作记录 3.2 SQLmap自动化测试 基础命令 WAF绕过技术 Tamper脚本组合 : randomcase :随机大小写转换SQL关键字 between :将 > 替换为 NOT BETWEEN 0 AND bluecoat :将空格替换为 %09 (水平制表符) 高级绕过技术 : --random-agent :随机User-Agent --technique=T :时间型盲注 --tamper=charencode :字符编码转换 3.3 分块传输绕过 用于绕过非法操作检测机制 将请求数据分块发送,避免触发安全规则 4. 数据库分析发现 4.1 数据特征 管理用户列表显示违法活动持续1个多月 存在以Telegram账号为用户名的记录 可能涉及平台出租或广告业务 4.2 权限分析 数据库用户仅具有 USAGE 权限 无法执行写Shell等高级操作 5. 系统架构分析 5.1 二开特征 基于开源系统二次开发 数据库结构有自定义修改(多出两列表) 后台路径被修改为复杂结构: aaaaa.bbbb.cccc/zz.php 5.2 防御机制 长随机目录名增加扫描难度 非法操作检测与记录 WAF防护规则 6. 防御建议 6.1 针对企业 实施严格的输入验证和参数化查询 部署多层次WAF防护 定期进行安全审计和渗透测试 避免使用可预测的目录结构 6.2 针对用户 警惕非官方渠道的客服链接 验证二维码解码后的URL真实性 不轻信伪造的支付凭证 通过官方渠道验证交易问题 7. 技术总结 本案例展示了从诈骗手法分析到完整渗透测试的全过程,重点包括: 通过Wappalyzer和目录扫描进行信息收集 针对SQL注入点的多种测试方法 使用Tamper脚本组合绕过WAF防护 分块传输技术绕过非法操作检测 数据库权限分析和数据取证 渗透测试中,耐心和细致的测试策略是关键,特别是在面对WAF防护时,需要尝试多种绕过技术并控制测试节奏。