让渗透从黑盒变为"灰盒" - 渗透测试进阶技术<\/h1>

0x01 前言<\/h2>
在传统渗透测试中，我们常常面临"黑盒"测试的困境：没有有效账号、注册账号功能受限、后台位置未知等问题。本文介绍一种将黑盒测试转化为"灰盒"测试的方法，通过寻找相同技术架构的系统来获取关键信息，从而提升对目标系统的渗透成功率。<\/p>

0x02 技术原理<\/h2>

核心思路：利用网站的技术支持信息寻找相同应用系统<\/strong>，通过对相似系统的渗透获取有价值的信息，再将这些信息应用于目标系统。<\/p>

常见可利用的信息来源：<\/p>

网站底部的备案信息<\/li>
主办单位、承办单位信息<\/li>
"技术支持"等关键字<\/li>
版权信息中的开发公司名称<\/li> <\/ul>
0x03 实战案例<\/h2>
1. 寻找相似系统<\/h3>

在目标网站底部发现"技术支持"关键字<\/li>
使用FOFA等网络空间测绘引擎搜索该关键字<\/li>
找到使用相同系统的其他网站（称为A网站）<\/li> <\/ol>
2. 对相似系统进行渗透<\/h3>

在A网站发现任意文件上传漏洞，获取WebShell<\/li>
在WEB目录下发现Log文件夹，命名方式可爆破（如\/Log\/2020\/）<\/li>
虽然目标网站修复了文件上传漏洞，但日志目录结构可能相同<\/li> <\/ol>
3. 分析加密机制<\/h3>

发现用户登录凭证具有AES\/DES加密特征<\/li>
从A网站下载源码并反编译（.Net系统使用ILSpy）<\/li>
定位登录口代码，确认加密算法为AES<\/li> <\/ol>
关键代码分析：<\/p>
public<\/span> static<\/span> string<\/span> Encode(string<\/span> encryptString) <\/span><\/span>{ <\/span><\/span> \/\/ 密钥由固定字符串+客户端IP构成<\/span> <\/span><\/span> return<\/span> Encode(encryptString, "xxxxxx"<\/span> + "127.0.0.1"<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre>4. 伪造用户凭证<\/h3> 编写解密程序验证加密机制：<\/li> <\/ol> public<\/span> static<\/span> void<\/span> Main(string<\/span>[] args){ <\/span><\/span> \/\/ 解密用户凭证<\/span> <\/span><\/span> System.Console.WriteLine(Decode("xxxxx"<\/span>)); <\/span><\/span>} <\/span><\/span><\/code><\/pre> 验证步骤：<\/p> 修改XFF头为127.0.0.1<\/li> 注册测试账号，获取登录凭证<\/li> 使用解密程序验证凭证可解密<\/li> <\/ul> <\/li> 发现目标网站使用默认加密密钥，存在用户凭证伪造漏洞<\/p> <\/li> <\/ol> 5. 提升至管理员权限<\/h3> 分析发现管理员凭证使用相同加密方式<\/li> 通过A网站数据库查询默认管理员ID：ba2fxxxxxxxxxxxxxxxxxxxxxxxxd49e21a<\/code><\/li> 构造管理员用户信息并加密：<\/li> <\/ol> public<\/span> static<\/span> void<\/span> Main(string<\/span>[] args){ <\/span><\/span> System.Console.WriteLine(Encode("管理员用户JSON"<\/span>)); <\/span><\/span>} <\/span><\/span><\/code><\/pre> 修改Cookie中的Weiyum<\/code>字段为加密后的管理员凭证<\/li> 成功获取管理员权限<\/li> <\/ol> 0x04 技术总结<\/h2> 信息收集扩展<\/strong>：不仅收集目标本身信息，还要收集其技术提供商、相同系统的其他部署<\/li> 默认配置利用<\/strong>：重点关注：默认密码规则<\/li> 默认日志\/备份路径规则<\/li> 默认加密密钥<\/li> 默认管理员账户信息<\/li> <\/ul> <\/li> 源码审计价值<\/strong>：如果可能获取相似系统的源码，可极大提升渗透效率<\/li> 加密机制分析<\/strong>：系统间共享的加密机制往往是突破点<\/li> <\/ol> 0x05 防御建议<\/h2> 避免在网站中暴露技术支持商信息<\/li> 修改所有默认配置，包括但不限于：加密密钥<\/li> 管理员账户ID<\/li> 默认路径<\/li> <\/ul> <\/li> 对用户凭证使用系统特有的加密机制<\/li> 定期审计系统，修复已知漏洞<\/li> <\/ol> 0x06 扩展思考<\/h2> 这种"灰盒"渗透方法还可应用于：<\/p> 通过开发文档、API文档寻找测试线索<\/li> 分析GitHub等平台泄露的相似项目代码<\/li> 研究同厂商其他产品的漏洞，尝试在目标系统复现<\/li> <\/ol> 通过这种方法，渗透测试人员可以在没有授权代码审计的情况下，获取接近白盒测试的效果，显著提高测试深度和成功率。<\/p>