渗透某站点，各种绕过+内网渗透 |

发表评论
369 次浏览

A+

显示不全请点击全屏阅读

[ 目录 ]
0×00 前言
0×01 初期的探索
0×02 看到希望
0×03 遇到坎了
0×04 绕过之
0×05 内网渗透
0×06 后记

0×00 前言

随着互联网的日益推广，我们的生活与互联网也越来越息息相关。目前，针对互联网基础设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业信息系统的探测、渗透和攻击逐渐增多，金融行业网站频频遭遇‘网络钓鱼’，成为hacker们骗取钱财和窃取隐私的重点目标。Hacker攻击每年给全球造成数百亿计的经济损失，美国等西方发达国家已经建立了军民一体的网络攻防体系。

与此形成鲜明对比的是，在国内各大互联网企业数据库严重泄密的情况下，网络安全人才的待遇却还同搬砖民工处在一个层次。大型企业单位宁愿花几十万上百万去购买硬件防火墙、防毒墙，却吝啬于每月数千年的薪水，不肯提供一个网络安全岗。这既可以说是他们对网络安全认识的缺乏，也可以理解为对用户的漠视（数据库泄密，丢的是你们的资料，我着什么急）。

言归正传。搞网络安全前前后后五年了，以前在t00ls上认识的一个朋友要求帮忙搞一个站，闲来无事，于是就有了这次渗透。

0×01 初期的探索

在拿到目标www.xxx.com后，针对目标搞一次全面的侦查是必不可少的。搞渗透到现在，最深刻的体会就是渗透是一门资源比拼的艺术——手上掌握的目标资源越多，对目标情况就越了解，越能总结出规律特征；手头的渗透神器越多，在碰到坎的时候，也越多解决办法；扫描表越大，也越能够扫出关键信息；彩虹表越大，碰到变态密码的破解能力就越强；认识的牛人越多，关键时刻也越容易得到帮助…

前期侦查whois、C段端口信息、漏扫都是必不可少的，不一一枚举。基本信息如下：

开放端口：

8080

主页网页链接都被转成纯静态

C段只发现有Webmail服务与FTP服务，无法判断是否为目标内网。

0×02 看到希望

在查看目标服务版本的时候，漏扫出了SQL注射点，

MaDe，果真是假静态，google一下site:xxx.com inurl:aspx?。果真出现一大堆，汗一个…

我是注射点：

0×03 遇到坎了

甩到工具里扫一下，居然是sa权限，人品要爆发了么？事实告诉我，这种好事我是碰不到的。扫描结束，数据库信息一点都没爆出来，到底是怎么回事呢？通过手工测试，发现原来是站点采取了IPS，对用户提交的敏感数据进行了替换，诸如”[“、insert、alter、order、exec、count等关键字符都做了防注入过滤。

0×04 绕过之

没办法，只能手工测试其过滤规则，然后构造语句进行绕过。

通过艰苦的查询，获取其过滤规则，在本地搭建apache容器，构造了一个绕过IPS的脚本，本地搭建apm，绕过之。

做好指向目标注入点的链接，打开本地链接测试，成功访问目标网址

再来看一下吧，已经可以成功执行所有命令了有木有。不用再恶心的一条一条命令转换了有木有…O(∩_∩)O…

0×05 内网渗透

由于已经是sa权限，怎么拿shell就不说了

破解用户hash，开放

3389，lcx转一下，登陆之

整理所有系统、web用户名/密码，对内网进行扫描。这里顺便说一下内网渗透的主要方法，

0day很重要，30day也不错，由于很多政府目标内网机器都是不对外连接的，虽然理论上从物理上保证了安全，可一旦被hacker控制了对外的web服务器，内网里MS06040、MS08067这些老古董也能用得上。所以平时要注意积累。如果你手头有某系统级的0day，入侵就很简单了。

口令是王道。管理员实施管理的时候都是通过口令来进行身份验证的，没有人会有事没事跑高辐射的机房里去删个什么文件。所以注意搜集你能搜集到的所有口令，不管是数据库的，还是系统的，或者是web上面的。好好整理一下，做一个口令表，在内网扫吧，如果你够仔细，一定会有所收获的。没有人会变态到每一个地方都设一个不同的密码，最后搞的自己都记不住。

如果要查看内网网段的话，一般就是net view，netstat这些命令，查看系统日志也有用的。这个看人品，也靠时间积累。

最后，一轮下来，搞定了四台服务器，其中有一台刚好是朋友想要的。擦擦屁股，走人。

0×06 后记

到这里，费时一周的渗透也算是结束了，实战过程中其实还遇到了更多的各种各样问题，只不过本文是后来补写的，很多细节都忘却了，但主要的东西都已经在文章中体现了。

最后我还是想提一提国内的安全现状，不出事不代表你们没有被入侵过，在我工作过的这几年，做了不少安全检测，每次渗透测试拿到shell之时，大都发现有黑客进来的痕迹，这些还都是不知道打扫日志的菜鸟呢。安全圈内流传一句话，只要有毅力没有日不下来的站，我深信之。以我这种菜鸟的水平，在别人给我目标时我都可以保证50%的成功率，还用说国内归隐的各种日站大牛吗？

最后上美图一张，安全现状，堪忧…(PS:不是我的，别抓我，但是我毫不怀疑他的真实性)