淺談滲透測試實戰

0x00 前言

很多時候，在看白帽子們的漏洞的時候總有一種感覺就是把web滲透簡單地理解成了發現web系統漏洞進而獲取webshell。其實，個人感覺一個完整的滲透（從黑客的角度去思考問題）應該是以盡一切可能獲取目標的系統或者服務器的最高權限，儘可能的發現足夠多的敏感信息。這個過程應該包括但不限於以下幾個方面：

• 信息刺探： 待滲透目標的系統，人員，組織信息等
• 漏洞偵測： 所有與待滲透目標相關的系統的漏洞偵測
• 系統提權： 利用現有的信息對已經獲取的系統進行提權從而獲取最高控制權限
• 內網滲透： 利用以獲取的系統作為跳板進一步擴大戰果，重複以上三步獲取更多的系統權限和內網敏感信息

下面，是我分享地一個相對完整的滲透實戰，僅供大家交流參考，所有的操作在本文公開以前均已恢復，請大家切勿用於非法目的。

0x01 信息刺探

作為滲透測試的第一步，也是最重要地一步便是信息刺探。孫子兵法有云：“知己知彼，百戰不殆”。

首先是選擇實戰的目標站點，蒐集到的信息如下：

1.png (314.17 KB, 下載次數: 33)

下載附件 保存到相冊

2016-1-28 18:10 上傳

從以上搜集到的信息，我們可以簡單的分析一下接下來的滲透思路：

• 查找主站漏洞並利用
• 利用子站漏洞旁註進入系統蒐集更多有用信息

0x02 漏洞偵測

按照上面的思路首先嚐試尋找主站的漏洞，通常可通過AWVS或者其他的掃描工具做初步的掃描，看看會不會有可以利用的點。但是最簡單直接的方法是打開這個站點，儘可能仔細的瀏覽每一可能有價值的頁面，如下：

有沒有發現，其實我們可以觀察到一些很有價值的信息。從上面的信息，我們可以發現這個主站是基於Joomla CMS的，這個其實對我們接下來的滲透很有幫助，我們都知道最近爆出了Joomla的RCE和SQL注入漏洞，那麼我們就可以去嘗試看看這個站是否修復了這些漏洞。

於是，我們可以使用已經公開的exp(http://avfisher.win/archives/287)對其進行測試， 如下所示：

果然漏洞確實存在，而且我們也順利地getshell了，那麼是不是意味著我們的滲透已經結束了呢？no，no，no（重要的事情說3遍），其實真正的滲透才剛剛開始。

0x03 系統提權

我們發現這是一個Windows 2008 R2的服務器，既然我們已經拿到了webshell，接下來考慮的事情就應該是，我能不能獲得管理員權限？

首先，在菜刀中執行命令： whoami 看看現在的shell是在什麼權限下運行的，如下：

可以看出我們的shell是在system權限下運行的，那麼也就表示我們可以很容易的添加一個管理員帳戶，命令如下：

0x04 內網滲透

接下來，我們就需要經一步查看和收集系統的一些常見信息來幫助我們進一步的內網滲透，通常包括以下信息：

1. 系統信息 – systeminfo

2. IP信息 – ipconfig /all

3. 開放的端口信息 – netstat -an

4. 運行的進程信息 – tasklist

5. 局域網中公開的文件共享 – net view

6. 局域網中的域的信息 – net view /domain

分析並提取有用信息：

根據上面的分析，我們發現目標服務器已經開放了RDP（3389）但是服務器是在內網我們無法直接外連。既然如此，我們可以考慮端口轉發到我們自己的外網服務器然後在連接。

第一步, 上傳端口轉發工具（可以參考http://avfisher.win/archives/318）

第二步，外網服務器開啟端口監聽端口5001和5002

第三步，內網服務器開啟端口轉發，將本地端口3389轉發到外網服務器監聽的端口5002上

第四步，發起RDP外連外網服務器的端口5001

現在，我們已經成功地利用端口轉發並RDP連接到了內網這臺服務器上了。

打開XAMPP，我們可以很容易的查看網站的數據庫數據：

為了進一步滲透內網，我們需要對內網進行掃描，看看內網開啟了哪些服務，這裡我推薦一款快速掃描內網的工具（MyLanViewer），結果如下：

內網的一些共享目錄：（各種內部資料和信息）

一些內網的系統：

私有云雲存儲管理系統：（可以為共享目錄設置權限）

無線路由器：（內網流量嗅探和截取）

打印機：（獲取到了部分企業聯繫人的通訊錄）

事實上，至此整個滲透仍舊沒有結束，我們目前只是獲得了一臺WORKGROUP的服務器，而實際上仍舊有10幾臺服務器在EES域裡，那麼我們接下來該怎麼突破呢？

其實可利用的思路還有很多，比如：

1. 結合上面我們在內網掃到的通訊錄以及我們之前蒐集到的子域名郵箱 mail.***.sh.cn（見0x01），我們可以先根據郵箱地址生成一個密碼字典進行暴力破解，看看能不能在用戶的郵箱中獲取其他有用的信息

2. 繼續挖掘和分析其他的子站可能存在的漏洞繼而逐步突破

3. 嘗試破解上面獲得的無線路由器密碼嗅探網絡流量獲取企業員工的用戶名和密碼

在此就不再深入下去了！總之，滲透是一門特別的藝術，必須善於運用一切已獲取的信息不斷變換思路最終達成目的。

0x05 總結

滲透是一個特別需要經驗，細心和耐心的工作，你必須從黑客的角度去考慮每一個可能存在的漏洞進而利用並擴大戰果。

總結上面的這次實戰的結果，可以簡單概括成以下幾點：

• 耐心： 必須有足夠的耐心去搜集目標的一切可能相關的信息
• 細心： 仔細地觀察和了解你的目標，不放過每一個細節，從細節中獲得突破口
• 思路： 善於總結和歸納所有的已知信息，並結合在平時積累的各種滲透思路進一步擴大戰果
• 總結： 把每次實戰中接觸和學習到的東西總結起來並從中提取出實用的思路以便下次實戰中的再次利用