浅谈常规渗透瓶颈，实例发散思维突破

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

无意间翻到之前团队群里分享的一篇文章，在经过原作者@aerfa师傅的同意后转发至本公众号分享给大家。

0x01 写作目的意义

1 自我总结提升

2 知识分享交流  

1 端口扫描(无端口开放信息) 

不能获取目标主机端口开放情况、开启服务情况。

2 目录扫描(无敏感路径) 

通过扫描结果来看，基本上对渗透没有多大帮助。 

3 web漏洞扫描(无可利用漏洞) 

对扫描结果进行分析，得不到有利用价值的漏洞。此处是能扫但是不能获取有价值的线索，相比之下有的系统根本就不能进行综合扫描，更加棘手。

4 系统漏洞扫描(尚未进行)

5 手工测试  

http://abc.xxx.cn/unfilter/anban/a_fuxxns.html http://abc.xxx.cn/admin/newsjc/oxxw.do?pk=102 http://abc.xxx.cn/shs/statute/snyye.do?mxxd=query&dzzlag=0http://abc.xxx.cn /shs/statute/stcccnage.do?mebbd=query&dng=1 http://abc.xxx.cn/admin/newsab/olist.do?rexxk=20012&pesionPk=201 ……

通过右键查看图片路径，获取更深层次（有价值）的信息

http://abc.xxx.com/admin/upload/con_dodFile.do?loxxxfilename=%B9%FA%BA%BD%A1%B0%C2%C6%B1.jpg&destfilename=wxxian%B90967.jpg&uploadpath=null

http://abc.xxx.com/images http://abc.xxx.com/images/feibiao http://abc.xxx.com/css http://abc.xxx.com/include

通过尝试依次访问以上地址的当前目录、上一级目录、上上一级目录……测试是否存在目录遍历漏洞，比如：

访问上一级目录：http://abc.xxx.cn/unfilter/ 

5.2 网站后台测试(无果) 

通过观察网站大多 url 都以 .do 、有的以 .jsp 结尾，于是构造管理后台可能存在的地址 http://abc.xxx.cn/admin/login.jsp，网页不存在

还可能存在的地址 http://abc.xxx.cn/admin/login.do，直接跳转至 http://abc.xxx.cn /overtime.jsp，并提示重新登陆。

继续点击重新登陆，就会跳转到网站首页 http://abc.xxx.cn/index.jsp，此处说明对网站管理后台页面做了限制。

5.3 SQL注入测试(无果) 

几番周折之后对这个网站的结构有了明确的了解，并没有查询搜索框。所以除了常规的在 url 参数中加入单引号测试之外，就只有登陆框处可以进行测试。 

Url中测试：网页被重置

用户登录处测试：无果 

页面被重置

密码处使用万能密码：

请求依旧被重置。 

5.4 跨站脚本攻击测试(无果) 

输入 xss 测试语句后，页面连接被重置。 

说明网站对特殊字符进行检测，一旦触发请求就会被重置。 

不出所料，该请求依旧被重置。

至此，XSS 测试差不多也算告一段落，宣告无果。 

5.5 Struts2 远程命令执行漏洞测试(无果) 

关于这方面的利器， 首选新业务开发中心 ABC_123 开发的这款，首先不设置全局Cookie： 

检测结果不存在相关漏洞。 

5.6 任意文件下载漏洞测试(无果) 

点击下载可获取下载地址 

http://abc.xxx.cn/admin/upload/common_downloadFile.do?filename=º½¿Õ°²È«2014ÄêµÚ6ÆÚ.pdf&jm=true&lx=true

http://abc.xxx.cn/admin/upload/common_downloadFile.do?filename=../../index.jsp&jm=true&lx=true

./   表示当前目录 ../  表示上一级目录

5.7 逻辑漏洞/设计缺陷测试(无果) 

针对目标站点而言，目前唯一突破口就只有用户登录功能模块。

测试注册功能：下载用户登录信息文档，无法立即注册 

测试忘记密码功能：点击无跳转，此功能无效

测试登录功能：不能绕过，无果 

查看 response，无特殊字符不能被修改绕过认证。 

此处的验证码每次都会刷新，且在后端验证，不能重复使用。

故不能进行暴力破解。

0x03 非常规渗透突破

结合目标系统的架构、业务功能等实际情况，常见的渗透测试招式都已经使出来， 在弹尽粮绝之际仍毫无所获。相信没有一个系统是绝对安全的， 打开脑洞，去搜集、思考更多的小技巧与思路。

从 Github 代码库中寻找目标系统的敏感信息。

搜集 abc.xxx.com 相关的 vpn 信息

abc.xxx.com  vpn

abc.xxx.com  smtp abc.xxx.com  smtp password

搜索 abc.xxx.com 内部信息：abc.xxx.com。 

使用社交网络查找目标站点、目标站点相关邮箱、管理员等信息

有的时候可以在群备注处得到很多敏感信息，比如 vpn 账号信息等。此外还可以混入相关群，进行社工。

针对这些系统（部分系统登陆页面没有验证码）可以尝试弱口令，也可以进行用户名与密码的暴力破解。使原来的毫无头绪与思路，在经过信息搜集后有了更多的突破口。

继续 google 语法找到上传百度云盘相关培训课件。 

全是压缩文件，不清楚有些什么内容，任意下载一个的同时点击分享者名字访问其分享主页。

继续翻他云盘里的文件夹， 在 xx 系统交付物中发现网站源码及 sql 数据库文件。

源码 war 包

获取网站源码与 sql 文件后，即可进一步代码审计从而发现更多的漏洞，对后续的深入渗透至关重要。

• 观察、思考，突破常规发散思维； 
  

• 细心、耐心，勇于尝试不怕失败。

 还在等什么？赶紧点击下方名片开始学习吧！

推 荐 阅 读

原文始发于微信公众号（潇湘信安）：浅谈常规渗透瓶颈，实例发散思维突破