攻防演练合集篇

前言

前段时间发了关于某银行的渗透文章，第二天被网信办风控下架了，请大家多多海涵、理解。这个月金融的项目做的多，鉴于保密问题就暂时不发出来了。同时因为接近一个月没发自己推文了，心里实属惭愧。知道大家伙爱看实战，那就发！厚码保命....

以下实例讲解仅作技术分享，无教唆指导任何网络犯罪行为，因为传播利用本文所提供信息造成的任何结果，均由使用者本人承担责任，公众号作者不为此承担任何责任！

攻防合集

1.前台万能密码到未授权sql_rce->上线cs

目标站点为工业生产公司靶标。

在登录处尝试万能密码。通过payload：admin' or 'a'='a经过url编码后 admin%27%20or%20%27a%27%3D%27a注出该平台全体用户工号。

通过工号进行弱密码爆破，弱密码统一为123!@#qazwsx(这个口令个人实战中也遇到过很多次了，大家没有的可以记录到字典中)，进入系统。

这个站是ASP+Sqlserver的架构，我个人喜欢找的数据交互点主要是表单导出处，因为目标站点存在waf，所以先尝试内联/**/带入延时，发现成功延时5s。

使用sqlmap，采取space2comment内联绕过tamper进行梭哈。

发现存在堆叠注入，且目标数据库用户为DBA权限，进一步获取到os-shell。

使用无文件落地注入powershell进行cs上线，网段为192.168.0.1/24，横向三台证明突破逻辑隔离，拿到靶标分，结束。

2.某机关单位审计js获取到数据库语句执行api->sql注入写入webshell—>内网横向

针对该单位的OA系统进行外网打点突破。

来到登陆页面，审计js文件->逆天开发sql查询接口暴露。

构造接口调用进行利用，查看是否存在回显内容。对方服务器存在waf，同样用内联注释/**/绕过，成功注出用户为dbo->为回显注入。

利用sql-shell写入webshell到网站根目录，成功连接哥斯拉。

网段为10.62.19.1/24，上线CS。

fscan梭哈后发现存在运维安全网关站点，利用历史漏洞进行sql注入获取到数据库密码。

进行数据库密码喷洒。

cmd5解密后，密码为Admin@1234。

连接数据库获取到大量系统数据，拿到靶标分后撤。

3.某集团js获取sql注入接口->旁站getshell

某集团管理系统登录界面，尝试各类漏洞->无果。

通过翻找JS目录下的相关js文件，审阅代码，获取到相关接口调用。

个人猜测询问是否具有权限的接口极大可能为未授权，且与数据库进行交互。

果然，taskid单引号报错，存在未授权数据库交互，sqlmap梭哈。

查询出数据库账号密码后进入后台，后台任务调度处发现存在同C段的ip资产的API调用，对目标ip资产进行端口扫描发现存在金蝶云星空erp平台。

反序列化命令执行ipconfig，后续就是流程化打内网。

4.某机关供应链shiro反序列化—>进入宝塔->接管数据库->进入后台

来到管理平台，发现shiro框架，利用工具获取到key和利用链。

进一步反弹shell到公网服务器，发现宝塔面板。

账号密码复用，成功进入宝塔管理系统，接管供应商大批量站点。

来到数据库处获取数据库账号密码。

进行数据库连接，获取该系统账户密码。

获取到相关账号密码后进入后台，数据分拉满，系统后台数据太敏感就不给大家展示了。

因为该单位站点部署在供应商服务器上，所以打内网也没什么意义了。

5.某教育局nacos derbysql获取相关敏感信息->ssh远连->内网横向获取数据库数据。

空间测绘发现靶标系统8848端口存在nacos系统。

通过derby sql注入注出ssh账号密码等敏感信息。

/nacos/v1/cs/ops/derby?sql=select+*+from+CONFIG_INFO+st

使用xshell远程连接ssh，为root权限，无需进一步提权。

fscan梭哈该主机所在B段，发现大量存活。

使用frp进行隧道搭建，使得目标靶机流量转发到公网服务器6001端口。

目标靶机写入frpc.ini，使其主动连接公网服务器，socks隧道流量代理映射到公网服务器6001端口。

公网服务器配置监听7000端口就行。

隧道搭建成功。

获取到数据库相关账户密码后进行连接。

大量敏感信息。

6.某事业单位云接管->api文档->未授权接口调用获取ak/sk

swagger泄露获取到相关oss凭证接口。

根api接口为adminapi，拼接api文档中凭证获取接口。接口调用成功获取到oss相关凭证信息。

成功接管目标阿里云oss，目标单位只有云资产，拿到靶标。

三、结语

如果您觉得本期内容还不错，点个关注！欢迎各位师傅加入WingBy公开交流群交流沟通，目前群满200人无法扫码进入，烦请+v f18089848863。

原文始发于微信公众号（Gat4by）：一次看个爽——攻防演练合集篇