優(yōu)秀網(wǎng)站首頁中級經(jīng)濟(jì)師考試報(bào)名
鶴壁市浩天電氣有限公司
2026/01/24 10:32:22
優(yōu)秀網(wǎng)站首頁,中級經(jīng)濟(jì)師考試報(bào)名,承德網(wǎng)站建設(shè)有限公司,赤峰專業(yè)網(wǎng)站建設(shè)攻防演練 | 分享最近攻防演練HVV漏洞復(fù)盤
0x1 前言
淺談
師傅們又又又到文章的分享時(shí)刻了#xff0c;這次給師傅們分享的是前段時(shí)間打的一個(gè)省級HVV的攻防演練#xff0c;然后呢#xff0c;也是借著這次寫文章的機(jī)會#xff0c;給師傅們復(fù)盤下#xff0c;然后自己也可以…攻防演練 | 分享最近攻防演練HVV漏洞復(fù)盤0x1 前言淺談師傅們又又又到文章的分享時(shí)刻了這次給師傅們分享的是前段時(shí)間打的一個(gè)省級HVV的攻防演練然后呢也是借著這次寫文章的機(jī)會給師傅們復(fù)盤下然后自己也可以總結(jié)下把團(tuán)隊(duì)打的部分漏洞也復(fù)盤下漏洞不完整部分敏感的getshell、rce的不透露了。總的來說團(tuán)隊(duì)的幾個(gè)大牛子還是蠻厲害的菜雞的我都不好意思了哈哈哈然后呢今天給師傅們寫這篇文章分享下漏洞挖掘的案例好東西心里面藏不住就想著給師傅們分享了然后順便把我在這次攻防演練打的漏洞給師傅們分享下。0x2 攻防演練的簡介和注意事項(xiàng)一、什么是攻防演練攻防演練是一種模擬真實(shí)攻擊和防御的活動旨在評估和提高組織的安全防護(hù)能力。在攻防演練中一個(gè)團(tuán)隊(duì)紅隊(duì)扮演攻擊者的角色試圖發(fā)起各種攻擊而另一個(gè)團(tuán)隊(duì)藍(lán)隊(duì)則扮演防御者的角色負(fù)責(zé)檢測、阻止和應(yīng)對攻擊。二、攻防演練的步驟規(guī)劃和準(zhǔn)備確定演練的目標(biāo)、范圍和規(guī)則制定攻擊方案和防御策略并準(zhǔn)備相應(yīng)的工具和環(huán)境。攻擊模擬紅隊(duì)使用各種攻擊技術(shù)和工具模擬真實(shí)攻擊如網(wǎng)絡(luò)滲透、社會工程、惡意軟件傳播等以測試組織的安全防護(hù)措施和響應(yīng)能力。防御檢測藍(lán)隊(duì)負(fù)責(zé)監(jiān)測和檢測紅隊(duì)的攻擊行為使用安全監(jiān)控工具和技術(shù)如入侵檢測系統(tǒng)IDS、入侵防御系統(tǒng)IPS、日志分析等及時(shí)發(fā)現(xiàn)和報(bào)告攻擊。攻防對抗紅隊(duì)和藍(lán)隊(duì)之間進(jìn)行攻防對抗紅隊(duì)試圖繞過藍(lán)隊(duì)的防御措施而藍(lán)隊(duì)則盡力阻止和應(yīng)對攻擊修復(fù)漏洞提高安全防護(hù)能力。分析和總結(jié)演練結(jié)束后對攻擊和防御過程進(jìn)行分析和總結(jié)評估組織的安全弱點(diǎn)和改進(jìn)空間制定相應(yīng)的安全改進(jìn)計(jì)劃。通過攻防演練用戶可以發(fā)現(xiàn)和修復(fù)安全漏洞提高安全防護(hù)能力增強(qiáng)對真實(shí)攻擊的應(yīng)對能力同時(shí)也可以培養(yǎng)和訓(xùn)練安全團(tuán)隊(duì)的技能和經(jīng)驗(yàn)。攻防演練是一種有效的安全評估和提升手段有助于保護(hù)組織的信息資產(chǎn)和業(yè)務(wù)安全。三、攻防演練常見丟分項(xiàng)有哪些得分項(xiàng)有哪些常見的丟分項(xiàng)漏洞未修復(fù)如果目標(biāo)系統(tǒng)存在已知漏洞但未及時(shí)修復(fù)紅隊(duì)可以利用這些漏洞進(jìn)行攻擊導(dǎo)致丟分。弱密碼和默認(rèn)憑證如果目標(biāo)系統(tǒng)使用弱密碼或者默認(rèn)憑證紅隊(duì)可以輕易地獲取系統(tǒng)訪問權(quán)限導(dǎo)致丟分。安全配置不當(dāng)如果目標(biāo)系統(tǒng)的安全配置不當(dāng)例如開放了不必要的服務(wù)或者權(quán)限設(shè)置不正確紅隊(duì)可以利用這些漏洞進(jìn)行攻擊導(dǎo)致丟分。未發(fā)現(xiàn)攻擊行為如果藍(lán)隊(duì)未能及時(shí)發(fā)現(xiàn)紅隊(duì)的攻擊行為或者未能有效地監(jiān)測和檢測到攻擊導(dǎo)致丟分。未能及時(shí)響應(yīng)和阻止攻擊如果藍(lán)隊(duì)未能及時(shí)響應(yīng)紅隊(duì)的攻擊行為未能采取有效的防御措施導(dǎo)致攻擊成功或者造成嚴(yán)重影響會丟分。常見的得分項(xiàng)漏洞修復(fù)和安全補(bǔ)丁如果目標(biāo)系統(tǒng)及時(shí)修復(fù)了已知漏洞并安裝了最新的安全補(bǔ)丁可以得分。強(qiáng)密碼和憑證管理如果目標(biāo)系統(tǒng)使用強(qiáng)密碼并且憑證管理得當(dāng)可以得分。安全配置和權(quán)限控制如果目標(biāo)系統(tǒng)的安全配置正確并且權(quán)限控制合理可以得分。發(fā)現(xiàn)和報(bào)告攻擊行為如果藍(lán)隊(duì)能夠及時(shí)發(fā)現(xiàn)紅隊(duì)的攻擊行為并及時(shí)報(bào)告可以得分。有效的防御和響應(yīng)措施如果藍(lán)隊(duì)能夠采取有效的防御措施及時(shí)響應(yīng)和阻止攻擊可以得分。得分項(xiàng)和丟分項(xiàng)的具體評判標(biāo)準(zhǔn)可能因不同的攻防演練規(guī)則和目標(biāo)而有所不同。0x3 漏洞復(fù)盤一、文件上傳1、淺談因?yàn)檫@次地級市的攻防演練的資產(chǎn)范圍非常廣你比如說像市、縣、鎮(zhèn)等這些有關(guān)的政府、學(xué)校、還有這個(gè)市里面一些大點(diǎn)的企業(yè)的資產(chǎn)都可以打所有來講難道不是很難。下面這個(gè)站點(diǎn)就是一個(gè)事業(yè)編政府單位的站點(diǎn)開始也沒什么說的像這樣的登錄站點(diǎn)一般上來就是弱口令測試下面的這個(gè)站點(diǎn)也是先使用弱口令test:test進(jìn)去然后再擴(kuò)大危害。后面的深入利用就交個(gè)隊(duì)友了自己對于內(nèi)網(wǎng)的滲透測試還是沒有那么熟練后面進(jìn)行g(shù)etshell拿權(quán)限提權(quán)等內(nèi)網(wǎng)遨游的一些敏感的截屏和數(shù)據(jù)之類的就不給師傅們演示了其實(shí)吧像這種主要就是思路案例都差不多因?yàn)檫@個(gè)站點(diǎn)也確實(shí)是沒有做任何的防御。2、具體打法如下因?yàn)槭莟est測試賬號所有進(jìn)去師傅們可以看到功能點(diǎn)的權(quán)限并不多師傅們可以看到下面的議題列表中的添加功能然后這里存在文件上傳的功能點(diǎn)下面來試試這里文件上傳隨便上傳一個(gè)圖片上去然后利用bp抓包看看里面的數(shù)據(jù)包這里我只是點(diǎn)擊選擇文件沒有點(diǎn)擊下面的綠色提交按鈕但是看數(shù)據(jù)包可以發(fā)現(xiàn)已經(jīng)上傳成功了我們訪問下這個(gè)圖片上傳成功的路徑看看是不是真的上傳成功了訪問返回包的路徑可以看到確實(shí)上傳圖片成功了刪掉后面的圖片名稱然后看看能不能打一個(gè)目錄遍歷漏洞但是這里沒有成功返回403權(quán)限拒絕訪問說明存在這個(gè)目錄但是沒有權(quán)限也算是一個(gè)思路了吧通過幾次數(shù)據(jù)包的抓取分析發(fā)現(xiàn)這個(gè)站點(diǎn)的上傳文件的方式?jīng)]有任何的過濾方式應(yīng)該可以直接上傳惡意文件然后getshell一波。使用wappalyzer插件可以看到這個(gè)站點(diǎn)是使用php搭建的那么就可以上傳php木馬上去然后打一波phpinfo()了直接打一個(gè)phpinfo()證明危害即可-----------------------------19248753661017244075365571982 Content-Disposition: form-data; namefile; filenamexiaoma.php Content-Type: image/jpeg GIF89a ?php phpinfo(); ? -----------------------------19248753661017244075365571982--然后再直接訪問這個(gè)地址可以看到直接打出來了一個(gè)phpinfo()的頁面后面要是上傳木馬然后getshell也是可以的但是這是測試沒必要上傳木馬直接證明危害即可二、微信小程序兩個(gè)key泄露1、session_key三要素泄露下面呢是我在挖那個(gè)市里面的人社局的微信小程序說到微信小程序呢師傅們應(yīng)該是不陌生的特別是打微信小程序常見的幾個(gè)泄露比如說這次要分享的session_key三要素泄露案例漏洞就是其中一個(gè)。session_key三要素泄露指的是SessionKey、iv以及加密字段全部泄露出來一般在微信小程序使用手機(jī)號一鍵登錄的時(shí)候常見的泄露但是很多都是泄露iv以及加密字段但是session_key值泄露的少??梢钥吹竭@個(gè)數(shù)據(jù)包直接把SessionKey、iv以及加密字段三個(gè)部分全部泄露了得到session_key三要素泄露之后呢就需要使用我們的一個(gè)Wx_SessionKey_crypt這個(gè)工具了然后把泄露的三要素放到工具里面然后解密就可以看到我們的手機(jī)號了其實(shí)利用這個(gè)漏洞的危害也很簡單就是我們可以在這個(gè)微信小程序的站點(diǎn)找到里面管理員的手機(jī)號然后去替換手機(jī)號然后再反向加密然后再替換回開始登錄的數(shù)據(jù)包中然后再一鍵放包就可以成功登錄我們管理員的后臺了2、微信API接口調(diào)用憑證Access token泄露這個(gè)access_token泄露我感覺蠻多師傅都不是很了解師傅們可以先去網(wǎng)上找下Access token泄露的相關(guān)文檔比如微信官方就有相關(guān)的文檔記錄。在公眾號和小程序均可以使用AppID和AppSecret調(diào)用接口來獲取access_token所以一般在打微信小程序的時(shí)候一般都是泄露AppID和AppSecret然后通過微信官方的接口來獲取access_token然后進(jìn)行再一個(gè)利用獲取Access Token接口的網(wǎng)址如下https請求方式: GET https://api.weixin.qq.com/cgi-bin/token?grant_typeclient_credentialappid[APPID]secret[APPSECRET]給師傅們看下在一些站點(diǎn)的網(wǎng)頁源代碼泄露的appid和appsecret參數(shù)值長什么樣子不過下面的這個(gè)參數(shù)進(jìn)行了魔改是key和secret泄露也就是對應(yīng)的appid和appsecret泄露先利用appid和AppSecret獲取這個(gè)大學(xué)的微信小程序的Access_Token值顯示7200說明我們的Access_Token值獲取成功后面再利用就是直接使用微信官方的一個(gè)站點(diǎn)進(jìn)行深入利用了后面就不繼續(xù)寫了下面這個(gè)在線的測試接口的地址是微信公眾和小程序的官方測試使用的網(wǎng)址相比上面的需要記住GET傳參的url下面的在線的測試接口的地址更加方便且功能點(diǎn)也全三、Springboot泄露下面的是Springboot泄露的漏洞然后呢這個(gè)最后面是打穿了云接管OSS存儲桶接管、數(shù)據(jù)庫什么的都拿完了拿了很多的權(quán)限分和數(shù)據(jù)分?jǐn)?shù)這里簡單給師傅們分享下他這個(gè)是那個(gè)里面的好幾個(gè)Springboot接口泄露然后/actuator/env接口泄露泄露了我們常說的ak/sk和用戶賬號密碼之類的直接可以云接管然后在上面的云接管以后找到了mysql數(shù)據(jù)庫的賬號密碼后面也是直接拿下了這個(gè)mysql數(shù)據(jù)庫然后還有就是這個(gè)OSS存儲桶泄露了四、druid弱口令/未授權(quán)1、弱口令碰到若依一般都會去嘗試拼接下druid路徑然后要是有登錄頁面那么我們就可以嘗試下使用常見的druid弱口令進(jìn)行登錄或者弱口令爆破了常見用戶:admin ruoyi druid常見密碼:123456 12345 ruoyi admin druid admin123 admin888其中在這次攻防演練中找到了好幾個(gè)站點(diǎn)都是druid的且都是使用弱口令可以直接登錄進(jìn)去的其中druid:123456占多數(shù)泄露很多url接口且都可以進(jìn)行訪問測試2、未授權(quán)訪問如果網(wǎng)站無需登錄則可利用未授權(quán)訪問漏洞直接訪問下面的springboot常見報(bào)錯(cuò)界面404直接拼接常見路徑(可構(gòu)造未授權(quán)拼接嘗試)html: ip/druid/index.html ##Druid Index ip/druid/sql.html ##Druid sql監(jiān)控頁面 ip/druid/weburi.html ##Druid Web URI監(jiān)控頁面 ip/druid/websession.html ##Druid Web Session監(jiān)控頁面 json: ip/druid/weburi.json ##Druid Web URI json ip/druid/websession.json ##Druid Web Session json Druid 登錄接口 ip/druid/login.html ##Druid登錄認(rèn)證頁面五、存儲型XSS漏洞這次在打到最后一天說什么還有好幾個(gè)資產(chǎn)沒有打動目前還沒有扣分的記錄什么的說打了漏洞雙倍積分然后也是在這上面水了兩個(gè)存儲型XSS漏洞就當(dāng)是給小白看看吧大佬直接劃下面看別的漏洞案例吧。打的方式也很簡單像在評論處容易存在存儲型XSS漏洞下面給師傅們演示下漏洞案例直接在評論處插入XSS的簡單語句我這里就不打出來了imgsrc1onerroralert(1)插入之后保存然后刷新下頁面然后再次訪問這個(gè)關(guān)于我們這個(gè)功能可以看到直接打了一個(gè)XSS漏洞且是存儲型的每次訪問都會彈一個(gè)XSS六、nacos未授權(quán)正常的nacos系統(tǒng)是需要登錄才可以進(jìn)去訪問的但是在這次攻防演練中也碰到了好幾個(gè)直接IP或者域名后面掃描目錄掃到/nacos路徑直接拼接就可以直接訪問然后可以在里面看到一些mysql數(shù)據(jù)庫的配置信息包括我上面寫的泄露ak/sk然后云接管這些漏洞我之前都打過這里有一個(gè)通過弱口令nacos:nacos登錄進(jìn)去的一個(gè)系統(tǒng)然后我在里面的配置文件中找到了shiro的key密鑰然后我直接打了一個(gè)shiro反序列化漏洞且可以直接執(zhí)行命令七、swagger接口泄露最后來給師傅們分享下swagger接口泄露的這個(gè)漏洞我發(fā)現(xiàn)好多系統(tǒng)都存在這個(gè)泄露雖然說有些系統(tǒng)泄露的swagger-ui接口需要進(jìn)行鑰匙驗(yàn)證登錄但是還是有不少是直接可以調(diào)用這個(gè)接口使用的這里建議師傅們使用曾哥的spring-boot工具的字典去跑然后我這里也總結(jié)了自己的一個(gè)dir.txt敏感swagger泄露的 字典有需要的師傅私信我到時(shí)候免費(fèi)發(fā)給你像這樣的swagger-ui接口很多且這樣的泄露大多還沒有加密直接就可以調(diào)用接口還有更加離譜的就是直接泄露doc.html后臺接口管理頁面里面改系統(tǒng)的所有接口你都可以查看而且看著也很清晰就像下面的這個(gè)一樣八、某站點(diǎn)未授權(quán)創(chuàng)建普通用戶這個(gè)也是通過弱口令進(jìn)入管理員權(quán)限的登錄后臺然后在創(chuàng)建用戶的功能點(diǎn)進(jìn)行未授權(quán)測試下面我們直接拿bp抓包抓這個(gè)admin管理員創(chuàng)建用戶的數(shù)據(jù)包那么我們要是測試未授權(quán)就可以嘗試把這個(gè)token刪掉然后看看還能不能創(chuàng)建用戶了可以看到把token刪掉了但是還是可以創(chuàng)建用戶成功這樣未授權(quán)就成功了0x4 總結(jié)好了師傅們文章到這里就給大家分享完了上面有看的上的工具都可以私信我我免費(fèi)給大家分享主打一個(gè)貼心師傅們看完覺得作者寫的可以的也可以點(diǎn)贊收藏加關(guān)注噢。上面介紹的案例呢只是這次攻防演練的九牛一毛但是因?yàn)楹芏嗌婕暗慕仄梁蛢?nèi)容比較敏感不太好拿出來太顯眼了一看就知道是哪個(gè)系統(tǒng)到時(shí)候人家給我舉報(bào)了就吉吉了。然后看完文章以后也希望對師傅們有幫助祝愿師傅們多挖洞多出洞網(wǎng)絡(luò)安全學(xué)習(xí)資源分享:給大家分享一份全套的網(wǎng)絡(luò)安全學(xué)習(xí)資料給那些想學(xué)習(xí) 網(wǎng)絡(luò)安全的小伙伴們一點(diǎn)幫助對于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué)我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長路線圖??梢哉f是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線大家跟著這個(gè)大的方向?qū)W習(xí)準(zhǔn)沒問題。因篇幅有限僅展示部分資料朋友們?nèi)绻行枰住毒W(wǎng)絡(luò)安全入門進(jìn)階學(xué)習(xí)資源包》請看下方掃描即可前往獲取