作为渗透测试工程师有什么有趣的经历？ 第1页

以下主要讲述了一次内部测试任务中，如何获取到应用系统权限之后，提到最高的。可以总结为打了一套各类小漏洞的组合拳。

隐私内容已打码，不喜勿喷。

领导的一声令下，原本昏昏欲睡得我瞬间精神抖擞，原来是渗透测试任务来了，针内部运维平台的。

第二天一早，我鸡血上身。拿到测试地址后一看，心中顿时万马奔腾，傻傻得我，傻傻的一个登陆框。

不要慌，不要怕，车到山前必有路，我不断暗示着自己，随便找俩地位漏洞交差算了。这是实时使用的生产系统，这要是搞崩了，全国上下几十个分公司不对得扒了我的皮？不要扫描，千万不要搞对业务有影响的漏洞，有低位漏洞交差就行。

那么，先走一波常规信息收集。

google插件wapplyzer，查看当前系统信息。

跑一下nmap，防止防火墙拉黑，也就是常见端口探测，看看有没有搞测试用的垃圾站部署。结果嘛，看看就知道了。

系统目录也跑了下，钟馗也搞了下，没啥收获。

这样看来，只能搞手工了。神器burp上场，尽可能挖一挖逻辑漏洞。登录框仔细瞄了几眼，不要验证码？那必须对admin账号搞一波爆破。

结果是：5次错误锁定策略劝退，这还爆破个锤子。

网页源码啥也找不到，嘿嘿，居然有明文传输的包。单次撞库，非你莫属。

burp再次登场，抓包，撞库。幸亏选择topname10000撞库，用tonname500就得凉凉。

看来幸运女神还是眷顾的，跑了一万还能有两个成功的。后台弱口令的漏网之鱼，抓一抓还是有的！

这工作算是圆满了吧？可以交差了吧？

额。。。还是继续测吧！对，拿人钱财，替人消灾，我绝对不怕领导那双杀气腾腾的眼睛。

用wu**这个账号登陆进系统，得，这么低的权限怎么玩？果断换，这个可以，貌似是个领导，竟然有新建账号的权限。你看，我说运气很OK吧！

新建了个账号可以选角色了，竟然发现某个角色权限竟然现在用的账号权限更高，那还等什么，新账号systemtest闪亮登场。

新账号登进去一看，众多模块中我一眼就相中了角色管理。角色管理可以新建角色，新建的角色居然还能拥有所有模块的权限？那不盘你盘谁？

此时，成就感爆棚，最高权限这么容易就搞定了？

于是，systemtest2准备起飞。

现实的巴掌，总是在最兴奋的时候给你当头棒喝。什么最高权限啊？最高是最高了，某分公司最高。总部的最高权限拿不下来，对不起今天的幸运女神。

于是，又开始了闷头苦干，一番胡乱点击之下，居然在查看用户信息的时候看到一个极其像用户ID值的特别参数。

这样的好东西还能让你跑了？果不其然，一片新大陆瞬间呈现在我眼前！

遍历340这个值，自然就能对个人信息进行修改呀。测试之后，总算抓到了admin的账号信息。

既然用户信息可以改，越权修改密码是不是也该试一试？果然，不学会举一反三，挖不到你想要的的洞。

修改密码的URL可以越权访问。。。

接着就是解决旧密码的问题了，也不知道能不能绕过，抓包好了。

没想到，旧密码输入好之后，正要输入新密码，系统竟先判定了旧密码，这是不是就可以想办法绕过旧密码验证？

抓包抓包！判定的条件是true/false，这应该是无限接近成功了吧。

我直接就把response结果改为true，长度改为4，“咻”的一下验证就绕过去了！！！

这下就畅通无阻了，admin密码一修改，啥啥看不到？

终于结束了，又博得一次深受器重的机会。

至于拿shell，后渗透什么的就先不想了，出个报告先交差。

以上经历总结一下，想要拿到最高权限不是靠单一漏洞就能做到的，是各种小漏洞组合起来，充分利用才能达成目的。

文明传输给了我撞库的机会，因为弱口令的存在，才能撞库成功，然后利用功能上的缺陷（低权限的账号可以新建高权限账号），然后才能对admin信息进行越权访问，再来旧密码的验证绕过。你单独来看，这些小漏洞没啥风险，但是一旦遇到老手能串联起来进行利用，那就会导致严重的安全事故。无论是渗透还是其他什么，拼的都是思路，一定要活学活用。

非专业渗透。

学校安排在某宽带公司实习销售/安装工程师。我们是划分片区的，一个组负责几个小区的销售和安装，公司规定除非特殊情况，不得去其它组的片区拉客户。

那营业厅经理看我们学生好欺负。让其它组去我们片区偷单。这能忍？又干了一周多，理清业务逻辑了。我们有工单平台，所有渠道的销售信息都记录在上边。我想着大不了同归于尽。

得弄到工单系统的地址账号密码。

营业厅内有助理守在电脑前，营业厅有摄像头， 电脑还有开机密码，想直接操作电脑不现实。

幸好有WiFi，营业厅用的小米3C路由器。

在手机上用zANTI进行中间人攻击

拿到了工单系统的IP地址但用户名和密码加密了。

晚上回宿舍用电脑看了下那个工单平台，试了admin/123456之类的简单密码，显然没人用这么弱智的密码，至于入侵？怕是难为我这个学生了

看了桌面一角的Dreamweaver

我花了两个小时做了个钓鱼网站。

就两个页面，

一个是登陆页，输入密码后get传到第二个页面，第二个页面提示:服务器响应超时，请稍后再试。(参照输错密码的页面改的)，同时用php获取密码写入txt，再自动跳回第一个页面。

反复检查了，基本没有瑕疵。

但看了浏览器地址栏的127.0.0.1犯愁了，IP地址咋搞定？怎么让助理用原地址可以访问到假网站。

因为是装宽带的，对路由器比较熟悉，小米3C这款是有VPN功能的。可以指定网址/IP走VPN通道。

宿舍旁边有一家用联通宽带的，WiFi密码12345678，有公网IP。

我有个小米Nano路由器，刷了固件后可以任意修改路由器自身网段，例如改到153.100.27.x，我改成了工单平台同网段

先用自己的路由器用wisp连上邻居的WiFi，端口映射，开启VPN服务端功能。

备用机装上ksweb，把钓鱼页面放进去，连上自己的路由器，开启端口映射，把手机IP地址设置与工单平台IP一致。

第二天早早的起床，让邻居的路由器重新拨号，目的是重新分配的IP地址，保证72小时内不变。

然后去营业厅，设置好VPN，连接到我宿舍的路由器上，访问钓鱼页面正常。然后让浏览器自动刷新那个密码txt的链接，显示404。一切准备就绪，等待上钩。

15分钟后，助理来了，打开电脑...

在某一瞬间看见手机屏显示pass.txt的下载弹窗，下载！随后关闭了小米3C路由器的VPN连接。

成功拿到账号密码，晚上回宿舍登陆，获取到其它组的有意向和预约客户的信息。第二天拿私人号码给他们打电话，说客户那栋楼的机柜坏了，同楼没其它用户，要装宽带需要额外交500元安装费。

后续就是我们营业厅那个月业绩非常惨 ，营业厅经理还以为是竞争对手搞鬼。

做惊心动魄的一次物理渗透攻击。

四年前的事，配合取证工作，不是非法的。。。。

网上正面漏洞实在拿不下，磨叽了十多天过去了，各种钓鱼也没进展。

老大一气之下，直接说：去机房，去服务器所在机房偷硬盘。

开始实施步骤。

1.先找到对方服务器ip在X州一个idc机房，通过行内人问到是哪个服务商，联络对方服务商，要了一台相邻ip的机器，带宽都要100m独的，不砍价，让服务商觉得我们爽快增加信任感，购买信息全部用其他掩护的身份，包括付款记录合同。几天后联络告知需要挂载我们的硬盘，我们要派人过去现场安装硬盘维护，对方说让我们快递邮寄我们说数据保密不方便。

2.两个人驱车过去，全程戴帽子，电话用掩护身份的，进机房sfz也没看。联系机房管理员，简单登记带我们进机房，第一天进去踩点到目标服务器跟我们租用的机柜隔三个机柜，因为机架里服务器都贴了标签，包括服务器型号，硬盘架指示灯数量和闪烁状态估摸了哪些硬盘是一组数据盘。运气很好摄像头监控死角，机柜间没有监控。

当时现状就是一直无法提权，有限的权限的shell可以看到了对方硬盘型号参数，sas做的raid10。

3.第二天立马去京东采购了四块一模一样的硬盘，成本高呀，收件信息设置在离我们在X州宾馆地点10公里左右一个学校门口菜鸟驿站。还买了一样的硬盘架。

4.X州呆的第四天，联络第二次进机房维护，这次一个人去的，进去机房后迅雷不及掩耳之势，戴上橡胶手套抽掉硬盘，换上准备好的新盘的，打扫痕迹十分钟后离开现场。其中再拔四块盘还是两块盘的纠结中，领导说全部吧就心一狠。

5.回单位，恢复raid状态，服务器挂载，读取数据，整个数据库全在，而且刚好是对方服务器的从盘，也就是抽掉这组raid不影响服务器系统运行，对方服务器都没宕机中断，数据可能内存里还在可能都不中断服务，神不知鬼不觉。据说后面是隔了半天对方才发现服务器出故障，据说连机房管理员都一直都没发现硬盘被替换了。可想而知这种公共IDC机房多不安全，至少也要用VIP鸡笼。

目标完成，拿到完整数据，费时一周。全套下来不到一万成本。

果然高端的黑客往往是最朴素的攻击方式。