引言

最近參加了一次小型攻防演練也是我第一次參加這種活動，所以簡單記錄下過程。

信息收集

此次活動的主要目標是當?shù)蒯t(yī)院而且因為規(guī)模不大，所以信息收集的工作相對比較簡單。
簡單介紹下此次攻防演練中信息收集的工作內(nèi)容：
1.端口掃描（nmap、御劍、masscan等端口掃描工具以及一些在線的網(wǎng)站）
2.web指紋信息收集（潮汐指紋識別、云悉指紋識別、whatweb等）
3.旁站信息收集（愛站網(wǎng)IP反查域名）
4.子域名信息收集（子域名挖掘機、google、fofa等）

滲透過程

第一個收獲是通過旁站拿到的，通過愛站網(wǎng)的IP反查域名來查找其旁站。

隨緣找?guī)讉€進去看看，找下后臺，發(fā)現(xiàn)熟悉的界面。

雖然是老朋友但是還是簡單介紹下beecms的歷史漏洞。
1.賬戶枚舉

2.后臺登錄處sql注入

不再贅述，拿到賬戶名和密碼之后直接進后臺，添加允許上傳文件類型php，直接上傳php馬獲取webshell。

由于其網(wǎng)站位于云服務(wù)器上且翻看文件未發(fā)現(xiàn)可以利用的其他信息，滲透過程宣告結(jié)束。

在學習的途中我收集整理了不少資料，包含：

①　200多本網(wǎng)絡(luò)安全系列電子書

②　網(wǎng)絡(luò)安全標準題庫資料

③　項目源碼

④　網(wǎng)絡(luò)安全基礎(chǔ)入門、linux、web安全、攻防視頻

⑤ 網(wǎng)絡(luò)安全學習路線

免費領(lǐng)取私信“安全”

第二個收獲
在給定的目標地址中存在一個wx.xxx.com，猜測是其微信公眾號之類的站點，關(guān)注其微信公眾號，在職工登錄處發(fā)現(xiàn)后臺管理界面。

存在賬戶枚舉。

當輸入用戶名時直接返回用戶存在與否，說明其先對用戶名進行了校驗，在手輸用戶名測試時發(fā)現(xiàn)存在一個用戶名為123的賬戶。

查看數(shù)據(jù)包，發(fā)現(xiàn)密碼直接存在于返回包中。

登錄之后發(fā)現(xiàn)低權(quán)限賬戶功能較少，沒找到利用點。

轉(zhuǎn)而回到登錄處，對數(shù)據(jù)包進行sql注入測試，出乎意料的發(fā)現(xiàn)直接獲取所有賬戶和密碼，通過判斷permission value字段可找到高權(quán)限賬戶。

登錄系統(tǒng)，找到上傳點，直接上傳asp馬即可獲取webshell。

總結(jié)

1.在主站沒有發(fā)現(xiàn)可以利用的點時，可以通過發(fā)現(xiàn)其旁站和子站的方式來進行拓展。
2.信息收集能力決定進度，信息收集得越快越詳細越能在短時間內(nèi)有所突破。
3.常見cms或者是產(chǎn)品的漏洞收集也很重要。
4.一定要細心，細節(jié)決定成敗。