近期某省级HVV实战回忆录
💡
原文中文,约3200字,阅读约需8分钟。
📝
内容提要
文章讨论了渗透测试中的挑战与解决方案,包括信息收集、注入测试和社工攻击。尽管面临网络连接问题和权限限制,最终通过社工手段成功获得目标机器的访问权限。
🎯
关键要点
- 前期信息搜集未发现问题,找到一个.net网站并发现注入点。
- 内网无法出网,尝试多种方法上线失败。
- 写webshell时遇到中文路径报错,最终通过查询路径成功写入webshell。
- 尝试sql注入进行数据爆破,但密码为加盐md5,无法破解。
- 通过社工手段成功添加好友,进行钓鱼尝试。
- 使用社工工具成功上线,获取目标机器的访问权限。
- 尝试通过端口转发连接内网,但未成功,怀疑是网闸问题。
- 利用dump出的手机号进行社工,成功接触到另一名老师。
- 最终通过主任的双网卡机器成功获得访问权限。
❓
延伸问答
渗透测试中遇到的主要挑战是什么?
主要挑战包括网络连接问题、权限限制和中文路径报错等。
如何通过社工手段获得目标机器的访问权限?
通过添加好友进行钓鱼尝试,最终成功上线获取访问权限。
在信息收集阶段发现了什么重要信息?
发现了一个.net网站并找到了注入点。
为什么在写webshell时会遇到问题?
因为涉及中文路径时会报错,导致无法成功写入webshell。
尝试sql注入时遇到了什么困难?
密码为加盐md5,无法破解,导致数据爆破失败。
最终如何成功获得访问权限?
通过主任的双网卡机器成功连接并获得访问权限。
➡️
