实战|近期某省级HVV实战回忆录
💡
原文中文,约3300字,阅读约需8分钟。
📝
内容提要
本文记录了一次针对YL行业靶标的渗透测试,过程包括信息收集、攻击尝试和社工钓鱼。尽管多次失败,如无法上传工具和写入webshell,但最终通过社工手段成功获取核心服务器和数据库的访问权限,强调了灵活思维和应对突发情况的重要性。
🎯
关键要点
- 本文记录了一次针对YL行业靶标的渗透测试,过程包括信息收集、攻击尝试和社工钓鱼。
- 攻击思路分为三个步骤:控制服务器、钓鱼进入内网、近源攻击。
- 前期信息搜集未发现问题,找到一个.net网站并发现注入点。
- 尝试上线失败,发现目标机器无法出网,导致后续操作无法执行。
- 尝试写webshell失败,因中文路径报错,最终未能成功写入。
- 进行SQL注入尝试,但字段内密码为加盐的md5,无法破解。
- 通过社工手段成功添加好友并进行钓鱼,最终获取核心服务器和数据库的访问权限。
- 主任的终端有双网卡,成功连接后获取多台服务器和数据库。
- 强调灵活思维和应对突发情况的重要性。
❓
延伸问答
这次渗透测试的主要目标是什么?
主要目标是YL行业的靶标。
渗透测试的攻击思路分为哪几个步骤?
攻击思路分为控制服务器、钓鱼进入内网和近源攻击三个步骤。
在信息收集阶段遇到了什么问题?
前期信息收集未发现问题,找到的一个.net网站存在注入点。
尝试写webshell时遇到了什么困难?
尝试写webshell失败,因中文路径报错,无法成功写入。
最终是如何成功获取核心服务器和数据库的访问权限的?
通过社工手段成功添加好友并进行钓鱼,最终获取访问权限。
这次渗透测试强调了什么重要性?
强调了灵活思维和应对突发情况的重要性。
➡️
