今天是第一次去线下参加渗透测试,一开始以为是真正的红蓝对抗,结果更像是像红队一样进行渗透测试(感觉有点绕)。为什么这么说呢,因为公司一开始就把公司的资产列表给我们了(蜜罐也标识了),而且也只有我们在渗透。
下午快下班的时候,我们领队老师被甲方问到展示一下今天的成果(当时语气、氛围有点吓人),然后领队就顶着压力展示了仅有的两个成果。一个sql注入->进入后台->上传文件->写入shell,一个由我提供的逻辑漏洞(手机号码与验证码不绑定)。整个过程不像传统意义上讲PPT那样,讲述渗透过程,更像大学毕业设计答辩一样,甲方不停的问,风险、危害等等,我们领队老师就不停的回答问题。
今天的渗透过程,整体其实很难受。虽然给了资产列表,但是很多资产都关闭了,甚至在其公司官方也是大面积的空白网页,估计是上次护网被打穿了,然后到现在还没修复上线,让我们来估计就是再测测其他地方还有没有遗漏的地方。上午还在适应就先慢慢做信息收集,收集的过程就很难受了,一台服务器上开了7个端口,要么就是welcome to nginx(安装初始界面),要么就是apache tomcat(安装界面),好家伙,一台服务器开了这么多外网端口,啥都没有。上午扫到一个端口,进去一看,把我高兴了一下,页面写着大大的几个字,文件上传,好呀,肯定是管理员测试的时候不小心开的,忘了关。结果根据页面关键词一搜索,zimg,好家伙,一个公开漏洞都没有;然后又去github上找到了源码(看了看更新时间,2014年,心想着可能性应该大一点),下载下来一看源码,以我的代码能力,分析出了,其默认使用白名单做限制,且默认固定了文件后缀为jpg,还似乎使用了二次渲染进行存储(?不确定),然后就试了试常见的解析漏洞,没有效果就放弃了。最后在一个网页的注册页面,抓包试了试逻辑漏洞,心里想着不可能存在,结果真的存在,然后就报给领队,撰写了渗透测试报告,上午就这样过去了,中午还蹭了领队老师一顿饭(饭店老板看我们像游客,估计宰了我们,每一份菜都贼少,吃完了发现隔壁桌的菜贼多)。下午就继续边信息收集边测试,从一个登录界面测试出一个sql注入,报给领队,结果领队老师都在撰写这个sql注入到后台到写shell的测试报告了。一天就这样过去了,从领队老师和我队大佬身上学到了不少,收获了很多经验思路,也明白了红队渗透的难点:要有成绩。如果今天没有这个sql注入,不知道下午汇报的时候该怎么说。然后懂了一个问题,甲方的关注点——漏洞造成的影响。就像我找到的逻辑漏洞,我写报告时也没去深究其造成的影响,结果在汇报时,我恍然大悟。你光说手机号的验证码和手机号不绑定,那实质上可能造成的影响是什么呢?越权。
这篇日记,想着第一次去线下,有点纪念意义就写了下来。如果有写的不对的地方,还请师傅们指正。