文章总结： 本文复盘攻防演练案例，攻击者通过公众号资产测绘发现子域名，利用弱口令爆破并上传WebShell获取服务器权限，最终经宝塔面板接管54个数据库与七千万条敏感信息。暴露了资产暴露面失控、认证薄弱、上传缺陷及内网无隔离等风险。建议收敛暴露面、实施强密码与MFA、加固上传功能、部署网络微隔离及数据脱敏，以构建纵深防御体系。 综合评分： 91 文章分类： 红队,内网渗透,渗透测试,WEB安全,实战经验

入口即突破口：通过公众号名称获取54家单位数据库防线

原创

鲸落 鲸落

Rot5pider安全团队

2026年2月2日 14:46 中国香港

点击上方蓝字  关注安全知识

引

言

因是实战攻防案例，本文在保留原始攻击路径与核心技战术细节的基础上，对语言表达进行了规范化梳理，逻辑结构进一步优化，关键技术环节予以补充完善。所有涉及具体单位、系统标识、IP地址、域名及敏感数据内容均已进行严格脱敏处理，确保符合实战攻防演练的信息安全与合规要求。优化后的内容适用于网络安全事件复盘、红队行动总结、内部技术分享，仅供学习思路过程。

一、背景概述

在近期开展的一次不打招呼的实战攻防演练中，以“外部攻击者”视角，从一个看似普通的微信公众号入手，通过资产测绘、子域名发现、弱口令爆破、Web应用漏洞利用等多维度手段，成功渗透至目标单位核心内网系统，最终获取了51家下属单位共计54个数据库的完整访问权限，涉及超过7000万条包含三要素、五要素甚至七要素的高敏感个人信息。

本次行动充分暴露了目标单位在资产暴露面管理、身份认证强度、Web应用安全防护以及内网横向隔离等方面的严重短板。

二、攻击路径复盘

1. 初始入口：资产测绘手法依旧零零信安打头

接着fuzz IP后用鹰图进行测试，子域名等信息

• 通过公开渠道（如天眼查、企查查、ICP备案信息）锁定目标单位主域名 xxx.com。

• 利用子域名爆破工具（如 OneForAll、Sublist3r）结合 DNS 查询，发现大量关联子域名（工具扫描截图省略），涵盖：

• 微信公众号后端接口

• 小程序业务系统

• 各类便民服务平台（房产交易、投诉建议、新闻发布等）

• 进一步分析发现，所有子域名均解析至同一IP地址，初步判断存在“单点集中管理”架构——即主站服务器统一托管多个业务系统。

1. 突破点：弱口令登录后台

• 访问某子域名下的管理后台（URL示例：https://xxx.com/#/user/），发现标准登录界面。

• 常规尝试常见弱口令组合（如 admin/123456、admin/666666、admin/caonima123 等）未果。

• 转而使用字典爆破工具（如 Yakit），扩大密码长度至6-12位。

• 成功爆破出有效凭据：admin / 12348888（注意：为8位数字，超出常规6位弱口令测试范围）。

  

💡 经验启示：弱口令策略不能仅限于6位，也有可能是覆盖8位及以上纯数字，或简单组合，其实也算弱口令。

3. 权限提升：上传WebShell获取服务器控制权

• 登录后台后，发现其为市级“xxx平台”，功能极其丰富（含信息发布、用户管理、文件上传等）。

  

• 在“文件上传”模块中，未对文件类型、内容进行有效校验。

• 使用 Yakit 抓包，构造恶意 PHP 文件（伪装为 PNG 图片），直接上传大小马

  因为大马能够一键配置CS，贼拉舒服

  WebShell： POST /pc/-files HTTP/2 Host: xxx.com Authorization: Bearer kJpdIDjsPuNIyq4G-iEhwYteKduaIkOK Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryotqSGhNpszkztFgA------WebKitFormBoundaryotqSGhNpszkztFgA Content-Disposition: form-data; name="file"; filename="qaxnb.php" Content-Type: image/png

• 服务器返回上传路径：

  https://xxx.com/xxx/xxx/2026/1/14/27cqw079-7eae-wq66-qw0e-af9aqw59.php

• 成功访问该路径并执行命令，确认获得Web 服务器 RCE（远程代码执行）权限。

1. 内网横向移动与数据库接管

• 通过 WebShell 执行系统命令，发现服务器运行 宝塔面板（BT Panel），但无法直接登录 Web 管理界面。

• 利用服务器本地权限，重置宝塔面板管理员密码（或通过 CLI 工具直接操作）。

  

• 登录宝塔后，直接访问其内置的 MySQL/MariaDB 数据库管理界面。

• 该服务器共托管 54 个独立数据库，分别对应 51 家下属单位的业务系统。

  

  

• 数据库中包含大量未脱敏的公民个人信息，字段涵盖：

• 三要素：姓名、身份证号、手机号

• 五要素：+ 银行卡号、住址

• 七要素：+ 人脸特征、生物信息等（部分系统）

 数据规模：累计导出记录超 7000 万条，部分表单可直接通过前端页面（F12 查看接口响应）泄露上万条明文信息。

5. 横向扩展：批量弱口令与漏洞利用

• 以该服务器为跳板，对内网其他资产进行扫描。
• 发现 80+ 个系统存在弱口令，46 个系统存在可利用漏洞（如未授权访问、SQL 注入、任意文件读取等）。
• 实现对整个市级政务/民生平台生态的全面控制。

三、暴露的安全问题

1. 资产暴露面失控：大量子域名、公众号、小程序未纳入统一安全管理，成为攻击跳板。
2. 身份认证薄弱：关键管理后台使用简单8位数字密码，且无多因素认证、登录失败锁定机制。
3. 文件上传无防护：未校验文件内容、MIME 类型、后缀黑名单，导致 WebShell 直接落地。
4. 内网无隔离：单台服务器托管数十家单位数据库，形成“一损俱损”的高危架构。
5. 数据未脱敏：前端接口、管理后台直接返回原始敏感信息，违反《个人信息保护法》要求。
6. 运维依赖高危组件：使用宝塔等可视化面板，一旦被突破即导致数据库全盘失守。

四、改进建议

• 收敛互联网暴露面：定期开展资产测绘，关闭非必要子域名与服务。
• 强制强密码策略：至少12位，含大小写+数字+特殊字符，启用 MFA。
• 加固文件上传功能：白名单校验、重命名、存储于非 Web 目录、禁止执行权限。
• 实施网络微隔离：不同单位/业务系统应部署在独立 VLAN 或容器中，限制横向移动。
• 数据脱敏与最小权限：前端禁止返回原始敏感字段；数据库账号按需授权。
• 禁用高风险运维工具：避免在生产环境直接使用宝塔等面板，改用堡垒机+审计日志。

五、结语

本次攻防演练以“小入口、大纵深”为特点，充分展示了现代攻击者如何通过一个不起眼的公众号，逐步渗透至核心数据资产。7000万条公民信息的泄露风险，不仅关乎技术安全，更涉及法律合规与社会信任。建议各单位以此为鉴，构建“以数据为中心”的纵深防御体系，真正实现“防得住、打得赢”。

🔐 安全不是功能，而是底线。

【限时6折！华普安全研究星球：以原创实战为主+SRC/内网渗透核心资源库，助你在漏洞挖掘、SRC挖掘少走90%弯路】当90%的网络安全学习者还在重复刷题、泡论坛找零散资料时，华普安全研究星球已构建起完整的「攻防实战知识生态」： ✅ 原创深度技术文档（独家SRC漏洞报告/代码审计报告） ✅ 实战中使用到的工具分享 ✅ 全年更新SRC挖掘、代码审计报告（含最新0day验证思路）

✅ 漏洞挖掘思维导图

✅内部知识库目前建设中、后续进入圈子免费进入

【实战为王】不同于传统课程的纸上谈兵！！

后期我们将持续发布原创代码审计、src等漏洞挖掘文章，后期有些源码、挖掘思路等也会放进圈子哈~

有任何问题可后台留言

往期精选

围观

PHP代码审计学习

丨更多

热文

浅谈应急响应

丨更多

·end·

—如果喜欢，快分享给你的朋友们吧—

我们一起愉快的玩耍吧

【免责声明】

“Rot5pider安全团队”作为专注于信息安全技术研究的自媒体平台，致力于传播网络安全领域的前沿知识与防御技术。本平台所载文章、工具及案例均用于合法合规的技术研讨与安全防护演练，严禁任何形式的非法入侵、数据窃取等危害网络安全的行为。所有技术文档仅代表作者研究过程中的技术观察，不构成实际操作建议，更不作为任何法律行为的背书。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rot5pider安全团队 鲸落 鲸落《入口即突破口：通过公众号名称获取54家单位数据库防线》