文章总结： 本文复盘红队演练，攻击者通过公众号测绘与子域名发现，利用弱口令爆破登录后台并上传WebShell，最终控制宝塔面板接管54家单位数据库，涉及7000余万条敏感数据。文章揭示了资产暴露、认证薄弱及内网隔离缺失等严重问题，并提出收敛暴露面、实施强认证与微隔离等改进建议。 综合评分： 88 文章分类： 红队,渗透测试,内网渗透,实战经验,数据泄露

攻防实战 | 入口即突破口：通过公众号名称获取54家单位数据库防线

不秃头的安全

2026年2月3日 17:20 北京

以下文章来源于Rot5pider安全团队 ，作者鲸落

Rot5pider安全团队 .

Rot5pider安全团队,专注网络安全，分享包括web安全,CTF,渗透测试,系统安全,信息安全的优质文章.

入口即突破口：通过公众号名称获取54家单位数据库防线

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。
知识星球和交流群在最下方。
需要cn*d（中高）/c2n*d（高与支撑单位）/安全证书请联系vx咨询

引

言

因是实战攻防案例，本文在保留原始攻击路径与核心技战术细节的基础上，对语言表达进行了规范化梳理，逻辑结构进一步优化，关键技术环节予以补充完善。所有涉及具体单位、系统标识、IP地址、域名及敏感数据内容均已进行严格脱敏处理，确保符合实战攻防演练的信息安全与合规要求。优化后的内容适用于网络安全事件复盘、红队行动总结、内部技术分享，仅供学习思路过程。

一、背景概述

在近期开展的一次不打招呼的实战攻防演练中，以“外部攻击者”视角，从一个看似普通的微信公众号入手，通过资产测绘、子域名发现、弱口令爆破、Web应用漏洞利用等多维度手段，成功渗透至目标单位核心内网系统，最终获取了51家下属单位共计54个数据库的完整访问权限，涉及超过7000万条包含三要素、五要素甚至七要素的高敏感个人信息。

本次行动充分暴露了目标单位在资产暴露面管理、身份认证强度、Web应用安全防护以及内网横向隔离等方面的严重短板。

二、攻击路径复盘

1. 初始入口：资产测绘手法依旧零零信安打头

接着fuzz IP后用鹰图进行测试，子域名等信息

• 通过公开渠道（如天眼查、企查查、ICP备案信息）锁定目标单位主域名 xxx.com。

• 利用子域名爆破工具（如 OneForAll、Sublist3r）结合 DNS 查询，发现大量关联子域名（工具扫描截图省略），涵盖：

• 微信公众号后端接口

• 小程序业务系统

• 各类便民服务平台（房产交易、投诉建议、新闻发布等）

• 进一步分析发现，所有子域名均解析至同一IP地址，初步判断存在“单点集中管理”架构——即主站服务器统一托管多个业务系统。

1. 突破点：弱口令登录后台

• 访问某子域名下的管理后台（URL示例：https://xxx.com/#/user/），发现标准登录界面。

• 常规尝试常见弱口令组合（如 admin/123456、admin/666666、admin/caonima123 等）未果。

• 转而使用字典爆破工具（如 Yakit），扩大密码长度至6-12位。

• 成功爆破出有效凭据：admin / 12348888（注意：为8位数字，超出常规6位弱口令测试范围）。

  

💡 经验启示：弱口令策略不能仅限于6位，也有可能是覆盖8位及以上纯数字，或简单组合，其实也算弱口令。

3. 权限提升：上传WebShell获取服务器控制权

• 登录后台后，发现其为市级“xxx平台”，功能极其丰富（含信息发布、用户管理、文件上传等）。

  

• 在“文件上传”模块中，未对文件类型、内容进行有效校验。

• 使用 Yakit 抓包，构造恶意 PHP 文件（伪装为 PNG 图片），直接上传大小马

  因为大马能够一键配置CS，贼拉舒服

  WebShell： POST /pc/-files HTTP/2 Host: xxx.com Authorization: Bearer kJpdIDjsPuNIyq4G-iEhwYteKduaIkOK Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryotqSGhNpszkztFgA------WebKitFormBoundaryotqSGhNpszkztFgA Content-Disposition: form-data; name="file"; filename="qaxnb.php" Content-Type: image/png

• 服务器返回上传路径：

  https://xxx.com/xxx/xxx/2026/1/14/27cqw079-7eae-wq66-qw0e-af9aqw59.php

• 成功访问该路径并执行命令，确认获得Web 服务器 RCE（远程代码执行）权限。

1. 内网横向移动与数据库接管

• 通过 WebShell 执行系统命令，发现服务器运行 宝塔面板（BT Panel），但无法直接登录 Web 管理界面。

• 利用服务器本地权限，重置宝塔面板管理员密码（或通过 CLI 工具直接操作）。

  

• 登录宝塔后，直接访问其内置的 MySQL/MariaDB 数据库管理界面。

• 该服务器共托管 54 个独立数据库，分别对应 51 家下属单位的业务系统。

  

  

• 数据库中包含大量未脱敏的公民个人信息，字段涵盖：

• 三要素：姓名、身份证号、手机号

• 五要素：+ 银行卡号、住址

• 七要素：+ 人脸特征、生物信息等（部分系统）

 数据规模：累计导出记录超 7000 万条，部分表单可直接通过前端页面（F12 查看接口响应）泄露上万条明文信息。

5. 横向扩展：批量弱口令与漏洞利用

• 以该服务器为跳板，对内网其他资产进行扫描。
• 发现 80+ 个系统存在弱口令，46 个系统存在可利用漏洞（如未授权访问、SQL 注入、任意文件读取等）。
• 实现对整个市级政务/民生平台生态的全面控制。

三、暴露的安全问题

1. 资产暴露面失控：大量子域名、公众号、小程序未纳入统一安全管理，成为攻击跳板。
2. 身份认证薄弱：关键管理后台使用简单8位数字密码，且无多因素认证、登录失败锁定机制。
3. 文件上传无防护：未校验文件内容、MIME 类型、后缀黑名单，导致 WebShell 直接落地。
4. 内网无隔离：单台服务器托管数十家单位数据库，形成“一损俱损”的高危架构。
5. 数据未脱敏：前端接口、管理后台直接返回原始敏感信息，违反《个人信息保护法》要求。
6. 运维依赖高危组件：使用宝塔等可视化面板，一旦被突破即导致数据库全盘失守。

四、改进建议

• 收敛互联网暴露面：定期开展资产测绘，关闭非必要子域名与服务。
• 强制强密码策略：至少12位，含大小写+数字+特殊字符，启用 MFA。
• 加固文件上传功能：白名单校验、重命名、存储于非 Web 目录、禁止执行权限。
• 实施网络微隔离：不同单位/业务系统应部署在独立 VLAN 或容器中，限制横向移动。
• 数据脱敏与最小权限：前端禁止返回原始敏感字段；数据库账号按需授权。
• 禁用高风险运维工具：避免在生产环境直接使用宝塔等面板，改用堡垒机+审计日志。

五、结语

本次攻防演练以“小入口、大纵深”为特点，充分展示了现代攻击者如何通过一个不起眼的公众号，逐步渗透至核心数据资产。7000万条公民信息的泄露风险，不仅关乎技术安全，更涉及法律合规与社会信任。建议各单位以此为鉴，构建“以数据为中心”的纵深防御体系，真正实现“防得住、打得赢”。

🔐 安全不是功能，而是底线。

📄往期推荐：

GNU Inetutils telnet远程认证绕过漏洞（CVE-2026-24061）分析及自查脚本 ShiroExploit_通过另类手法实现Shiro一把梭 渗透测试 | fuzz参数拿下网站管理员权限 Apache Struts XWork XML漏洞CVE-2025-68493 poc及脚本

关于我们:

感谢各位大佬们关注-不秃头的安全，后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章，同时会组织不定期抽奖，希望能得到各位的关注与支持，考证请加联系vx咨询。

1. 需要以下各类安全证书的可以联系，后期可能涨价~

①Cn*d，NCC，NVDB🀄️高漏洞证书

②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得

③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可，证书组团报更便宜，可对公，可开专普票。想加群下方链接，群过期或群满加下方vx拉：

2. 需要入星球的可以私聊优惠？

1、维护更新src、cnxd、cnnxd专项漏洞知识库，包含原理、挖掘技巧、实战案例
2、fafo/零零信安 高级会员key
3、最新POC通用报告详情分享思路
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享（免杀、溯源、钓鱼等）
6、新鲜工具分享
7、不定期有工作招聘内推（工作/护网内推）
8、19个专栏会持续更新~提前续费有优惠，好用不贵很实惠

3、其他合作（合法合规）

1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目（须授权），需要攻防团队或岗位招聘都可代发、代招（灰黑勿扰）；

2、各位安全老板需要文章推广的请私聊，承接合法合规推广文章发布，可直发、可按产品编辑推广；合作、推广代发、安全项目、岗位代招均可发布；

3、接受脱敏投稿,送一年知识星球及礼包。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不秃头的安全 《攻防实战 | 入口即突破口：通过公众号名称获取54家单位数据库防线》