近期红队攻防实战趣事小记（与蓝队穿越空间的一场完美邂逅）信息安全资料.pdfVIP

前言：

国护在即，最近大大小小各种攻防也参加了许多，有几个比较有意思的实战记录一下，

想看与蓝队奇葩骂人技能的跳转到文末，由于内容敏感厚码见谅。

首先是某省教育护网，教育护网相较于金融通信行业会容易些，黑盒打点进内网的概率还

是挺大的。

登录框开局，没验证码，用户有密码输入错误次数限制（固定弱口令密码爆破用户名）运

气很好～

但是是普通账户功能点很少（只有个人中心能打开。。）点击获取基本信息抓包，通过

keyvalue的值获取个人信息，并且在返回包里泄漏了创建用户的管理员userid

替换keyvalue为管理员的userid

得到管理员账户和密码，但是密码加了盐。。。

不慌，解不开我们就改！既然获取账户的地方有越权那修改密码的地方呢？

果不其然，上号上号

由于是该学校信息管理系统，得到全校全量学生多要素信息

而且还是net的系统后台，简简单单上传getshell（当时是绕了waf的，没截图了，用的非

常规后缀加脏数据）

权限太低不给执行命令，由于是net的站大概率是mssql，找到配置文件

正向代理出来连接数据库提权rce

正向代理sou5的马一直被杀