[漏洞利用] Web 渗透实战:四类典型 Web 漏洞的挖掘与利用复盘

105 0
Honkers 4 小时前 | 显示全部楼层 |阅读模式

一、漏洞挖掘的通用思路

完整的 Web 漏洞挖掘通常遵循 “信息收集 — 初筛定位 — 手动验证 — 深度利用” 的流程,不同场景下的测试优先级各有侧重:

  1. 信息收集先行:先完成端口探测、目录扫描、组件指纹识别,明确目标站点的技术栈、使用的第三方组件、后台入口位置,是后续所有测试的基础。
  2. 自动化工具初筛:针对大范围目标或陌生系统,先通过漏洞扫描工具批量识别已知 CVE、常规配置缺陷,快速缩小测试范围。
  3. 低门槛风险优先测试:弱口令、未授权访问、通用组件历史漏洞这类测试成本低、成功率高的风险点,优先投入验证,往往能快速突破系统边界。
  4. 组合利用扩大战果:单一漏洞的危害通常有限,通过多个漏洞串联、多模块配合,往往能实现从普通访问到服务器权限的逐级突破。

二、典型漏洞实战场景分析

2.1 Confluence OGNL 注入远程代码执行(CVE-2021-26841)

漏洞背景

Atlassian Confluence 是企业广泛使用的 Wiki 知识管理系统,CVE-2021-26841 是其历史上的高危注入漏洞,风险点位于/pages/createpage-entervariables.action接口。由于系统对用户传入的queryString参数过滤不严格,攻击者可构造恶意 OGNL 表达式传入接口,触发表达式解析后执行任意代码,直接获取服务器控制权限。

挖掘与利用过程

针对目标站点测试初期,先后尝试密码爆破、目录扫描、路径遍历等常规测试手段,均未取得有效进展,随后将站点接入漏洞扫描工具进行批量检测,成功识别出该高危历史漏洞。

漏洞验证阶段,构造 POST 请求向目标接口传入恶意构造的queryString参数,通过 OGNL 表达式加载 JavaScript 脚本引擎,调用ScriptEngineManager执行自定义 JS 代码,进一步通过ProcessBuilder调用系统命令,实现命令执行结果回显与远程 shell 反弹。

http

  1. POST /confluence/pages/createpage-entervariables.action?SpaceKey=x HTTP/1.1
  2. Host: target.com
  3. Content-Type: application/x-www-form-urlencoded
  4. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36
  5. queryString=构造后的恶意OGNL表达式(含命令执行逻辑)
复制代码

经过参数与路径的调试优化后,漏洞成功触发,获取到目标服务器的交互权限,可直接执行系统命令、读取服务器文件。

漏洞危害

该漏洞可直接突破应用层边界获取服务器权限,攻击者可窃取企业内部所有文档数据,以服务器为跳板进行内网横向渗透,对企业数据安全与内网安全造成严重威胁。

2.2 UEditor 富文本编辑器多漏洞组合利用

漏洞背景

UEditor 是国内应用极广的开源富文本编辑器,大量 CMS、企业后台、内容管理系统都会集成该组件。由于历史版本对用户输入与远程请求校验不严,普遍存在 SSRF、存储型 XSS 等安全缺陷,是 Web 渗透中高频出现的测试切入点。

挖掘与利用过程

识别到目标站点集成 UEditor 编辑器后,针对该组件的经典风险点逐一验证,先后确认两类漏洞可利用:

  1. SSRF 服务端请求伪造 利用编辑器的远程图片抓取接口,构造内网 IP 与端口的请求地址,由服务器主动发起内网访问,可探测内网存活主机、开放端口与运行服务,突破网络边界实现内网资产测绘,甚至访问内网敏感系统。

  2. 存储型 XSS 跨站脚本攻击 通过编辑器的内容提交功能,注入恶意 JavaScript 脚本,脚本会随内容一同存储到服务器中。当其他用户(包括管理员)访问该内容页面时,恶意脚本自动触发,可窃取用户 Cookie、伪造用户操作,实现从普通用户到管理员的权限提升。

漏洞危害

两类漏洞组合利用时,SSRF 负责突破网络边界探测内网,XSS 负责提升操作权限,最终可实现后台接管、内网渗透的完整攻击链路,危害远大于单一漏洞。

2.3 ArcGIS 未授权访问漏洞

漏洞背景

ArcGIS 是全球主流的地理信息系统平台,广泛应用于国土、规划、交通、市政等领域。部分版本的后台管理接口存在权限配置缺陷,未设置有效的身份校验机制,攻击者无需登录认证,直接访问对应路径即可进入系统管理界面。

挖掘与利用过程

识别到目标站点部署 ArcGIS 平台后,直接访问其后台管理路径与功能目录,确认系统未做身份拦截,无需账号密码即可进入管理后台。 进入系统后,依次访问各功能目录,可直接对系统内的资源与数据执行添加、删除等操作,全程无需额外的权限校验。

漏洞危害

地理信息系统通常存储大量敏感空间数据,未授权访问不仅会导致核心地理数据泄露、业务数据被恶意篡改,还可能影响地理信息系统的正常运行,对相关行业的业务连续性造成冲击。

2.4 弱口令引发的存储桶文件操作风险

漏洞背景

很多业务系统的后台管理入口缺乏完善的身份防护机制,无验证码、无登录失败次数限制,极易被弱口令暴力破解;而后台的文件存储管理模块若存在权限控制缺陷,会进一步放大安全风险,从 “登录后台” 升级为 “数据篡改 / 删除”。

挖掘与利用过程

发现目标站点的后台登录入口无图形验证码,也无登录频率限制,且账号命名规则可推测,因此优先开展弱口令测试,成功通过弱口令登录后台系统。

登录后在商品管理与文件存储模块进一步测试,发现存储桶的文件管理功能存在权限控制漏洞,无需二次鉴权即可执行两类高危操作:

  1. 文件覆盖:可通过构造请求覆盖存储桶内的原有文件,替换正常业务文件为恶意文件;
  2. 文件删除:可直接删除存储桶内的任意文件,导致业务系统核心资源丢失。
漏洞危害

攻击者可通过删除核心文件导致业务系统瘫痪,也可通过覆盖文件植入 Webshell 等恶意代码,进一步获取服务器权限,对业务系统的可用性与数据完整性造成严重破坏。

三、漏洞挖掘核心经验总结

  1. 组件识别决定挖掘效率:主流 CMS、编辑器、中间件等第三方组件,大多存在公开的历史漏洞与测试方法。快速准确识别组件类型与版本,能大幅缩短测试周期,避免重复造轮子。
  2. 自动化与手动测试配合:漏洞扫描工具适合批量初筛已知风险,但无法覆盖业务逻辑漏洞、权限绕过等定制化风险,必须配合手动测试完成深度验证。
  3. 低门槛风险永远优先测:弱口令、未授权访问、默认配置这类 “低成本高收益” 的风险点,是很多系统的共性问题,应作为测试的第一优先级。
  4. 重视漏洞的串联利用:单一漏洞可能仅能实现信息泄露或有限操作,但多个漏洞组合串联后,往往能形成完整攻击链路,实现权限的逐级提升。

四、对应安全防护建议

针对上述四类典型漏洞,可从以下维度构建防护体系:

  1. 第三方组件及时迭代更新:针对 Confluence、UEditor、ArcGIS 等通用组件,建立组件版本台账,及时跟进官方安全公告,第一时间升级安全补丁或替换存在风险的版本,从根源修复已知 CVE。
  2. 强化身份认证防线:所有后台登录入口必须配置图形验证码、登录失败次数限制与锁定机制,强制推行强密码策略,杜绝弱口令与默认账号;核心管理接口额外增加双因素认证。
  3. 接口权限最小化配置:遵循 “默认关闭、按需开放” 原则,禁用不必要的组件接口与后台功能;所有管理接口配置严格的访问控制策略,对接入 IP、用户权限做双重校验,杜绝未授权访问。
  4. 全链路输入输出校验:对用户传入的所有参数、上传内容、远程请求地址做严格的过滤与校验,拦截注入类、脚本类恶意 payload,从代码层面防御注入、XSS、SSRF 等漏洞。
  5. 常态化安全巡检:定期开展漏洞扫描与渗透测试,覆盖通用组件与业务逻辑全场景,及时发现并修复潜在风险;同时做好数据备份与应急预案,降低漏洞被利用后的损失。

结语

Web 安全是持续的攻防对抗过程,无论是漏洞挖掘还是安全防护,核心都是对系统组件、业务逻辑、权限体系的深度理解。熟悉各类常见漏洞的原理与利用方式,掌握标准化的测试流程,才能在攻防过程中快速定位风险、构建有效防御,保障 Web 系统的安全稳定运行。

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

中国红客联盟公众号

联系站长QQ:5520533

admin@chnhonker.com
Copyright © 2001-2026 Discuz Team. Powered by Discuz! X3.5 ( 粤ICP备13060014号 )|天天打卡 本站已运行