干货｜渗透测试工程师的一段有趣的经历

作者：残笑

最近的一次渗透测试，整个过程可谓略有戏剧性，充满巧合而又合情合理。

这次的目标是一个机构下的八个网站和四个跳板机，当渗透进行到三四天的时候，我和另一个小伙伴遇到了瓶颈，不太好更进一步。

当时所获得的漏洞有一个身份认证系统的任意用户信息泄漏、任意账号密码重置，但是在该系统admin账户密码为null，无法登陆管理员账号也无法重置admin账户的密码获取更高权限。几个无关紧要的系统的用户弱口令。一个目标外系统的st2命令执行，计划放到最后再尝试内网，先从目标范围内找。

当我们一筹莫展的时候，我想试试能不能从同事负责的那个平台中再获取一下其他信息，晋升到管理员权限，因为那个平台是目前唯一已知存在管理员、已知管理员用户名、已知后台接口的网站。

在测试过程中，我发现在用户界面获取当前用户信息处可能存在越权。但是数据不是通过参数进行查询的，那就应该是通过cookie和session获取的当前用户的数据，然后我删除了大量的cookie，随后确定该处应用是通过cookie中的userid确定的当前登陆用户，大惊，之前cookie太多竟然没发现这个地方。

然后通过遍历userid获取到了admin用户的信息，随后又沮丧了一下，只有信息没有密码，也没办法登陆呀。修改密码处需要原密码才能修改，也不存在越权修改的情况。突然又一次大惊，既然可以通过userid查询个人信息，那么是不是能通过修改cookie中的userid登陆呢？

然后在浏览器个人信息页面修改了cookie为userid=6，刷新页面，果然变成了管理员，点击进入后台管理，成功了，权限晋升为管理员。在后台转了转，有不少账号信息，也可以修改账号密码之类的，但是不太好拿shell，然后就再次陷入了瓶颈。

突发奇想，刚刚在个人界面不是获取到管理员信息了么，那个管理员竟然填了真实的手机号，去身份认证系统里利用漏洞去查一下密码，发现真的存在这个用户，顺便获取到密码的md5获取到了，也成功解密，但是尝试登陆该系统的时候发现密码错误，登陆身份认证系统也是普通用户权限。拿到了管理员的手机号，我跟同事开玩笑说，要不咱们打电话问问管理员他密码是多少。

目前摆在眼前的思路是什么？社工，通过手机号搜集关于管理员的相关信息。

结果真的在某网站查询得到该手机号注册过189邮箱及天翼云盘，然后通过身份认证系统再次查询邮箱又获取到另一个手机号注册的账户（应该是管理员的私人手机号），并成功解密md5获得密码。

尝试使用及第一个密码成功登陆邮箱和云盘，在云盘中翻一翻，在备份文件中发现了一个两个月前的xls，存着所有的运维服务器的信息，如ip、端口、账号、密码密文、密文解密方法等，包括所有的目标系统。登陆跳板机，并成功登陆内网某台机器。渗透到此告一段落。

书写渗透测试报告，完结收工～

我是网络安全公司知道创宇，我的愿景是让互联网更好更安全！