（原创）记载一次渗透 AV 网站及网站提权 [网站渗透][网站提权][入侵 AV 网站]

一、渗透背景与目标初判

1. 事件起因

• 场景：夜间学习 Python 时，发现他人浏览的儿童色情论坛（内容不堪入目，经营者涉嫌违法）；

• 目标性质：Discuz!（dz）最新版论坛，附带宝塔面板（888 端口，无弱口令及初始化漏洞）；

• 核心动机：作为安全从业者，出于社会责任，决定渗透该违法站点并收集证据提交网警。

目标标识截图：

初始发现记录：

二、目标探测：突破口定位（发卡平台）

1. 扫描与发现

通过扫描器发现站点存在 “发卡平台” 目录（用于售卖非法内容相关权益），该平台为独立模块，存在潜在漏洞：

2. 发卡平台登录界面分析

• 界面特征：存在管理员登录入口，但无弱口令可利用；

• 初步尝试：发现某功能界面存在 SQL 注入点，但未过滤导致注入失败，需另寻突破路径；

三、突破发卡平台：密码篡改与 getshell

1. 源码审计找漏洞

• 操作：百度下载同款发卡平台源码，本地搭建后审计，发现ajax.php（密码修改功能）存在Cookie 未校验漏洞；

• 漏洞原理：修改密码时仅验证参数，不校验 Cookie 中的登录状态，可直接抓包篡改他人密码。

2. 实战篡改密码

1. 抓取密码修改请求包，修改host和post参数，指向目标站点；

1. 发送请求后，成功修改管理员密码，登录发卡平台后台；

1. 后台利用：找到log上传点（无严格校验），直接上传 webshell，获取站点初步权限（IIS_USER 权限）。

webshell 获取截图：

四、权限提升：从 IIS_USER 到 system

1. 初始权限限制

• 问题：webshell 仅为 IIS_USER 权限，限死在发卡平台目录，无绝对路径无法跨目录读取主站内容；

• 尝试失败：多种提权 EXP 执行失败，无法运行 exe 程序（无杀软，但存在权限拦截）；

2. 提权技巧：DLL 木马与远控结合

2.1 第一次尝试：DLL 木马弹 shell

1. 在 Kali 中生成 DLL 格式木马，上传至 webshell 目录；

1. 执行命令Regsvr32 d:\xxx\xxx.dll（DLL 注册命令，通常可绕过多种防护），成功弹回 webshell，但权限未提升。

2.2 第二次尝试：远控突破限制

1. 用 “大灰狼” 生成远控程序，上传后意外运行成功（推测菜刀马存在权限限制，远控程序兼容性更好）；

1. 更换大马后，在远控虚拟终端中执行提权 EXP，成功获取 system 权限；

1. 重新用提权 EXP 运行 DLL 木马，弹回 system 权限会话，权限稳定。

system 权限验证截图：

3. 补充：意外获取 system 权限的捷径

• 发现user.ini文件：在发卡平台目录下找到user.ini，从中读取到宝塔面板的绝对路径；

• 写入一句话木马：在宝塔面板目录下写入 PHP 一句话，直接获取 system 权限（因宝塔面板运行身份为 system）；

• 权限丢失：运营者发现发卡平台异常后，关闭 Nginx 服务，导致该路径权限丢失，需重新提权。

五、证据收集与提交

1. 敏感信息提取

• 工具：上传getpassword工具，读取服务器明文密码（20 位复杂密码，但成功破解）；

• 信息整理：收集站点配置、非法内容存储路径、运营者关联信息等，形成完整证据链。

密码读取截图：

2. 提交网警与后续

• 反馈：将证据提交给网警，半小时内成功锁定违法人员（“国家队” 效率极高）；

• 收尾：停止进一步操作，避免干扰网警办案，站点后续被依法查处。

六、关键总结与补充说明

1. 技术要点

• 发卡平台漏洞：多数个人发卡平台源码存在 Cookie 未校验、上传点未过滤等问题，可优先审计ajax.php、upload.php等文件；

• 提权技巧：DLL 木马 + 远控组合可绕过多种权限限制，当某类工具失败时，及时更换工具类型（如菜刀→大马→远控）；

• 隐藏路径：user.ini、.htaccess等配置文件常包含绝对路径，是跨目录、提权的关键线索。

2. 注意事项

• 法律边界：渗透违法站点需以 “制止违法、提交证据” 为目的，不得泄露、利用敏感信息，全程留存操作记录；

• 权限稳定性：获取高权限后，优先备份证据，避免运营者察觉后关闭服务导致权限丢失；

• 工具选择：不同场景下工具兼容性差异大，需准备多种 webshell、远控、提权工具（如菜刀、大马、大灰狼、各类 EXP）。

3. 额外发现

• 发卡平台前台可能存在 “任意上传” 漏洞（未验证 Cookie），可直接上传 webshell，无需登录后台，师傅们可进一步挖掘；

• 该类违法站点常使用 “个人发卡平台”“XX 辅助网” 等模块，漏洞共性较强，可总结为通用渗透思路。

七、结尾祝福

最后预祝各位表哥新春大吉！万事如意！