渗透测试_学校教不会的我来教，一篇文章学习渗透测试那些事

【收藏级教程】州弟学安全：手把手教你渗透测试资金云控系统，小白也能学网络安全

本文介绍了"州弟学安全"开发的资金云控系统渗透测试靶场，从攻击和防守视角阐述了靶场学习的重要性。文章详细记录了对该金融系统的渗透测试过程，发现了支付漏洞、弱口令、SQL注入等7个高危漏洞，并提供了相应的修复建议。作者强调靶场学习对于网络安全从业者的价值，提供了实际操作环境和指导，适合小白和从业者学习网络安全实战技能。

前言

文章开篇还是关于我对靶场开发的那些话

在本次环境学习之前，我也想回答大家和自己心中的一些疑虑，因为有师傅也包括我在之前也认为，靶场/靶机是**水货**，是基于模拟的角度进行出发的，是没有规律的，是乱出题的，是糊弄人的，当然了，很多靶场包括培训或有些比赛多少会有这个情况的，这个毋庸置疑，但是从我的角度来看，我自己的亲身经历，我为什么要这么做？

以攻击视角来看，我能做什么，我为什么要做靶机？

在23年，我开始做的州弟学安全这个账号，一开始的初衷是为了记录、总结以及学习，因为我之前表达的能力很差，当时做打SRC，从公益SRC开始(因为容易挖掘)，几乎日更，没有这么难的，我的思路也慢慢有了，知道什么地方可能会出现什么漏洞，我着重分享我的渗透思路，但是后面被举报下架、被警告甚至有触碰法律责任的风险(即使打码了)

其次，从24年下半年开始，因为一些分享POC事件的公众号被约喝茶，甚至大批量的删除、注销公众号，这也导致目前很多资源无法分享 乃至在25年前个月开始，某平台大面积删除关于渗透测试(红方)文章，这也恰恰证明，网络安全(含攻击行为)的学习文章(实战)将在后期越来越难找到

截止目前，在我的观点和对后期的判断以及当下的形势，我认为我做靶场的道路是没错的，也是坚定的，可能对很多人是不理解的，对于渗透靶场的一些思路也是来自我日常挖洞的一些思路复现，当然后期会在(**PHP/Java SRC逻辑漏洞以及安服渗透测试漏洞**)进行仿真复现

以防守视角来看，我能做什么，我为什么要做靶机？

有时候来看，防守远比渗透的靶机难做，因为渗透只需要复现漏洞出来，而防守需要做到环境的仿真以及合理的攻击并讲清相应的思路，这也是很多人认为有些靶机是没有逻辑，糊弄人的，甚至是在正常的环境复现中，我们没有办法做到完全仿真，比如：**IDS,EDR,WAF**等设备的调用，因为很多设备没有开源，那么我们只能通过流量或者找平替去复现，百分百仿真很难实现，再加上成本的原因 比如：内网的横向特征，一般情况下安服是基于安全设备的告警去追流量的，比如通过哪个设备扫描的，通过哪个漏洞上线的这样去排查，当然有时候无感打穿的情况下，还需要根据对外，对内的资产进行日志和流量的排查，这样大规模的复现也是很难的，所以想要做的有逻辑、严谨且不挨骂的产出是慢的

本次环境学习

注意：渗透测试永远没有标准WP，谁能力大谁挖的漏洞就多，这个就是靶场的意义，本次是站在自己主观立场上写WP

本次环境来源于实际应用中遇到的漏洞点，每次环境不考虑过多的复现环境，而是在后期分摊到每个环境中，这样看着也比较自然

渗透场景靶场：某小型金融程序 地址：http://111.119.241.115:18899/ 开发背景：后端基于springboot开发，前端基于SPA架构开发 项目背景：你是一名安全服务工程师，这个"资金云控系统"是甲方即将上线的部分功能，功能点不多，需要你作为渗透测试工程师进行漏洞挖掘以及风险排查(记住不是SRC仿真，是上线前的渗透测试)，挖掘到漏洞和风险后，你需要进行总结和整理修复建议 步骤建议： 1. 访问登录页面后先获取渗透测试授权书(仿真步骤) 2. 下载渗透测试报告模板以便于后续使用 3. 开始渗透测试漏洞挖掘以及风险排查 4. 总结漏洞和修复建议，明确漏洞点导致的情况，进行总结报告 说明：本站点仅供学习参考，真实渗透请遵循网络安全法，请勿使用公司或者客户现场网络进行扫描攻击，以免导致被标记 注意：环境每60分钟重置一次，防止内存和数据库爆满 可以互相转发，共同进行漏洞挖掘，漏洞均为当下src和现实场景下经验复现，并非古老类型漏洞

在本次文章中仍然是采用直播+录播的方式以文字和PPT的形式进行讲解，一方面是锻炼我自己能力，另一方面是和大家实际沟通交流

• 环境均为自作，不针对任何现实环境，仅供学习参考，实战请遵循网络安全法
• 如您认为对您学习有了帮助，请一键三连

流程复现

超详细的直播视频教学，建议观看，更能身临其境(共两小时)

已知项目背景为上线资产需要渗透测试，那么这个时候需要确定的是：**目标已定**以及要提交**风险项**和**漏洞**，参考我之前文章对于漏洞和风险项以及上线的渗透测试和SRC漏洞挖掘的区别： 总结就是：风险项是**可能**导致漏洞发生但并非漏洞点，而漏洞确实是已经发生了问题的点 注意：由于一些原因没有开发全部功能，比如**删改**，怕有人删除或者改动某些功能后其他人无法使用，尽管每小时重置

开局一个登录页，就问你怎么测？

首先正规渗透测试需要：获取渗透测试授权书，这里模拟直接访问：获取渗透测试授权书按钮就行

当然了，渗透测试授权书有很多种形式，非常标准的每一项和上面差不多，但一般为PDF文件以及标题等都明确，这里我们为模拟 然后下载渗透测试模板，后面写报告，如果你手里有模板，可以用你的模板 上面说了，我们访问了上方登录页面后，应该怎么做，肯定很多人先拿出工具先fuzz一遍目录，我们也来试试，渗透测试主要是测试嘛

401状态码，不知道大家是否还记得我之前医院安全环境应急响应的文章，关于状态码的那一块？

应急加固|超详细的某医院系统被脱库 从溯源到报告输出的项目式教学

这里的401是因为未授权，springboot默认对权限控制的很严谨，所以一般有非常见的文件类型，需要手动在配置文件中加入，这是个**知识点**

这样看并没有泄露备份数据等敏感文件，但是我们可以看到一些js和auth授权的东西

首先这里报错了，我们这里有个**知识点**：在springboot中，500报错通常为前端向后端发送信息导致的报错，其次我们看到login可以知道这个是登录的接口，我们直接GET访问的，也就是这个传输过程，login并没有携带任何参数就发送到了后端，后端需要查询数据库，但是没有任何参数，肯定会进行报错，这里没开前端显示报错原因，而是：系统错误，请联系管理员，这个是很好的，因为如果给了原因，比如：账号不存在，账号或密码错误，参数错误等，这样很可能给攻击者枚举的下一步计划

那么经过fuzz没有泄露，我们可以通过互联网进行信息收集有没有泄露源码(此处不展示过程，省略，因为不存在泄露，正常情况下需要有这个过程) 因为是springboot，而且可能有api接口，我们尝试使用插件获取到接口，看看是否存在未授权呢？

好的，清一色的api接口，直接复制(这里我放到burp直接fuzz)

除了401，还有200的状态码，但是实际在响应包中是500，所以这里鉴权没问题 问题来了，为什么在网络层面，有的是200？有的是401呢？而200里面还有500？

其实在Java里面可以定义不同接口的状态码的，比如鉴权401状态码，一般(以springboot为例)，是默认具备的，而200和500是后端返回的状态码，是在响应包里面的，所属层面不同

这里我们排除了鉴权漏洞，再看看功能点 有注册用户首当其冲的先注册用户或者是爆破登录账号，这里我们走一遍注册用户

使用的MD5加密，注册成功后登录

进来以后看到送了一千的余额，看看有没有其它功能可以测

账户管理有一个搜索账户功能，其中参数有keywork，不排除有sql注入漏洞 之前遇到过环境，参数中使用单引号或其它符号报错可以看到SQL语句

这里没有，那直接试试跑SQLmap看有没有注入吧

从黑盒的角度来看，我们进行了手动测试，没有回显什么，sqlmap提升等级也没看到什么，从黑盒来看，这个功能没有sql注入，同样的方法测试其它搜索功能也都不存在SQL注入

以下漏洞没有先后顺序，根据自我主观进行渗透

漏洞一：理财产品存在支付漏洞(高危)

在理财产品中，可以看到有四个理财产品，我们可以尝试进行购买，看看里面的参数和响应是否可以利用 接口：**api/investment/purchase**中的请求可以看到，存在产品id、账户id和数量以及金额

我们可以进行重放，比如尝试修改金额和数量，是否可以进行0.01元购买？

这里我尝试了10个理财产品以及1分钱，原价5000元现在只需要一分钱就可以买 其实我们看到accountid可以试试，是否可以越权？使用其它账户的钱进行购买呢？由于我们现在就有一个钱包账户，id为14，我如果将id填为1呢？

答案是不行的，后端应该是对我现在账户也就是jwt编码里面的信息以及账户id做了逻辑与的校验，所以没办法进行越权呢

那么第一个漏洞为支付漏洞：攻击者可以修改产品数量以及产品金额进行低价购买，造成损失

漏洞成因：后端只接收了前端返回的信息，没有进行二次校验导致漏洞的发生

修复方案：前端和后端删除购买产品时的金额参数，采用产品id进行校验，且后端进行二次校验，防止攻击者前端修改数据

漏洞二：管理员账号存在弱口令(高危)

再看看其它功能，没有什么了，个人中心可以修改信息，但是不能上传文件，也没有可以注入的地方，jwt无法进行越权，除非有逻辑缺陷，那么就退出去，看看有没有其它问题？ 正常情况下，像这种登录页面，没有验证码，必须爆破一波 接口：**auth/login** 前端密码采用MD5加密

MD5加密确实加密了，但是由于明文对应加密的值是固定的，所以可以继续使用burp爆破 找个密码字典，直接爆破密码，看看能否成功？

MD5值为：**7fef6171469e80d32c0559f88b377245**的密码，明文是多少呢？**admin888**

因为我们环境是共享的，可能你在爆破的时候没有爆破出来，这个可能是有人把密码改了，没办法，条件有限哈哈，主要学习这个思路

漏洞成因：管理员admin存在弱口令

修复方案：加强密码，采用复杂密码原则，防止暴力破解

漏洞三：密码可爆破(中危/低) 此处也可以称为风险项

因为我们在爆破的时候，可以无限进行爆破，这可能对服务器造成压力和直接爆破其它用户名成功的危害，所以这个属于风险，这种在**等保三级**就过不去

漏洞成因：前端没有验证机制、前端弱加密、后端没有限制登录次数

修复方案：建议采用双因子验证、前端登录采用非对称加密、账号登录上限机制

漏洞四：管理员功能存在SQL注入(高危)

通过登录进入管理员后台以后，看到多了一个功能叫做系统管理

一般情况下，这种页面主要是和数据库进行交互行为的，所以可能存在sql注入

看看搜索功能，输入单引号是否报错

看来是存在SQL注入了(用户管理搜索位置)

漏洞成因：用户管理搜索位置存在SQL注入，过滤不严格或未进行预编译

修复方案：对SQL语句进行预编译操作

值得注意的是，在Java中的使用**mybatis**框架默认对SQL语句预编译的，是不存在SQL注入的，这里为了复现注入漏洞，把搜索用户单独划分了

漏洞五：任意用户密码重置漏洞(高危)

在登录页中，默认是有忘记密码功能的，打开后看到是有输入用户名，这里为了方便学习，直接开了提示功能，后面做环境会关掉

首先第一个问题是用户名枚举，没有频率限制，攻击者可以跑字典去枚举用户名

从开发的角度来看，这里直接后端获取前端来的用户名，select查询数据库中是否存在，如果存在，那么就发送重置链接，如果不存在，那么就告知用户不存在，既然是select(可能有sql注入)比如盲注(因为是只返回true和false)，但是这里不存在，因为后端预编译了

比如此处枚举到了zhangsan这个用户，那么就可以重置zhangsan这个用户的密码

上面重置链接返回的有点瑕疵，硬编码的主机地址，没做动态(**不妨碍漏洞复现**) 然后这里看下有师傅发现的一个漏洞

没坐，这里还有个问题，轰炸的问题，没对频率做限制

漏洞成因：

1. 系统未对发送频率做限制
2. 响应包内返回重置链接
3. 发送接口可以枚举用户名

修复方案：

1. 针对账号或客户端发送频率做限制
2. 响应包以及响应头内不返回重置链接、验证码内容
3. 发送接口采用双因子认证(验证码加个人信息验证等)

上述漏洞多发生于短信验证码发送和重置链接在响应包内

漏洞六： 并发造成的多次购买产品(高危)

这个是一个师傅挖到的，这里我还真没想到，很惊喜

因为注册用户送，我们来测试理财产品

抓包购买理财，发送到intruder模块，然后并发

下方的829长度的包为购买成功，480为余额不足

可以看到仅仅花了1000元本该买2份的钱，结果买了9份，这个是并发造成的漏洞，这个是啥原因造成的？

正常情况下，购买请求需要携带参数发送到后端，由后端发送增删改查到数据库，你是否有这么多余额，如果有，先update扣除对应的金额，然后更新订单信息，如果查询到没有这么多余额，则直接返回余额不足，但是当并发的时候，后端来不及处理这些请求，就造成了并发造成了多次购买产品(或者称为资源竞争) 不得不说，师傅还是有一把刷子的，什么？你问我另一把呢，被烧烤店的拿走了

漏洞成因：

多个购买请求同时进入后端，但数据库事务未正确隔离（如使用读未提交隔离级别），导致请求间互相读取到未提交的余额数据

修复方案：

1. 设置网关层面限流，QPS请求次数限制，防止并发线程请求
2. 采用"锁"机制，确保一个时间内，只处理一个请求
3. 前端采用加签机制，一个请求对应一个签名对应一条查询一个处理，防止后端处理不及时

漏洞七： 用户注册权限控制导致越权(高危)

这个也是一位师傅发现的，太牛了，我在设计漏洞的时候也没想到这个，光按照我自己的主观意识去讲了

就是在注册的时候修改参数roleids：因为roleids默认注册为2，但是我们修改为1的话，就是管理员权限了

注册成功后登录进去就可以看到属于管理员的系统管理功能了，也算是越权

漏洞成因：

注册用户未进行固定分组，攻击者可自定义参数进行重放导致获取管理员权限

修复方案：

1. 注册请求接口前端删除roleids参数，默认只有分组2(普通用户)

   最后总结出一句话，站在开发的角度(我就没发现这么多问题)，如果开发都能防范这些问题，就没渗透的饭吃了

问题解答

渗透测试场景虽然是我制作的，但是肯定有很多问题漏洞没发现，这个才是渗透测试的意义，谁的能力大，谁挖到的漏洞就多，而没有标准的WP，我只是在我主观设计上去写WP，其它的漏洞你们来挖，能学到东西的就是好靶场

注册点用户名枚举

注册点枚举用户名实际意义上不算漏洞，正常注册账号确实应该有用户名是否存在的查询，不然进入注册流程可能会造成重复注册

很多平台都有这个机制，就算是渗透测试，交上去大概率也不会过，除非能打组合拳造成漏洞危害

互换token导致的越权

这个也不算漏洞，甚至风险项都不算，比如：注册两个账号，获取到token信息了，然后互换，这种不算，真正的越权是在对方未知或枚举id的情况下，获取到cookie信息，不经过登录才算，已经在有条件的情况下获取到token了，不算做漏洞

jwt密钥破解进行越权

这个他没有验证出来，这里来讲一下

eyJhbGciOiJIUzUxMiJ9.eyJ1c2VySWQiOjEzLCJlbWFpbCI6Ij EyM0A0NTY uY29tIiwic3ViIjoiMTIzIiwiaWF0IjoxNzQ4MjU2N jQ 2LCJleHAiOjE3NDgzNDM wND Z9 .rinDsALvIc7vDN-LNWpnkUDgkT6WnweF3jWUkIn9SlZFmB3rryHqtiJLxT026rKvgWBNlStazZO-RHeY_eCuIQ

解码jwt后看到里面确实是有userid和email等信息，但是我们忘记了iat和exp这两个参数，一般情况下，后端会配置用户会话的过期时间，iat代表了，这个用户登录的那一刻生成的时间戳，然后exp表示会话过期的那一刻时间戳，除非是可以找到用户未在时间戳过期且符合签名算法 或者是知道了密钥且使用密钥成功创建jwt，验证越权成功，才算漏洞

低价购买大额产品

这位师傅当时给我说懵圈了，就是在理财产品里面，我有500余额，可以修改产品id进行大额购买

比如说图中的productid为1，金额为500，我购买成功了，他说的是将productid改为大额的，比如4

我就购买了价值50000的产品，这里的漏洞点和漏洞一一样，只是想法不同，现实中使用商品id进行校验是正确的，因为程序运行流程为：**前端发送参数->后端接收参数->发送数据库查询->校验id金额以及账户余额->购买成功/失败** 即使我修改了前端的id，那么传到后端也会拿着修改后的id去校验，不影响 这里遇到的问题就是，他修改了id，传入到后端，实际上还是按照500元的商品购买的五万的，漏洞点还是**paymentAmount**，即使我修改为一分钱，也可以购买成功五万的产品

报告输出

最终渗透测试报告输出如下

:

结语

本次环境并不水，仍然是那句话，打的靶场再多，但是不对，没有任何意义，走的方向本身就是错的，努力也白费，以后靶场就按照这个思路走，项目式教学，针对于迷茫入行的小白和学生们 后期主要考虑：渗透测试环境，应急响应，代码审计，安全加固，运维(后期会新增)

文章来自网上，侵权请联系博主

题外话

黑客/网络安全学习路线

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

下面给大家分享一份2025最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！

一、2025最新网络安全学习路线

一个明确的学习路线可以帮助新人了解从哪里开始，按照什么顺序学习，以及需要掌握哪些知识点。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

读者福利 |CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

我们把学习路线分成L1到L4四个阶段，一步步带你从入门到进阶，从理论到实战。

L1级别:网络安全的基础入门

L1阶段：我们会去了解计算机网络的基础知识，以及网络安全在行业的应用和分析；学习理解安全基础的核心原理，关键技术，以及PHP编程基础；通过证书考试，可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。

L2级别：网络安全的技术进阶

L2阶段我们会去学习渗透测试：包括情报收集、弱口令与口令爆破以及各大类型漏洞，还有漏洞挖掘和安全检查项目，可参加CISP-PTE证书考试。

L3级别：网络安全的高阶提升

L3阶段：我们会去学习反序列漏洞、RCE漏洞，也会学习到内网渗透实战、靶场实战和技术提取技术，系统学习Python编程和实战。参加CISP-PTE考试。

L4级别：网络安全的项目实战

L4阶段：我们会更加深入进行实战训练，包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题

整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握；而L3 L4更多的是通过项目实战来掌握核心技术，针对以上网安的学习路线我们也整理了对应的学习视频教程，和配套的学习资料。

二、技术文档和经典PDF书籍

书籍和学习文档资料是学习网络安全过程中必不可少的，我自己整理技术文档，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，（书籍含电子版PDF）



三、网络安全视频教程

对于很多自学或者没有基础的同学来说，书籍这些纯文字类的学习教材会觉得比较晦涩难以理解，因此，我们提供了丰富的网安视频教程，以动态、形象的方式展示技术概念，帮助你更快、更轻松地掌握核心知识。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

四、网络安全护网行动/CTF比赛

学以致用，当你的理论知识积累到一定程度，就需要通过项目实战，在实际操作中检验和巩固你所学到的知识，同时为你找工作和职业发展打下坚实的基础。



五、网络安全工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。


面试不仅是技术的较量，更需要充分的准备。

在你已经掌握了技术之后，就需要开始准备面试，我们将提供精心整理的网安面试题库，涵盖当前面试中可能遇到的各种技术问题，让你在面试中游刃有余。

如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

**读者福利 |**CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）