目标环境复杂多变
做渗透测试最常遇到的情况就是目标系统五花八门。有的用老旧的Windows Server 2003撑着内部管理后台,有的则是基于微服务架构的云原生应用。不同技术栈带来的攻击面差异极大,比如一个PHP写的管理系统可能存在文件包含漏洞,而Java开发的接口更常见的是反序列化问题。
更麻烦的是,很多企业还在用CDN或WAF隐藏真实IP,扫出来的端口和服务根本连不上。这时候光靠自动化工具扫一遍就收工,很容易漏掉关键入口。
权限限制卡得死
拿到一个webshell却发现权限被压得死死的,不能执行命令、不能读敏感文件,这种情况太常见了。有些系统把PHP的exec、system函数直接禁用,连whoami都跑不了。Linux服务器上更是经常碰到seccomp或者AppArmor这类机制,限制进程能调用的系统调用。
曾经碰过一个案例,上传的jsp马可以访问,但所有网络外联都被防火墙拦截,反弹shell怎么试都不通。最后只能通过DNS请求外带数据,一点一点把数据库内容偷出来。
业务逻辑漏洞难发现
传统漏洞像SQL注入、XSS这些还有工具能辅助检测,但业务流程里的坑基本得靠人肉想。比如某电商平台允许用户修改订单金额后再签名提交,表面看接口加密做得严丝合缝,实际上只要抓包重放就能改价下单。
这类问题扫描器识别不了,因为不违反任何安全规则,完全是设计上的疏忽。测试人员必须像真实用户一样走完整个流程,甚至要结合社会工程学去猜可能的突破口。
绕过防护机制成本高
现在的杀软和EDR越来越聪明,上传个exe马上被删,ps命令一敲就被告警。以前常用的msf生成的payload基本一传就毙,得自己手写shellcode加混淆。
举个例子,想在目标机器上线Cobalt Strike beacon,直接运行肯定不行。需要先用Python写个小脚本把shellcode拆成几段解码,再通过内存加载的方式执行。代码大概长这样:
import base64
sc = "[encoded_shellcode]"
decoded = base64.b64decode(sc)
# 进一步异或解密...
## 调用VirtualAlloc和CreateThread执行每一步都要避开行为检测,稍微有点模式匹配就会被拦下。
时间窗口太短
很多项目只给三五天时间,但真正复杂的系统一周都未必摸得透。客户往往觉得“你们不是有工具吗?扫一下就行”,但实际上真正的深度测试需要反复验证、横向移动、提权尝试。
曾有一个金融客户的内网渗透任务,分配了五天时间。结果前两天都在等他们审批测试账号,真正动手只剩三天。而他们的域控做了双重跳板机隔离,每进一步都要重新想办法突破边界。
报告写不好等于白干
找到漏洞却讲不清楚风险,开发看了直摇头。比如说“存在未授权访问”,不如直接写“访问 /api/v1/user/info 接口无需登录即可获取所有用户手机号”。配上请求截图和影响范围说明,人家才知道严重性。
更有甚者,某些团队提交的报告全是专业术语堆砌,业务部门根本看不懂。最后整改推不动,问题年复一年挂着,测试成果也就打了折扣。