• 联系电话

    客服电话

    13228113191

    周一至周五:9:00-18:00

  • 微信
    zlt微信公众号

    打开微信

    扫一扫关注公众号

渗透实战:某银行HW行动

冯老师、知了堂学员2020-08-21
信息安全

各位小伙伴本次HW项目结束了,简单的做一个总结,描述下本次HW的过程和收获吧!文本不好,请谅解!


文/图:知了堂信安团队-冯老师


编辑:知了小姐姐


先做一个大概介绍,本次HW是知了堂安擎实验室信安团队的参加的2020江西武汉某银行的HW行动,代号为“朱雀”,时间为2020.6.13日至2020.6.22日。本次我方作为红方,同时为红方的队伍有:启明星辰、天融信、腾讯、阿里等几支队伍,蓝方是长亭科技(目前只知道这一个)。



过程是这样的,在12日我们就对人员进行了分工。分工如下:




我的代号为朱雀六,12号拿到项目,13号开始开始,因为13日我要有项目需要出差,所以决定在13号凌晨组织队伍就开始来一波,(同时我们的队员还有知了堂的学员董*豪(才大二的小伙伴,我非常喜欢的一个小天才)、于*安(来自四川轻化工大学的小伙伴),通过一个通宵的努力,我拿到了4个shell,我小兄弟董*豪也收获了3个shell。一早我们就提交了,几个目标系统通过弱口令进入后台上传,绕过,开始感觉银行系统怎么可能这么脆弱,怀疑是蜜罐,但是当时由于有竞争对手,也管不了那么多了。还是先提交吧,(后面验证果然是蜜罐,不过还是有积分)。下附部分结果截图:








在十三号到十六号期间,我一直在项目上,基本上时间被切得断断续续的,加上晚上酒店的网络也不好,所以没怎么去做了,团队小伙伴我们的攻击思路还是在应用层面,所以一直没有什么收获。十六号在汇报汇总的时候(才公布蜜罐),也才知道我们的队伍积分是最后一名,顿时觉得很丢脸,所以从十七号开始,从新开始进行任务分工和安排,安排如下:



我们开会讨论了从新安排任务,进行人员分配,和攻击方向的调整。在压力之下,熬了几个通宵,功夫不负有心人,找到了漏洞点,从而进入了内网,下附部分截图说明:


马上我们将漏洞进行提交,审核之后在21号下午,看到时间:




只有6个小时了,大家都非常紧张,不知道审核情况如何,情况还好,审核之后我们的成绩为1500分了,顿时松了一口气:



马上我们开始分配任务,在内网中赶紧来一波收割,没什么时间了。不过还是有所收获,最后我们把收获汇总,提交了最后的收获,最终拿到了1900分,下附部分攻击成果,及按照要求报告后门及木马截图:


本次HW攻击总结,存在的问题本次开始攻击方向不是很明确,做了很多无用功。团队之间的沟通较少,沟通不到位。


同时非常感谢本次我们的信安团队,包括我们的知了堂的学员董*豪,于*安,给与了大量的支持。特别感谢董*豪,估计这十天基本上没睡觉~!



很多小伙伴喜欢信息安全,但是具体信息安全岗位中的比如:渗透测试、WEB安全、等保测评、安全服务,具体做什么的还不是特别明白,大家可以通过这个点击 了解详细



  • 培训费用

  • 上课方式

  • 开班时间

  • 就业情况