基础渗透测试思路(来自T00ls)

基础渗透测试思路(…

前言

在T00ls看到的渗透思路总结,感觉收获还是蛮大的,放到Blog备忘。

百变不离其宗的渗透测试 基础

        一.得到目标网站第一步我们该做什么?

                1.查看审核元素 (浏览器插件顶替)

                2.判断网站类型

                3.查看网站功能

                4.检测敏感端口

                5.检测其他资产

                6.收集公司(个人)信息

                7.查看C段(忽略)

        一.① 这些有什么用?(参照上面)
                第一步主要是看审核元素得到返回头信息能得到中间件,服务器,程序编程语言信息,Javascript版本信息。
                        中间件:(iis一定支持asp,asa,cer)(apache常见就是php)(tomcat,jboss,weblogic,jetty为常见的JAVA程序中间件)

                                Iis在低版本常见的漏洞有:
                                        1.解析漏洞
                                                IIS6.0(asp/aspx)
                                                        1.文件解析漏洞:文件名为*.asp;.jsp
                                                        2.目录解析漏洞:文件夹名为*.asp 那么这个文件        |名下面的所有文件就会解析为asp文件
                                                        3.IIS6.0默认可执行的还有*.asa |*.cer *.cdx                                
                                                IIS7.0/IIS7.5/Nginx<8.03畸形解析漏洞
                                                        1.正常后缀加/*.php 如:|xxx.com/upload/1.jpg/1.php
                                                        2.*.php.123.234 或|*.php.123;*.php.jpg..jps 以此类推下去直到解析为止 (php,asp,aspx)(适量)
                                                        3.建议也多试几次iis6.0的解析漏洞,有些时        候也是可行的。
                                                                                                                                                                                                                                                                        详见解析漏洞注解
                                        2.目录列举漏洞
                                        3.PUT文件写入

                                Apache在低版本常见的漏洞有:
                                        解析漏洞
                                                1.从右往左判断解析 如:*.php.rar.jpg.png等等把常见后缀都|写上去直到解析为止(适量)
                                                2.*.php 改为*.php1,,*.php2,*.php3,*.php4 |以此类推下去直到解析为止(适量)
                                                                                                                                                                                                                                                                        详见解析漏洞注解
                                        Win下~特性

                                tomcat漏洞也有但是没什么利用价值
                                        一般都是弱口令
                                        进去后部署war包getshell

                                jboss常见漏洞:
                                        1.jboss配置不当(人为)

                                        2.jboss命令执行

                                        3.jboss反序列

                                weblogic常见漏洞:
                                        1.weblogic弱口令(人为)

                                        2.weblogic反序列

                                        3.weblogic SSRF漏洞

                                jetty常见漏洞:
                                        目录遍历

                                                                                                                                                                                                                                                                        详见中间件漏洞注解

                        服务器可以用或许大小写判断,返回头信息以及ping来确认。

                        编程语言可以测试index.{php,asp,aspx,jsp,do,action}也可以在返回头信息看到。
                                一般.do .action都可以测试下有没有Struts2漏洞

                        Javascript版本在看审核元素或者默认文件名就可以看到。
                                Javascript低版本脆弱库可以XSS(虽然没啥危害)

                        第一步可能遇到的漏洞以及风险(渗透测试报告专坑):
                                Struts2漏洞
                                中间件泄露(中间件低版本)
                                中间件漏洞
                                Javascript脆弱库xss
                                Javascript低版本
                                未设置cookie的Httponly属性
                                cookie固定

                第二步很重要也很简单。
                        首先确定好了网站类型,我们怼站的思路就会慢慢浮现出来。
                                门户:
                                        地方门户:做的挺好的一般是DZ,phpcms 等等
                                        小型企业门户:xiaocms 等等

                                论坛:
                                        国内论坛基本都是:DZ,winphp,其他轻社区cms

                                博客:
                                        wordpress,Zblog,typecho,emlog等等

                                商场:
                                        ecshop等等

                        老站点直接测试注入先手工,xss漏洞也多,无waf情况下抱着Sqlmap就上。商场的另加逻辑漏洞

                                查找robots.txt 后台 敏感目录泄露查找是什么cms 确认cms就可以在漏洞库查找改cms漏洞进行测试。

                        可疑参数也是要测试下注入或xss

                        切记有WAF情况下不得大线程,除非知道其网站有漏洞,并且可以绕过。

                        第二步可能遇到的漏洞以及风险(渗透测试报告专坑):
                                cms漏洞
                                逻辑漏洞(详见看逻辑漏洞注释)
                                Robot.txt文件WEB站点结构泄露漏洞
                                注入漏洞
                                XSS跨站漏洞
                                等

                第三步熟悉网站功能。

                        是否有搜索框能否注入或XSS

                        是否有留言框能否XSS打cookie

                        有登录尝试登录框是否有sql注入或XSS

                        是否有验证码
                                验证码能否被识别
                                验证码能否被无视

                        注册是否有sql漏洞

                        是否能注册管理权限账号

                        验证手机的情况下
                                是否能无限轰炸
                                是否能任意更改
                                验证码是否有时间验证
                                验证码是否相同
                                是否能爆破验证码

                        登录是否能越权

                        个人信息是否有存储型XSS

                        个人信息能否CSRF
                                有验证机制能否绕过

                        头像上传是否能getshell
                                直接getshell
                                解析漏洞
                                上传漏洞
                                是否能上传txt

                        修改密码能否CSRF
                                有验证机制能否绕过

                        找回密码是手机号码验证
                                是否能无限轰炸
                                是否能任意更改
                                验证码是否有时间验证
                                验证码是否相同
                                是否能爆破验证码

                        是否有购买商品功能
                                任意修改支付金额
                                任意修改商品数量
                                收货地址存储型XSS


                        第三步可能遇到的漏洞以及风险(渗透测试报告专坑):
                                sql注入漏洞
                                xss漏洞
                                未限制用户可输入长度
                                用户爆破
                                验证码识别
                                验证码无视
                                明文传输
                                HTTP连接的登录请求表单
                                短信轰炸
                                任意注册
                                平行越权
                                垂直越权
                                管理员权限注册
                                csrf漏洞
                                头像上传getshell
                                上传漏洞(能传txt或者html什么的也可以)
                                支付漏洞
                                任意更改商品数量
                                任意修改运费
                                等

                第四步检测是否有可疑端口或cve漏洞(推荐nmap,或ness)        
                        文件共享访问端口:
                                21 FTP
                                        弱口令,爆破
                                        匿名访问

                                137,139 Smaba服务
                                        弱口令,爆破
                                        未授权访问
                                        远程代码执行漏洞CVE-2015-0240等

                                389 LDAP协议
                                        爆破,弱口令

                                2049 NFS服务
                                        未授权访问
                                        未限制ip以及用户权限

                        远程连接服务端口:
                                22 SSH
                                        28退格漏洞
                                        OpenSSL漏洞(心脏出血)

                                23 Telnet服务
                                        弱口令,爆破
                                        匿名访问

                                81,8080 tomct apache  nginx axis2
                                        弱口令爆破manager
                                        http慢速攻击

                                3389 win远程桌面连接
                                        爆破
                                        shift粘贴键后门
                                        mas12-020

                                5632 Pcanywhere
                                        拒绝服务攻击

                                5900+桌面id 5901 5902等 vnc
                                        弱口令,爆破
                                        拒绝服务攻击(CVE-2015-5239)
                                        权限提升(CVE-2013-6886)
                        Web应用服务端口:
                                7001 Weblogic
                                        弱口令(weblogic,weblogic|system,weblogic可weblogic123|portaladmin,guest) ,爆破
                                        后台部署war包getshell
                                        java反序列 
                                        SSRF

                                1098/1099/4444/4445/8080/8009/8083/8093 Jboss
                                        弱口令,爆破
                                        java反序列
                                        配置不当:远程代码执行

                                908* 第一个应用是9080 第二个是9081;控制台9090 Websphere
                                        弱口令,爆破
                                        任意文件泄露(CVE-2014-0823)
                                        java反序列

                                8080(http),3700(IIOP,4848(控制台) GlassFish
                                        弱口令,爆破
                                        任意文件读取
                                        认证绕过

                                8080,8089 Jenkins
                                        弱口令,爆破
                                        java反序列
                                        未授权访问

                                8080 Resin
                                        目录遍历
                                        远程文件读取

                                8080 Jetty 
                                        远程共享缓冲区溢出

                                1352 Lotus
                                        弱口令,爆破
                                        信息泄露
                                        跨站脚本攻击

                        数据库端口:
                                3306 Mysql数据库
                                        弱口令,爆破
                                        身份验证漏洞(CVE-2012-2122)
                                        拒绝服务攻击
                                        phpmyadmin万能密码:用户名;localhost'@'@ 密码任意

                                1433 Mssql数据库
                                        弱口令,爆破

                                1521 (数据库端口),1158(Oracle EMCTL端口),8080(Oracle XDB数据库),210(Oracle XDB FTP 服务) Oracle
                                        弱口令,爆破

                                5432 PostgreSQL数据库
                                        弱口令,爆破

                                27017 MongoDB数据库
                                        弱口令,爆破
                                        未授权访问

                                6379 Redis数据库
                                        未授权访问+配合ssh key提权

                                5000(服务端口),4100(监听端口),4200(备份端口) SysBase数据
                                        弱口令,爆破
                                        命令注入

                                5000 DBW数据库
                                        安全限制绕过(CVE-2015-1922)

                        邮箱服务端口:
                                25(smtp),465(smtps) SMTP协议 
                                        弱口令,爆破
                                        未授权访问

                                109(POP2),110(POP3),995(POP3S) POP3协议
                                        弱口令,爆破
                                        未授权访问

                                143(imap),993(imaps) IMAP协议
                                        弱口令,爆破
                                        配置不当

                                53 DNS服务器
                                        区域传输漏洞

                                67,68,546(DHCP Failover做双机热备的) DHCP服务
                                        DHCP劫持

                                161 SNMP
                                        弱口令,爆破

                        其他端口:
                                2181 Zookeeper服务
                                        未授权访问

                                8069 Zabbix服务
                                        远程代码执行

                                9200,9300 elesticsearch服务
                                        未授权访问
                                        远程代码执行
                                        文件遍历
                                        低版本webshell植入

                                11211 mencache服务
                                        未授权访问
                                        配置不当

                                512,513,514 Linux R服务
                                        使用rlogin直接登录对方系统

                                1090,1099, RML
                                        远程命令执行
                                        java反序列
                                        调用rmi方式执行命令

                                873 Rsync服务
                                        未授权访问
                                        本地提权

                                1080 Socket代理
                                        爆破,弱口令

                第四步可能遇到的漏洞以及风险(渗透测试报告专坑):        
                        参上

                第五步查看资产 这里包括了子域名,App,微信公众号,旁站等

                        参1-4步 

                        App,微信公众号 只要有调用他们web服务的 正常测试,如公众号都是调用微信的功能就不必测试。
                                撞库(用户爆破),越权,信息轰炸等 逻辑漏洞较多

                第五步可能遇到的漏洞以及风险(渗透测试报告专坑):                        
                        注入漏洞
                        XSS跨站漏洞
                        用户爆破
                        无验证码
                        验证码可识别
                        越权漏洞
                        信息轰炸
                        CSRF漏洞
                        明文传输
                        头像上传getshell
                        上传漏洞(能传txt或者html什么的也可以)
                        支付漏洞
                        任意更改商品数量
                        任意注册
                        任意修改运费
                        HTTP连接的登录请求表单
                        等


                第五步收集资料有:域名信息,是否有开源。
                        域名信息:
                                注册人QQ
                                注册人邮箱
                                注册人姓名
                                注册人手机
                                注册人采用ID
                                        以上可以社工库走一波
                                        组合密码
                                                得到邮箱或QQ可以充分发挥想象 (最好就邮箱)

                        开源可以下载查看审计,以及查看是否残留配置信息等重要信息。

                第五步可能遇到的漏洞以及风险(渗透测试报告专坑):
                        重要信息泄露
                        等


        除了使用Burp 抓包查看包数据或Nmap(其他工具)检测端口,在未确认是否有WAF或有WAF的时候尽量不要对网站使用其他工具对其大线程访问(扫描)。



        2.熟悉一下工具(没有waf情况下可以使用)

                综合扫描器
                        AWVS
                        APPSCAN
                        企业级扫描器(绿盟、启明星辰等等)
                        等等

                子域名枚举
                        subDomainsBrute (经典的子域名爆破枚举脚本)
                        Layer (字典强大并且功能强大的EXE子域名爆破工具)
                        subbrute  (根据DNS记录查询子域名)
                        哮天犬
                        等等


                注入,XSS测试
                        啊D(asp注入专用)
                        穿山甲
                        sqlmap
                        BBQSQL (盲注比较好)
                        SQLiScanner (一款基于SQLMAP和Charles的被动SQL注入漏洞扫描工具)
                        burp+sqlmap=被动式扫描
                        GourdScanV2 (被动式漏洞扫描)
                        BruteXSS (支持get,post的xss检测脚本)可自行改字典
                        xss_scan (批量扫描xss的python脚本)可自行改字典
                        等等


                信息泄漏扫描
                        御剑
                        burp (导入字典)
                        DirBrute(多线程WEB目录爆破工具)
                        BBScan(一个迷你的信息泄漏批量扫描脚本) 可自行改字典
                        GitHack (.git文件夹泄漏利用工具)
                        wafw00f(WAF产品指纹识别)
                        bypass_waf (waf自动暴破)
                        sslscan (ssl类型识别)
                        FingerPrint (web应用指纹识别)
                        [url]https://github.com/3xp10it/mytools/blob/master/xcdn.py[/url](获取cdn背后的真实ip)
                        F-NAScan (网络资产信息扫描, ICMP存活探测,端口扫描,端口指纹服务识别)
                        F-MiddlewareScan (中间件扫描)
                        RASscan(端口服务扫描)
                        Nmap(端口服务扫描)
                        m7lrv(集合cms扫描器)
                        等等


                弱口令+爆破
                        VerifyReader(伏宸验证码识别工具)
                        PKAV HTTP Fuzzer(带验证码枚举)
                        burp
                        htpwdScan (一个简单的HTTP暴力破解、撞库攻击脚本)
                        fenghuangscanner_v3 (端口及弱口令检测)
                        F-Scrack (对各类服务进行弱口令检测的脚本)
                        genpAss (中国特色的弱口令生成器)
                        crack_ssh (go写的协程版的ssh\redis\mongodb弱口令破解工具)
                        Sreg (通过输入email、phone、username的返回用户注册的所有互联网护照信息)
                        等等


                内网
                        出门左拐看内网文章

来源

https://www.t00ls.net/thread-45957-1-1.html

harmoc

发表评论

电子邮件地址不会被公开。 必填项已用*标注