基础渗透测试思路(…
内容纲要
前言
在T00ls看到的渗透思路总结,感觉收获还是蛮大的,放到Blog备忘。
百变不离其宗的渗透测试 基础
一.得到目标网站第一步我们该做什么?
1.查看审核元素 (浏览器插件顶替)
2.判断网站类型
3.查看网站功能
4.检测敏感端口
5.检测其他资产
6.收集公司(个人)信息
7.查看C段(忽略)
一.① 这些有什么用?(参照上面)
第一步主要是看审核元素得到返回头信息能得到中间件,服务器,程序编程语言信息,Javascript版本信息。
中间件:(iis一定支持asp,asa,cer)(apache常见就是php)(tomcat,jboss,weblogic,jetty为常见的JAVA程序中间件)
Iis在低版本常见的漏洞有:
1.解析漏洞
IIS6.0(asp/aspx)
1.文件解析漏洞:文件名为*.asp;.jsp
2.目录解析漏洞:文件夹名为*.asp 那么这个文件 |名下面的所有文件就会解析为asp文件
3.IIS6.0默认可执行的还有*.asa |*.cer *.cdx
IIS7.0/IIS7.5/Nginx<8.03畸形解析漏洞
1.正常后缀加/*.php 如:|xxx.com/upload/1.jpg/1.php
2.*.php.123.234 或|*.php.123;*.php.jpg..jps 以此类推下去直到解析为止 (php,asp,aspx)(适量)
3.建议也多试几次iis6.0的解析漏洞,有些时 候也是可行的。
详见解析漏洞注解
2.目录列举漏洞
3.PUT文件写入
Apache在低版本常见的漏洞有:
解析漏洞
1.从右往左判断解析 如:*.php.rar.jpg.png等等把常见后缀都|写上去直到解析为止(适量)
2.*.php 改为*.php1,,*.php2,*.php3,*.php4 |以此类推下去直到解析为止(适量)
详见解析漏洞注解
Win下~特性
tomcat漏洞也有但是没什么利用价值
一般都是弱口令
进去后部署war包getshell
jboss常见漏洞:
1.jboss配置不当(人为)
2.jboss命令执行
3.jboss反序列
weblogic常见漏洞:
1.weblogic弱口令(人为)
2.weblogic反序列
3.weblogic SSRF漏洞
jetty常见漏洞:
目录遍历
详见中间件漏洞注解
服务器可以用或许大小写判断,返回头信息以及ping来确认。
编程语言可以测试index.{php,asp,aspx,jsp,do,action}也可以在返回头信息看到。
一般.do .action都可以测试下有没有Struts2漏洞
Javascript版本在看审核元素或者默认文件名就可以看到。
Javascript低版本脆弱库可以XSS(虽然没啥危害)
第一步可能遇到的漏洞以及风险(渗透测试报告专坑):
Struts2漏洞
中间件泄露(中间件低版本)
中间件漏洞
Javascript脆弱库xss
Javascript低版本
未设置cookie的Httponly属性
cookie固定
第二步很重要也很简单。
首先确定好了网站类型,我们怼站的思路就会慢慢浮现出来。
门户:
地方门户:做的挺好的一般是DZ,phpcms 等等
小型企业门户:xiaocms 等等
论坛:
国内论坛基本都是:DZ,winphp,其他轻社区cms
博客:
wordpress,Zblog,typecho,emlog等等
商场:
ecshop等等
老站点直接测试注入先手工,xss漏洞也多,无waf情况下抱着Sqlmap就上。商场的另加逻辑漏洞
查找robots.txt 后台 敏感目录泄露查找是什么cms 确认cms就可以在漏洞库查找改cms漏洞进行测试。
可疑参数也是要测试下注入或xss
切记有WAF情况下不得大线程,除非知道其网站有漏洞,并且可以绕过。
第二步可能遇到的漏洞以及风险(渗透测试报告专坑):
cms漏洞
逻辑漏洞(详见看逻辑漏洞注释)
Robot.txt文件WEB站点结构泄露漏洞
注入漏洞
XSS跨站漏洞
等
第三步熟悉网站功能。
是否有搜索框能否注入或XSS
是否有留言框能否XSS打cookie
有登录尝试登录框是否有sql注入或XSS
是否有验证码
验证码能否被识别
验证码能否被无视
注册是否有sql漏洞
是否能注册管理权限账号
验证手机的情况下
是否能无限轰炸
是否能任意更改
验证码是否有时间验证
验证码是否相同
是否能爆破验证码
登录是否能越权
个人信息是否有存储型XSS
个人信息能否CSRF
有验证机制能否绕过
头像上传是否能getshell
直接getshell
解析漏洞
上传漏洞
是否能上传txt
修改密码能否CSRF
有验证机制能否绕过
找回密码是手机号码验证
是否能无限轰炸
是否能任意更改
验证码是否有时间验证
验证码是否相同
是否能爆破验证码
是否有购买商品功能
任意修改支付金额
任意修改商品数量
收货地址存储型XSS
第三步可能遇到的漏洞以及风险(渗透测试报告专坑):
sql注入漏洞
xss漏洞
未限制用户可输入长度
用户爆破
验证码识别
验证码无视
明文传输
HTTP连接的登录请求表单
短信轰炸
任意注册
平行越权
垂直越权
管理员权限注册
csrf漏洞
头像上传getshell
上传漏洞(能传txt或者html什么的也可以)
支付漏洞
任意更改商品数量
任意修改运费
等
第四步检测是否有可疑端口或cve漏洞(推荐nmap,或ness)
文件共享访问端口:
21 FTP
弱口令,爆破
匿名访问
137,139 Smaba服务
弱口令,爆破
未授权访问
远程代码执行漏洞CVE-2015-0240等
389 LDAP协议
爆破,弱口令
2049 NFS服务
未授权访问
未限制ip以及用户权限
远程连接服务端口:
22 SSH
28退格漏洞
OpenSSL漏洞(心脏出血)
23 Telnet服务
弱口令,爆破
匿名访问
81,8080 tomct apache nginx axis2
弱口令爆破manager
http慢速攻击
3389 win远程桌面连接
爆破
shift粘贴键后门
mas12-020
5632 Pcanywhere
拒绝服务攻击
5900+桌面id 5901 5902等 vnc
弱口令,爆破
拒绝服务攻击(CVE-2015-5239)
权限提升(CVE-2013-6886)
Web应用服务端口:
7001 Weblogic
弱口令(weblogic,weblogic|system,weblogic可weblogic123|portaladmin,guest) ,爆破
后台部署war包getshell
java反序列
SSRF
1098/1099/4444/4445/8080/8009/8083/8093 Jboss
弱口令,爆破
java反序列
配置不当:远程代码执行
908* 第一个应用是9080 第二个是9081;控制台9090 Websphere
弱口令,爆破
任意文件泄露(CVE-2014-0823)
java反序列
8080(http),3700(IIOP,4848(控制台) GlassFish
弱口令,爆破
任意文件读取
认证绕过
8080,8089 Jenkins
弱口令,爆破
java反序列
未授权访问
8080 Resin
目录遍历
远程文件读取
8080 Jetty
远程共享缓冲区溢出
1352 Lotus
弱口令,爆破
信息泄露
跨站脚本攻击
数据库端口:
3306 Mysql数据库
弱口令,爆破
身份验证漏洞(CVE-2012-2122)
拒绝服务攻击
phpmyadmin万能密码:用户名;localhost'@'@ 密码任意
1433 Mssql数据库
弱口令,爆破
1521 (数据库端口),1158(Oracle EMCTL端口),8080(Oracle XDB数据库),210(Oracle XDB FTP 服务) Oracle
弱口令,爆破
5432 PostgreSQL数据库
弱口令,爆破
27017 MongoDB数据库
弱口令,爆破
未授权访问
6379 Redis数据库
未授权访问+配合ssh key提权
5000(服务端口),4100(监听端口),4200(备份端口) SysBase数据
弱口令,爆破
命令注入
5000 DBW数据库
安全限制绕过(CVE-2015-1922)
邮箱服务端口:
25(smtp),465(smtps) SMTP协议
弱口令,爆破
未授权访问
109(POP2),110(POP3),995(POP3S) POP3协议
弱口令,爆破
未授权访问
143(imap),993(imaps) IMAP协议
弱口令,爆破
配置不当
53 DNS服务器
区域传输漏洞
67,68,546(DHCP Failover做双机热备的) DHCP服务
DHCP劫持
161 SNMP
弱口令,爆破
其他端口:
2181 Zookeeper服务
未授权访问
8069 Zabbix服务
远程代码执行
9200,9300 elesticsearch服务
未授权访问
远程代码执行
文件遍历
低版本webshell植入
11211 mencache服务
未授权访问
配置不当
512,513,514 Linux R服务
使用rlogin直接登录对方系统
1090,1099, RML
远程命令执行
java反序列
调用rmi方式执行命令
873 Rsync服务
未授权访问
本地提权
1080 Socket代理
爆破,弱口令
第四步可能遇到的漏洞以及风险(渗透测试报告专坑):
参上
第五步查看资产 这里包括了子域名,App,微信公众号,旁站等
参1-4步
App,微信公众号 只要有调用他们web服务的 正常测试,如公众号都是调用微信的功能就不必测试。
撞库(用户爆破),越权,信息轰炸等 逻辑漏洞较多
第五步可能遇到的漏洞以及风险(渗透测试报告专坑):
注入漏洞
XSS跨站漏洞
用户爆破
无验证码
验证码可识别
越权漏洞
信息轰炸
CSRF漏洞
明文传输
头像上传getshell
上传漏洞(能传txt或者html什么的也可以)
支付漏洞
任意更改商品数量
任意注册
任意修改运费
HTTP连接的登录请求表单
等
第五步收集资料有:域名信息,是否有开源。
域名信息:
注册人QQ
注册人邮箱
注册人姓名
注册人手机
注册人采用ID
以上可以社工库走一波
组合密码
得到邮箱或QQ可以充分发挥想象 (最好就邮箱)
开源可以下载查看审计,以及查看是否残留配置信息等重要信息。
第五步可能遇到的漏洞以及风险(渗透测试报告专坑):
重要信息泄露
等
除了使用Burp 抓包查看包数据或Nmap(其他工具)检测端口,在未确认是否有WAF或有WAF的时候尽量不要对网站使用其他工具对其大线程访问(扫描)。
2.熟悉一下工具(没有waf情况下可以使用)
综合扫描器
AWVS
APPSCAN
企业级扫描器(绿盟、启明星辰等等)
等等
子域名枚举
subDomainsBrute (经典的子域名爆破枚举脚本)
Layer (字典强大并且功能强大的EXE子域名爆破工具)
subbrute (根据DNS记录查询子域名)
哮天犬
等等
注入,XSS测试
啊D(asp注入专用)
穿山甲
sqlmap
BBQSQL (盲注比较好)
SQLiScanner (一款基于SQLMAP和Charles的被动SQL注入漏洞扫描工具)
burp+sqlmap=被动式扫描
GourdScanV2 (被动式漏洞扫描)
BruteXSS (支持get,post的xss检测脚本)可自行改字典
xss_scan (批量扫描xss的python脚本)可自行改字典
等等
信息泄漏扫描
御剑
burp (导入字典)
DirBrute(多线程WEB目录爆破工具)
BBScan(一个迷你的信息泄漏批量扫描脚本) 可自行改字典
GitHack (.git文件夹泄漏利用工具)
wafw00f(WAF产品指纹识别)
bypass_waf (waf自动暴破)
sslscan (ssl类型识别)
FingerPrint (web应用指纹识别)
[url]https://github.com/3xp10it/mytools/blob/master/xcdn.py[/url](获取cdn背后的真实ip)
F-NAScan (网络资产信息扫描, ICMP存活探测,端口扫描,端口指纹服务识别)
F-MiddlewareScan (中间件扫描)
RASscan(端口服务扫描)
Nmap(端口服务扫描)
m7lrv(集合cms扫描器)
等等
弱口令+爆破
VerifyReader(伏宸验证码识别工具)
PKAV HTTP Fuzzer(带验证码枚举)
burp
htpwdScan (一个简单的HTTP暴力破解、撞库攻击脚本)
fenghuangscanner_v3 (端口及弱口令检测)
F-Scrack (对各类服务进行弱口令检测的脚本)
genpAss (中国特色的弱口令生成器)
crack_ssh (go写的协程版的ssh\redis\mongodb弱口令破解工具)
Sreg (通过输入email、phone、username的返回用户注册的所有互联网护照信息)
等等
内网
出门左拐看内网文章
来源
https://www.t00ls.net/thread-45957-1-1.html
