信息搜集
域名 - ip - 网络范围
- 域名
- 顶级域 com
- 一级域名 xx.com
- 二级域名 a.xx.com
- DNS Lookup Results + Public Whois Information + Domain Information
- whois信息 反查 :根据邮箱 获取注册者的 其他域名 和 注册信息
- 根据ip确定其网络范围
- 判断 真实ip/cdn网络ip
- 多地ping检测 http://ping.chinaz.com/
各地ip唯一则是真ip 否则cdn- 获取真实IP dns历史记录
- 获取真实IP 利用web权限 phpinfo()
- 服务器指纹 (有的企业运维喜欢打上自己的标签,例如特殊的HTTP头,shodan搜索拥有同样标签的服务器)
- 确定ip段 nmap检测其网络
- 多地ping检测 http://ping.chinaz.com/
- 判断 真实ip/cdn网络ip
- subdomain 子域名 及同服旁站
- 搜索引擎:
- 网页搜索引擎(如:谷歌等)
site:domain.com - 空间搜索引擎(如:Shodan等)
hostname:domain.com - 历史解析记录:CDN 的 IP 地址之前所用的 IP 就是真实 IP。
- SSL证书(如:crt.sh等,大厂商的SSL证书一般一证多用,由此可得一些子域名)
- 网页搜索引擎(如:谷歌等)
- 暴力破解:
- http发请求获取子域名
- Teemo
-
https://github.com/aboul3la/Sublist3r
python sublist3r.py -d example.com - subDomainsBrute(可递归爆破三级四级域名)
- DNS 请求 - 域传送漏洞(DNS服务器配置不当,导致任意IP都可以直接向DNS服务器请求数据,从而导致该域名的所有子域名暴露)
- dnsenum (kali自带)
- nmap脚本检测
nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=TEST.com -p 53 -Pn 192.168.5.6
- http发请求获取子域名
- 其他泄露信息
- 如 crossdomain.xml 文件等
- 爬虫递归爬取等
- 搜索引擎:
- 指纹扫描
- cms识别(按版本找漏洞) http://whatweb.bugscaner.com/look/
- 中间件常规 (tomcat登录)
- 中间件漏洞(按版本找漏洞)
C段 (主站 -> 同服务器旁站--> c段)
在线C段查询 https://phpinfo.me/bing.php-
端口检测 nmap 系统漏洞/登录口令枚举/
- 21 FTP
- 22 SSH
- 23 Telnet
- 80 web
- 389 LDAP
- 443 Heartbleed
- 445 CVE-2017-010 Eternalblue-doublepulsar
- 873 rsync匿名访问/弱口令
rsync ip:: #列出当前目录(可能返回ROOT)rsync ip::root/ #列出当前目录
rsync -avz 121.88.5.142::ROOT/test /tmp/ROOT - 1433 MSSQL
- 1521 Oracle
- 3306 MySQL
- 3389 RDP
- 5432 PostgreSQL
- 5900 vnc
- 5984 CouchDB
http://xxx:5984/_utils/ - 6379 Redis未授权访问漏洞
- 7001 weblogic的console
- 8000-9090 web(maybe)
- 9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 http://www.secbug.cn/bugs/wooyun-2014-062073.html
- 11211 memcache未授权访问
- 50000 SAP命令执行
- 50070,50030 hadoop默认端口 未授权访问
前端XSS CSRF html注入(新系统经常出现)
-
注入检测 sqlmap
- sql注入漏洞产生的条件:用户可传递参数,组合为sql语句,带入数据库执行查询,并返回显示
抓包分析 burpsuite
-
上传
- 解析漏洞
- 过滤不严
逻辑漏洞总结
json
xml(xxe漏洞)
XXE(XML外部实体注入)
上传漏洞
针对MIME:
超文本标记语言文本 .html text/html
xml文档 .xml text/xml
普通文本 .txt text/plain
RTF文本 .rtf application/rtf
PDF文档 .pdf application/pdf
Microsoft Word文件 .word application/msword
PNG图像 .png image/png
GIF图形 .gif image/gif
JPEG图形 .jpeg,.jpg image/jpeg
au声音文件 .au audio/basic
MIDI音乐文件 mid,.midi audio/midi,audio/x-midi
RealAudio音乐文件 .ra, .ram audio/x-pn-realaudio
MPEG文件 .mpg,.mpeg video/mpeg
AVI文件 .avi video/x-msvideo
GZIP文件 .gz application/x-gzip
TAR文件 .tar application/x-tar
任意的二进制数据 application/octet-stream
hex00截断:
test.php .jpg
把php后面的空格hex20改为hex00作截断!
判断是从后往前判断:让它以为是jpg图片
解析是从前往后解析:截断后面的jpg后缀
文件大小写绕过后缀黑名单检测:
.Php
特殊文件名:
【仅支持windows】修改文件名为test.asp.或者test.asp_(下划线为空格)
绕过验证后,windows会自动去掉点和空格
痕迹清除
- windows清除日志
iis日志 cleaniis.exe
clearlgos.exe
clearlogs [\computename] -app -sec -sys
对应 应用程序日志 安全日志 系统日志清除历史记录及运行的日志 cleaner.exe
linux
不记录,你的ssh操作
export HISTFILE=/dev/nulUxpcirt HISTSIZE=0;log tamper
http://huaidan.org/srchives/1929.htmllinux后门的清除记录功能
利用已有服务检测:
shodan 对ip进行检测
https://www.shodan.io/host/58.83.229.38
http://webscan.360.cn/
http://nosec.org/
系统用户密码文件
Windows
密码文件c:\windows\system32\config\SAM
config目录下的单文件SAM(security account manager)linux unix
用户密码配置文件/etc/shadow
只有root用户才有权限读
获取到/etc/shadow中的root的密码hash后可用hashcat暴力破解
#用户的密码都保存在这个单文件shadow中,存放的内容的固定格式,例
root:$1$v2wT9rQF$XSpGgoB93STC4EFSlgpjg1:14181:0:99999:7:::
#冒号作为分割符
用户名:密码hash:上次更改密码的时间据1970.1.1的天数:最小更改密码间隔0表示任何时间都可修改:密码有效期限即系统强制用户改为新密码的天数 -1 表示没有警告:密码过期提示时间:密码锁定期 自动禁用帐户的天数 -1永不禁用:账户有效期 被禁用的天数 -1 表示该帐户被启用:保留字段
用户账户配置文件 /etc/passwd
只保存用户账户的基本信息,不保存密码信息。如
```bash
root:x:0:0:root:/root:/bin/bash
用户名:密码:用户id:组ID:GECOS:主目录:默认Shell
查找域控的常用办法 [WooYun WiKi]
#以下都是win系统自带的命令(在某些win版本中 有的命令不存在)
net view /domain
set log
#通过srv记录
nslookup -type=SRV _ldap._tcp.corp
#使用nltest
nltest /dclist:corp
#使用dsquery
DsQuery Server -domain corp
#使用netdom
netdom query pdc
