渗透测试总结(一)
PyxYuYu opened this issue · 0 comments
PyxYuYu commented
Today is a perfect day to start living your dream.
0x01 渗透测试总结
- 渗透测试流程
- 明确目标
- 信息收集
- 漏洞探测
- 漏洞利用
- 后渗透测试
- 报告编制
- 明确目标
- 确定范围
- 整体项目时间
- 测试
IP和域名范围 - 可接受的社会工程学方法
- 确定规则
- 渗透攻击的控制基线
- 敏感信息的披露
- 证据处理
- 每天可进行渗透测试的时间
- 攻击授权
- 确定范围
- 信息收集
- 测试范围(
IP/域名)Google Hacking
site:xxx.com inurl:*.php site:xxx.com intitle:"admin login" site:xxx.com filetype:doc intext:passWhois查询- 查询域名基本信息
Whois反查可以得到大部分域名注册信息
- 子域名
- 利用
subDomainsBrute或者Layer子域名挖掘机获取大量二级、三级子域名(对应IP)- 子域名(
IP)导出,导入至Excel中,进行整理 - 将
IP段进行归类,为之后的端口扫描做好准备
- 子域名(
- 除了上面的工具,还可以利用
i.links.cnx.threatbook.cnwww.5188.comce.baidu.comwebscan.360.comICP备案
- 利用
- 真实
IP- 查看是否存在
CDN的方法- 通过
Ping检测工具来获得国内不同地区对域名解析的IP - 如果
IP不一致,极大可能存在CDN
- 通过
- 判断真实
IP最简单的方法- 在本地
hosts文件内,将域名和IP进行绑定 - 访问域名,如果页面没变化,说明是真实
IP
- 在本地
- 其他方法
- 动态地址
- 注册、登录之类只要是动态内容,提交地址,发送请求
- 用
HTTP监听工具监听,获取IP - 进行端口扫描,查看哪个比较像提供
HTTP服务 - 用
Telnet工具去连接那个端口,如果返回html,说明是真实IP
- 分站判断
- 一般主站存在
CDN的话,分站可能会不挂CDN
ping www.xxx.com 主站CDN ping a.xxx.com 分站IP,可能会是真实IP ping xxx.com 特例,也有可能获得真实IP - 一般主站存在
nslookup判断- 国内
CDN,在国外就不一定存在
nslookup xxx.com 国外DNS(冷门的国外DNS)- 查询域名的
NS记录,其域名记录中MX记录、TXT记录等都很有可能指向的真实IP或同C段服务器
- 国内
- 查看历史记录
- 查找域名的历史解析记录,因为域名在上
CDN之前用的IP,很有可能就是CDN的真实IP - 查询地址:
NetCraft
- 查找域名的历史解析记录,因为域名在上
- 国外
ping法- 使用国外的多节点
Ping工具:just-ping
- 使用国外的多节点
- 利用
phpinfo- 爆破
phpinfo
- 爆破
- 订阅邮件
- 有的服务器本地自带
sendmail,注册之后,会主动发一封邮件,查看邮件源代码即可获得真实IP - 很多互联网网站自带
MailServer,应该也处于同一网段,可以逐个尝试
- 有的服务器本地自带
- 获取图片
- 利用编辑器或头像上传的地方,让目标网站去获取一张存放在自己服务器上的图片,查看日志可以获得真实
IP
- 利用编辑器或头像上传的地方,让目标网站去获取一张存放在自己服务器上的图片,查看日志可以获得真实
- 历史漏洞
- 社会工程学
- 动态地址
- 查看是否存在
C段- 服务器操作系统类型
- 服务识别
- 旁站
dns.aizhan.comwww.114best.com/ip/114.aspx?w=IPseo.wzmulu.com
- 端口扫描
- 利用上面整理的
IP段,进行端口扫描 - 扫描工具:
Nmap - 对扫描结果进行整理,访问,确定哪些可以被利用
- 写一个跳转脚本,利用
Burpsuite进行抓包,比如
http://127.0.0.1/url.php?url=http://1.1.1.1:80- 将扫描结果导入
Payload中,批量测试 - 查看返回值大小,确定可利用资源
- 写一个跳转脚本,利用
- 利用上面整理的
- 敏感信息泄漏
GitHub敏感信息查询- 利用工具:
weakfilescan
- 利用工具:
- 敏感信息(路径)
- 利用工具:
BBScan
- 利用工具:
- 未授权访问的链接(目录遍历)
- 利用工具:
御剑后台扫描(完善的字典)
- 利用工具:
- 历史漏洞
- 乌云历史漏洞,查看相关漏洞详情
- 其他漏洞平台也可以查看漏洞名,类推相似漏洞
- 社会工程学
- 相关人员的邮箱帐号,社工库查询
- 测试范围(
- 漏洞探测
- 自动化扫描
AWVSAPPScan
- 常见端口
21 ftp # 未授权访问(匿名登录),弱口令爆破 22 SSH # 弱口令爆破 23 Telnet # 弱口令爆破 80 Web # 常见Web漏洞,管理后台 80-89 Web # 常见Web漏洞,管理后台 161 SNMP # 默认口令:public/private ,弱口令爆破 389 LDAP # 未授权访问 443 SSL # 心脏滴血以及一些Web漏洞测试 445 SMB # 弱口令爆破,检测是否有ms_08067等溢出 512,513,514 Rexec 873 Rsync # 未授权访问,弱口令爆破 1025,111 NFS 1433 MSSQL # 弱口令爆破 1521 Oracle:(iSqlPlus Port:5560,7778) # 弱口令爆破 2082/2083 cpanel主机管理系统登陆 (国外用较多) 2222 DA虚拟主机管理系统登陆 (国外用较多) 2601,2604 zebra路由 # 默认密码zebra 3128 squid # 代理默认端口,如果没设置口令很可能就直接漫游内网了 3306 MySQL # 弱口令爆破 3312/3311 kangle主机管理系统登陆 3389 远程桌面 # 弱口令爆破 4440 rundeck # 弱口令:admin/admin 参考WooYun: 借用新浪某服务成功漫游新浪内网 4848 GlassFish # Web中间件,弱口令:admin/adminadmin 5432 PostgreSQL # 弱口令爆破 5900,5901,5902 vnc # 弱口令爆破 5984 CouchDB http://xxx:5984/_utils/ 6082 varnish # 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网 6379 redis # 未授权访问 7001,7002 WebLogic # 弱口令爆破,反序列,弱口令:weblogic/system/guest/portaladmin 7778 Kloxo # 主机控制面板登录 8000-9090 # 一些常见的Web端口,有些运维喜欢把管理后台开在这些非80的端口上 8080 tomcat/WDCP主机管理系统 # 弱口令爆破,tomcat有很多漏洞 8080,8089,9090 JBOSS # 未授权访问,弱口令爆破,JBOSS有很多漏洞 8083 Vestacp # 主机管理系统 (国外用较多) 8649 ganglia 8888 amh/LuManager # 主机管理系统默认端口 9000 fcgi # fcgi php执行 9200,9300 elasticsearch # 代码执行,参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 10000 Virtualmin/Webmin # 服务器虚拟主机管理系统 11211 memcache # 未授权访问 27017,27018 Mongodb # 未授权访问 28017 Mongodb # 统计页面 50000 SAP # 命令执行 50070,50060,50030 hadoop # 默认端口未授权访问SQL注入- 利用工具:
Sqlmap
- 利用工具:
XSSCSRFXXE- 任意文件上传
- 文件包含
- 逻辑漏洞
- 自动化扫描