2014自己总结的渗透经验[转]
有经验的老鸟们就不用看了。(大牛绕过)
我们每当渗透一个站点的时候必须要了解他的信息。
这是最基础也是最基本的常识。
第一要看网站是什么脚本? 是什么程序? 有多少类的程序?
系列:http://www.zzrsks.com/ 这个站点
我们可以看出是伪静态的。那么如何判断他是属于什么脚本的呢?
有很多种方法
我就介绍一下最基本的方法。
方法1:
网站根目录里
index.php
index.asp
index.aspx
index.jsp
index.do (jsp)
如果访问正常就说明 是属于哪一类的脚本程序。
方法2:利用 google.com (google利用语句 有很多 自己百度吧。)
那么第一个
www.zzrsks.com/plus/view.php?aid=1332?
我们看到这个URL地址
很明显 这是dedecms的程序
那么第二个URL地址是:http://www.zzrsks.com.cn/wsbm2013/webregister/index.aspx
这是旗帜的程序
第三个url:www.zzrsks.com.cn/Announce.aspx?Id=311 怀疑只是个程序脚本而已。。。
得知这个站点总共有2个程序:一个是PHP(dedecms) 一个是ASPX(旗帜)。
方法3:
利用到中国菜刀 burpsuit wvs 等 来爬行。
方法4: 傻瓜式利用御剑等工具导入所有字典= = 进行扫描。。。。
其实还有很多方法 这要靠自己的个人经验总结。
---------------------------------------------------------------------------------------------------------------------------------------------------
接下来收集第二段信息。
判断是否内网。以及什么类型的服务器 (我个人经验。。)
首先我们要确认它的真实IP (cdn逆向)
以下方法:
思路1.有的网站会记录网站历史IP 如站长之家之类的 ,
思路2.找PHPinfo,asp侦探之类的文件都会暴露服务器真实IP
思路3.找二级域名有的管理不会把二级域名做cdn(看运气了)
思路4.有的大型网站都有自己的邮件服务器注册之后,会主动发一封邮件给我们。。。 好吧。。打开邮件的源代码。。 你就能看到服务器的真实Ip了
思路5.看是哪里的CDN服务商,如果是安全宝的,就去社工安全宝客服(这个思路有点碉堡 哈哈)
知道了IP 扫下开放端口
个人喜欢用nmap
如果只开放http端口 其他什么端口都没开的。 (95%为内网)
如果开放了http端口跟FTP端口 其他什么端口都没开 (75%为内网)
如果开放了http端口跟FTP端口跟数据库端口 (55%为内网)
我个人经验。。。。
------------------------------------------------------------------------------------------------------------------------------------------------------------------
接下来收集第三段信息。
判断服务器的类型
以下方法:
第一:
直接ping服务器ip,看回显信息进行判断
TTL=32 9X/ME
TTL=64 linux
TTL=128 2000X/XP
TTL=255 UNIX
第二:
利用 御剑 wwwscan ScorpioScan 等工具
第三:
判断是不是linux 我就不说了 相信大家都懂。
-------------------------------------------------------------------------------------------------------------------------------------------------
接下来收集第四段信息:
收集域名管理员的联系方式 如163邮箱 或者QQ 或者手机 等敏感信息
我就拿我自己以前的域名来做系列:yingxihack.com
得到信息
姓名:liu yao wei
QQ 474082729
广西北海人
家庭电话 07795302996 (0779是广西人区号)
利用社工裤 收集他的常用密码 (方便爆破 后台 FTP 服务器 等权限) 
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
我们得知了他的信息(系列)
wwww.xxoo.com
真实IP:***.***.***.** (初步判定为内网,)
IP只有一个站点。。。
开放端口
80
8081
8083
域名信息:
姓名:liu yao wei
QQ 474082729
广西北海人
家庭电话 07795302996 (0779是广西人区号)
常用密码:**** ***** ***** **** **** ***** *****
http://www.zzrsks.com.cn/wsbm2013/ (wsbm2013目录程序是:旗帜)
http://www.zzrsks.com.cn/ (根目录是dedecms 文件名被自定义。)
网站目录在利用一次社会工程学再次进行一起敏感信息收集
我们看到wsbm2013 这个目录, 把2013改成2012,2011 2010. 看看存不存在。
试试一次运气。
很多傻B管理员为了方便记主这些文件 把备份文件名改成 wsbm2013.rar wsbm2013.7z wsbm2013.zip 放在网站程序根目录里
像这样:
http://www.zzrsks.com.cn/wsbm2013/wsbm2013.rar
或者 wsbm.rar wsbm1.rar wsbmwsbm.rar
我拿单的时候记得有4次是这种情况。。。 直接秒杀。
如果没有我们再回到根目录
http://www.zzrsks.com.cn/ ;
把注意力转向到zzrsks这里
http://www.zzrsks.com.cn/zzrsks
http://www.zzrsks.com.cn/webzzrsks
http://www.zzrsks.com.cn/*******(管理员的QQ号 或者他的名字 如果目录没有 就试试备份文件后缀。)
http://www.zzrsks.com.cn/zzrsks.rar
http://www.zzrsks.com.cn/webzzrsks.rar 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
信息已经收集完毕
开始渗透。
第一步安全检测目标站:
我们知道了他开放3个http端口
80
8081
8083
先从默认80端口安全检测
检测SQL漏洞(经典注入 静态注入 登陆框注入 搜索框注入 等。)
检测越权漏洞(文件拦截跳转 后台文件直接打开直接添加管理员 等。 )
检测XSS漏洞 (先来个反射型XSS看看过滤严不严 如果过滤了什么符号 就想办法绕过去来XSS跨站 等备份 或者直接拿shell PS:如果不精通XSS的朋友们 就盲打吧= = 看看收获点什么。) PS:我以前很无聊 用手机在新网盲打。。 结果新网的分站上线。。。。可惜不对外链。
检测上传漏洞(注册会员啊 扫目录看看存不存在FCK 或者 eWebEditor上传页面 如果有eWebEditor上传页面的话 就利用对应的0day进行一次上传。 PS:我以前也成功过。)
测试等等漏洞。(比如用google搜索敏感信息 比如txt bak 什么的 我记得我就有1次利用GOOGLE爆了目标站的root密码)
如果失败就换下一个端口
下一个就是8081端口
wwww.****.com:8081/
打开。
然后我们用 程序指纹来扫是属于哪里的cms
得到是哪里的cms后
进行0day exp 利用。
如果扫不出来 怎么办呢?
没关系 还可以试试另外一种方法。
打开网站后随便打开一个网站程序文件
列入:www.*****.com/xindong/kkks.aspx
那么在google那里 搜索一下 ( 利用google 语句 如:intitle: inurl: intext: Filetype: Site:等等的语句)
xindong/kkks.aspx 文件
然后查找敏感信息 PS:运气好 还可以找到这程序的下载源码噢。!!
我们搜索了从google那里发现了一个公司站 目录跟文件 跟目标站是一模一样的。
我们也可以拿下那个公司站 拿下后 把源码打包 然后挖掘0day。
在google搜不到怎么办?
第一:这程序是私人写的 没公布
解决方法:只能慢慢安全检测了。。。。。
第二:这程序目录 文件夹名 文件名 被改了
解决方法:查看原代码 搜索一段代码
或者利用google搜索他的CSS JS文件 。
如果端口80 跟8081端口都没任何漏洞 做得很安全就换下一个端口。如果都没有。。
只能爆破了 组合好强大的字典 进行爆破 http后台 FTP MYSQL MSSQL 等等端口!
如果还不行就试试傻瓜式渗透。
怎么叫做傻瓜式呢?
这里我就给大家讲一下过程吧
比如www.*****.com的一个站
先爬行得到他的目录
www.*****.com/1
www.*****.com/2
www.*****.com/3
www.*****.com/4
.................
...........
...........
先记录下来。
然后把你组合的强大字典 ASPX ASP PHP JSP
4类程序 全部拉在一起
进行一起扫描 先扫描网站根目录
再次得到一些你不知道目录
比如
www.*****.com/1ll
www.*****.com/xindong
........................................
然后又记录下来。。。
然后跟爬行得出的目录放在一起
www.*****.com/1
www.*****.com/2
www.*****.com/3
www.*****.com/4
www.*****.com/1ll
www.*****.com/xindong
然后把重复的内容去掉。
然后放在进去扫描目录。
然后又得出新目录跟文件
系列:
www.*****.com/1/xss/
www.*****.com/2/qqww/
www.*****.com/3/asdasd/
www.*****.com/4/beifen/
www.*****.com/1ll/ssaq/
www.*****.com/xindong/admin.asp
然后又把
www.*****.com/1/xss/
www.*****.com/2/qqww/
www.*****.com/3/asdasd/
www.*****.com/4/beifen/
www.*****.com/1ll/ssaq/
再次进行扫描。。。。。。
相信大家都理解了吧。。
以前我帮我朋友鲁个站的时候 无能为力的时候 就是利用傻瓜式 丢在服务器里跑 结果发现个备份文件 下载打开一看发现是sa用户跟密码。。。。。
PS:如果发现密码不对 可以用这个密码 去试试登录FTP啊 服务器啊 后台什么的。。或者再次利用这个密码来组合密码字典 来爆破
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
。。。。
如果以上方法都不行 网站做得实在安全 在想想别的思路 思路有很多的。。。。。。。。。。。。。。
如果什么方法你都用尽了。。。你无能为力了。。。。
那么就从C段下手吧。。
我们回顾到上面去:
如果只开放http端口 其他什么端口都没开的。 (95%为内网)
确实只开放了http端口 不过还有点几率是外网啊。 运气好真的是外网还是同网关 直接嗅探呢。。。
拿下它的C段之后发现是内网怎么办??
好吧。。 只能看运气能不能拿他的内网C段了。。。。
提问:怎么找它的内网C段?
第一 通过二级域名来渗透 (一般都是同网关的 我试过)
第二 用御剑扫描C段 比如网站IP是 ***.***.4.156 而网站的标题是:学籍管理
那么就扫描 ***.***.3.1 ~ ***.***.5.254 的80 81 8080 8081端口
看哪个开放 然后分析 看哪个标题比较敏感 比如内部登录系统 或者教师登录 什么的
然后拿下他的shell 如果支持命令 先不要急着提权 先看看同不同网关。。。
直接在shell cmd命令里扫描整个内网端口
netstat -an | find " "
主要扫3个目标站已开的端口 80 8081 8083
如果某个IP 这3个端口都开了 80%同网关
然后进去就可以内网渗透了。。
如果内网渗透不成功 就内网嗅探。
汗。。。。不想写了。。但又仔细看看都写那么多了。。不想就这样断了。。。。。。。。
好吧....我就来简单的说一下突破防火墙继续嗅探。。。= =!
配置好NetFuke 
填好来源IP 中间人IP 目标IP:
选择ARP_Request 替换包改为1000就行。
然后点击开始。。。。。
在次打开cain 开始嗅探。。 如果还发现嗅探不了
你就上路由器把防火墙关了。。
突破防火墙方法还有很多方法。。
自己去百度 我也懒得写了。。。。
好吧 总结一下渗透步奏。。
收集信息→目标站渗透→开放端口渗透→旁站渗透→C段渗透。
后面参考域渗透吧
