渗透中寻找突破口的那些事

HRay 2014-09-02 10:28:00

0x00 寻找目标


在自己日常检测中以及观察他人检测思路发现前期收集信息具有很关键的作用,很多时候不需要对某种漏洞有很深的研究,如果前期收集了足够多的目标,只需要检测一些常见的高危漏洞即可有收获

常用思路

1.网段信息

1)通过子域名

如果存在域传送这种漏洞是最好的,没有的话一般就要暴破子域名了

我常用的软件为dnsmap,基本用法

./dnsmap target-domain.com -w 你的域名字典 -r 要保存结果文件的绝对路径

针对做了泛解析的域名可以使用-i 需忽略ip来避免误报,如对域名xxx.com的暴破过程中不存在域名都解析到1.1.1.1上,则使用命令为

./dnsmap xxx.com -w domain.txt -i 1.1.1.1 -r /tmp/result.txt 

结果为如下格式:

 

其中默认编译的dnsmap存在一个问题,解决方法与其他使用方法请参考

http://pan.baidu.com/s/1nt5HMw5

大家可以在默认字典的基础上加一些如oa、zabbix、nagios、cacti、erp、sap、crm等等,不少企业都是这种命名方式

渗透的话一般会从oa,mail等重要业务网段寻找目标,如果发现有些管理后台的域名为

xx.admin.xxx.com这种,则可继续扩展,寻找admin.xxx.com下的三级域名

曾检测某站时无意发现一个ntp.nb.xxx.com的域名,进而暴破nb.xxx.com这个域名,结果如下

 

其中zabbix.nb.xxx.com这个站点暴露到了外网,版本较低,使用zabbix的注入漏洞成功获取权限

 

同时子域名也可通过搜索引擎语法site:xxx.com收集(不断增加条件,可获取的更多,如inurl,intitle等等)

2)AS号

Jwhois使用方法

yum install -y jwhois

执行

whois -h asn.shadowserver.org origin 1.1.1.1

可获得ip所在企业的AS号

继续执行

whois -h asn.shadowserver.org prefix as号

即可获得该as号对应网段

注:一般只有大企业才会有as号,并且一个企业可能会有多个as号

3)DNS 

4)spf记录

 

如何判断cdn?

如果误把cdn的ip加到目标里会影响一些人工时间,如何判断cdn?最简单的方法是用多地ping功能

http://ping.chinaz.com/

 

2.利用whatweb寻找web入口

使用方法

./whatweb 1.1.1.1/24 --log-brief=output_file(详细使用参考使用说明) 

默认的话只识别80端口的,如果此时我们想识别下8080端口,再加上--url-suffix=”:8080”即可

可根据title,cms等信息寻找目标,一般把后台或者存在已知漏洞的系统作为目标,同时可寻找nginx低版本存在解析漏洞的站点,受影响版本为0.5全版本,0.6全版本,0.7<=0.7.65,0.8<=0.8.37

附上一则实例:

在检测某企业时,whatweb批量识别指纹发现存在一台nginx版本比较低且存在解析漏洞的站点,首页为空白页,对目录结构暴破发现.bash_history文件

 

操作历史中发现有打包文件且放在web目录下

 

下载打包文件,内容如下

 

其中发现有log文件,且log文件会记录user-agent信息

 

使用firefox插件User Agent Switcher更改user-agent信息

一句话代码写入log文件后利用解析漏洞直接获取webshell

 

3.利用nmap寻找可利用服务

详细用法参考使用手册,个人常用命令为(-P0参数视情况添加,如果没有禁ping可以不加,提升速度)

./nmap -sT -sV 1.1.1.1/24 -P0 -oN /tmp/port_result.txt --open 

Ip较少的情况下可以扫全端口以及一些基本信息

./nmap -sT -sV -p 1-65535 1.1.1.1 -P0 -A

利用nmap可以发现一些非80/443/8080这种常见端口上的web以及一些容易出问题的端口如

873(rsync无验证)/21(ftp匿名账户)/11211(memcache无验证)/27017(mongodb无验证)等,碰到不认识的服务别急着放弃,去exploit-db等站点搜一下是否存在已知漏洞吧,说不准直接找到个RCE呢(很多时候我也会在乌云search一下,搜到的话就是实际例子,看着更直白)

4.利用搜索引擎寻找后台或重要系统

常用搜索语法为site:xxx.com inurl:login

Inurl的值可以自由变换,常用的包括admin、manage或者使用intitle:找管理、登录之类的关键字,有些站点出来的结果可能多数为同一站点下的误报,比如博客类的,问问类的,可使用-来减少误报,比如google中搜索site:baidu.com inurl:login -zhidao就可以在结果中去除zhidao相关的结果,百度可输入

site:baidu.com inurl:login -site:zhidao.baidu.com

实例参考:WooYun: 对苏宁易购一次完整的web检测过程(多图)

5.搞一个精简的路径字典

我们可以把容易出问题且危害比较高的常见路径做成一个精简的小字典,针对之前收集的域名去遍历,比如/invoker/JMXInvokerServlet、wwwroot.zip这种,发现的话很大几率可以搞到权限

0x01 利用


这里列出几个常见的系统利用方法

1. 后台

当前面的过程中发现后台或者重要系统时,一般会进行如下几种检测

1)awvs综合扫描(经常有意外发现) 2)目录结构暴破 3)口令暴破(admin不行的时候,不一定是密码不对,很多时候是用户名不对,尝试想到的可获取用户名的一切方法,如翻翻js、css文件,html源码注释内容,或者.svn目录下的信息泄露等,密码可针对系统名称及域名等信息做一些变形加到字典中) 4)Html源码、js等文件获取信息(有些开发者会把一些管理地址以注释形式放到html源码中,管理的接口地址写在js中,运气好的话可以直接越权访问) 5)参数值暴破(一些框架写的后台登陆页面可能是这种格式xx.com/?c=login,日常可以收集一些常见的参数值,如index、main、upload、edit、adduser等、运气好的话可以直接越权操作)

2. axis2

文件包含:

www.xxx.com/axis2/services/listServices查看所有services

www.xxx.com/axis2/services/xxxxx?xsd=../conf/axis2.xmlxxxxx替换任意服务均可,读取axis2配置文件获取后台账户

www.xxx.com/axis2/axis2-admin/登陆管理后台

后台部署文件代码执行:

使用metasploit

 

Resin

文件读取:

http://www.xxx.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd

 

也可以通过

http://www.xxx.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=http://1.1.1.1

实现SSRF

solr敏感信息泄漏

http://xxx.org:8080/solr/admin/file/?file=solrconfig.xml

搜索xml文件,找到data-import.xml

 

访问http://xxx.org:8080/solr/admin/file/?file=data-import.xml获取数据库密码

 

Hudson(jenkins类似)

参考WooYun: 搜狐某应用远程Groovy代码执行!

Zenoss

Google关键字:intitle:"Zenoss Login"

默认口令admin/zenoss

利用方法参考

WooYun: 从一个默认口令到youku和tudou内网(危害较大请尽快修复)

Zabbix

后台:http://www.xxx.com/zabbix

默认密码:admin/zabbix

Google:inurl:zabbix/dashboard.php

利用方法参考WooYun: 应用汇zabbix运维不当导致任意命令执行。

另外这个zabbix注入的也很多都存在http://drops.wooyun.org/papers/680

Cacti

默认登陆路径www.xxx.com/cacti/index.php

默认密码admin/admin

利用方法参考WooYun: cacti后台登陆命令执行漏洞

Splunk

默认后台地址:

http://xxx.com:8000/zh-CN/account/login?return_to=%2Fzh-CN%2F

 

默认账户admin/changeme  默认端口8000

 

管理器-应用-从文件安装应用处可获得shell

 

msf有利用模块

exploit/multi/http/splunk_upload_app_exec

 

0x02 结尾


推荐两篇乌云综合性介绍文章

1.从乌云看运维安全那点事儿

http://drops.wooyun.org/papers/410

2.攻击JavaWeb应用7-Server篇1

http://drops.wooyun.org/tips/604

评论

_

_Evil 2014-09-02 10:35:24

支持一下

疯子 2014-09-02 10:41:40

支持一下,很赞的文章,看来撸主喜欢漫游啊!

孤独雪狼 2014-09-02 10:42:48

师傅 我来膜拜你来了

紫霞仙子 2014-09-02 10:50:23

楼被抢了 3 层了

C

chock 2014-09-02 10:50:25

JJ fly 了

F

F1uYu4n 2014-09-02 11:48:52

好文!

R

Roar 2014-09-02 12:46:42

32个赞

J

justforfun 2014-09-02 12:50:56

大神!膜拜,收徒不?

R

Ricter 2014-09-02 13:22:44

好po。

R

retanoj 2014-09-02 13:37:46

良心文章,点赞

M

Manning 2014-09-02 14:25:33

干货,赞!

X

xsser 2014-09-02 14:46:03

修改User-Agent时让我眼前一亮。简直惊呆了!
不得不佩服这些奇淫巧计 大快人心

健宇 2014-09-02 16:07:22

User-Agent叼。

C

cnbird 2014-09-02 16:29:40

User-Agent 碉堡~

I

iv4n 2014-09-02 16:52:26

非常不错

W

www 2014-09-02 22:06:30

没有亮点

G

Gale Albatross 2014-09-02 23:49:22

好评

路人甲 2014-09-03 00:03:01

User-Agent 很棒的思路,学习了

X

xy小雨 2014-09-03 11:08:40

不错 膜拜下

M

Master 2014-09-03 15:37:42

有没有亮点都是常规思路的总结,有积累了才能提炼。为嘛你不写一个有亮点的,喷得毫无意义!

乐乐、 2014-09-03 15:58:04

涨姿势了

Z

zzR 2014-09-03 16:08:08

总有意想不到的奇葩令人热血沸腾

H

her0ma 2014-09-03 16:30:49

师傅,很霸气!!!很赞的技巧经验!!!

路人甲 2014-09-04 09:02:47

常见的技巧全部在这里了 实为一片好文章

X

xiaoL 2014-09-04 11:52:10

受益匪浅!
感谢分享

X

x1aog 2014-09-04 18:07:29

不顶你都说不过去

M

Mayter 2014-09-05 18:14:44

学习了。。姿势不错

Y

Yinz 2014-09-08 16:05:35

干货学习了

S

Stardustsky 2014-09-08 23:23:24

作者哪里人?

黑吃黑 2014-09-11 08:37:37

好东西

P

print_0x0000 2014-09-11 17:22:04

好文章啊~

孤月寒城 2014-09-11 23:21:08

感谢分享

I

Ivan 2014-09-15 16:44:30

mark.多谢分享

带馅儿馒头 2014-09-16 11:00:20


路人甲 2014-09-19 08:50:16

tassimo entkalken...
渗透中寻找突破口的那些事 | WooYun知识库...

Hxai11 2014-09-24 10:09:51

我觉得User Agent 那个也是可与不可求吧,哈哈,确实好贱

路人甲 2014-10-13 09:05:05

我顶你呀

F

FenQing 2014-12-06 11:29:11

看楼主经验丰富 ,针对Java服务器的小字典可否分享下

路人甲 2015-02-05 23:45:41

求“容易出问题且危害比较高的常见路径做成一个精简的小字典”

晓川 2015-05-13 21:51:07

师傅你好

金枪银矛小霸王 2015-08-01 22:41:00

穷枚举目录那个工具叫啥

H

HRay 2015-08-14 00:05:49

@金枪银矛小霸王 awvs的http fuzz功能

MAX丶 2015-08-16 20:36:58

不错很有价值学习了!】

冰麒麟 2015-08-18 00:17:57

事隔多年,在回头看这篇文章,收获颇丰

H

h4rdy 2015-08-25 17:52:10


M

Mark0smith 2015-09-16 19:39:50


凌零1 2015-11-09 16:42:29

小菜顶前人,赞一个

U

userlxx 2015-11-13 23:31:23

很完整的渗透思路,学习了,涨姿势。
赞赞赞~ 感谢分享!

情痴 2015-12-05 21:07:20

学习了,谢谢大牛分享

H

HRay

018

twitter weibo github wechat

随机分类

企业安全 文章:40 篇
Java安全 文章:34 篇
硬件与物联网 文章:40 篇
CTF 文章:62 篇
数据分析与机器学习 文章:12 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录