Skip to content

渗透测试总结(一) #104

Open
Open
渗透测试总结(一)#104
Labels
PenTest
@PyxYuYu

Description

@PyxYuYu
PyxYuYu
opened on Apr 3, 2017

Today is a perfect day to start living your dream.

0x01 渗透测试总结
  • 渗透测试流程
    • 明确目标
    • 信息收集
    • 漏洞探测
    • 漏洞利用
    • 后渗透测试
    • 报告编制
  • 明确目标
    • 确定范围
      • 整体项目时间
      • 测试 IP域名 范围
      • 可接受的社会工程学方法
    • 确定规则
      • 渗透攻击的控制基线
      • 敏感信息的披露
      • 证据处理
      • 每天可进行渗透测试的时间
      • 攻击授权
  • 信息收集
    • 测试范围(IP/域名
      • Google Hacking
         site:xxx.com inurl:*.php
   site:xxx.com intitle:"admin login"
   site:xxx.com filetype:doc intext:pass
      • Whois 查询
        • 查询域名基本信息
        • Whois 反查可以得到大部分域名注册信息
      • 子域名
        • 利用 subDomainsBrute 或者 Layer子域名挖掘机 获取大量二级、三级子域名(对应 IP
          • 子域名(IP)导出,导入至 Excel 中,进行整理
          • IP 段进行归类,为之后的端口扫描做好准备
        • 除了上面的工具,还可以利用
          • i.links.cn
          • x.threatbook.cn
          • www.5188.com
          • ce.baidu.com
          • webscan.360.com
          • ICP备案
      • 真实 IP
        • 查看是否存在 CDN 的方法
          • 通过 Ping检测工具来获得国内不同地区对域名解析的 IP
          • 如果 IP 不一致,极大可能存在 CDN
        • 判断真实 IP 最简单的方法
          • 在本地 hosts 文件内,将 域名IP 进行绑定
          • 访问域名,如果页面没变化,说明是真实 IP
        • 其他方法
          • 动态地址
            • 注册、登录之类只要是动态内容,提交地址,发送请求
            • HTTP 监听工具监听,获取 IP
            • 进行端口扫描,查看哪个比较像提供 HTTP 服务
            • Telnet 工具去连接那个端口,如果返回 html,说明是真实 IP
          • 分站判断
            • 一般主站存在 CDN 的话,分站可能会不挂 CDN
               ping www.xxx.com    主站CDN
   ping a.xxx.com      分站IP,可能会是真实IP
   ping xxx.com        特例,也有可能获得真实IP
          • nslookup 判断
            • 国内 CDN,在国外就不一定存在
               nslookup xxx.com 国外DNS(冷门的国外DNS)
            • 查询域名的 NS 记录,其域名记录中 MX 记录、TXT 记录等都很有可能指向的真实 IP 或同 C 段服务器
          • 查看历史记录
            • 查找域名的历史解析记录,因为域名在上 CDN 之前用的 IP,很有可能就是 CDN 的真实 IP
            • 查询地址: NetCraft
          • 国外 ping
            • 使用国外的多节点 Ping 工具: just-ping
          • 利用 phpinfo
            • 爆破 phpinfo
          • 订阅邮件
            • 有的服务器本地自带 sendmail,注册之后,会主动发一封邮件,查看邮件源代码即可获得真实 IP
            • 很多互联网网站自带 MailServer,应该也处于同一网段,可以逐个尝试
          • 获取图片
            • 利用编辑器或头像上传的地方,让目标网站去获取一张存放在自己服务器上的图片,查看日志可以获得真实 IP
          • 历史漏洞
          • 社会工程学
      • C
        • 服务器操作系统类型
        • 服务识别
      • 旁站
        • dns.aizhan.com
        • www.114best.com/ip/114.aspx?w=IP
        • seo.wzmulu.com
    • 端口扫描
      • 利用上面整理的 IP 段,进行端口扫描
      • 扫描工具: Nmap
      • 对扫描结果进行整理,访问,确定哪些可以被利用
        • 写一个跳转脚本,利用 Burpsuite 进行抓包,比如
           http://127.0.0.1/url.php?url=http://1.1.1.1:80
        • 将扫描结果导入 Payload 中,批量测试
        • 查看返回值大小,确定可利用资源
    • 敏感信息泄漏
      • GitHub 敏感信息查询
        • 利用工具: weakfilescan
      • 敏感信息(路径)
        • 利用工具: BBScan
      • 未授权访问的链接(目录遍历)
        • 利用工具: 御剑后台扫描(完善的字典)
    • 历史漏洞
      • 乌云历史漏洞,查看相关漏洞详情
      • 其他漏洞平台也可以查看漏洞名,类推相似漏洞
    • 社会工程学
      • 相关人员的邮箱帐号,社工库查询
  • 漏洞探测
    • 自动化扫描
      • AWVS
      • APPScan
    • 常见端口
       21 ftp      # 未授权访问(匿名登录),弱口令爆破
   22 SSH      # 弱口令爆破
   23 Telnet   # 弱口令爆破
   80 Web      # 常见Web漏洞,管理后台
   80-89 Web   # 常见Web漏洞,管理后台
   161 SNMP    # 默认口令:public/private ,弱口令爆破
   389 LDAP    # 未授权访问
   443 SSL     # 心脏滴血以及一些Web漏洞测试
   445 SMB     # 弱口令爆破,检测是否有ms_08067等溢出
   512,513,514 Rexec
   873 Rsync   # 未授权访问,弱口令爆破
   1025,111 NFS 
   1433 MSSQL  # 弱口令爆破
   1521 Oracle:(iSqlPlus Port:5560,7778) # 弱口令爆破
   2082/2083 cpanel主机管理系统登陆 (国外用较多)
   2222 DA虚拟主机管理系统登陆 (国外用较多)
   2601,2604 zebra路由  # 默认密码zebra
   3128 squid  # 代理默认端口,如果没设置口令很可能就直接漫游内网了
   3306 MySQL  # 弱口令爆破
   3312/3311 kangle主机管理系统登陆 
   3389 远程桌面  # 弱口令爆破
   4440 rundeck  # 弱口令:admin/admin 参考WooYun: 借用新浪某服务成功漫游新浪内网
   4848 GlassFish  # Web中间件,弱口令:admin/adminadmin
   5432 PostgreSQL  # 弱口令爆破
   5900,5901,5902 vnc  # 弱口令爆破
   5984 CouchDB http://xxx:5984/_utils/
   6082 varnish # 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网 
   6379 redis  # 未授权访问
  7001,7002 WebLogic  # 弱口令爆破,反序列,弱口令:weblogic/system/guest/portaladmin
  7778 Kloxo  # 主机控制面板登录 
  8000-9090 # 一些常见的Web端口,有些运维喜欢把管理后台开在这些非80的端口上
  8080 tomcat/WDCP主机管理系统  # 弱口令爆破,tomcat有很多漏洞
  8080,8089,9090 JBOSS   # 未授权访问,弱口令爆破,JBOSS有很多漏洞 
  8083 Vestacp  # 主机管理系统 (国外用较多)
  8649 ganglia 
  8888 amh/LuManager  # 主机管理系统默认端口
  9000 fcgi  # fcgi php执行
  9200,9300 elasticsearch   # 代码执行,参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
  10000 Virtualmin/Webmin   # 服务器虚拟主机管理系统
  11211 memcache  # 未授权访问
  27017,27018 Mongodb  # 未授权访问
  28017 Mongodb  # 统计页面
  50000 SAP # 命令执行
  50070,50060,50030 hadoop # 默认端口未授权访问
    • SQL 注入
      • 利用工具: Sqlmap
    • XSS
    • CSRF
    • XXE
    • 任意文件上传
    • 文件包含
    • 逻辑漏洞

Metadata

Metadata

Assignees

No one assigned

    Labels

    PenTest

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions