前言:
本篇文章的内容,基于一个很久之前的委托,当时因为被挂马委托了我,但是我当时因为某些事情耽误了,后来网站因为某些原因也废弃不用了,虽然不用了但是仍然挂在服务器上运行着。不出意外现在也已经彻底停用了,大家看文章就不要究其根源了,分享一下我的一些个人思路就好了,因为网站已经关闭,本文就不再打码了。
注:本文所用方式都有更多更优方式,所以大家不必争论。
我会从信息搜集方面开始讲起,大佬暂退,哈哈。如果你是学习的新手,我想这篇文章多少会对你有所启发。
任务一、目标确认及信息搜集
1.1 IP地址及端口服务
首先是确认目标,目标网站淘江阴
http://www.taojiangyin.com/第一步先进行信息搜集,我用我自己整理出来的一个文档来搜集一下信息
首先我通过站长之家工具对基本内容进行查询
确认了IP地址,同站的网站,注册人邮箱等信息,同时我检测了dns的解析,确认没有多个ip,可以确认这个就是真实
注:还有其他方式检测dns,大家自行学习
然后看了一下同IP网站基本就是主网站的一些子域名之类,也基本属于同类网站
通过大小写判断,该网站服务器初步判断为Windows系统
我们再通过whatweb命令来检查
whatweb www.taojiangyin.com 
确定为Windows系统,而且使用的是iis7.5,使用的是PHP
我们可以根据版本号来找一下对应的漏洞
下一步我们扫描一下目标开放了哪些端口,这里我是用nmap扫描一下
nmap -sS 115.29.188.182 使用半连接扫描扫全端口,同时也可以增加一个参数来查看一下相关服务
map -sS -A 115.29.188.182 
1.2 子域名及c段搜索
端口和服务搜集完毕,我们继续挖掘信息,搜集一下子域名,可以利用旁站攻击
这里我使用在线扫和御剑两款来尝试,子域名就是字典的尝试,大家多搜集字典即可
https://phpinfo.me/domain
下面是御剑
查了一下c段并没有,子域名也只有我从站长工具上查到的
同时我在扫描的时候发现了一个phpinfo的页面,可以算是信息泄露
经测试,就只有一个子域名可用,同时无c段旁站
1.3 waf检测
然后我们检测一下有无防火墙
这里我是用wafw00f,sqlmap和nmap都检测了一波
wafw00f taojiangyin.com
sqlmap -u "www.taojiangyin.com" --identify-waf
都没有检测出waf,这里暂时先假设没有(遇到再说)
1.4 敏感目录搜索
最后我搜集一下这个网站的敏感目录,除了之前搜集到的phpinfo页面可能存在信息泄露
使用了御剑工具,根据响应200的,检查了一下敏感文件
还有一个疑似有问题的页面,同时目录下robots文件也没删除
还有一个1.php页面,分析一下可能不是网站管理设置的,很可能是黑客入侵了上传的
1.5 关联信息搜集
未找到相关app之类。
通过whois查处的公司名字子,到天眼查进行搜集,搜集到了额外的信息,可能会对社工有利。
可以适当利用这些信息来制作字典
任务二、分析寻找漏洞
2.1分析现有可利用信息并尝试利用
首先我看了下现有信息,能利用到的就是一个iis7.5,还有一个不知道干什么用的pop3服务
网上查了一下,pop3可能会有可爆破、未授权访问和嗅探的问题
于是我就用nc探测了一下,发现端口开启但是前面显示无法识别
使用了telnet尝试连接一下
我又尝试使用hydra爆破一下,但是同样无法使用,于是我便放弃了从这个地方爆破的想法
那我就考虑3389端口开启我是不是可以简单爆破一下,但是爆破的结果很奇怪
hydra 115.29.188.182 rdp -L 常用用户名.txt -P 常用密码.txt -e n 
出现很多结果都显示正确,但是实际没有正确的,这里我感觉是添加了什么过滤或者其他的
这条线我也暂时放弃了。
于是我盯上了iis7.5的版本
我上网搜索该版本号的漏洞
cgi.fix_pathinfo函数对于7.5版本来说,可以上传带有php代码的图片文件然后修改后缀可以执行,这个函数开启的话就会有这个问题,我们访问之前信息泄露的phpinfo页面查找一下这个函数。
发现这个函数后面是1,证明是开启的,我们找一下有没有图片上传的地方
网站的明面上并没有可上传点,于是我想,能不能通过用户身份去
于是我就到用户登录页面去查看一下,发现没有验证,于是我想爆破一下
想了一下尝试将密码定义为123456,然后设置账号名为变量,看看有多少弱口令的账号
哈,果然有不少账号是弱密码,随便尝试了一个进来
找了半天,连个上传头像的地方都没有,全站也没找到个上传图片的地方(可能因为网站关闭了的原因。)因为网站关闭,基本里面的用户也没有什么利用价值了。
没办法,我尝试一下爆破后台,使用了atscan工具扫一下
perl atscan.pl -t https://www.example.com --admin
可惜了,也没扫到
有点难受了
没办法了,只能继续下一个,从php版本入手看看
找到了相应的版本号漏洞CVE-2015-4598,是一个文件上传漏洞,%00截断,可惜没有上传点都是白费,既然如此我就找一找有没有什么top10的漏洞,从注入和xss找起。
观察了一下页面结构,发现只有搜索框这个地方可以尝试,于是我对其进行了一定的探测,不管怎么说先用sqlmap一把梭跑一个
Sqlmap -u "http://www.taojiangyin.com/search.php?encode=YToyOntzOjg6ImtleXdvcmRzIjtzOjEyOiLllYrpo5Lpo5LnmoQiO3M6MTg6InNlYXJjaF9lbmNvZGVfdGltZSI7aToxNjQ4MzcyNDU5O30=" 
跑注入的同时我看这个后面的encode的编码有点像是编码,我用burp抓包,解码一下这个后面的参数
放到重发器,复制这里的参数放到解码处解码看看
这里有点像反序列化的内容,其实就是我传输的搜索框中的参数,传递给服务器
这里发现我们传递的参数带入到了页面中,这样考虑一下,是不是我可以修改这个反序列化的参数然后以此带入一些js的脚本
说干就干,写一下poc
将原本我们搜索的参数改成xss的攻击脚本,同时将前面s后面的数字改成后面脚本对应的数字,着实有点伤眼睛,然后base64编码一下
YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCcxMTEnKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==Poc做好直接替换进去看看
弹窗了,反序列化导致的反射性xss,除了这个之外,我们继续观察一下,除了这里,还有一个应该是数据头中没有X-XSS-Protection,缺少这个就是缺少了一些xss的防御功能
HTTP/1.1 400 Bad RequestContent-Type: text/html; charset=us-asciiServer: Microsoft-HTTPAPI/2.0Date: Sun, 27 Mar 2022 15:05:23 GMTConnection: closeContent-Length: 339
还有一个问题在我测试敏感目录的时候发现,路径访问错误就会有报错,报错信息会泄露绝对路径可能造成一定的危险
再找我就没找到有什么可疑漏洞了。反序列化那边的漏洞当然还有其他的利用方式,但是只能带入参数到前端中,无法带入到数据库中。
2.2 漏洞及问题总结
2.2.1 反序列化导致的反射性xss(高危)
http://www.taojiangyin.com/search.php页面存在该漏洞
利用poc:
YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCdiYWknKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==
利用方式,加在encode参数后传递即可
http://www.taojiangyin.com/search.php?encode=YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCdiYWknKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==2.2.2 cgi.fix_pathinfo函数未禁用(高危)
2.2.3 phpinfo页面未删除,敏感信息泄露(低危)
该信息泄露可能造成一些函数使用信息泄露,使用版本号信息泄露,以及主机部分信息泄露,可能会被黑客利用
http://www.taojiangyin.com/1.php
2.2.4 用户登录传递未加密及验证(中危)
用户登录的位置用户名密码传递都未加密,通过简单的爆破即可获取部分用户账号,可能会对用户造成经济损失。
2.2.5 报错返回信息未设置(中危)
访问错误目录,返回信息错误,泄露了服务器绝对路径,可能会被黑客利用。
注:文章中的工具
Burpsuite
Kali Linux
御剑
Hackbar
原文始发于微信公众号(白安全组):全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论