转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告

admin 2022年7月5日02:35:07安全文章评论10 views3852字阅读12分50秒阅读模式

前言:

    本篇文章的内容,基于一个很久之前的委托,当时因为被挂马委托了我,但是我当时因为某些事情耽误了,后来网站因为某些原因也废弃不用了,虽然不用了但是仍然挂在服务器上运行着。不出意外现在也已经彻底停用了,大家看文章就不要究其根源了,分享一下我的一些个人思路就好了,因为网站已经关闭,本文就不再打码了。

注:本文所用方式都有更多更优方式,所以大家不必争论。

      我会从信息搜集方面开始讲起,大佬暂退,哈哈。如果你是学习的新手,我想这篇文章多少会对你有所启发。


任务一、目标确认及信息搜集

1.1 IP地址及端口服务

首先是确认目标,目标网站淘江阴

http://www.taojiangyin.com/

第一步先进行信息搜集,我用我自己整理出来的一个文档来搜集一下信息

首先我通过站长之家工具对基本内容进行查询

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告



确认了IP地址,同站的网站,注册人邮箱等信息,同时我检测了dns的解析,确认没有多个ip,可以确认这个就是真实

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告

注:还有其他方式检测dns,大家自行学习


然后看了一下同IP网站基本就是主网站的一些子域名之类,也基本属于同类网站

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


通过大小写判断,该网站服务器初步判断为Windows系统

我们再通过whatweb命令来检查

whatweb www.taojiangyin.com 

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


确定为Windows系统,而且使用的是iis7.5,使用的是PHP

我们可以根据版本号来找一下对应的漏洞

下一步我们扫描一下目标开放了哪些端口,这里我是用nmap扫描一下

 nmap -sS 115.29.188.182

 使用半连接扫描扫全端口,同时也可以增加一个参数来查看一下相关服务

map -sS -A 115.29.188.182 

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


1.2 子域名及c段搜索

端口和服务搜集完毕,我们继续挖掘信息,搜集一下子域名,可以利用旁站攻击

这里我使用在线扫和御剑两款来尝试,子域名就是字典的尝试,大家多搜集字典即可

https://phpinfo.me/domain

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告

下面是御剑

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


查了一下c段并没有,子域名也只有我从站长工具上查到的

同时我在扫描的时候发现了一个phpinfo的页面,可以算是信息泄露

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


经测试,就只有一个子域名可用,同时无c段旁站

 

1.3 waf检测

然后我们检测一下有无防火墙

这里我是用wafw00fsqlmapnmap都检测了一波

wafw00f taojiangyin.com

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


sqlmap -u "www.taojiangyin.com" --identify-waf

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


都没有检测出waf,这里暂时先假设没有(遇到再说)


1.4 敏感目录搜索

最后我搜集一下这个网站的敏感目录,除了之前搜集到的phpinfo页面可能存在信息泄露

使用了御剑工具,根据响应200的,检查了一下敏感文件

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


还有一个疑似有问题的页面,同时目录下robots文件也没删除

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告



还有一个1.php页面,分析一下可能不是网站管理设置的,很可能是黑客入侵了上传的

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


1.5 关联信息搜集

未找到相关app之类。

通过whois查处的公司名字子,到天眼查进行搜集,搜集到了额外的信息,可能会对社工有利。

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


可以适当利用这些信息来制作字典

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


任务二、分析寻找漏洞

2.1分析现有可利用信息并尝试利用

首先我看了下现有信息,能利用到的就是一个iis7.5,还有一个不知道干什么用的pop3服务

网上查了一下,pop3可能会有可爆破、未授权访问和嗅探的问题

于是我就用nc探测了一下,发现端口开启但是前面显示无法识别

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


使用了telnet尝试连接一下

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


我又尝试使用hydra爆破一下,但是同样无法使用,于是我便放弃了从这个地方爆破的想法

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


那我就考虑3389端口开启我是不是可以简单爆破一下,但是爆破的结果很奇怪

hydra 115.29.188.182 rdp -L 常用用户名.txt -P 常用密码.txt -e n 

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


出现很多结果都显示正确,但是实际没有正确的,这里我感觉是添加了什么过滤或者其他的

这条线我也暂时放弃了。


于是我盯上了iis7.5的版本

我上网搜索该版本号的漏洞

cgi.fix_pathinfo函数对于7.5版本来说,可以上传带有php代码的图片文件然后修改后缀可以执行,这个函数开启的话就会有这个问题,我们访问之前信息泄露的phpinfo页面查找一下这个函数。

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


发现这个函数后面是1,证明是开启的,我们找一下有没有图片上传的地方

网站的明面上并没有可上传点,于是我想,能不能通过用户身份去

于是我就到用户登录页面去查看一下,发现没有验证,于是我想爆破一下

想了一下尝试将密码定义为123456,然后设置账号名为变量,看看有多少弱口令的账号

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


哈,果然有不少账号是弱密码,随便尝试了一个进来

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


找了半天,连个上传头像的地方都没有,全站也没找到个上传图片的地方(可能因为网站关闭了的原因。)因为网站关闭,基本里面的用户也没有什么利用价值了。

没办法,我尝试一下爆破后台,使用了atscan工具扫一下

perl atscan.pl -t https://www.example.com --admin

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


可惜了,也没扫到

有点难受了

没办法了,只能继续下一个,从php版本入手看看

找到了相应的版本号漏洞CVE-2015-4598,是一个文件上传漏洞,%00截断,可惜没有上传点都是白费,既然如此我就找一找有没有什么top10的漏洞,从注入和xss找起。

观察了一下页面结构,发现只有搜索框这个地方可以尝试,于是我对其进行了一定的探测,不管怎么说先用sqlmap一把梭跑一个

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


Sqlmap -u "http://www.taojiangyin.com/search.php?encode=YToyOntzOjg6ImtleXdvcmRzIjtzOjEyOiLllYrpo5Lpo5LnmoQiO3M6MTg6InNlYXJjaF9lbmNvZGVfdGltZSI7aToxNjQ4MzcyNDU5O30=" 

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


跑注入的同时我看这个后面的encode的编码有点像是编码,我用burp抓包,解码一下这个后面的参数

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


放到重发器,复制这里的参数放到解码处解码看看

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


这里有点像反序列化的内容,其实就是我传输的搜索框中的参数,传递给服务器

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


这里发现我们传递的参数带入到了页面中,这样考虑一下,是不是我可以修改这个反序列化的参数然后以此带入一些js的脚本

说干就干,写一下poc

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


将原本我们搜索的参数改成xss的攻击脚本,同时将前面s后面的数字改成后面脚本对应的数字,着实有点伤眼睛,然后base64编码一下

YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCcxMTEnKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

Poc做好直接替换进去看看

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


弹窗了,反序列化导致的反射性xss,除了这个之外,我们继续观察一下,除了这里,还有一个应该是数据头中没有X-XSS-Protection,缺少这个就是缺少了一些xss的防御功能

HTTP/1.1 400 Bad RequestContent-Type: text/html; charset=us-asciiServer: Microsoft-HTTPAPI/2.0Date: Sun, 27 Mar 2022 15:05:23 GMTConnection: closeContent-Length: 339

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


还有一个问题在我测试敏感目录的时候发现,路径访问错误就会有报错,报错信息会泄露绝对路径可能造成一定的危险

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


再找我就没找到有什么可疑漏洞了。反序列化那边的漏洞当然还有其他的利用方式,但是只能带入参数到前端中,无法带入到数据库中。


2.2 漏洞及问题总结

2.2.1 反序列化导致的反射性xss(高危)

http://www.taojiangyin.com/search.php页面存在该漏洞

利用poc

YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCdiYWknKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

利用方式,加在encode参数后传递即可

http://www.taojiangyin.com/search.php?encode=YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCdiYWknKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

 

2.2.2 cgi.fix_pathinfo函数未禁用(高危)

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


2.2.3 phpinfo页面未删除,敏感信息泄露(低危)

该信息泄露可能造成一些函数使用信息泄露,使用版本号信息泄露,以及主机部分信息泄露,可能会被黑客利用

http://www.taojiangyin.com/1.php

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


2.2.4 用户登录传递未加密及验证(中危)

用户登录的位置用户名密码传递都未加密,通过简单的爆破即可获取部分用户账号,可能会对用户造成经济损失。

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


2.2.5 报错返回信息未设置(中危)

访问错误目录,返回信息错误,泄露了服务器绝对路径,可能会被黑客利用。

转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告


注:文章中的工具

Burpsuite

Kali Linux

御剑

Hackbar


原文始发于微信公众号(dotNet安全矩阵):转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月5日02:35:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  转发 | 全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告 http://cn-sec.com/archives/1155549.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: