原文首发在:先知社区
https://xz.aliyun.com/t/15944
选择目标
进入补天,选择一个目标
信息收集
ip
使用
nslookup xxx.xxx.com
只有一个ip回显,没有开dns
看一下开放端口,这里会检测速率封ip,所以能用代理池就用代理池
其中80和443直接不能访问:
xxxx端口发现深信服
最后发现8080能够使用,用的是aspx
功能都不能正常使用,目录爆破也没有什么东西,放弃
尝试mssql爆破
使用week-passwd,尝试失败,看到深信服就知道大概率是失败的,所有随便试了一下
资产测绘
使用quake进行资产测绘,得到一百多条数据
quake的邀请码:1CWUGm,填了可以有5000积分
oneforall
使用oneforall进行子域名查找,得到35条数据
js爬取
使用JSFinder,将前面得到的子域名去重之后,进行js爬取,使用jsfind,得到几百条数据
存活检测
使用windfire,进行存活去重,得到92条url
Google搜索
得到一些敏感数据,比如默认密码,老师的电话之类的
谷歌语法如下(直接copy即可)
site:.A.B.cn filetype:xls OR filetype:xlsx intext:身份证
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx intext:身份证
site:.A.B.cn filetype:xls OR filetype:xlsx "身份证"
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx "身份证"
site:.A.B.cn filetype:xls OR filetype:xlsx intitle:身份证
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx intitle:身份证
语法解释
site:指定域名
inurl:用于搜索包含的url关键词的网页
intitle:搜索网页标题中的关键字
intext:搜索网页正文中的关键字
filetype:按指定文件类型即文件后缀名搜索
cache:已经删除的缓存网页
关键词可以替换为:
身份证|sfz|学号|xh|登录|注册|管理|平台|验证码|账号|系统|手册|默认密码|初始密码|password|联系电话|操作手册|vpn|名单
工商数据收集
使用enscan得到一些信息,法人备案号之类的
社工
直接在QQ搜索相关的群名称,进入之后,得到一些信息
寻找利用点
尝试ueditor的net版本漏洞
尝试失败,返回302错误,应该被waf拦截了
尝试xss
有反射型xss
这里被拦截
尝试H3C安全产品管理平台前台远程命令执行漏洞
未尝试,只在这里找到了,其他地方没有找到,这个没有那么多积分,查看不了
尝试用户名爆破
尝试了几百个,失败,无常规用户名。电话尝试了社工得到的电话,未成功,
尝试邮箱成功得到
发现任意用户注册漏洞,尝试越权,文件上传
每个用户默认有1G空间
尝试越权
发现uid参数
uid参数尝试无果,
发现新的参数,url路径
用户默认为邮箱号
尝试文件上传
不正常的直接被拦截,尝试失败
总结
信息收集到寻找漏洞的具体流程都走了一遍,学校网站的子域名有二十几个,但是几乎全部套用一样的模板,不好下手
原文始发于微信公众号(亿人安全):【SRC】记一次信息收集实战分享
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论