前言:不打内网。
目标1:两个网站
www.test1.com (重点企业)
www.test2.com (教育相关)
本来意气风发的打算大干一场,一看到目标傻眼了。两个的网站,放弃。一个重点企业,也没有多少希望,另一个教育网站,看来有点希望。开始吧。
测试开始:
主要测试(test1+test2),一般的网站,要不没人gan测试,很多漏洞。要不就是防护很严密。
正常操作:
当时就傻眼了。我发现我的云溪会员是假的吧,都是无。
看看有没有CDN,waf之类的。
Test1 :cloud-waf +CDN
Test2 :cloud-waf +cdn
test3:cloud-waf+CDN
接下来应该找到真实IP。可以绕过CDN和云锁。
一些方法:
DNS历史记录/证书/子域名/邮箱/fofa
最终未果。(一些大厂,一般直接托管,比如这里的一般都是**云上的服务器,再带云锁等防护。查看历史记录解析,很多都是中间经过了很久的时间突然重视了,换服务器上设备。邮箱注册人查询,都是**云的。)
Test1:
处处碰壁,这里只有尝试逻辑漏洞。
到这里,就有点无奈。日常手段没有成效。
GooGle语法:
测试上传点:
没有提交按钮。看了一下代码,复制代码,进行本地构造,再更改Host进行上传,返回404。测试失败。
只能继续看我的那几千个数据包。突然发现一个js引起我的注意-ewebeditor.js之类的文件。猜测有ewebeditor编辑器。只不过目录进行了修改。扫描没有扫到。
Test2:
云锁,**云。扫描直接封。放弃扫描。
尝试逻辑漏洞
有文件上传点,可惜是**云。每次上传后先上传都**云上。(很恶心)
通过fofa,进行同尝试的ip域名发现。
发现的其中一个ip,每个端口都有一个登陆口,包括堡垒、防火墙等。可以没有爆破成功。
这里尝试云数据平台:
随便登陆弱口令。可惜模块无法访问全部403.
仔细看了一下,数据请求/。
URL:1.1.1.1 登陆-点击模块—www.test123.com ,
猜测无法进行域名解析,进行本地host添加,无果。
小技巧:
访问的所有域名变成ip。例如:www.test123.com/list ---1.1.1.1./list 可以访问。
没有云锁,后台真的为所欲为。Sql注入获取、文件上传获取。Sql注入DBA(都懂)—文件上传因为时间短没有仔细研究。
目标2:
1.***。Ceshi1
2.***教育. Ceshi2
3.***学校 ceshi3
Ceshi1—只有登陆页面(无法爆破。扫描)未发现CDN。Ip直接访问出现错误。---放弃
Ceshi2:
老样子,逻辑漏洞为先锋。
大量测试账号,注册时间是17年的。心里一凉。多次尝试,终于发现一个绕过漏洞。
想着如果有注入多好。
如图:
一般都会存在负载均衡+CDN缓冲服务器,以减少网站的负载。而缓冲服务器的数据应该和网站的相同。
因为网站存在云锁,还是去找真实ip。或者CDN发缓冲服务器。
这里使用fofa去寻找.
Ceshi2.com –是某某网站某某分站。
在fofa site=“ceshi1.com ” intitle=”ceshi2.com”没有什么发现,
转换思路.直接搜索某某网站。会出现很多ip。
找出单独ip。CDNip一直变换。所有缓冲服务器也会变ip。
因为是真实ip,cloud-waf可以直接绕过,根据现有的页面进行测试。
Sql注入存在。
文件上传-一般存在图床服务器。
总结:
1. google语法的多变利用。
2. 绕过CDN的方法。
3. Fofa的搜索利用:域名/子域名/网站名等
4. CDN缓冲服务器+负载均衡服务器的利用
5. 弱口令是大杀器。
难点:
1. 绕过CDN:
a) 小厂商都是先ip后建设CDN,可以利用DNS历史记录查询。
b) 大厂是先ip后ip+CDN(进行服务器迁移到第三方),没有突破点。
2. 绕过cloud-waf:
a) 云锁,是特征查杀比一般硬件查杀更快更强。收费版无法进行本地测试,绕过可能性就是找到真实ip。大厂商一般都是收费版,公益版绕过方式无用。
3. 文件上传无法解析:
a) 现在都有图床服务器,进行上传过滤查杀,如无法进行跨目录操作,几乎无法拿到shell。
写在最后:
1. 感觉已经用尽全部力量的时候,可以再多试试。
2. 所谓运气,不过是善于发现。
3. 每次要放弃的时候,多试一下总会发现惊喜。
原文始发于微信公众号(极梦C):某次HW总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论