2014自己总结的渗透经验[转]

来源：互联网发布：mysql update from 编辑：程序博客网时间：2024/05/16 15:49

有经验的老鸟们就不用看了。（大牛绕过）

我们每当渗透一个站点的时候必须要了解他的信息。

这是最基础也是最基本的常识。

第一要看网站是什么脚本？是什么程序？有多少类的程序？

系列：http://www.zzrsks.com/ 这个站点

我们可以看出是伪静态的。那么如何判断他是属于什么脚本的呢？
有很多种方法
我就介绍一下最基本的方法。
方法1：
网站根目录里
index.php
index.asp
index.aspx
index.jsp
index.do （jsp）
如果访问正常就说明是属于哪一类的脚本程序。

方法2：利用 google.com （google利用语句有很多自己百度吧。）

那么第一个
www.zzrsks.com/plus/view.php?aid=1332?

我们看到这个URL地址
很明显这是dedecms的程序

那么第二个URL地址是：http://www.zzrsks.com.cn/wsbm2013/webregister/index.aspx

这是旗帜的程序

第三个url:www.zzrsks.com.cn/Announce.aspx?Id=311 怀疑只是个程序脚本而已。。。

得知这个站点总共有2个程序：一个是PHP（dedecms）一个是ASPX(旗帜)。

方法3：
利用到中国菜刀 burpsuit wvs 等来爬行。

方法4：傻瓜式利用御剑等工具导入所有字典= = 进行扫描。。。。

其实还有很多方法这要靠自己的个人经验总结。

---------------------------------------------------------------------------------------------------------------------------------------------------

接下来收集第二段信息。

判断是否内网。以及什么类型的服务器（我个人经验。。）

首先我们要确认它的真实IP （cdn逆向）

以下方法：

思路1.有的网站会记录网站历史IP 如站长之家之类的，

思路2.找PHPinfo,asp侦探之类的文件都会暴露服务器真实IP

思路3.找二级域名有的管理不会把二级域名做cdn(看运气了)

思路4.有的大型网站都有自己的邮件服务器注册之后，会主动发一封邮件给我们。。。好吧。。打开邮件的源代码。。你就能看到服务器的真实Ip了

思路5.看是哪里的CDN服务商，如果是安全宝的，就去社工安全宝客服（这个思路有点碉堡哈哈）

知道了IP 扫下开放端口
个人喜欢用nmap

如果只开放http端口其他什么端口都没开的。（95%为内网）

如果开放了http端口跟FTP端口其他什么端口都没开（75%为内网）

如果开放了http端口跟FTP端口跟数据库端口（55%为内网）

我个人经验。。。。

------------------------------------------------------------------------------------------------------------------------------------------------------------------

接下来收集第三段信息。

判断服务器的类型

以下方法：

第一：
直接ping服务器ip，看回显信息进行判断

TTL=32 9X/ME

TTL=64 linux

TTL=128 2000X/XP

TTL=255 UNIX

第二：
利用御剑 wwwscan ScorpioScan 等工具

第三：
判断是不是linux 我就不说了相信大家都懂。

-------------------------------------------------------------------------------------------------------------------------------------------------
接下来收集第四段信息：

收集域名管理员的联系方式如163邮箱或者QQ 或者手机等敏感信息

我就拿我自己以前的域名来做系列：yingxihack.com

得到信息
姓名：liu yao wei
QQ 474082729
广西北海人
家庭电话 07795302996 （0779是广西人区号）

利用社工裤收集他的常用密码（方便爆破后台 FTP 服务器等权限）

---------------------------------------------------------------------------------------------------------------------------------------------------------------------

我们得知了他的信息（系列）
wwww.xxoo.com
真实IP：***.***.***.** （初步判定为内网,）

IP只有一个站点。。。

开放端口
80
8081
8083

域名信息：
姓名：liu yao wei
QQ 474082729
广西北海人
家庭电话 07795302996 （0779是广西人区号）
常用密码：**** ***** ***** **** **** ***** *****
http://www.zzrsks.com.cn/wsbm2013/ （wsbm2013目录程序是：旗帜）
http://www.zzrsks.com.cn/ （根目录是dedecms 文件名被自定义。）

网站目录在利用一次社会工程学再次进行一起敏感信息收集
我们看到wsbm2013 这个目录，把2013改成2012,2011 2010. 看看存不存在。
试试一次运气。
很多傻B管理员为了方便记主这些文件把备份文件名改成 wsbm2013.rar wsbm2013.7z wsbm2013.zip 放在网站程序根目录里
像这样：
http://www.zzrsks.com.cn/wsbm2013/wsbm2013.rar

或者 wsbm.rar wsbm1.rar wsbmwsbm.rar
我拿单的时候记得有4次是这种情况。。。直接秒杀。
如果没有我们再回到根目录
http://www.zzrsks.com.cn/ ;
把注意力转向到zzrsks这里
http://www.zzrsks.com.cn/zzrsks
http://www.zzrsks.com.cn/webzzrsks
http://www.zzrsks.com.cn/*******(管理员的QQ号或者他的名字如果目录没有就试试备份文件后缀。)
http://www.zzrsks.com.cn/zzrsks.rar
http://www.zzrsks.com.cn/webzzrsks.rar

信息已经收集完毕
开始渗透。
第一步安全检测目标站：
我们知道了他开放3个http端口
80

8081
8083

先从默认80端口安全检测

检测SQL漏洞（经典注入静态注入登陆框注入搜索框注入等。）
检测越权漏洞（文件拦截跳转后台文件直接打开直接添加管理员等。）
检测XSS漏洞（先来个反射型XSS看看过滤严不严如果过滤了什么符号就想办法绕过去来XSS跨站等备份或者直接拿shell PS：如果不精通XSS的朋友们就盲打吧= = 看看收获点什么。） PS：我以前很无聊用手机在新网盲打。。结果新网的分站上线。。。。可惜不对外链。

检测上传漏洞（注册会员啊扫目录看看存不存在FCK 或者 eWebEditor上传页面如果有eWebEditor上传页面的话就利用对应的0day进行一次上传。 PS:我以前也成功过。）

测试等等漏洞。（比如用google搜索敏感信息比如txt bak 什么的我记得我就有1次利用GOOGLE爆了目标站的root密码）

如果失败就换下一个端口
下一个就是8081端口
wwww.****.com:8081/
打开。
然后我们用程序指纹来扫是属于哪里的cms
得到是哪里的cms后
进行0day exp 利用。

如果扫不出来怎么办呢？

没关系还可以试试另外一种方法。

打开网站后随便打开一个网站程序文件
列入：www.*****.com/xindong/kkks.aspx

那么在google那里搜索一下（利用google 语句如：intitle: inurl： intext: Filetype: Site：等等的语句）

xindong/kkks.aspx 文件
然后查找敏感信息 PS：运气好还可以找到这程序的下载源码噢。！！

我们搜索了从google那里发现了一个公司站目录跟文件跟目标站是一模一样的。
我们也可以拿下那个公司站拿下后把源码打包然后挖掘0day。

在google搜不到怎么办？
第一：这程序是私人写的没公布
解决方法：只能慢慢安全检测了。。。。。

第二：这程序目录文件夹名文件名被改了
解决方法：查看原代码搜索一段代码
或者利用google搜索他的CSS JS文件。

如果端口80 跟8081端口都没任何漏洞做得很安全就换下一个端口。如果都没有。。

只能爆破了组合好强大的字典进行爆破 http后台 FTP MYSQL MSSQL 等等端口!

如果还不行就试试傻瓜式渗透。
怎么叫做傻瓜式呢？
这里我就给大家讲一下过程吧
比如www.*****.com的一个站
先爬行得到他的目录
www.*****.com/1
www.*****.com/2
www.*****.com/3
www.*****.com/4
.................
...........
...........
先记录下来。

然后把你组合的强大字典 ASPX ASP PHP JSP
4类程序全部拉在一起
进行一起扫描先扫描网站根目录
再次得到一些你不知道目录
比如
www.*****.com/1ll
www.*****.com/xindong
........................................
然后又记录下来。。。

然后跟爬行得出的目录放在一起
www.*****.com/1
www.*****.com/2
www.*****.com/3
www.*****.com/4
www.*****.com/1ll
www.*****.com/xindong

然后把重复的内容去掉。
然后放在进去扫描目录。

然后又得出新目录跟文件
系列：
www.*****.com/1/xss/
www.*****.com/2/qqww/
www.*****.com/3/asdasd/
www.*****.com/4/beifen/
www.*****.com/1ll/ssaq/
www.*****.com/xindong/admin.asp
然后又把
www.*****.com/1/xss/
www.*****.com/2/qqww/
www.*****.com/3/asdasd/
www.*****.com/4/beifen/
www.*****.com/1ll/ssaq/
再次进行扫描。。。。。。
相信大家都理解了吧。。

以前我帮我朋友鲁个站的时候无能为力的时候就是利用傻瓜式丢在服务器里跑结果发现个备份文件下载打开一看发现是sa用户跟密码。。。。。
PS：如果发现密码不对可以用这个密码去试试登录FTP啊服务器啊后台什么的。。或者再次利用这个密码来组合密码字典来爆破

------------------------------------------------------------------------------------------------------------------------------------------------------------------------
。。。。
如果以上方法都不行网站做得实在安全在想想别的思路思路有很多的。。。。。。。。。。。。。。
如果什么方法你都用尽了。。。你无能为力了。。。。

那么就从C段下手吧。。
我们回顾到上面去：
如果只开放http端口其他什么端口都没开的。（95%为内网）

确实只开放了http端口不过还有点几率是外网啊。运气好真的是外网还是同网关直接嗅探呢。。。

拿下它的C段之后发现是内网怎么办？？

好吧。。只能看运气能不能拿他的内网C段了。。。。

提问：怎么找它的内网C段？

第一通过二级域名来渗透（一般都是同网关的我试过）

第二用御剑扫描C段比如网站IP是 ***.***.4.156 而网站的标题是：学籍管理

那么就扫描 ***.***.3.1 ~ ***.***.5.254 的80 81 8080 8081端口

看哪个开放然后分析看哪个标题比较敏感比如内部登录系统或者教师登录什么的

然后拿下他的shell 如果支持命令先不要急着提权先看看同不同网关。。。

直接在shell cmd命令里扫描整个内网端口
netstat -an | find " "

主要扫3个目标站已开的端口 80 8081 8083
如果某个IP 这3个端口都开了 80%同网关

然后进去就可以内网渗透了。。

如果内网渗透不成功就内网嗅探。

汗。。。。不想写了。。但又仔细看看都写那么多了。。不想就这样断了。。。。。。。。

好吧....我就来简单的说一下突破防火墙继续嗅探。。。= =！

配置好NetFuke

填好来源IP 中间人IP 目标IP：
选择ARP_Request 替换包改为1000就行。

然后点击开始。。。。。

在次打开cain 开始嗅探。。如果还发现嗅探不了

你就上路由器把防火墙关了。。

突破防火墙方法还有很多方法。。

自己去百度我也懒得写了。。。。

好吧总结一下渗透步奏。。

收集信息→目标站渗透→开放端口渗透→旁站渗透→C段渗透。

后面参考域渗透吧

0 0