渗透测试图【持续完善中】

信息搜集

域名 - ip - 网络范围

域名
- 顶级域 com
- 一级域名 xx.com
- 二级域名 a.xx.com
DNS Lookup Results + Public Whois Information + Domain Information
- http://www.siteinfotool.com/
whois信息反查：根据邮箱获取注册者的其他域名和注册信息
- http://whois.chinaz.com
根据ip确定其网络范围
- 判断真实ip／cdn网络ip
  - 多地ping检测 http://ping.chinaz.com/
    各地ip唯一则是真ip 否则cdn
    - 获取真实IP dns历史记录
    - 获取真实IP 利用web权限 phpinfo()
    - 服务器指纹 (有的企业运维喜欢打上自己的标签，例如特殊的HTTP头，shodan搜索拥有同样标签的服务器)
    - 确定ip段 nmap检测其网络
subdomain 子域名及同服旁站
- 搜索引擎:
  - 网页搜索引擎（如：谷歌等）site:domain.com
  - 空间搜索引擎（如：Shodan等）hostname:domain.com
  - 历史解析记录：CDN 的 IP 地址之前所用的 IP 就是真实 IP。
    - http://toolbar.netcraft.com/site_report?url=
  - SSL证书（如：crt.sh等,大厂商的SSL证书一般一证多用，由此可得一些子域名)
- 暴力破解：
  - http发请求获取子域名
    - Teemo
    - https://github.com/aboul3la/Sublist3r python sublist3r.py -d example.com
    - subDomainsBrute（可递归爆破三级四级域名）
  - DNS 请求 - 域传送漏洞（DNS服务器配置不当，导致任意IP都可以直接向DNS服务器请求数据，从而导致该域名的所有子域名暴露)
    - dnsenum (kali自带)
    - nmap脚本检测nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=TEST.com -p 53 -Pn 192.168.5.6
- 其他泄露信息
  - 如 crossdomain.xml 文件等
  - 爬虫递归爬取等
指纹扫描
- cms识别(按版本找漏洞) http://whatweb.bugscaner.com/look/
- 中间件常规 (tomcat登录)
- 中间件漏洞(按版本找漏洞)

C段（主站 -> 同服务器旁站--> c段）
在线C段查询 https://phpinfo.me/bing.php
端口检测 nmap 系统漏洞/登录口令枚举/
- 21 FTP
- 22 SSH
- 23 Telnet
- 80 web
- 389 LDAP
- 443 Heartbleed
- 445 CVE-2017-010 Eternalblue-doublepulsar
- 873 rsync匿名访问/弱口令 rsync ip:: #列出当前目录(可能返回ROOT) rsync ip::root/ #列出当前目录
  rsync -avz 121.88.5.142::ROOT/test /tmp/ROOT
- 1433 MSSQL
- 1521 Oracle
- 3306 MySQL
- 3389 RDP
- 5432 PostgreSQL
- 5900 vnc
- 5984 CouchDB http://xxx:5984/_utils/
- 6379 Redis未授权访问漏洞
- 7001 weblogic的console
- 8000-9090 web(maybe)
- 9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 http://www.secbug.cn/bugs/wooyun-2014-062073.html
- 11211 memcache未授权访问
- 50000 SAP命令执行
- 50070,50030 hadoop默认端口未授权访问
前端XSS CSRF html注入(新系统经常出现)
注入检测 sqlmap
- sql注入漏洞产生的条件：用户可传递参数，组合为sql语句，带入数据库执行查询，并返回显示
抓包分析 burpsuite
上传
- 解析漏洞
- 过滤不严
逻辑漏洞总结
json
xml（xxe漏洞）
XXE（XML外部实体注入）

上传漏洞

针对MIME：

超文本标记语言文本 .html text/html 　　
xml文档 .xml text/xml
普通文本 .txt text/plain 　　
RTF文本 .rtf application/rtf 　　
PDF文档 .pdf application/pdf 　　
Microsoft Word文件 .word application/msword 　　
PNG图像 .png image/png 　　
GIF图形 .gif image/gif 　　
JPEG图形 .jpeg,.jpg image/jpeg 　　
au声音文件 .au audio/basic 　　
MIDI音乐文件 mid,.midi audio/midi,audio/x-midi 　　
RealAudio音乐文件 .ra, .ram audio/x-pn-realaudio 　　
MPEG文件 .mpg,.mpeg video/mpeg 　　
AVI文件 .avi video/x-msvideo 　　
GZIP文件 .gz application/x-gzip 　　
TAR文件 .tar application/x-tar 　　
任意的二进制数据 application/octet-stream

hex00截断:
test.php .jpg
把php后面的空格hex20改为hex00作截断！
判断是从后往前判断：让它以为是jpg图片
解析是从前往后解析：截断后面的jpg后缀

文件大小写绕过后缀黑名单检测：
.Php

特殊文件名：
【仅支持windows】修改文件名为test.asp.或者test.asp_（下划线为空格）
绕过验证后，windows会自动去掉点和空格

痕迹清除

windows清除日志
- iis日志 cleaniis.exe
- clearlgos.exe
  clearlogs [\computename] -app -sec -sys
  对应应用程序日志安全日志系统日志
- 清除历史记录及运行的日志 cleaner.exe
- 其他资料:https://www.t00ls.net/viewtliread.php7tid=2262

linux
不记录，你的ssh操作export HISTFILE=/dev/nulUxpcirt HISTSIZE=0;
log tamper
http://huaidan.org/srchives/1929.html
linux后门的清除记录功能

利用已有服务检测：
shodan 对ip进行检测
https://www.shodan.io/host/58.83.229.38

http://webscan.360.cn/
http://nosec.org/

系统用户密码文件

Windows
密码文件c:\windows\system32\config\SAM
config目录下的单文件SAM(security account manager)
linux unix
用户密码配置文件 /etc/shadow
只有root用户才有权限读
获取到/etc/shadow中的root的密码hash后可用hashcat暴力破解

#用户的密码都保存在这个单文件shadow中，存放的内容的固定格式，例
root:$1$v2wT9rQF$XSpGgoB93STC4EFSlgpjg1:14181:0:99999:7:::
#冒号作为分割符
用户名:密码hash:上次更改密码的时间据1970.1.1的天数:最小更改密码间隔0表示任何时间都可修改:密码有效期限即系统强制用户改为新密码的天数  -1 表示没有警告:密码过期提示时间:密码锁定期 自动禁用帐户的天数 -1永不禁用:账户有效期 被禁用的天数 -1 表示该帐户被启用:保留字段

用户账户配置文件 /etc/passwd 
只保存用户账户的基本信息,不保存密码信息。如
```bash
root:x:0:0:root:/root:/bin/bash
用户名:密码:用户id:组ID:GECOS:主目录:默认Shell

查找域控的常用办法 [WooYun WiKi]

#以下都是win系统自带的命令（在某些win版本中 有的命令不存在）
net view /domain

set log

#通过srv记录
nslookup -type=SRV _ldap._tcp.corp

#使用nltest
nltest /dclist:corp

#使用dsquery
DsQuery Server -domain corp

#使用netdom

netdom query pdc