2014自己总结的渗透经验[转]

有经验的老鸟们就不用看了。(大牛绕过)


我们每当渗透一个站点的时候必须要了解他的信息。


这是最基础也是最基本的常识。


第一要看网站是什么脚本? 是什么程序? 有多少类的程序?


系列:http://www.zzrsks.com/ 这个站点 


我们可以看出是伪静态的。那么如何判断他是属于什么脚本的呢?
有很多种方法
我就介绍一下最基本的方法。
方法1:
网站根目录里
index.php
index.asp
index.aspx
index.jsp
index.do (jsp)
如果访问正常就说明 是属于哪一类的脚本程序。

方法2:利用 google.com (google利用语句 有很多 自己百度吧。)

那么第一个 
www.zzrsks.com/plus/view.php?aid=1332
? 
 
 我们看到这个URL地址 
很明显 这是dedecms的程序

那么第二个URL地址是:http://www.zzrsks.com.cn/wsbm2013/webregister/index.aspx

这是旗帜的程序

第三个url:www.zzrsks.com.cn/Announce.aspx?Id=311    怀疑只是个程序脚本而已。。。 



 得知这个站点总共有2个程序:一个是PHP(dedecms) 一个是ASPX(旗帜)。  

 方法3:
利用到中国菜刀 burpsuit   wvs 等 来爬行。

   

方法4: 傻瓜式利用御剑等工具导入所有字典= = 进行扫描。。。。

其实还有很多方法 这要靠自己的个人经验总结。



---------------------------------------------------------------------------------------------------------------------------------------------------

接下来收集第二段信息。

判断是否内网。以及什么类型的服务器  (我个人经验。。)

首先我们要确认它的真实IP (cdn逆向)

以下方法:

思路1.有的网站会记录网站历史IP  如站长之家之类的  ,

思路2.找PHPinfo,asp侦探之类的文件都会暴露服务器真实IP  

思路3.找二级域名有的管理不会把二级域名做cdn(看运气了)

思路4.有的大型网站都有自己的邮件服务器注册之后,会主动发一封邮件给我们。。。 好吧。。打开邮件的源代码。。 你就能看到服务器的真实Ip了

思路5.看是哪里的CDN服务商,如果是安全宝的,就去社工安全宝客服(这个思路有点碉堡 哈哈)

知道了IP 扫下开放端口 
个人喜欢用nmap

如果只开放http端口 其他什么端口都没开的。 (95%为内网)

如果开放了http端口跟FTP端口 其他什么端口都没开 (75%为内网)

如果开放了http端口跟FTP端口跟数据库端口  (55%为内网)
 
我个人经验。。。。

------------------------------------------------------------------------------------------------------------------------------------------------------------------


接下来收集第三段信息。

判断服务器的类型
 

以下方法:

第一:
直接ping服务器ip,看回显信息进行判断

TTL=32     9X/ME

TTL=64     linux

TTL=128    2000X/XP

TTL=255    UNIX


第二:
利用 御剑 wwwscan  ScorpioScan 等工具

第三:
 判断是不是linux 我就不说了 相信大家都懂。



-------------------------------------------------------------------------------------------------------------------------------------------------
接下来收集第四段信息:

收集域名管理员的联系方式 如163邮箱 或者QQ 或者手机 等敏感信息

我就拿我自己以前的域名来做系列:yingxihack.com


得到信息 
姓名:liu yao wei
QQ 474082729
广西北海人
家庭电话 07795302996 (0779是广西人区号)

利用社工裤 收集他的常用密码 (方便爆破 后台 FTP 服务器 等权限) 

---------------------------------------------------------------------------------------------------------------------------------------------------------------------

我们得知了他的信息(系列)
wwww.xxoo.com
真实IP:***.***.***.** (初步判定为内网,)

IP只有一个站点。。。

开放端口
80
8081
8083

域名信息:
 姓名:liu yao wei
QQ 474082729
广西北海人
家庭电话 07795302996 (0779是广西人区号)
常用密码:**** ***** ***** **** **** ***** *****
http://www.zzrsks.com.cn/wsbm2013/ (wsbm2013目录程序是:旗帜)
http://www.zzrsks.com.cn/    (根目录是dedecms 文件名被自定义。)

网站目录在利用一次社会工程学再次进行一起敏感信息收集
我们看到wsbm2013 这个目录, 把2013改成2012,2011 2010. 看看存不存在。
试试一次运气。
很多傻B管理员为了方便记主这些文件 把备份文件名改成 wsbm2013.rar wsbm2013.7z wsbm2013.zip 放在网站程序根目录里
像这样:
 http://www.zzrsks.com.cn/wsbm2013/wsbm2013.rar

或者 wsbm.rar wsbm1.rar wsbmwsbm.rar 
我拿单的时候记得有4次是这种情况。。。 直接秒杀。
如果没有我们再回到根目录 
http://www.zzrsks.com.cn/ ;
把注意力转向到zzrsks这里
http://www.zzrsks.com.cn/zzrsks
http://www.zzrsks.com.cn/webzzrsks
 http://www.zzrsks.com.cn/*******(管理员的QQ号 或者他的名字 如果目录没有  就试试备份文件后缀。)
http://www.zzrsks.com.cn/zzrsks.rar
http://www.zzrsks.com.cn/webzzrsks.rar  

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 

 信息已经收集完毕
开始渗透。 
第一步安全检测目标站:
我们知道了他开放3个http端口
80

8081
8083


先从默认80端口安全检测


检测SQL漏洞(经典注入 静态注入 登陆框注入 搜索框注入 等。)
检测越权漏洞(文件拦截跳转 后台文件直接打开直接添加管理员 等。 )
检测XSS漏洞 (先来个反射型XSS看看过滤严不严 如果过滤了什么符号 就想办法绕过去来XSS跨站 等备份 或者直接拿shell  PS:如果不精通XSS的朋友们 就盲打吧= = 看看收获点什么。) PS:我以前很无聊 用手机在新网盲打。。 结果新网的分站上线。。。。可惜不对外链。

检测上传漏洞(注册会员啊 扫目录看看存不存在FCK 或者 eWebEditor上传页面 如果有eWebEditor上传页面的话 就利用对应的0day进行一次上传。 PS:我以前也成功过。)

测试等等漏洞。(比如用google搜索敏感信息 比如txt  bak 什么的  我记得我就有1次利用GOOGLE爆了目标站的root密码)

如果失败就换下一个端口
下一个就是8081端口
wwww.****.com:8081/
打开。
然后我们用 程序指纹来扫是属于哪里的cms
得到是哪里的cms后
进行0day exp 利用。

如果扫不出来 怎么办呢?

没关系 还可以试试另外一种方法。 

打开网站后随便打开一个网站程序文件
列入:www.*****.com/xindong/kkks.aspx

那么在google那里 搜索一下 ( 利用google 语句 如:intitle:     inurl:   intext:  Filetype:  Site:等等的语句)

xindong/kkks.aspx      文件
然后查找敏感信息   PS:运气好 还可以找到这程序的下载源码噢。!!

我们搜索了从google那里发现了一个公司站 目录跟文件 跟目标站是一模一样的。
我们也可以拿下那个公司站 拿下后 把源码打包 然后挖掘0day。



在google搜不到怎么办?
第一:这程序是私人写的 没公布
解决方法:只能慢慢安全检测了。。。。。

第二:这程序目录 文件夹名  文件名 被改了
解决方法:查看原代码 搜索一段代码 
或者利用google搜索他的CSS JS文件 。





如果端口80 跟8081端口都没任何漏洞 做得很安全就换下一个端口。如果都没有。。

只能爆破了 组合好强大的字典 进行爆破 http后台 FTP MYSQL MSSQL 等等端口!

如果还不行就试试傻瓜式渗透。
怎么叫做傻瓜式呢?
这里我就给大家讲一下过程吧
比如www.*****.com的一个站
先爬行得到他的目录
www.*****.com/1
www.*****.com/2
www.*****.com/3
www.*****.com/4
.................
...........
...........
先记录下来。

然后把你组合的强大字典 ASPX ASP PHP JSP
4类程序 全部拉在一起
进行一起扫描 先扫描网站根目录
再次得到一些你不知道目录
比如
www.*****.com/1ll
www.*****.com/xindong
........................................
然后又记录下来。。。

然后跟爬行得出的目录放在一起
www.*****.com/1
www.*****.com/2
www.*****.com/3
www.*****.com/4
www.*****.com/1ll
www.*****.com/xindong

然后把重复的内容去掉。
然后放在进去扫描目录。

然后又得出新目录跟文件
系列:
www.*****.com/1/xss/
www.*****.com/2/qqww/
www.*****.com/3/asdasd/
www.*****.com/4/beifen/
www.*****.com/1ll/ssaq/
www.*****.com/xindong/admin.asp
然后又把
www.*****.com/1/xss/
www.*****.com/2/qqww/
www.*****.com/3/asdasd/
www.*****.com/4/beifen/
www.*****.com/1ll/ssaq/
再次进行扫描。。。。。。
相信大家都理解了吧。。

以前我帮我朋友鲁个站的时候 无能为力的时候 就是利用傻瓜式 丢在服务器里跑 结果发现个备份文件 下载打开一看发现是sa用户跟密码。。。。。
PS:如果发现密码不对 可以用这个密码 去试试登录FTP啊 服务器啊 后台什么的。。或者再次利用这个密码来组合密码字典 来爆破

------------------------------------------------------------------------------------------------------------------------------------------------------------------------
。。。。
如果以上方法都不行 网站做得实在安全 在想想别的思路  思路有很多的。。。。。。。。。。。。。。
如果什么方法你都用尽了。。。你无能为力了。。。。

那么就从C段下手吧。。
我们回顾到上面去:
如果只开放http端口 其他什么端口都没开的。 (95%为内网)

确实只开放了http端口    不过还有点几率是外网啊。 运气好真的是外网还是同网关 直接嗅探呢。。。

拿下它的C段之后发现是内网怎么办??


好吧。。 只能看运气能不能拿他的内网C段了。。。。

 提问:怎么找它的内网C段?

第一 通过二级域名来渗透  (一般都是同网关的 我试过)

第二 用御剑扫描C段 比如网站IP是  ***.***.4.156  而网站的标题是:学籍管理

那么就扫描 ***.***.3.1 ~ ***.***.5.254 的80 81 8080 8081端口

看哪个开放 然后分析  看哪个标题比较敏感  比如内部登录系统  或者教师登录 什么的

然后拿下他的shell 如果支持命令  先不要急着提权  先看看同不同网关。。。

直接在shell cmd命令里扫描整个内网端口
netstat -an | find " "

主要扫3个目标站已开的端口  80  8081 8083
如果某个IP 这3个端口都开了 80%同网关

然后进去就可以内网渗透了。。

如果内网渗透不成功 就内网嗅探。

汗。。。。不想写了。。但又仔细看看都写那么多了。。不想就这样断了。。。。。。。。

好吧....我就来简单的说一下突破防火墙继续嗅探。。。= =!

配置好NetFuke 


填好来源IP  中间人IP  目标IP:
选择ARP_Request   替换包改为1000就行。

然后点击开始。。。。。

在次打开cain 开始嗅探。。 如果还发现嗅探不了

你就上路由器把防火墙关了。。

突破防火墙方法还有很多方法。。

自己去百度  我也懒得写了。。。。

好吧 总结一下渗透步奏。。

收集信息→目标站渗透→开放端口渗透→旁站渗透→C段渗透。

后面参考域渗透吧

转载于:https://www.cnblogs.com/h4ck0ne/p/5154561.html

你可能感兴趣的:(2014自己总结的渗透经验[转])