小型网站渗透常规思路之抛砖引玉

首先，我们知道 。当我们得到一个目标后，当然目标只是针对小型网站的一个思路，大型网站又是另外一个思路了。

信息收集

首先要做的就是信息收集，正所谓磨刀不误砍柴功。 

以下引用owasp 渗透指南4.0 版

• 搜索引擎信息发现和侦察 (OTG-INFO-001)
• 识别web服务器 (OTG-INFO-002)
• web服务器元文件信息发现 (OTG-INFO-003)
• 服务器应用应用枚举 (OTG-INFO-004)
• 评论信息发现 (OTG-INFO-005)
• 应用入口识别 (OTG-INFO-006)
• 识别应用工作流程 (OTG-INFO-007)
• 识别web应用框架 (OTG-INFO-008)
• 识别web应用程序 (OTG-INFO-009)
• 绘制应用架构图 (OTG-INFO-010)

 那我们简单说说常用搜集的一些信息

google hacking

比如 利用google hacking 命令 找些敏感文件比如，site:xxx.com inurl:bak｜txt｜doc等信息 。 还有就是搜集二级域名和对应的ip  ，当然我们这时候就需要区别是真实ip 还是cdn 了。 推荐猪猪侠的信息搜集神器： https://github.com/ring04h/wydomain  或者 http://fofa.so/lab/ips     根域名透视 、以及robots.txt 文件 等

指纹之别 

识别对应的web 服务器，看是 Apache，iis ，tomcat，jboss 等，以及使用的web 系统是否是常用的，比如dz，常用cms  ，wordpress 等 常用的通用程序 ，指纹识别出来了的话，就可以找找已经出来的cve ，看是否补丁及时打上，能否直接用cve 拿下。

DNS 信息搜集

比如常见的DNS 域传送漏洞

端口搜集

根据网站的真实ip ，用nmap 扫端口，看开放了哪些端口。 哪些端口是否可被利用，比如ssh，telnet，ftp， 以及某些测试系统的端口等。 

后台敏感目录扫描

比如用御剑跑字典，跑一些敏感目录，比如fck 编辑器，后台目录，敏感界面等信息 ，这些信息都有可能帮助你直接拿下对方服务器

网站目录结构爬取

比如对网站系统目录用burp suite 的 爬虫功能，爬基本的网站目录架构，把目录机构爬出来，在根据研发的那些思维猜后台、上传文件路径等。 

漏洞扫描

主机层扫描

这个不用说，直接把真实ip 丢nessus 里面去扫就够了，然后根据扫描出来的结果 结合 msf payload 直接打过去就可以了

web漏洞扫描

比如，用awvs，netsparker 直接先过一遍 ，然后在根据经验手工看脆弱点，根据脆弱点来尝试不同的方式

手工测试

常见测试以及漏洞组合拳

比如常见的sql 注入测试，xss ，xxe漏洞，csrf ，文件上传等 

然后根据前面收集的内容，以及扫描器的结果进行 综合筛选，然后进行利用，根据各种小细节进行漏洞尝试，以及根据多个小漏洞进行 组合利用，多个漏洞组合的攻击：比如前段时间在某银行进行测试的时候，有几个有意思的漏洞，一个漏洞是别名账号登入可被无限撞库（弱密码） ＋ 一个转账验证码漏洞绕过 。   那这两个漏洞结合起来，影响就大了。

xss： 这个不用说，看能不能直接打管理员cookie 后台

sql 注入： 数据库找敏感信息，比如管理员账号密码，或者直接根据权限，看能不能直接getshell 

文件上传： 利用一些fck 等编辑器漏洞、iis 等的解析漏洞，以及程序校验不严格，直接上传马儿，getshell 

web框架漏洞： 比如strtus2 漏洞，spring mvc 的xxe 漏洞 等

弱密码爆破

转了一圈，实在没能找出影响大的漏洞的话，那么我们试试后台密码爆破、以及ssh爆破、ftp 爆破等，这也是万万没办法的事情了，有时运气来了挡都挡不住，一不小心 弱密码爆破就直接进入后台了，进入了后台，后台一般安全性都比较弱，然后你懂的。

以上就是针对一些小网站的常规渗透思路，抛砖一下，引出大牛的玉。