渗透测试——实战 方法 思路

渗透信息收集–资产探测

python2 knockpy.py www.ycxy.com

python2 subDomainsBrute.py www.ycxy.com -o 123.txt

dirsearch.py [-u|–url] target [-e|–extensions] extensions [options]web路径收集与扫描

实战某大学

信息收集：
来源 url采集
inurl：xxx.php 学校

注入点批量检测 ：枫叶

sql注入验证 safe3 注入安全检测
猜解表名 字段名

burpsuite抓包

• 浏览器代理
  proxy 抓包拦截–>intruder
  clear
• 选中密码 $add
• 选择字典
  payloads options --> load
• start attack

admin权限进后台 getshell（wordpress后台审计）

插件 -->上传插件zip格式包

上传xxx.zip 内容x.php

• 原理 源码中自解压 到 /wp-content/upgrade/xxx/x.php
• 配置删除后ban访问

生成字典

社会工程学 密码生成工具 -猜密码
http://www.hacked.com.cn/pass.html

或者自己写一个

开源系统/github泄漏 敏感目录/文件

• 后台

• 敏感配置文件
  eg： wordpress 默认后台 http://xxxx.com/wp-login.php
  admin
  
  

• 历史密码

• QQ

• 姓名 字母拼写

• 家庭住址

• 学校

• 网站/域名

• 邮件地址

web渗透 一般步骤 及 实战思路

• 1 站长之家 类似 全国测速（ping） 判断有无cdn加速节点
  
• 2 无节点 进行
  端口 + 服务器 系统指纹扫描 （从 软件漏洞 和 系统漏洞下手）
  
• 3 C段扫描 旁站+ 内网渗透
  
  

2020 .3.16

• 没事闲的 逛逛fofa 发现还是 admin 空

• 但是 、、、、
  

• 这是个什么鬼

• iis + asp

• 大马试一试

• 老鼠盗洞 一打一个准
  

• 已经擦了屁股 删了入口

• 逗的是 好像是个人电脑
  

• 应该是某某小区的门卫电脑忘记关掉了

• 这个shell 不好用 一句话连一下
  

you haven’t updated sqlmap for more than 440 days!!!

---

---

---

1 前端信息泄露

1 调试器

 static目录  下的 webpack目录

Webpack 是一个前端资源加载/打包工具。
它将根据模块的依赖关系进行静态分析，然后将这些模块按照指定的规则生成对应的静态资源。

可以将多种静态资源 js、css、less 转换成一个静态文件，减少了页面的请求。

它的存在依赖于node.js

包揽了其它静态文件 ， 可以从中找一下敏感数据或是接口

• 平常项目 api所部署的服务器中间件会更多
  看起来都是SpringBoot框架
  
  burp和spring专属字典 （springboot 信息泄露）

/%20/swagger-ui.html
/actuator
/actuator/auditevents
/actuator/beans
/actuator/conditions
/actuator/configprops
/actuator/env
/actuator/health
/actuator/heapdump
/actuator/httptrace
/actuator/hystrix.stream
/actuator/info
/actuator/jolokia
/actuator/logfile
/actuator/loggers
/actuator/mappings
/actuator/metrics
/actuator/scheduledtasks
/actuator/swagger-ui.html
/actuator/threaddump
/actuator/trace
/api.html
/api/index.html
/api/swagger-ui.html
/api/v2/api-docs
/api-docs
/auditevents
/autoconfig
/beans
/caches
/cloudfoundryapplication
/conditions
/configprops
/distv2/index.html
/docs
/druid/index.html
/druid/login.html
/druid/websession.html
/dubbo-provider/distv2/index.html
/dump
/entity/all
/env
/env/(name)
/eureka
/flyway
/gateway/actuator
/gateway/actuator/auditevents
/gateway/actuator/beans
/gateway/actuator/conditions
/gateway/actuator/configprops
/gateway/actuator/env
/gateway/actuator/health
/gateway/actuator/heapdump
/gateway/actuator/httptrace
/gateway/actuator/hystrix.stream
/gateway/actuator/info
/gateway/actuator/jolokia
/gateway/actuator/logfile
/gateway/actuator/loggers
/gateway/actuator/mappings
/gateway/actuator/metrics
/gateway/actuator/scheduledtasks
/gateway/actuator/swagger-ui.html
/gateway/actuator/threaddump
/gateway/actuator/trace
/health
/heapdump
/heapdump.json
/httptrace
/hystrix
/hystrix.stream
/info
/intergrationgraph
/jolokia
/jolokia/list
/liquibase
/logfile
/loggers
/mappings
/metrics
/monitor
/prometheus
/refresh
/scheduledtasks
/sessions
/shutdown
/spring-security-oauth-resource/swagger-ui.html
/spring-security-rest/api/swagger-ui.html
/static/swagger.json
/sw/swagger-ui.html
/swagger
/swagger/codes
/swagger/index.html
/swagger/static/index.html
/swagger/swagger-ui.html
/swagger-dubbo/api-docs
/swagger-ui
/swagger-ui.html
/swagger-ui/html
/swagger-ui/index.html
/system/druid/index.html
/template/swagger-ui.html
/threaddump
/trace
/user/swagger-ui.html
/v1.1/swagger-ui.html
/v1.2/swagger-ui.html
/v1.3/swagger-ui.html
/v1.4/swagger-ui.html
/v1.5/swagger-ui.html
/v1.6/swagger-ui.html
/v1.7/swagger-ui.html
/v1.8/swagger-ui.html
/v1.9/swagger-ui.html
/v2.0/swagger-ui.html
/v2.1/swagger-ui.html
/v2.2/swagger-ui.html
/v2.3/swagger-ui.html
/v2/swagger.json
/webpage/system/druid/index.html

2 功能点 - 注册

注册完后登陆的功能也少的可怜，只能上传上传头像。
格式被严格限制，绕不过去，而上传上去了，也是上传到了oss上

没有直接调用oss上的图片资源，而是将用户的图片地址存储起来
控制存储地址， 能造成ssrf

有关图片(头像)操作的地方

baseurl为api的服务器地址，那groupId是什么
翻了翻别的地方的js，
此域名的每个子域名，都对应着一个id，有了id才知道是哪个子公司进行的相应操作

拿到groupId
进行不了相应操作， 没有携带access_token

网站有个注册功能，登陆后，它会自动给你分配一个access_token

3 dnslog