渗透信息收集–资产探测
python2 knockpy.py www.ycxy.com
python2 subDomainsBrute.py www.ycxy.com -o 123.txt
dirsearch.py [-u|–url] target [-e|–extensions] extensions [options]web路径收集与扫描
实战某大学
信息收集:
来源 url采集
inurl:xxx.php 学校
注入点批量检测 :枫叶
sql注入验证 safe3 注入安全检测
猜解表名 字段名
burpsuite抓包
- 浏览器代理
proxy 抓包拦截–>intruder
clear - 选中密码 $add
- 选择字典
payloads options --> load - start attack
admin权限进后台 getshell(wordpress后台审计)
插件 -->上传插件zip格式包
上传xxx.zip 内容x.php
- 原理 源码中自解压 到 /wp-content/upgrade/xxx/x.php
- 配置删除后ban访问
生成字典
社会工程学 密码生成工具 -猜密码
http://www.hacked.com.cn/pass.html
或者自己写一个
开源系统/github泄漏 敏感目录/文件
-
后台
-
敏感配置文件
eg: wordpress 默认后台 http://xxxx.com/wp-login.php
admin -
历史密码
-
QQ
-
姓名 字母拼写
-
家庭住址
-
学校
-
网站/域名
-
邮件地址
web渗透 一般步骤 及 实战思路
- 1 站长之家 类似 全国测速(ping) 判断有无cdn加速节点
- 2 无节点 进行
端口 + 服务器 系统指纹扫描 (从 软件漏洞 和 系统漏洞下手) - 3 C段扫描 旁站+ 内网渗透
2020 .3.16
-
没事闲的 逛逛fofa 发现还是 admin 空
-
但是 、、、、
-
这是个什么鬼
-
iis + asp
-
大马试一试
-
老鼠盗洞 一打一个准
-
已经擦了屁股 删了入口
-
逗的是 好像是个人电脑
-
应该是某某小区的门卫电脑忘记关掉了
-
这个shell 不好用 一句话连一下
you haven’t updated sqlmap for more than 440 days!!!
1 前端信息泄露
1 调试器
static目录 下的 webpack目录
Webpack 是一个前端资源加载/打包工具。 它将根据模块的依赖关系进行静态分析,然后将这些模块按照指定的规则生成对应的静态资源。 可以将多种静态资源 js、css、less 转换成一个静态文件,减少了页面的请求。 它的存在依赖于node.js
包揽了其它静态文件 , 可以从中找一下敏感数据或是接口
- 平常项目 api所部署的服务器中间件会更多
看起来都是SpringBoot框架
burp和spring专属字典 (springboot 信息泄露)
/%20/swagger-ui.html /actuator /actuator/auditevents /actuator/beans /actuator/conditions /actuator/configprops /actuator/env /actuator/health /actuator/heapdump /actuator/httptrace /actuator/hystrix.stream /actuator/info /actuator/jolokia /actuator/logfile /actuator/loggers /actuator/mappings /actuator/metrics /actuator/scheduledtasks /actuator/swagger-ui.html /actuator/threaddump /actuator/trace /api.html /api/index.html /api/swagger-ui.html /api/v2/api-docs /api-docs /auditevents /autoconfig /beans /caches /cloudfoundryapplication /conditions /configprops /distv2/index.html /docs /druid/index.html /druid/login.html /druid/websession.html /dubbo-provider/distv2/index.html /dump /entity/all /env /env/(name) /eureka /flyway /gateway/actuator /gateway/actuator/auditevents /gateway/actuator/beans /gateway/actuator/conditions /gateway/actuator/configprops /gateway/actuator/env /gateway/actuator/health /gateway/actuator/heapdump /gateway/actuator/httptrace /gateway/actuator/hystrix.stream /gateway/actuator/info /gateway/actuator/jolokia /gateway/actuator/logfile /gateway/actuator/loggers /gateway/actuator/mappings /gateway/actuator/metrics /gateway/actuator/scheduledtasks /gateway/actuator/swagger-ui.html /gateway/actuator/threaddump /gateway/actuator/trace /health /heapdump /heapdump.json /httptrace /hystrix /hystrix.stream /info /intergrationgraph /jolokia /jolokia/list /liquibase /logfile /loggers /mappings /metrics /monitor /prometheus /refresh /scheduledtasks /sessions /shutdown /spring-security-oauth-resource/swagger-ui.html /spring-security-rest/api/swagger-ui.html /static/swagger.json /sw/swagger-ui.html /swagger /swagger/codes /swagger/index.html /swagger/static/index.html /swagger/swagger-ui.html /swagger-dubbo/api-docs /swagger-ui /swagger-ui.html /swagger-ui/html /swagger-ui/index.html /system/druid/index.html /template/swagger-ui.html /threaddump /trace /user/swagger-ui.html /v1.1/swagger-ui.html /v1.2/swagger-ui.html /v1.3/swagger-ui.html /v1.4/swagger-ui.html /v1.5/swagger-ui.html /v1.6/swagger-ui.html /v1.7/swagger-ui.html /v1.8/swagger-ui.html /v1.9/swagger-ui.html /v2.0/swagger-ui.html /v2.1/swagger-ui.html /v2.2/swagger-ui.html /v2.3/swagger-ui.html /v2/swagger.json /webpage/system/druid/index.html
2 功能点 - 注册
注册完后登陆的功能也少的可怜,只能上传上传头像。
格式被严格限制,绕不过去,而上传上去了,也是上传到了oss上
没有直接调用oss上的图片资源,而是将用户的图片地址存储起来
控制存储地址, 能造成ssrf
有关图片(头像)操作的地方
baseurl为api的服务器地址,那groupId是什么
翻了翻别的地方的js,
此域名的每个子域名,都对应着一个id,有了id才知道是哪个子公司进行的相应操作
拿到groupId
进行不了相应操作, 没有携带access_token
网站有个注册功能,登陆后,它会自动给你分配一个access_token
3 dnslog