|
|
|
联系客服020-83701501

渗透中寻找突破口的那些事

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
浸透中探求攻破口的那些事

0x00 探求目标

在本人集体检测中以及察看他人检测思路发明前期收集动静具有很关头的沾染,很多时刻不需求对某种裂缝有很深的钻研,假如前期收集了充足多的目标,只需求检测一些常见的高危裂缝就可有收获罕用思路

1.网段动静

1)经由子域名

假如存在域传送这种裂缝是最佳的,不有的话个体就要暴破子域名了

我罕用的软件为dnsmap,根柢用法

Default
1 ./dnsmap?target-domain.com?-w?你的域名字典?-r?要生活后果文件的绝对途径

针对做了泛解析的域名梗概操纵-i?需忽略ip来避免误报,如对域名xxx.com的暴破进程中不存在域名都解析到1.1.1.1上,则操纵命令为

Default
1 ./dnsmap?xxx.com?-w?domain.txt?-i?1.1.1.1?-r?/tmp/result.txt

后果为下列项目:

2014083012324194719.png

个中默认编译的dnsmap存在一个标题问题,计划动作与其它操纵动作请参考

http://pan.baidu.com/s/1nt5HMw5

自己梗概在默认字典的底子上加一些如oa、zabbix、nagios、cacti、erp、sap、crm等等,不少企业但凡这种命名举措

浸透的话个体会从oa,mail等事多营业网段探求目标,假如发明有些筹算后台的域名为

xx.admin.xxx.com这种,则可持续裁减,探求admin.xxx.com下的三级域名

曾检测某站时无意发明一个ntp.nb.xxx.com的域名,进而暴破nb.xxx.com这个域名,后果下列

2014083012332478937.jpg

个中zabbix.nb.xxx.com这个网站暴露到了外网,版本较低,操纵zabbix的注入裂缝败北取得权限

2014083012334836324.jpg

同时子域名也可经由征采引擎语法site:xxx.com收集(不时削减条件,可取得的更多,如inurl,intitle等等)

2)AS号

Jwhois操纵动作

Default
1 yum?install?-y?jwhois

履行

Default
1 whois?-h?asn.shadowserver.org?origin?1.1.1.1

可失掉ip所在企业的AS号

持续履行

Default
1 whois?-h?asn.shadowserver.org?prefix?as号

就可失掉该as号对应网段

注:个体只需大企业才会有as号,并且一个企业可能会有多个as号

3)DNS2014083012343269530.jpg

4)spf记录

2014083012350888436.jpg

如何武断cdn?

假如误把cdn的ip加到目标里会影响一些人工工夫,如何武断cdn?最繁杂的动作是用多地ping功用

http://ping.chinaz.com/

2014083012353084184.jpg

2.独霸what网站探求网站入口

操纵动作

Default
1 ./what网站?1.1.1.1/24?--log-brief=output_file(详细操纵参考操纵注明)

默认的话只辨认80端口的,假如此时咱们想辨认下8080端口,再加之–url-suffix=”:8080”就可

可遵照title,cms等动静探求目标,个体把后台大概存在已知裂缝的琐屑作为目标,同时可探求nginx低版本存在解析裂缝的网站,受影响版本为0.5全版本,0.6全版本,0.7<=0.7.65,0.8<=0.8.37

附上一则实例:

在检测某企业时,what网站批量辨认指纹发明存在一台nginx版本比拟低且存在解析裂缝的网站,首页为空白页,对目次布局暴破发明.bash_history文件

2014083012360122353.jpg

独霸历史中发明有打包文件且放在网站目次下

2014083012364544754.jpg

下载打包文件,内容下列

2014083012371464932.jpg

个中发明有log文件,且log文件会记录user-agent动静

2014083012373986307.jpg

操纵firefox插件User?Agent?Switcher更动user-agent动静

2014083012375814489.jpg

一句话代码写入log文件后独霸解析裂缝间接取得网站shell

2014083012381959967.jpg

3.独霸nmap探求可独霸处事

详细用法参考操纵手册,小我罕用命令为(-P0参数视环境削减,假如不有禁ping梗概不加,抬举速率)

Default
1 ./nmap?-sT?-sV?1.1.1.1/24?-P0?-oN?/tmp/port_result.txt?--open

Ip较少的环境下梗概扫全端口以及一些根柢动静

Default
1 ./nmap?-sT?-sV?-p?1-65535?1.1.1.1?-P0?-A

独霸nmap梗概发明一些非80/443/8080这种常见端口上的网站以及一些繁杂出标题问题的端口如

873(rsync无验证)/21(ftp匿名账户)/11211(memcache无验证)/27017(mongodb无验证)等,碰着不体会的处事别急着坚持,去exploit-db等网站搜一下可否存在已知裂缝吧,说不准间接找到个RCE呢(很多时刻我也会在乌云search一下,搜到的话便是理论例子,看着更直白)

4.独霸征采引擎探求后台或事多琐屑

罕用征采语法为site:xxx.com?inurl:login

Inurl的值梗概自由更动,罕用的网罗admin、manage大概操纵intitle:找筹算、登录之类的关头字,有些网站进去的后果可能多数为抗衡网站下的误报,比方博客类的,问问类的,可操纵-来削减误报,比方google中征采site:baidu.com?inurl:login?-zhidao就梗概在后果中去除zhidao干系的后果,baidu可输入

Default
1 site:baidu.com?inurl:login?-site:zhidao.baidu.com

实例参考:?WooYun: 对苏宁易购一次完整的网站检测进程(多图)

5.搞一个精简的途径字典

咱们梗概把繁杂出标题问题且危害比拟高的常见途径做成一个精简的小字典,针对已往收集的域名去遍历,比方/invoker/JMXInvokerServlet、wwwroot.zip这种,发明的话很大概率梗概搞到权限

0x01 独霸

这里列出几个常见的琐屑独霸动作

1. 后台

当后背的进程中发明后台大概事多琐屑时,个体会进行下列几种检测

1)awvs剖析扫描(经常故意外发明) 2)目次布局暴破 3)口令暴破(admin不可的时刻,纷歧定是密码不同错误,很多时刻是用户名不同错误,尝试想到的可取得用户名的全体动作,如翻翻js、css文件,html源码批注内容,大概.svn目次下的动静泄露等,密码可针对琐屑称说及域名等动静做一些变形加到字典中) 4)Html源码、js等文件取得动静(有些开辟者会把一些筹算地点以批注形式放到html源码中,筹算的接口地点写在js中,运气好的话梗概间接越权访问) 5)参数值暴破(一些框架写的后台登岸页面可能是这种项目xx.com/?c=login,集体梗概收集一些常见的参数值,如index、main、upload、edit、adduser等、运气好的话梗概间接越权独霸)

2. axis2

文件搜罗:

www.xxx.com/axis2/services/listServices?查看全部services

www.xxx.com/axis2/services/xxxxx?xsd=../conf/axis2.xml?xxxxx变化方便处事均可,读取axis2配置文件取得后台账户

2014083012385029649.jpg

www.xxx.com/axis2/axis2-admin/?登岸筹算后台

后台铺排文件代码履行:

操纵metasploit

2014083012392773538.jpg

Resin

文件读取:

http://www.xxx.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd

2014083012401614058.png

也梗概经由

http://www.xxx.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=http://1.1.1.1

完成SSRF

solr急速动静泄漏

http://xxx.org:8080/solr/admin/file/?file=solrconfig.xml

征采xml文件,找到data-import.xml

2014083012404391496.jpg

访问http://xxx.org:8080/solr/admin/file/?file=data-import.xml取得数据库密码

2014083012411280552.jpg

Hudson(jenkins相同)

参考?WooYun: 搜狐某利用远程Groovy代码履行!

Zenoss

Google关头字:intitle:”Zenoss?Login”

默认口令admin/zenoss

独霸动作参考

WooYun: 从一个默认口令到youku和tudou内网(危害较大请尽快修复)

Zabbix

后台:http://www.xxx.com/zabbix

默认密码:admin/zabbix

Google:inurl:zabbix/dashboard.php

独霸动作参考?WooYun: 利用汇zabbix运维不妥导致方便命令履行。

其它这个zabbix注入的也很多都存在http://drops.wooyun.org/papers/680

Cacti

默认登岸途径www.xxx.com/cacti/index.php

默认密码admin/admin

独霸动作参考?WooYun: cacti后台登岸命令履行裂缝

Splunk

默认后台地点:

http://xxx.com:8000/zh-CN/account/login?return_to=%2Fzh-CN%2F

2014083012413824936.jpg

默认账户admin/changeme??默认端口8000

2014083012415718222.jpg

筹算器-利用-从文件铺排利用处可失掉shell

2014083012421664684.jpg

msf有独霸模块

exploit/multi/http/splunk_upload_app_exec

2014083012423574417.jpg

0x02 结尾

推荐两篇乌云剖析性介绍文章

1.从乌云看运维安全那点事儿

http://drops.wooyun.org/papers/410

2.攻击JavaWeb利用7-Server篇1

http://drops.wooyun.org/tips/604

[via@HRay] 注:本文来自乌云drops,系乌云民间受权转载,请勿在民间未受权的环境下转载本文!

数安新闻+更多

证书相关+更多