滲透測試思路

​ Another：影子

（主要記錄一下平時滲透的一些小流程和一些小經驗)

資訊收集

前言

筆者很垃圾，真的很垃圾,大佬放過弟弟可好：）

​ 很多人挖洞的時候都是沒有目標的，每次的滲透測試和挖洞都是臨時起意，看到一個點，感覺存在漏洞就會去嘗試，直接sqlmap一把梭，或者burpsuite抓包爆破，或者其他的一些工具利用

​ 但是，真的想去挖一個src的時候，和挖一個站的漏洞的時候，第一步的資訊收集真的很重要

懸劍推薦的資產收集工具：
InfoScraper
專案簡介:Info Scraper是一種介面友好的網路應用資產檢測工具，適合於滲透測試前期對目標資產的快速檢測，如CDN檢測，Web指紋等，專案基於NodeJS，掃描結果直接本地以列表形式展示。 CDN判斷，Web指紋，WHOIS查詢，子域名發現，IP反查域名，IP位置，IP端掃描，靜態檔案中敏感資訊發現如API介面，郵箱，電話等
專案地址:https://github.com/MichaelWayneLIU/InfoScraper
專案標籤:資產探測
推薦理由:資產探測工具
 

資訊收集都是收集那些東西

​ 拿到一個站點的時候，可能是域名，或者ip地址

​ 當拿到域名的時候，收集的東西包括以下（我很垃圾，可能寫的不是特別完整）

子域名

子域名爆破，我遇見的都是直接爆破，利用工具Layer子域名挖掘機等(如下圖)，或者線上的工具，比如https://phpinfo.me/domain/ 大佬部落格的線上爆破子域名，也可以用自己收集的子域名fuzz字典

子域名爆破的時候可能會顯示全部存在，因為在域名解析的時候，將所有域名都泛解析到了一個伺服器上

例如 ：

 		*.starsnowsec.cn 解析到了 66.66.66.66

​		然後伺服器將 *.starsnowsec.cn 域名全部轉發到80埠

這個時候 可以使用title 獲取，利用title或者位元組的不同進行判斷(推薦使用title)
 

網站真實IP

很多滲透測試中可能會存在CDN，那麼如何去查詢網站真實IP

(1) 多地方進行Ping，國內外Ping(站長工具等)
(2) 歷史解析記錄
(3) 郵箱訂閱
(4) nslookup
(5) 子域名查詢真實IP(很多時候，子域名都沒有來得及增加CDN)
(6) 資訊洩露
(7) ......

(
	問： 小影子，這些我都查過了，就是找不到真實IP怎麼辦？
	答： 放棄找到真實IP地址，直接對已知的子域名進行測試，還可以對域名的埠進行爆破
	例如：www.starsnowsec.cn:8001 sxc.starsnowsec.cn:6666
	這些也都是可以收集的點
)

埠

直接nmap掃一下埠，看一下有那些敏感埠，例如80,8888,8080,443,3306,3389
然後去確定自己能夠利用，能夠從哪裡下手的一些埠
例如80,443,8888等一些WEB端的埠，去檢視中介軟體，用的是Apache，Nginx，IIS等一些，直接找到版本對應的exp，然後還有一些框架的漏洞，這些都是資訊收集所需要的,這裡推薦一個Google瀏覽器小外掛Wappalyzer,可以直接檢視到伺服器所使用的一些版本啊什麼的(如下圖)
或者3389,22,21,23,3306等一些其他協議的埠,這些可以利用一些現有的工具去進行爆破該協議

網站使用的服務

例如 公有云OSS，這種一般會可能暴露ACCESS ID ACCESS SERCERT

拿到之後就直接利用行雲管家操作

確定目標埠

如果網站規模較大，網站後臺可能就不會在同一個域名下
例如：
主網站域名為 : www.starsnowsec.cn
網站後臺管理 ：admin.starsnowsec.cn
也有可能是這樣:
主網站域名為 ： www.starsnowsec.cn 網站真實IP為 66.66.66.66 埠為 80 埠
網站後臺管理 ： 66.66.66.66:8001
這些情況都是存在的,也有可能網站真實ip只開放了80埠，域名沒有爆破出來，解析記錄也麼有找到，網站後臺確定了在這臺伺服器上，而且確定了網站後臺管理不在這個域名上，那怎麼辦？
答案：
涼拌(手動狗頭)
伺服器可能開啟了埠轉發，根據訪問的域名的不同，伺服器將不同埠的流量轉發到80埠
這種情況可以換個子域名fuzz字典，搞一個更強勁的字典

IP反查域名

當拿到ip地址的時候，直接掃描一波埠，然後ip反查域名，查出域名之後，在爆破一波域名

(
	問： 小影子，我都拿到ip地址了，為什麼還要多次一舉去反查域名呢?
	答： 因為網站用的伺服器可能不止這一個啊，反查到域名，再爆破域名，可能會有更多的收穫哦
)

社會工程學

社工對於紅隊來說應該是一個很常見的套路，釣魚等都是可以的，過分點跑到人家公司樓下面的都太常見了

現在tg機器人跑路了，筆者也對這方面不是特別瞭解，所以也沒有辦法推薦跟tg機器人類似的，實在抱歉

關於社工，筆者認為比較好點的書籍就是《語言的藝術》等

(筆者也沒有多少的讀過這類書籍，所以只能籠統的去建議這些東西)

Tips：目標是一個通用但是並不開源的系統怎麼辦?

筆者之前打bc的時候遇見過這種情況，目標站點用的是一個通用的系統(如下圖),

​ （打碼真心好評）

​ 目錄掃描，沒有找到有用的資訊，網站真實IP找到之後，nmap掃了一波1-65535 只開啟了 80,3306,22

​ 但是3306埠不允許我的IP訪問，應該有白名單，尷尬

​ 只剩下了22,80,

​ 22埠爆破，直接封了IP

​ 現在還有80埠，目錄掃了，沒有任何特別有用的地方，怎麼辦？？

​ 借用大佬的一句話：

​ 滲透本就是逆天而上

​

​ 死在半路也是很正常

​ (手動狗頭，哈哈哈哈哈哈隔)

​ 前端檔案，基本都會引用js和css檔案，這樣就會暴露js檔案所在的地方，這個時候就可以進行js檔案爆破，畢竟很多登入介面函式的地方都會寫在js檔案中,這種js檔案fuzz字典，網上是有很多的(筆者整理一下，再發出來)，

這裡在推薦一個前端小爬蟲外掛Site Spider

​ 用來爬取前端中的檔案，效率還可以，

​ 然後我發現了一個有趣的地方，這個站引用了一個其他站點的圖片

​ 直接打開了這個域名，哇偶，大發現，這個是站專門來賣這些bc站的原始碼，我的目標就是這個站所賣的原始碼

​ 目標找不到原始碼和漏洞，可以在這邊試一試，直接在上面就能找到功能的測試地址，找了好幾個bc演示站，這些演示站都是在都一個伺服器，只是埠不同，

​ 驚喜就在這，有一個演示站的地方有sql注入

​ 我？？？

​ sqlmap一把梭，直接administrator許可權

筆者矇蔽了,確實懵逼了

​ 這。。。

​ 然後這個演示站用的是IIS，而且有一個檔案目錄洩露，直接訪問Thumb.db檔案爆出網站絕對路徑

​ ............

大致經過就是這樣，如果目標站實在不行，那就去找，使用和這個目標站一樣原始碼的其他站，從其他站和其他站的旁站入手，不能在一棵樹上吊死，

(

​		問：小影子，怎麼去找跟這個目標站一樣原始碼的站啊？

​		答： fofa直接搜尋關鍵字 :)

)

聽大佬說，zoomeye和shadow更搜尋適合裝置，fofa適合搜尋WEB

Tips：大廠SRC 資訊收集收集到的都是別人挖過的，我太垃圾了，挖不到怎麼辦

個人經驗，之前僥倖挖到一個滴滴SRC中危，這個洞是在小程式裡面挖到的

目前，小程式測試裡面的漏洞還是有不少的，可以嘗試嘗試挖取小程式漏洞

(
	問： 小影子，微信小程式怎麼挖取啊，我找不到小程式包的位置?
	答： 網上有很多教程，例如 https://www.jianshu.com/p/52ffef6911a0
	
	問： 小影子，我用手機做代理，burpsuite進行抓包，我證書什麼都安裝了，但是就是抓不到小程式的包，怎麼辦啊？
	答： 微信版本好像要低於一定的版本，高於這個版本是隻信任自己的證書的，而且手機安卓版本好像要低於5.3還是多少，我忘了(手動狗頭),然後在安裝Xposed框架還有一個JustTrustMe，去掉https驗證
	大佬部落格那裡已經整理好了(對不起，我忘了大佬的部落格地址了...)，我這裡只能做個搬運工，原諒我太垃圾了
	
)

後言

​ 滲透測試和挖洞一定要在授權情況下進行，切勿增刪添改資料，切勿影響正常業務