跟随大佬的脚步进行学习! 信息收集
写在开头:
知识面,决定看到的攻击面有多广。
知识链,决定发动的杀伤链有多深。
论坛是获取知识很快的地方,花时间逛论坛,花时间把自己看到的东西记住,写下来,明其思路,记其方法,用时方知。
1.1域名注册信息
Whois 目标域名/主机名:whois https://whois.aizhan.com
https://who.is/ 国外的一个网站 可以得到邮箱
whois查询了ip,电话,邮箱等信息可以扩展注册人信息,微信等应用信息,确定公司或者个人信息,反查公司域名,c段等
1.1.1 站长之家whois查询:http://whois.chinaz.com
1.1.2 爱站长工具网:https://whois.aizhan.com
1.1.3 Vieus Total: https:// www.virustotal.
1.1.4 Icannlookup: https://lookup.icann.org
1.2 备案信息查询
通过备案信息查询可以了解注册人相关信息,查询到邮箱,公司地址,架构,公司相关的资产信息
1.2.1 IPC备案查询网:http://www.beianbeian.com
1.2.2 天眼查:http://tianyancha.com
1.2.3 阿里企查查:https://www.qcc.com/
*这个是第一步 先查找目标的信息 *
正常情况下,通过cmd命令可以快速找到域名对应IP,最常见的命令如ping nslookup 得到对方的ip,得到手机号qq号可以在网站后台爆破时将手机qq号qq邮箱进行爆破
*但是有一个东西叫CDN服务 可以隐藏自己的真实ip 把ip隐藏在分布式的访问服务器之后,没法得到真实ip *
首先:验证是否开启了CDN
使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN, 多地 Ping 网站有:
http://ping.chinaz.com/
小方法:浏览器切换手机模式,公众号,小程序的资产中可能没有购买cdn服务,存在真实ip
上面不存在之后,
第一
第一步 DNS历史解析记录
查询历史DNS记录(ip的历史解析域名,域名的历史解析ip)
查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录,相关查询网站有:
https://dnsdb.io/zh-cn/
https://x.threatbook.cn/
https://censys.io/ipv4?q=baidu.com
非常牛逼的IP记录站,还能分析内链之类找出可能的IP地址,此外还会记录历史。(ssl证书)
http://viewdns.info
同样是个令站长十分蛋疼的DNS历史记录网站,记录了几年内的更改记录。
http://securitytrails.com
https://site.ip138.com/
庞大的DNS历史数据库,可以查出几年内网站用过的IP、机房信息等。
http://iphostinfo.com
注意:这个网站可以遍历FTP、MX记录和常见二级域名,有些站长喜欢把邮箱服务也放在自己主机上,侧面泄露了真实的IP地址,通过这个网站可以进行检查。
第二步 查询子域名
**很多时候,一些重要的站点会做CDN,而一些子域名站点并没有加入CDN,而且跟主站在同一个C段内,这时候,就可以通过查找子域名来查找网站的真实IP。,我常用的有二级域名法,目标长得一般不会把所有的二级域名放在cdn上,伤钱呐,确定了没有使用CDN的二级域名后,本地将目标域名绑定到同ip,能访问就说明目标站与二级域名在同一服务器叶可能在同C段,扫描C段所有开80端口的ip,挨个尝试。
**
怎么说 各种工具用的越多越容易找到更多的子域名,说不定就可以找到有问题的站成为突破口
主动式
layer子域名挖掘机(字典爆破)
oneforall(kali)
http://z.zcjun.com/ (在线子域名挖掘)
被动式
http://tool.chinaz.com/subdomain/ (站长)
http://searchdns.netcraft.com/(国外网站 还可以 好用)
通过关键字或网站域名,就可以找出被收录的IP,很多时候获取到的就是网站的真实IP。
钟馗之眼:https://www.zoomeye.org
Shodan:https://www.shodan.io
Fofa:https://fofa.so
利用SSL证书寻找真实IP
证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中,SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。
小步骤
mage](https://img2020.cnblogs.com/blog/2471207/202108/2471207-20210801232149186-189196806.png)
转换成十进制
https://tool.lu/hexconvert/
SSL证书搜索引擎:
https://censys.io/ipv4?q=github.com
LTM解码法
当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取,例如:Set-Cookie:
BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。
国外主机解析域名
大部分 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的DNS查询,很可能获取到真实IP。
https://asm.ca.com/zh_cn/ping.php
http://host-tracker.com/
http://www.webpagetest.org/
https://dnscheck.pingdom.com/
CDN配置不当导致绕过
在配置CDN的时候,需要指定域名、端口等信息,有时候小小的配置细节就容易导致CDN防护被绕过。
*案例1:为了方便用户访问,我们常常将www.test.com 和 test.com 解析到同一个站点,而CDN只配置了www.test.com,通过访问test.com,就可以绕过 CDN 了。
案例2:站点同时支持http和https访问,CDN只配置 https协议,那么这时访问http就可以轻易绕过。
*
端口服务和漏洞利用
一般情况下拿到ip,就可以对ip进行主动探测
面对一个目标主机时,我们往往通过端口扫描来了解目标主机开放的端口和服务。当看到一个端口号时,你是否已经猜到它是什么服务,以及它可能存在哪些安全漏洞和利用姿势呢?
1、远程管理端口
22 端口(SSH)
SSH(Secure Shell)是一种能够让用户安全访问远程系统的网络协议,它为不安全网络中的两台主机提供了一个强加密数据通信通道。SSH是Linux、UNIX系统管理员操作和管理主机的首选方式。虽然SSH比其他通信方式更加安全,但是错误的配置也可能导致其出现安全问题。
安全攻击:弱口令、暴力猜解、用户名枚举
利用方式:
1、通过用户名枚举可以判断某个用户名是否存在于目标主机中,
2、利用弱口令/暴力破解,获取目标主机权限。
nmap扫描出22端口 然后用九头蛇爆破
23 端口(Telnet)
安全漏洞:弱口令、明文传输
利用方式:
1、通过弱口令或暴力破解,获取目标主机权限。
2、嗅探抓取telnet明文账户密码。
telnet服务开启在23端口,是一种远程传输端口协议服务,通常密码设置多为弱口令,可以用九头蛇爆破
3389 端口(RDP)
RDP是运行在3389端口上的Microsoft协议,用户可远程访问内部系统。多数情况下,RDP运行在Windows服务器上,并承载部分服务,例如Web服务、文件服务等,它也可以连接到工业控制系统。RDP端口通常暴露于Internet,非法访问可使攻击者访问整个网络,并用作传播恶意软件的入口。
安全漏洞:暴力破解
利用方式:通过弱口令或暴力破解,获取目标主机权限。
https://www.freebuf.com/articles/network/276242.html 具体可参考该文章,详细讲述了rdp 即利用远程桌面服务RDP 可以达到的效果和方法,包括破解弱口令登录,拿到主机的meterpreter 通过快速配置启动rdp,哈希传递登录rdp(win server 2012r2),以及用msf 利用exp来对3389端口进行攻击的实例,讲得非常好。
5900 端口(VNC)
vnc 一个很好用的服务器管理工具,通过弱密码爆破破解登录
https://www.cnblogs.com/xiehong/p/12597399.html
web中间件-服务端口
1090/1099 端口(RMI)
安全漏洞:JAVA RMI 反序列化远程命令执行漏洞
利用方式:使用nmap检测端口信息。
端口信息:1099/1090 Java-rmi Java RMI Registry
检测工具:attackRMI.jar
RMI 就是JAVA语言调用外部对象的一个功能,利用反序列化编译来执行漏洞,具体文章
https://www.freebuf.com/articles/web/252561.html
7001 端口(Weblogic)
安全漏洞:弱口令、SSRF、反序列化漏洞
利用方式:
1、控制台弱口令上传war木马
2、SSRF内网探测 *
3、反序列化远程代码执行等
https://www.freebuf.com/vuls/194811.html 文章是关于weblogic的漏洞的演示,复现,工具也进行了下载,主要利用的是weblogic的T3协议进行反编译话命令执行直接执行系统命令。然后利用军刀反弹shell。
https://www.freebuf.com/articles/web/169770.html 文章介绍了weblogci反序列化的几个漏洞的成因和影响,主要是原理,和影响版本
Weblogic 10.3.6.0 /12.1.3.0/12.2.1.2/12.2.1.3
8000 端口(jdwp)
jdwp 命令执行 JDWP(Java DEbugger Wire Protocol):即Java调试线协议,是一个为Java调试而设计的通讯交互协议,它定义了调试器和被调试程序之间传递的信息的格式
安全漏洞:JDWP 远程命令执行漏洞
端口信息:
8000 jdwp java Debug Wire Protocol
检测工具:https://github.com/IOActive/jdwp-shellifier
8080 端口(Tomcat(8080 8089))
安全漏洞:弱口令、示例目录 远程代码执行,文件包含 Tomcat8
利用方式:通过弱口令登录控制台,上传war包。
https://www.freebuf.com/articles/web/281158.html
一个新的刚写的小总结写得很不错
简略预览
为什么需要上传wa包,为什么不是 tar.zip??
war包是用来进行Web开发时一个网站项目下的所有代码,包括前台HTML/CSS/JS代码,以及后台 JavaWeb的代码。当开发人员开发完毕时,就会将源码打包给测试人员测试,测试完后若要发布则也会打包成War包进行发布。War包可以放在Tomcat下的webapps或word目录,当Tomcat服务器启动时,War包即会随之解压源代码来进行自动部署。
Tomcat manager App暴力破解
包括
Tomcat弱口令&后台getshell漏洞
远程代码执行(CVE-2019-0232)
Apache Tomcat7.0.0-7.0.81(默认配置)的tomcat任意文件写入
Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39
Apache Tomcat 7.0.0 to 7.0.93
Tomcat AJP文件包含漏洞分析(CVE-2020-1938)
*由于 Tomcat在处理AJP请求时,未对请求做任何验证
通过设置AJP连接器封装的 request对象的属性,导致产生任意文件读取漏洞和代码执行漏洞!*
Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x<8.5.51
Apache Tomcat 7.x<7.0.100
Apache tomcat 6.x
8080 端口(Jboss)
安全漏洞:未授权访问、反序列化。
利用方式:
1、未授权访问控制台,远程部署木马
2、反序列化导致远程命令执行等。*
https://www.freebuf.com/vuls/271695.html
一个漏洞复现的文章 写的很清楚
(JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)*
该漏洞位于JBoss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。
反序列化漏洞(CVE-2015-7501)
该漏洞的产生是由于JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象,利用Apache Commons Collections中的Gadget执行任意代码
JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏任意代码。
JMX Console未授权访问漏洞
,在默认未配置的情况下,可以访问/jmx-console目录,并部署相关war包
Administration Console 弱口令
反序列化访问地址确认漏洞的url
http://192.168.112.148:8080/invoker/JMXInvokerServlet (CVE-2015-7501)
http://192.168.112.148:8080/invoker/readonly(CVE-2017-12149)
http://192.168.112.148:8080/invoker/EJBInvokerServlet(CVE-2013-4810)
http://192.168.112.147:8080/jbossmq-httpil/HTTPServerILServlet-(CVE-2017-7504)
检测工具:java反编译工具终极版
其余8080端口服务看https://www.cnblogs.com/xiaozi/p/13296754.html 然后进行学习
8161 端口(ActiveMQ)
安全漏洞:弱口令、任意文件写入、反序列化
利用方式:默认密码admin/admin登陆控制台、写入webshell、上传ssh key等方式。
9043 端口(webSphere)
安全漏洞:控制台弱口令、远程代码执行
后台地址:https://:9043/ibm/console/logon.jsp
https://www.freebuf.com/vuls/247028.html
相关文章
3、数据库端口
389 端口(ldap)
安全漏洞:未授权访问 、弱口令
利用方式:通过LdapBrowser工具直接连入。
1433 端口(Mssql)
安全漏洞:弱口令、暴力破解
利用方式:差异备份getshell、SA账户提权等
Mssql数据库服务未降权
已获取到数据库密码
使用xp_cmdshell进行提权
1521 端口(Oracle)
安全漏洞:弱口令、暴力破解
利用方式:通过弱口令/暴力破解进行入侵。
3306 端口(MySQL)
安全漏洞:弱口令、暴力破解
利用方式:利用日志写入webshell、udf提权、mof提权等。
浙公网安备 33010602011771号