MENU

对自己的渗透测试思路的总结

对自己的渗透测试思路的总结

前言

想要进一步的提高自己的水平就得断总结,优化测试流程.
于是就写下了这篇文章,当然思路不仅仅是这样看情况而定.


  • 0x00-目标的建立

域名信息的收集


首先我们需要渗透一个目标首先要掌握他的域名和ip范围等信息,就需要收集域名信息.
1.域名注册人信息收集whois
寻找相关的其他域名扩大攻击面,当然如果是域名代理商注册的域名就忽略这步.一般常用的就是站长之家的站长工具whois查询
2.子域名爆破
子域名爆破一般都是使用工具进行dns的查询然后在获得域名对应的ip.
常用的有Seay法师的Layer子域名挖掘机还有lijiejie的subDomainsBrute
subDomainsBrute比较有特点的是用小字典递归地发现三级域名,四级域名、五级域名等不容易被探测到的域名,有时候是突破口哦.
3.域传送漏洞
这个遇到比较少原因是企业自己搭建的DNS服务器配置不当造成的.
DNS域传送信息泄露批量网站DNS区域传送漏洞检测——bash shell实现
4.cdn
(1).判断目标是否使用了cdn使用站长之家的多ping工具多地区的ping使用了cdn的ip会很多.
(2).找phpinfo就得看字典大不大了.
(3).查询域名的解析记录,说不定很久以前没用过cdn呢.netcraft
(4).子域名爆破中出现ip比较连续的c段或者是mail的c段都可以尝试一下.
5.利用搜索引擎的site语法有时候也是有意想不到的收获.


  • 0x01-寻找突破口

1.收集邮箱(命名格式),收集工号等信息(百度文库等等),搜索相关QQ群收集相关企业员工的社交账号.案例:从逛知乎到登录bilibili主站后台从一个QQ群号到登入bilibili内网
2.github上寻找相关的信息.案例:看我如何进入并且漫游京东内网当然不仅仅泄漏这些还可能泄漏数据库连接信息,邮箱密码,uckey,阿里osskey,有时候还会泄漏源代码等等.
然后就是对收集到的ip进行常见端口的服务的识别弱口令以及漏洞的利用了.
常用的东西有NMAP,HSCAN,HYDRA 还有就是wils0n写的凤凰扫描器

web类(web漏洞/敏感目录): 
第三方通用组件漏洞struts thinkphp jboss ganglia zabbix cacti
80 
80-89 
8000-9090 
特殊服务类(未授权/命令执行类/漏洞):
1099 rmi命令执行
8000 jdwp java调试接口命令执行 
443 SSL心脏滴血 
873 Rsync未授权 
5984 CouchDB http://xxx:5984/_utils/ 
6379 redis未授权 
7001,7002 WebLogic默认弱口令,反序列 
9200,9300 elasticsearch
11211 memcache未授权访问 
27017,27018 Mongodb未授权访问 
50000 SAP命令执行 
50060,50070,50030 hadoop默认端口未授权访问 
2375,docker未授权访问
3128 squid代理默认端口
2601,2604 zebra路由,默认密码zebra
4440 rundeck
4848 glassfish 中间件弱口令 admin/adminadmin
9000 fcigphp代码执行
9043 websphere 弱口令admin/admin
常用端口类(扫描弱口令/端口爆破): 
21 ftp 
22 SSH 
23 Telnet  
161 SNMP 
389 LDAP  
445 SMB 
1433 MSSQL 
1521 Oracle 
3306 MySQL 
3389 远程桌面 
5432 PostgreSQL 
5900 vnc

当然仅仅是默认的,有些修改了端口就得通过nmap来识别.
然后是对web的测试
文件目录的暴力探测,网站备份,未授权可访问的url
御剑,weakfilescan
cms的识别主要是whatweb+收集的指纹
sql注入一般是手工测试验证用sqlmap或者自写python脚本
手工测试语句a' or 'a'='a正常 a' or 'a'='b 异常 1%'and'%'='正常 1%'and'%'='a 异常 %' and 1=1 and '%'='正常 %' and 1=2 and '%'=' 异常
xss的话就是各种反馈处,反正就是见框就插代码.利用xss平台来获得cookies然后登录到后台进行进一步的利用和挖掘.
一般后台就是爆破或者是存在注入可以使用万能密码登录等等.
然后进了后台寻找上传漏洞注入漏洞任意文件读取什么的.
常见cms的漏洞利用脚本的收集.
乌云 seebug
爆破和社会工程学进入mail和oa一切需要登录的入口获取更多的信息(vpn,内网信息,各种密码信息)以及权限来进一步的得到shell进入内网.
常用的工具有burp
mail可以收集员工账号进一步爆破获得更多的企业信息.扩大攻击面.


  • 0x02-内网漫游的开始

1.得到webshell以后我们需要开代理和反弹端口.
socket可以使用lcx rtcp.py htran ssocks xsocks
然后是web代理
sock代理 regeorg phpsocks reduh tunna
搭建vpn服务
2.从邮箱中得到vpn信息拔入内网.
3.SSRF获得内网shell反弹进入内网.小米某处SSRF漏洞(可内网SHELL 附多线程Fuzz脚本)


进入内网之后我们需要寻找各种平台和web还有各种服务,还有域控.还有在内在进行一次子域名爆破内部dns服务器会有惊喜.
尽可能多的获得内网的权限.一般内网的通病就是各种端口的弱口令,选用合适的工具和字典可以在内网飞起.

win

ipconfig /all 先查询本机在的ip段和所在的域
net view 计算机列表
net view /domain 查看域 /工作组
net localgroup administrators 本机管理员和域用户
net user /domain 查询域用户
net group "domain admins" /domain 查询域管理员用户组

找域控

net group "domain controllers" /domain 查看域控
dns服务器可能是域控
net time /domain 主域服务器做时间服务器

还有些工具dsquery,AdFind,ldifde,Sysinternals' AD Explorer
相关的用法和功能百度有.
可使用MS14-068 GPP漏洞
域渗透参考
linux参考Mickey大牛的ppt

渗透测试中的技巧

当然只是写出了内网渗透的一小部分而已,多关注乌云上面几个老师傅的漏洞会学到很多.
如果对上面有什么想法和补充的大牛欢迎联系我啊.

Tags: None
Archives QR Code
QR Code for this page
Tipping QR Code
Title - Artist
0:00