信息收集

  1. 服务器的相关信息(真实ip、系统类型、版本、开放端口、WAF等)
  2. 网站指纹识别(包括cms、cdn、证书等),dns记录
  3. whois信息、姓名、备案、邮箱、电话反查(邮箱丢社工库、社工准备等)
  4. 子域名收集、旁站、C段等
  5. google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等
  6. 扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄露等

  7. 传输协议,通用漏洞,exp,github源码等

    cdn如何判断

  8. GET 请求页面/文件地址,查看 HTTP 响应头中是否存在 “cache xxx” 的值,若存在,则表示有走 CDN

  9. ping + 域名,查看 ping 的实际地址,若实际地址为 CDN 节点地址,则表示有走 CDN

    常见端口及漏洞

    | 协议 | 端口号 | 常见漏洞 | | —- | —- | —- | | HTTP | 80 | 常见web漏洞以及是否为一些管理后台 | | HTTPS | 443 | 一些web漏洞测试 | | FTP | 20/21 | 是否支持匿名,可以跑弱口令 | | Telnet | 23 | | | SMTP | 25 | | | DNS | 53 | | | mysql | 3306 | 默认用户名root | | mssql | 1433 | | | ssh | 22 | 28退格漏洞、OpenSSL漏洞 | | 远程连接 | 3389 | Shift粘滞键后门:5次shift后门,利用ms12-020攻击3389端口 | | DHCP | 67/68 | DHCP劫持 | | tomcat | 8080 | 默认端口、默认用户名admin |

常见渗透思路

原文出处:https://blog.csdn.net/wyvbboy/article/details/51698363

针对网站程序,不考虑服务器

  1. 查找注入,注意数据库用户权限和站库是否同服。
  2. 查找XSS,想办法进入后台
  3. 查找上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,注意查看验证方式是否能绕过,注意结合服务器的解析特性,比如典型的IIS6.0、阿帕奇等。
  4. 查找编辑器,比较典型的ewebeditor、fckeditor等等
  5. 查找phpmyadmin等管理程序,可以尝试弱口令,或者寻找其漏洞。
  6. 百度、谷歌搜索程序公开漏洞。
  7. 猜解文件,如知道某文件为admin_login.php,我们可以尝试admin_add.php、admin_upload.php文件是否存在,也可以谷歌搜索site:exehack.net inurl:edit等等,很多时候可以找到一些敏感文件,接着看看是否验证权限或能否绕过验证。
  8. 会员注册、修改、删除、评论等一切需要操作数据库的地方记得加单引号之类的闭合符,查看是否存在insert、update等类型注入。
  9. 会员或低权限管理登录后可抓包分析,尝试修改超级管理员密码,权限提升。
  10. 通常有下载功能的站我们可以尝试修改下URL文件名,看能否下载站点敏感文件,如数据库配置文件等,数据库不可外连情况下可以尝试数据库密码登陆后台,也可下载上传、登录验证等文件进行代码审计。

  11. 备份文件和后门,某些主站子目录存在分站,我们可以尝试压缩文件是否存在,可能就是子站的源码。也有一些站(通常老站会比较难拿)。还有就是数据库备份、前人的后门等,具体这些目录上的东西就要看你的字典了。

    针对服务器

  12. 通常先扫下服务器开放的端口,再考虑对策。

  13. 比较常见的漏洞,比如IIS6.0、阿帕奇、nginx/IIS7.0(php-fpm)解析漏洞等,还有就是cer、ada之类的解析,.htaccess文件解析配置等。
  14. 弱口令和everyone权限,先扫描服务器开放的端口,比如21对应的FTP、1433对应的MSSQL、3306对应的MYSQL、3389对应的远程桌面、1521对应的Oracle等等,平时可以多搜集字典,有时候效果也是不错的。
  15. 溢出,关于溢出要看系统补丁和服务器使用的软件等等,比如FTP等工具,这里不详解。
  16. 针对一些服务器管理程序,比如tomcat、jboss等等,这种比较常见于大中型的站点服务器。
  17. IIS、apache等各种漏洞

  18. 目录浏览,服务器配置不当,可直接浏览目录。

    迂回战术,旁注和C段

  19. 旁注,针对旁站,我们可以运用到上面说到的方法

  20. C段,基本想到C段就会想到cain,针对C段的站点和服务器,结合上面说的针对目标站、服务器、人、旁站的思路,一个道理。

    提权常用手段

  21. 使用系统溢出提权EXP,这类在提权中最常用,使用的方法大都一致,比如比较常见的巴西烤肉、pr等等,溢出提权通常在Linux上也利用的比较多,注意多收集EXP。

  22. 第三方软件提权,主要还是利用服务器上安装的第三方软件拥有比较高的权限,或者软件的溢出漏洞,比如典型的mssql、mysql、serv-u等等,还有各种远程控制软件,比如pcanywhere、Radmin这类。
  23. 劫持提权,说到这个,相比肯定会想到ipk.dll这类工具,或许可以试试劫持shift、添加开机启动等思路。
  24. 弱口令技巧,我们可以看看有么有什么hack、或者隐藏账户之类的,一般这种用户密码都比较简单,可以尝试下弱口令,还有之前说过的各种数据库、远程控制软件、FTP软件的弱口令,没办法的时候就去扫扫碰碰运气吧。
  25. 信息收集,注意查看一下硬盘各种文档,说不定各种密码就在里面。内网渗透时,信息收集是非常重要的,记得拿下服务器了GET一下明文密码。

    常见Windows命令

    windows命令.pdf

    常见Linus命令

    常用命令.pdf