标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2020-2590]   作者: hudie 发表于: [2020-02-21]

本文共 [82] 位读者顶过

当你对一个指定网入侵的时候,什么是最重要的呢?毫无疑问,那就是思路。有了思路,会让你的渗透事半功倍,下面讲给大家介绍一些渗透的思路与方法。当然更重要的还有自己的动手能力和对漏洞原理和相关安全工具的使用熟练程度。

[出自:jiwo.org]

渗透操作系统(服务版本号漏洞检索法)


操作系统类漏洞一般都是大神们通过代码审计/逆向分析挖掘的漏洞,这需要高深的知识储备,对于一般的渗透而言利用已知漏洞即可,不用也不要自己去挖掘这类漏洞。而查找操作系统类漏洞关键的操作就是确定端口后边的软件及软件版本,然后得用得到的软件名+软件版本到各漏洞库去查找其存在的漏洞乃至exp。这里不妨称之为“服务版本号漏洞检索法”。


获取正在监听端口的软件及该软件的版本号


 比如假设我们探测到8080端口为tomcat监听,版本号为8.5.14



搜索已有漏洞库,获取该软件及相应版本存在的漏洞列表

搜索CVE漏洞库,获取软件及相应版本存在的漏洞列表

http://www.cvedetails.com/version-search.php


这样我们就找到了tomcat 8.5.14版本存在的几个漏洞,后边以CVE-2017-12617为例


查看CVE具体信息

在cvedetails查看CVE具体信息
https://www.cvedetails.com/




在mitre查看CVE具体信息

http://cve.mitre.org/cve/search_cve_list.html




通过CVE查找EXP

在上边的cvedetails或mitre结果中拉到后边的References For CVE-xxx参考区里边有可能有exp链接


在上边已经可看到CVE-2017-12617对应的exploit-db和metasploit中的exp链接

在上边的cvedetails中直接点击搜索twitter/youtube/google





到metasploit数据库查找exp(msfconsole中search可能需要更新)

https://www.rapid7.com/db/modules/


到exploit数据库查找exp(不爬墙验证码一般出不来,那只能kali中searchsploit了)

https://www.exploit-db.com/search/


到github查找exp

https://github.com/search


针对网站程序,不考虑服务器。


一、查找注入,注意数据库用户权限和站库是否同服。

二、查找XSS,最近盲打很流行,不管怎样我们的目的是进入后台。

三、查找上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,注意查看验证方式是否能绕过,注意结合服务器的解析特性,比如典型的IIS6.0、Apache等。

四、查找编辑器,比较典型的ewebeditor、fckeditor等等。

五、查找phpmyadmin等管理程序,可以尝试弱口令,或者寻找其漏洞。

六、百度、谷歌搜索程序公开漏洞。

七、猜解文件,如知道某文件为admin_login.php,我们可尝试admin_add.php、admin_upload.php文件是否存在,也可以谷歌搜索site:cnseay.com inurl:edit等等,很多时候可以找到一些敏感文件,接着看是否验证权限或能否绕过验证,这像冰风说高级语法。

八、会员注册、修改、删除、评论等一切需要操作数据库的地方记得加单引号之类查看是否存在insert、update等类型注入。

九、会员或低权限管理登陆后可抓包分析,尝试修改超级管理员密码,权限提升。

十、通常有下载功能的站我们可以尝试修改下URL文件名,看能否下载站点敏感文件,如数据库配置文件等,数据库不可外连情况下可以尝试数据库密码登陆后台,也可下载上传、登陆验证等文件进行代码审计。

十一、备份文件和后门,某些主站子目录存在分站,比如www.cnseay.com/seay/,我们可以尝试www.cnseay.com/seay.rar/zip等压缩文件是否存在,可能就是子站的源码。也有一些站类似这样www.cnseay.com/old/,一般都是以前的老站,通常老站会比较容易拿。还有就是数据库备份、前人的后门等,具体这些目录上的东西就要看你的字典了。

十二、0day漏洞,不管是别人给你的,还是自己挖的,总之好使就行。


针对服务器


一、通常先扫下服务器开放的端口,再考虑对策。

二、比较常见的解析漏洞,比如IIS6.0、阿帕奇、nginx/IIS7.0(php-fpm)解析漏洞等,还有就是cer、asa之类的解析,.htaccess文件解析配置等。

三、弱口令和everyone权限,先扫描服务器开放的端口,比如21对应的FTP、1433对应的MSSQL、3306对应的MYSQL、3389对应的远程桌面、1521对应的Oracle等等,平时可以多搜集下字典,有时候效果也是不错的(通常在cain嗅探的时候,经常能嗅到别人不停的扫…很蛋疼)。

四、溢出,这点要看系统补丁和服务器使用的软件等等,比如FTP等工具,这里不详解。

五、针对一些服务器管理程序,比如tomcat、jboss等等,这种比较常见于大中型的站点服务器。

六、IIS、apache等各种漏洞,这个要平时多关注。

七、目录浏览,服务器配置不当,可直接浏览目录。

八、共享…


针对人,社工,裤子等


社工在渗透中通常能起到惊人的效果,主要还是利用人的弱点,博大精深,这里不详细讨论,注意平时多看一些社工文章,学习一些思路、技巧。


迂回战术,旁注和C段


一、旁注,针对旁站,我们可以运用到上面说到的方法,这里不多说。

二、C段,基本想到C段就会想到cain,针对C段的站点和服务器,结合上面说的针对目标站、服务器、人、旁站的思路,一个道理,当然如果你的目的仅仅是黑站的话,不妨试试NetFuke之类。


提权常用手段


一、使用系统溢出提权EXP,这类在提权中最常用,使用的方法大都一致,比如比较常见的巴西烤肉、pr等等,溢出提权通常在Linux上也利用的比较多,注意多收集EXP。

二、第三方软件提权,主要还是利用服务器上安装的第三方软件拥有比较高的权限,或者软件的溢出漏洞,比如典型的mssql、mysql、serv-u等等,还有各种远程控制软件,比如pcanywhere、Radmin这类。

三、劫持提权,说到这个,想必肯定会想到lpk.dll这类工具,有时候在蛋疼怎么都加不上账户的时候,可以试试劫持shift、添加开机启动等等思路。

四、弱口令技巧,我们可以看看有木有什么hack、或者隐藏账户之类的,一般这种用户密码都比较简单,可以尝试下弱口令,还有之前说过的各种数据库、远程控制软件、FTP软件的弱口令,没办法的时候就去扫扫碰碰运气吧。

五、信息收集,注意翻下硬盘各种文档,说不定各种密码就在里面。在内网渗透时,信息收集是非常重要的,记得拿下服务器了GET一下明文密码,德国那个mimikatz不错,还有就是域、ARP。貌似扯多跑题了。


社工…不多说。


暂时总结到这里,渗透博大精深,不是这么几段字就能说清楚的,具体还是要看具体情形,随机应变。一定要养成在渗透过程中信息收集的好习惯,特别是针对大中型站点,注意收集子站域名、目录、密码等等敏感信息,这对于我们后面的渗透非常有用,内网经常弱口令,同密码比较多。很多时候,或许一个主站就死在子站的一个小漏洞上。


所以说,大的站点相对来说,比小站好搞一些,毕竟从子站入手相较于主站来说,渗透起来就轻松很多了。

评论

暂无
发表评论
 返回顶部 
热度(82)
 关注微信