常见护网打点基础
打点思路
- 绕过CDN找到所有靶标的真实IP
- 找到所有目标真实的C段
- 对所有的C段进行基础服务探测、端口扫描、识别
- 对所有目标的子域名进行收集
- 对所有子域名的基础服务、端口进行识别和探测
- 对所有的web服务站点进行指纹探测
- 找到web管理的后台
- git上找目标泄露的信息,账号密码、敏感文件、云key
- 网盘、百度文库,找敏感文件、账号密码
- 找设备、CMS、OA的账号密码
- 对web目标进行目录扫描(开代理)
- 对.svn、.git项目进行源码的还原
- 对网站前端进行源码探测,收集敏感信息
- 收集学号、员工号、目标邮箱
- 对一些企业、技术文档、wiki查找测试账号
- 对目标公众号、小程序进行流量收集
- 识别目标使用的waf(不同的bypass方法)
- 供应链攻击
通过目标的供应商提供的服务等作为突破口,供应商和目标可能在内网互通,把供应商当作跳板对目标进行内网攻击
打点技术提升
- 对漏洞原理理解,知道加固的位置
- 知道哪些业务可能存在哪些漏洞
- 学习编程语言,魔改工具去除流量特征
- 手挖漏洞,减少工具使用
getshell漏洞指纹
- shiro系列漏洞
漏洞指纹(响应包):set-Cookie:rememberMe=deleteMe - struts2系列漏洞
漏洞指纹:Struts、.action、.do、.action!xxxx - Fastjson漏洞
漏洞指纹:
{“@type”:“java.net.Inet4Address”, “val”:“dnslog”}
{“@type”:“java.net.Inet6Address”, “val”:“dnslog”}
{“@type”:“java.net.InetSocketAddress”{“address”:, “val”:“dnslog”}}
{“@type”:“com.alibaba.fastjson.JSONObject”, {“@type”: “java.net.URL”, “val”:“dnslog”}}“”}
{{“@type”:“java.net.URL”, “val”:“dnslog”}:“aaa”}
Set[{“@type”:“java.net.URL”, “val”:“dnslog”}]
Set[{“@type”:“java.net.URL”, “val”:“dnslog”}
{{“@type”:“java.net.URL”, “val”:“dnslog”}:0 - 泛微OA Bsh远程代码执行
漏洞指纹:
Set-Cookie: ecology_JSessionId=
ecology
WorkflowCenterTreeData
/mobile/plugin/SyncUserInfo.jsp - 通达OA远程代码执行/SQL注入
漏洞指纹:
/images/tongda.ico
Office Anywhere 20xx版 网络智能办公系统
/ispirit/interface/gateway.php - 致远OA A8 htmlofficeservlet漏洞
漏洞指纹:
/seeyon/htmlofficeservlet
/seeyon/index.jsp - 致远OA帆软报表 seeyonreport远程代码执行
漏洞指纹:
https://seeyoon.com/seeyonreport/ReportServer?op=fs_load&cmd=fs_signin&_=1560911828892
seeyonreport - 深信服VPN远程代码执行
漏洞指纹:
Set-Cookie: TWFID=
welcome to ssl vpn - 深信服VPN爆破
漏洞指纹:
/por/login_auth.csp?apiversion=1
sangfor
/cgi-bin/login.cgi?rnd= - Spring系列
漏洞指纹:X-Application-Context:“Spring-Framework” - weblog T3反序列化
漏洞指纹:
weblogic
7001
Lcom.tangosol.util.extractor