信息探针
操作系统的探针:
windows大小写不敏感
Linux敏感
数据库类型的探针:
access MySQL mssql Oracle postsql sybase
端口服务对应
搭建组合推算
搭建平台的探针:
iis apache uginx tomact
脚本类型:
php asp aspx
网站及CDN识别
防护信息探针:
探针有无防护(安全狗,D盾等)、有无加密(https,http)、有无cdn等
搭建构架分析:
基本都是公开程序框架
Cms判断: 网上开源程序或小众程序或个人开发
- 可以下载源码代码审计
- 可以利用搜索引擎寻找漏洞
工具: whatweb、御剑
平台:http://whatweb.bugscaner.com/look/
查询子域名
查询CDN,很多小子站和主站在同一个服务器或C段内,可以通过查询子域名对应的IP来查询真实的IP。
利用服务器漏洞
目的是让目标服务器主动连接我们,可用的比如XSS盲打,命令执行反弹Shell,SSRF等等
服务器合法服务主动连接
如RSS邮件订阅,有些网站自带sendmail,会发邮件给我们。
使用国外主机解析域名
目标敏感文件泄露
也许目标服务器上存在着一些泄露的敏感文件中会存在IP,另外就是如phpinfo之类的探针。
全网扫描
分目录、域名站点研究
实战意义
网站可能有多个cms或者框架组成,那么对于渗透而言,相当于渗透目标是多个。
Wap m
- 不同主站一套的移动端框架程序
- 直接调用主站的程序
目标后台探测
什么是后台
- 管理后台,一般用于管理网站的内容和数据
常用后台
- /admin/
- /login/
- /system/
- /manage/
- /guanli/
一般后台目录后面还有文件夹如
/admin/login.php
/admin/admin_login.php
//命名取决于管理员
Robots
Robots是搜索引擎的爬虫文件,定义哪些文件可以被搜索引擎收录。
格式:/robots.txt
工具扫描
一般使用字典,字典中有很多目录和文件名,工具会逐步访问字典中的文件名,然后返回
爬行
自动化的请求网页并处理信息
底部预留的管理页面入口
物理路径探测
作用
很多时候拿权限,写shell需要用到物理路径。
-
注入点
-
执行sql的地方
探针文件
常见的探针遗留文件名:
phpinfo.php
Info.php
php.php
I.php等等
报错获得
用于容错不好的网站
报错方法: -
404
-
动态URL加特殊符号(如英文单引号),或者删除一些
-
错误的sql语句
后台获得
如果可以登录到目标后台,一般后台主页会有一些说明
(cms版本、支持的组件、更新的日期、数据库信息、物理路径、IP地址)
IIS高版本特性爆物理路径
IIS7-8.5 都可能有这种问题,只要访问404路径,就有可能爆出版本信息,物理路径、IIS程序名。
搜索引擎探测 -
warning
-
error
-
mysql等等
目标文件目录探测
网站有很多文件和目录,里面可能存放着脚本和资料。
得到目录和文件信息
- 后台目录
- 上传文件(upload.php)
- 备份文件(xxx.zip等)
- 数据库文件(xxx.mdb等)
获取目录及文件信息的方法
- 基于字典的文件扫描
- 爬行
- 穷举
以字符的方式,逐个组合来提交访问尝试存在与否。
目标网站弱点功能检测
会员登录
- 探测目标用户名
有些登录提示账号不正确 - 注册登录找上传之类的敏感功能
找头像之类的上传功能,尝试突破上传,拿shell
资料下载
一种资料下载是路径下载,一种下载是参数提交下载
若是参数提交,相当于任意文件下载漏洞。
Robots.txt
新闻 - 新闻的发布人,有可能是管理员用户名
- 看是否有注入
后台
得到后台路径以后,可以尝试 - 弱口令
- POST注入
- 看后台路径名称,是否和域名有关,是否与管理员姓名有关联
- 爆破 .
针对管理员的信息收集及意义
查看注册邮箱
whois