Another:影子php
(主要记录一下平时***的一些小流程和一些小经验)css
笔者很垃圾,真的很垃圾,大佬放过弟弟可好:)前端
不少人挖洞的时候都是没有目标的,每次的***测试和挖洞都是临时起意,看到一个点,感受存在漏洞就会去尝试,直接sqlmap一把梭,或者burpsuite抓包爆破,或者其余的一些工具利用git
可是,真的想去挖一个src的时候,和挖一个站的漏洞的时候,第一步的信息收集真的很重要github
悬剑推荐的资产收集工具: InfoScraper 项目简介:Info Scraper是一种界面友好的网络应用资产检测工具,适合于***测试前期对目标资产的快速检测,如CDN检测,Web指纹等,项目基于NodeJS,扫描结果直接本地以列表形式展现。 CDN判断,Web指纹,WHOIS查询,子域名发现,IP反查域名,IP位置,IP端扫描,静态文件中敏感信息发现如API接口,邮箱,电话等 项目地址:https://github.com/MichaelWayneLIU/InfoScraper 项目标签:资产探测 推荐理由:资产探测工具
拿到一个站点的时候,多是域名,或者ip地址sql
当拿到域名的时候,收集的东西包括如下(我很垃圾,可能写的不是特别完整)小程序
子域名爆破,我碰见的都是直接爆破,利用工具Layer子域名挖掘机等(以下图),或者在线的工具,好比https://phpinfo.me/domain/ 大佬博客的在线爆破子域名,也能够用本身收集的子域名fuzz字典微信小程序
子域名爆破的时候可能会显示所有存在,由于在域名解析的时候,将全部域名都泛解析到了一个服务器上 例如 : *.starsnowsec.cn 解析到了 66.66.66.66 而后服务器将 *.starsnowsec.cn 域名所有转发到80端口 这个时候 可使用title 获取,利用title或者字节的不一样进行判断(推荐使用title)
不少***测试中可能会存在CDN,那么如何去查找网站真实IP浏览器
(1) 多地方进行Ping,国内外Ping(站长工具等) (2) 历史解析记录 (3) 邮箱订阅 (4) nslookup (5) 子域名查询真实IP(不少时候,子域名都没有来得及增长CDN) (6) 信息泄露 (7) ......
( 问: 小影子,这些我都查过了,就是找不到真实IP怎么办? 答: 放弃找到真实IP地址,直接对已知的子域名进行测试,还能够对域名的端口进行爆破 例如:www.starsnowsec.cn:8001 sxc.starsnowsec.cn:6666 这些也都是能够收集的点 )
直接nmap扫一下端口,看一下有那些敏感端口,例如80,8888,8080,443,3306,3389
而后去肯定本身可以利用,可以从哪里下手的一些端口
例如80,443,8888等一些WEB端的端口,去查看中间件,用的是Apache,Nginx,IIS等一些,直接找到版本对应的exp,而后还有一些框架的漏洞,这些都是信息收集所须要的,这里推荐一个Google浏览器小插件Wappalyzer,能够直接查看到服务器所使用的一些版本啊什么的(以下图)
或者3389,22,21,23,3306等一些其余协议的端口,这些能够利用一些现有的工具去进行爆破该协议服务器
例如 公有云OSS,这种通常会可能暴露ACCESS ID ACCESS SERCERT
拿到以后就直接利用行云管家操做
若是网站规模较大,网站后台可能就不会在同一个域名下
例如:
主网站域名为 : www.starsnowsec.cn
网站后台管理 :admin.starsnowsec.cn
也有多是这样:
主网站域名为 : www.starsnowsec.cn 网站真实IP为 66.66.66.66 端口为 80 端口
网站后台管理 : 66.66.66.66:8001
这些状况都是存在的,也有可能网站真实ip只开放了80端口,域名没有爆破出来,解析记录也么有找到,网站后台肯定了在这台服务器上,并且肯定了网站后台管理不在这个域名上,那怎么办?
答案:凉拌(手动狗头)
服务器可能开启了端口转发,根据访问的域名的不一样,服务器将不一样端口的流量转发到80端口
这种状况能够换个子域名fuzz字典,搞一个更强劲的字典
当拿到ip地址的时候,直接扫描一波端口,而后ip反查域名,查出域名以后,在爆破一波域名
( 问: 小影子,我都拿到ip地址了,为何还要屡次一举去反查域名呢? 答: 由于网站用的服务器可能不止这一个啊,反查到域名,再爆破域名,可能会有更多的收获哦 )
社工对于红队来讲应该是一个很常见的套路,钓鱼等都是能够的,过度点跑到人家公司楼下面的都太常见了
如今tg机器人跑路了,笔者也对这方面不是特别了解,因此也没有办法推荐跟tg机器人相似的,实在抱歉
关于社工,笔者认为比较好点的书籍就是《语言的艺术》等
(笔者也没有多少的读过这类书籍,因此只能笼统的去建议这些东西)
笔者以前打bc的时候碰见过这种状况,目标站点用的是一个通用的系统(以下图),
(打码真心好评)
目录扫描,没有找到有用的信息,网站真实IP找到以后,nmap扫了一波1-65535 只开启了 80,3306,22
可是3306端口不容许个人IP访问,应该有白名单,尴尬
只剩下了22,80,
22端口爆破,直接封了IP
如今还有80端口,目录扫了,没有任何特别有用的地方,怎么办??
借用大佬的一句话:
***本就是逆天而上
死在半路也是很正常
(手动狗头,哈哈哈哈哈哈隔)
前端文件,基本都会引用js和css文件,这样就会暴露js文件所在的地方,这个时候就能够进行js文件爆破,毕竟不少登陆接口函数的地方都会写在js文件中,这种js文件fuzz字典,网上是有不少的(笔者整理一下,再发出来),
这里在推荐一个前端小爬虫插件Site Spider
用来爬取前端中的文件,效率还能够,
而后我发现了一个有趣的地方,这个站引用了一个其余站点的图片
直接打开了这个域名,哇偶,大发现,这个是站专门来卖这些bc站的源码,个人目标就是这个站所卖的源码
目标找不到源码和漏洞,能够在这边试一试,直接在上面就能找到功能的测试地址,找了好几个bc演示站,这些演示站都是在都一个服务器,只是端口不一样,
惊喜就在这,有一个演示站的地方有sql注入
我???
sqlmap一把梭,直接administrator权限
笔者蒙蔽了,确实懵逼了
这。。。
而后这个演示站用的是IIS,并且有一个文件目录泄露,直接访问Thumb.db文件爆出网站绝对路径
............
大体通过就是这样,若是目标站实在不行,那就去找,使用和这个目标站同样源码的其余站,从其余站和其余站的旁站入手,不能在一棵树上吊死,
( 问:小影子,怎么去找跟这个目标站同样源码的站啊? 答: fofa直接搜索关键字 :) )
听大佬说,zoomeye和shadow更搜索适合设备,fofa适合搜索WEB
我的经验,以前侥幸挖到一个滴滴SRC中危,这个洞是在小程序里面挖到的
目前,小程序测试里面的漏洞仍是有很多的,能够尝试尝试挖取小程序漏洞
( 问: 小影子,微信小程序怎么挖取啊,我找不到小程序包的位置? 答: 网上有不少教程,例如 https://www.jianshu.com/p/52ffef6911a0 问: 小影子,我用手机作代理,burpsuite进行抓包,我证书什么都安装了,可是就是抓不到小程序的包,怎么办啊? 答: 微信版本好像要低于必定的版本,高于这个版本是只信任本身的证书的,并且手机安卓版本好像要低于5.3仍是多少,我忘了(手动狗头),而后在安装Xposed框架还有一个JustTrustMe,去掉https验证 大佬博客那里已经整理好了(对不起,我忘了大佬的博客地址了...),我这里只能作个搬运工,原谅我太垃圾了 )
***测试和挖洞必定要在受权状况下进行,切勿增删添改数据,切勿影响正常业务