前言
最近一个月基本都在做渗透测试,其中很多还是那种没什么功能的很老的几乎相当于静态的站点。我黑盒实战经验不算特别多,去年开始做黑盒测试也主要是做一些功能性很多的站点的渗透测试。关注点几乎在业务逻辑漏洞上面,而且也没什么waf和防火墙。这个月做的更多的是防火墙和waf又多又没什么功能的站点,整个人被折磨的很惨,神志不清,想了想决定总结一下凄惨的这个月。
前半个月还不算太惨,因为目标比较多,一次几十个目标。虽然其中有挺多联动waf和防火墙,但总有没有挂waf的站点,还算可以入手。
1、上扫描器
拿到站首先用nessus把所有目标扫了一遍,如果只拿awvs扫的话,http默认是扫80端口,开在其他的端口上的web服务存在诸如s2-045之类的漏洞的话就很容易漏掉。
nessus先过了一遍所有站点之后,把没有waf和防火墙的站点筛选出来。用nmap扫全端口扫描一下所有站点,导出后先整理出存在web服务的ip和端口,因为有些站点的后台可能就开在别的端口,或者一个ip多个端口开了web服务,把这些都整理出来,然后把没有防火墙的web服务放到awvs里面全部扫一遍,到这里比较明显的漏洞几乎就差不多能扫完了。
2、手工测试
前台几乎没什么可测的,这种站点能有个搜索功能就差不多了,有注册登录功能就简直让人热泪盈眶。先放到dirsearch/御剑再扫扫目录看看有没有什么敏感目录或者后台目录,f12翻一下前台的源码看看有没有什么敏感信息或者接口。手工测一下参数有没有注入,不确定的话sqlmap跑一遍试试,不过一般来说这些东西在第一步扫描器就已经做完了。
如果有注册登录找回密码等功能,思路基本是看有没有注入->验证码是不是可以爆破->逻辑漏洞(任意密码重置,修改返回包等)。如果以上都没有,注册一个账号进去搞一下看看越权之类的,就不多说了。另外就是注册的地方可以试试xss盲打后台。如果不能注册账号,尝试一些test/test账号之类的。如果是邮件系统,收集一下主页公开的邮箱,试试是否可以弱口令/社工等方式进入系统。邮件系统之类的看一下用的是哪个cms,确认一下版本,可以尝试寻找网上公开的漏洞。
后台的话,一般都能扫到后台或者前台可能会给出后台链接。如果实在找不到看一下同ip对应的站点,后台可能是同ip的其他域名。后台先手动尝试一些弱口令,万能密码。确认用户名和密码的验证顺序,看是否可以分步骤爆破。在前台看看文章发布者,很大可能就是后台用户名,再结合用户名组合一些常见弱密码,很有可能能进入后台。如果弱口令不行又没有注入而且还有图形验证码的话,右键看看源码是否存在隐藏的注册/密码重置功能。 jsp的站点在登陆时确认一下是否用到了apache shiro,试试shiro反序列化漏洞。asp的话试试ssi这种老的东西。
....写不动了 未完待续