渗透测试流程未完成篇

信息收集---
|
|
开放的端口
端口服务
DNS：DNS域传输漏洞（测试方法:dnsenum 域名）
WEB指纹识别
C段查询
旁站查询
WHOIS信息
网站敏感目录
网站泄露的目录
查看HTML有没有有用的注释
收集管理员邮箱
网站后台
常见的服务是否有弱口令:FTP匿名访问/弱口令,Rsync匿名访问：端口是873
端口服务nmap脚本扫描看看能不能挖到漏洞
searchsploit搜索系统服务看看能不能找到exp
burpsuite爬网站
表单尝试弱口令
表单尝试逻辑漏洞，
cms识别。
weblogic弱口令：默认管理员账号密码:weblogic/weblogic,开放的端口是：7001还有扫描80与8080端口看banner。默认weblogic是/console。常见的弱口令：
weblogic / welcome1
system / password
admin / security
mary / password
joe / password
wlcsystem / wlcsystem
wlpisystem / wlpisystem
weblogic / weblogic123
weblogic / 12345678
admin / 12345678
s2漏洞
web服务器解析漏洞
Struts漏洞
网站备份文件
Apache Server status对外暴露，测试方法：访问http://xxx.com/server-status
snmp弱口令：snmp服务器的默认密码为public，漏洞发现与扫描：
<1>x-scan扫描 + GFI LANGard利用
<2>使用Snmp Digger进行漏洞利用
<3>snmputil.exe
snmputil.exe get|getnext|walk agent community oid[oid……]
当前进程列表 snmputil.exe walk ip public .1.3.6.1.2.1.25.4.2.1.2
系统用户列表 snmputil.exe walk ip public .1.3.6.1.4.1.77.1.2.25.1.1
列 出 域 名 snmputil.exe walk ip public .1.3.6.1.4.1.77.1.4.1.0
列出安装软件 snmputil.exe walk ip public .1.3.6.1.2.1.25.6.3.1.2
列出系统信息 snmputil.exe walk ip public .1.3.6.1.2.1.1
<4>IP Network Browser（snmp浏览工具）
snmp默认开放的端口:161
snmap获取管理员密码：扫描工具： solarwinds中的snmpsweep
升级版： solarwinds工具包中的?ip browser
<2>华为quidway三层交换
利用这个OID读出的密码为明文（WooYun-2013-21964）
root@bt:~# snmpwalk -c private -v 1 x.x.x.x 账号的oid
svn文件泄露
nagios信息泄露
hadhoop对外访问 检测弱口令
RTX即时通信泄露,端口：8012。开放应用端口暴露： http://xx.xx.xx.xx:8012/userlist.php
直接可以访问到所有用户id、用户名等信息的json
在“查看审核结果处”尝试用户名+弱口令(3102 或123456)登陆，登陆成功后即进入内部网络。
<2>得到用户名后，可以读取手机号
用户名： rtx.bxlq.com/userlist.php
手机号： rtx.bxlq.com/getmobile.cgi?receiver=用户名
Ganglia系统监控信息泄露 开放端口：8649或8000 检测方法：<1>直接在浏览器地址栏输入IP:8649 eg: http://xx.xx.xxx.xx:8649/
<2>直接访问域名：ganglia.xx.com
<3>使用nc查看： nc.exe iii.com 8649 |more
j2ee应用架构（web服务器搭配不当）访问敏感目录：http://xxx.com/WEB-IINF/web.xml
Jenkins平台未设置登录验证 利用方法：<1>未授权访问，可直接执行命令 wooyun-2013-028803
直接在url中访问： eg: http://xx.xx.xx.xx:8080 (端口视具体情况而定，案例中有3000、8888)
<2> http://ip/script
java.lang.Runtime.getRuntime().exec(‘id’).getText(); 行脚本并回显一句话
<1>未授权访问，可直接执行命令 wooyun-2013-028803
直接在url中访问： eg: http://xx.xx.xx.xx:8080 (端口视具体情况而定，案例中有3000、8888)
<2> http://ip/script
java.lang.Runtime.getRuntime().exec(‘id’).getText(); 行脚本并回显一句话

zabbix默认口令 利用方法：弱口令进入后台： http://ip/zabbix/ admin / zabbix
攻击方法：
<1>尝试system.run执行命令
<2>获取zabbix server shell：
Administrator——>Scripts——>修改Commands(例如改为 uname -a)
Monitoring——>Last data——>点击Zabbix server，执行调用命令

Resin任意文件读取 利用方法：<1>任意文件读取：
配置文件：
http://ip/resin-doc/examples/ico-periodictask/viewfile?file=WEB-INF/web.xml
读取源码：
http://ip/resin-doc/examples/ico-periodictask/viewfile?file=index.xtp
读取password.xml
ip/resin-doc/examples/ioc-periodictask/viewfile?file=WEB-INF/password.xml

<2>resin文件包含漏洞shell (wooyun-2013-023139)
http://ip/Resin-doc/viewfile/?contextpath=C:&servletpath=&file=boot.ini

<3>resin弱口令
http://ip/resin-admin/status.php admin / admin

<4>resin版本过低，导致磁盘信息泄露
http://ip/c:/
memcache未限制访问IP 利用方法：Memcached未限制IP导致cache泄露 服务默认端口：11211
使用nc 反弹查看数据：
<1>
nc.exe –vv ip 11211
ip: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [ip] 11211 (?) open
stats items
STAT items:4:number 1544729
…….

<2>memcached空口令访问 可以直接telnet登陆 wooyun-2010-0123604
<2>root@kali:~# nc ip 11211
Jboss配置不当 利用方法：检测以下目录：
http://yy.yy.yy.yy/admin-console/
http://yy.yy.yy.yy/jmx-console/
http://xx.xx.xx.xx/web-console/
yy.yy.yy.yy/invoker/JMXInvokerServlet

tomcat弱口令
phpmyadmin弱口令
MongoDB配置不当
Django配置不当致信息泄露
Redis未授权访问 开放的端口：6379 一般不需要认证，可直接访问 利用方法：<1>Kali下：
redis-cli -h xx.com
<2>使用软件： Redis Desktop Manager
<3>利用redis未授权访问漏洞getshell【www.secpulse.com/archives/5357.html】
①开启web服务
②网站物理路径
③www目录可写（root权限）

LDAP未授权访问 开放端口：389 利用方式：使用LDAP Admin进行登陆
SMB弱口令 开放端口：445
openssl心脏出血 开放端口：443 检测方法：用nmap脚本检测 利用方式：metasploit里面有脚本
squid代理默认端口 开放端口：3128 若没有设置口令，则很可能直接漫游内网。
GlassFish web中间件弱口令 开放端口：4848 检测
elasticsearch代码执行 开放端口: 9200
websphere web中间件弱口令 开放端口：9043 常见弱口令：admin / admin
websphere / websphere
system / manager

zebra路由弱密码 开放端口：2601,2604
rundeck web 开放端口：4440 检测方法：检测以下路径 http://IP:4440 admin / admin http://IP:4440/menu/home
dns未设置spf导致邮箱欺骗漏洞 检测方法：nslookup –qt=mx baidu.com nslookup –qt=txt baidu.com
CVS源码泄露
Tomcat examples directory漏洞 检测方法：http://yy.yy.yy.yy/examples/servlets/servlet/SessionExample

漏洞挖掘---
|
|
SQL注入：注意网站的URL有id=?都拿到SQLMAP测试一遍或者手测，表单进行单和双引号进行测试，用burpsuite抓表单提交的包扔SQLMAP跑，网站有调用数据库的地方都测试一遍，API接口测试SQL注入
文件上传：能上传文件的地方就尝试进行挖掘。遇到拦截先看看服务器用什么配置的环境。例如是IIS6.0（IIS环境大部分都有文件上传漏洞可以百度发现）或Apache等等。。都可以百度看看有什么上传绕过。一般绕过方式为：后缀大小写绕过，文件类型绕过，双写后缀名绕过，请求特殊后缀绕过，图片木马合并上传，文件00截断绕过，截断攻击%和&，web服务器环境配置寻找漏洞 例如：IIS6.0的解析漏洞1）前端JavaScript验证 （发现有只前端验证的话，手动写一个文件上传的html将action设置为判断文件即可。）例如：
检测上传文件的是：upload.php 但是服务端没做判断，前端做了判断。
<form action=’http://xx/upload.php’ method=’post’>
<input type=’file’ name=’file’ id=’file’><br>
<input type=’submit’ value=’提交’>
</form>
文件包含：注意url后面有include=xx.php,或tiao=xx.php，file=xxx.php，总之注意一下url。先判断远程包含或本地包含，可以远程包含直接Getshell即可。本地包含可以利用各种伪协议例如：php,data,zip等等。。或与文件上传漏洞一起利用。详细的利用手法：https://www.cnblogs.com/haq5201314/p/9248281.html