靶机接收站:浸透测验信息搜集心得共享

访客5年前黑客文章718

对一个网站发掘的深浅来说,信息搜集是非常的重要的,这篇文章首要共享本人在渗透检验信息搜集阶段的一些心得,如有过错恳请指出。

子域名搜集

子域名搜集是最简略的搜集 *** 之一,有许多在线的东西可以直接套用,这儿共享几个我经常用的。

高兴的时分用用这个扫描器

为什么这么说,因为这是我写的(你气愤用的话我怕我屏幕里忽然冒出一个拖孩):

import requestsimport threadingfrom bs4 import BeautifulSoupimport reimport timeurl = input( 'url(如baidu.com): ' )head={'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0'}ip = 'http://site.ip138.com/{}'.format( url )# domain_url = url.split('.')# domain_url = domain_url[1]+'.'+domain_url[2]domain_url = urldomain = 'http://site.ip138.com/{}/domain.htm'.format( domain_url )t = time.strftime("%Y-%m-%d"+'_', time.localtime())html_file = open( url+'_'+t+'.html','w' )html_file.write( '''<head><title>%s的扫描效果</title><link rel="stylesheet" href="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/css/bootstrap.min.css"><script src="https://cdn.staticfile.org/jquery/2.1.1/jquery.min.js"></script><script src="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/js/bootstrap.min.js"></script><style>pre{margin: 0 0 0px;}</style></head><ul id="myTab" class="f1e6-d396-7717-5fb6 nav nav-t该协议是GCHQ(英国 *** 通讯总部)部下的一个分支CESG(电子通讯安全组)开发,他们标明开发该协议的目的是帮忙加密VoIP通讯中的悉数语音和多媒体数据。abs navbar-fixed-top navbar navbar-default"> <li class="d396-7717-5fb6-45a5 active"> <a href="#ip" data-toggle="tab"> IP前史解析 </a> </li> <li><a href="#cms" data-toggle="tab">CMS辨认</a></li> <li><a href="#domain" data-toggle="tab">子域名信息</a></li></ul><br><br><br><br><div id="myTabContent" class="7717-5fb6-45a5-5188 tab-content">'''%url )class IP( threading.Thread ): def __init__(self, ip): threading.Thread.__init__(self) self.ip = ip def run(self): r = requests.get( self.ip,headers = head ) html = r.text bs = BeautifulSoup(html, "html.parser") html_file.write('<div class="3c9f-a5ef-3690-ba1f tab-pane fade in active" id="ip">') for i in bs.find_all('p'): ipc = i.get_text() ip_html = '<pre>{}</pre>'.format( ipc ) html_file.write( ip_html ) html_file.write('</div>')class CMS( threading.Thread ): def __init__(self, cms): threading.Thread.__init__(self) self.cms = cms def run(self): cms = requests.post('http://whatweb.bugscaner.com/what/', data={'url': self.cms}, headers = head) text = cms.text Web_Frameworks = re.search('"Web Frameworks": "(.*?)"]', text) Programming_Languages = re.search('"Programming Languages":(.*?)"]', text) JavaScript_Frameworks = re.search('"JavaScript Frameworks": (.*?)"]', text) CMS = re.search('"CMS": (.*?)"]', text) Web_Server = re.search('"Web Server -H "Authorization: Basic a2V5OnNlY3JldA==" s": (.*?)"]', text) if CMS: CMS = CMS.group(1)+'"]' if Programming_Languages: Programming_Languages = Programming_Languages.group(1)+'"]' if JavaScript_Frameworks: JavaScript_Frameworks = JavaScript_Frameworks.group(1)+'"]' if Web_Frameworks: Web_Frameworks = Web_Frameworks.group(1)+'"]' if Web_Server: Web_Server = Web_Server.group(1)+'"]' html = ''' <div class="a5ef-3690-ba1f-aeb9 tab-pane fade" id="cms"> <div class="3690-ba1f-aeb9-b84d table-responsive"> <table class="ba1f-aeb9-b84d-d6b6 table table-condensed"> <tr> <th>web结构</th> <th>脚本版别</th> <th>JavaScript结构</th> <th>CMS结构</th&gMSBuild.exe分析t; <th>web服务器</th> </tr> <tr> <td>{0}</td> <td>{1}</td> <td>{2}</td> <td>{3}</td> <td>{4}</td> </tr> </table> </div> </div> '''.format(Web_Frameworks,Programming_Languages,JavaScript_Frameworks,CMS,Web_Server) html_file.write( html )class DOMAIN( threading.Thread ): def __init__(self, domain): threading.Thread.__init__(self) self.domain = domain def run(self): r = requests.get( self.domain,headers = head ) html = r.text bs = BeautifulSoup(html, "html.parser") html_file.write('<div class="aeb9-b84d-d6b6-c2e9 tab-pane fade in active" id="domain"') num = 0 for i in bs.find_all('p'): num += 1 html_file.write( '<br>' ) domainc = i.get_text() domain_html = '<pre>[{}]: {}</pre>'.format( num,domainc ) html_file.write( domain_html ) print( domain_html ) html_file.write('</div>')ip_cls = IP(ip)ip_html = ip_cls.run()cms_cls = CMS(url)cms_html = cms_cls.run()domain_cls = DOMAIN( domain )domain_html = domain_cls.run()

github开源的子域名扫描器

https://github.com/lijiejie/subDomainsBrute

https://github.com/chuhades/dn *** rute

在线网站搜集

1.https://d.chinacycc.com/(非常引荐)

然后不到30秒就出效果了:

2.端口信息搜集

http://z.zcjun.com/

https://phpinfo.me/domain/

扫描端口并且符号可以爆炸的服务

 

nmap 方针 --script=ftp-brute,imap-brute, *** tp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute

 

判别常见的缝隙并扫描端口

 

nmap 方针 --script=auth,vuln

 

准确判别缝隙并扫描端口

 

 

nmap 方针 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182, *** b-vuln-ms08-067, *** b-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version

 

 

我喜爱这样做:

1.扫描子域名

提取出域名/ip:

 

然后把域名放到975.txt。

 

2.批量扫描端口和缝隙检测

 

nmap -iL 975.txt --script=auth,vuln,ftp-brute,imap-brute, *** tp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute    > scan.txt

 

然后依据对应敞开的端口进行针对性缝隙发掘。

c段信息搜集

c段的话我一般都是运用iis put这款东西来扫描,可以自定义扫描1-255的端口并且还有回来服务器banner信息。

 

自定义的端口

 

135,139,80,8080,15672,873,8983,7001,4848,6379,2381,8161,11211,5335,5336,7809,2181,9200,50070,50075,5984,2375,7809,16992,16993

 

这儿仅仅演示下他跑起来的美。

目录信息搜集

目录搜集东西有许多,可是最垂青的仍是目录字典,之前我拿了许多东西的字典去重 *** 起来超级超级大,只不过是在之前电脑那里复原的时分忘掉了备份、、、(说这句话首要是想让你们也可以这姿态做,便利自己,然后发我一份,便利你我)

这儿引荐一个东西:7kbstorm

 

https://github.com/7kbstorm/7kbscan-WebPathBrute

 

像403、404这种页面千万不要封闭,放目录里边扫就ok。

 

谷歌语法搜集灵敏文件

最常见的便是用搜索引擎~

 

site:ooxx.com filetype:xls

 

首要试试百度:

 

$!@!~~WDwadawicnm

试试必应:

这儿首要是搜集网站灵敏文件(比方方针的某个体系手册演示的截图中截图到了用户名,然后我们可以依据用户名来爆炸暗码;乃至可以看看有没有写体系默许暗码,或许一些后台的目录途径,假设有目录就可以检验对其访问,说不定有未授权~)。

还能检验对后台进行查找:

 

 

site:xxx.xxx admin

 

site:xxx.xxx login

 

site:xxx.xxx system

 

site:xxx.xxx 处理

 

site:xxx.xxx 登录

 

site:xxx.xxx 内部

 

site:xxx.xxx 体系

 

 

还可以查找邮箱,然后进行垂钓:

 

 

site:xxx.xxx 邮件

 

site:xxx.xxx email

 

 

还可以查找qq群等,然后伪装员工验证进去看群文件走漏了什么东东(这儿有个技巧,去找 *** 谈天处,然后对整个进程抓包也便是看前史恳求,假设命运好或许在恳求的回来包中回来 *** 的姓名,假设只单纯的走漏了姓如张xx,那么你加群的时分就说你是小张作业号,说这个作业号的原因是或许小张已经在群里了)。

 

 

注意事项:假设你是挖腾讯的话就不要看这条啦。

 

 

site:xxx.xxx qq

 

site:xxx.xxx 群

 

site:xxx.xxx 企鹅

 

site:xxx.xxx 腾讯

 

 

还可以对寻觅一些揭露的、损害大、遍及的缝隙的指纹,如下面的搜索jboss体系:

 

 

site:ooxx.com inurl:jmx-console

 

小技巧

比方下面一个站存在越权(可是越权的方针很难猜想):

 

http://xxx.xxx.xxx/userinfo/?uid=2018-WOIDJWOIDJ-5201314

 

那么我们可以检验用搜索引擎来找:

 

site:xxx.xxx inurl=uid=20

 

运用云网盘搜索东西搜集灵敏文件

 

公司员工或许把一些内部资料放在了公网网盘,然后被在线云网盘搜索的网站抓取了,我们就可以运用这个来对方针体系进行深化沟通。

我这边首要用凌风云搜索:https://www.lingfengyun.com/

个人喜爱直接输入厂商姓名然后搜索(比较全),然后边看电视(最美观鬼片,鬼出来的阶段想着找找找)边搜索。

运用gayhub来搜集信息

1.翻开gayhub:

 

这儿便是找gayhub悉数开源项目内容中存在联想这个要害字的项目,这姿态可以搜集到的方面更广,假设单纯仅仅对标题搜索,那么他们改成了lenovo你就搜不到了。

 

然后说再多,也没这个好用:https://sec.xiaomi.com/article/37。

针对网站性搜集

1.把网站弄报错,看是什么cms,或许看回来包回显是什么中间件这些;

2.看是linux仍是window,如方针url是[[www.onlyfree.xxx/login](http://www.onlyfree.xxx/login)]([http://www.onlyfree.xxx/login](http://www.onlyfree.xxx/login)),那么改成[[www.onlyfree.xxx/Login](http://www.onlyfree.xxx/Login)]([http://www.onlyfree.xxx/Login](http://www.onlyfree.xxx/Login))看看能不能访问,假设可以访问就或许是window,不然或许是linux;

 

3.可以去云溪等在线辨认指纹的网站看指纹信息:

http://whatweb.bugscaner.com/look/

http://www.yunsee.cn/finger.html

4.对waf进行辨认,这儿有一款开源的辨认东西,挺好用的:https://github.com/EnableSecurity/wafw00f

5.对网站whois查询看注册人、手机号、邮箱等(可以搜集起来放到暗码生成东西);

6.看html源代码,在一起项目检验的时分,我在找html源代码的时分发现一个注释的js文件,我将其翻开后,里边的补白竟然是配备信息。。。后台地址、处理员账号和暗码等(可是我没get到shell,所以你要知道这回事而不要记住这件事);

7.网站实在ip辨认,下面是我用的一个东西,可是我忘掉哪里下载的了,我原封不漏的张贴出来:

 

################################################################ ### ▄▄▄▄ ▄▄▄ ▄▄▄▄ ▀ ▄ ### ▀ ▀█ ▄ ▄ ▄▄▄▄ █ ▄▀ ▀▄ ▄▄▄ ▄▄█▄▄ ### ▄▄▄▀ █▄█ █▀ ▀█ █ █ ▄ █ █ █ ### ▀█ ▄█▄ █ █ █ █ █ █ █ ### ▀▄▄▄█▀ ▄▀ ▀▄ ██▄█▀ ▄▄█▄▄ █▄▄█ ▄▄█▄▄ ▀▄▄ ### █ ### ▀ ### ### name: xcdn.py### function: try to get the actual ip behind cdn### date: 2016-11-05### author: quanyechavshuo### blog: http://3xp10it.cc############################################################## usage:python3 xcdn.py www.baidu.comimport timeimport osos.system("pip3 install exp10it -U --no-cache-dir") from exp10it import figlet2filefiglet2file("3xp10it",0,True)time.sleep(1)from exp10it import CLIOutputfrom exp10it import get_root_domainfrom exp10it import get_string_from_commandfrom exp10it import get_http_or_httpsfrom exp10it import post_requestfrom exp10it import get_requestfrom exp10it import checkvpnimport sysimport reclass Xcdn(object): def __init__(self,domain): #有必要保证连上了vpn,要在可以ping通google的条件下运用本东西,不然有些domain因为被GFW阻拦无法正常访问会导致 #本东西判别过错,checkvpn在可以ping通google的条件下回来1 while 1: if checkvpn()==1: break else: time.sleep(1) print("vpn is off,connect vpn first") if domain[:4]=="http": print("domain format error,make sure domain has no http,like www.baidu.com but not http://www.baidu.com") sys.exit(0) #首要保证hosts文件中没有与domain相关的项,有则删去相关 domainPattern=domain.replace(".",".") #下面的sed的正则中不能有n,sed匹配n比较特别 #http://stackoverflow.com/questions/1251999/how-can-i-replace-a-newline-n-using-sed command="sed -ri 's/.*s+%s//' /etc/hosts" % domainPattern os.system(command) self.domain=domain self.http_or_https=get_http_or_https(self.domain) print('domain的http或https是:%s' % self.http_or_https) result=get_request(self.http_or_https+"://"+self.domain,'seleniumPhantom *** ') self.domain_title=result['title'] #下面调用相当于main函数的get_actual_ip_from_domain函数 actual_ip = self.get_actual_ip_from_domain() if actual_ip != 0: print("祝贺,%s的实在ip是%s" % (self.domain, actual_ip)) #下面用来寄存要害回来值 self.return_value=actual_ip def domain_has_cdn(self): # 检测domain是否有cdn # 有cdn时,回来一个字典,假设cdn是cloudflare,回来{'has_cdn':1,'is_cloud_flare':1} # 不然回来{'has_cdn':1,'is_cloud_flare':0}或{'has_cdn':0,'is_cloud_flare':0} import re CLIOutput().good_print("现在检测domain:%s是否有cdn" % self.domain) has_cdn = 0 # ns记载和mx记载相同,都要查尖端域名,eg.dig +short www.baidu.com ns VS dig +short baidu.com ns result = get_string_from_command("dig ns %s +short" % get_root_domain(self.domain)) pattern = re.compile( r"(cloudflare)|(cdn)|(cloud)|(fast)|(incapsula)|(photon)|(cachefly)|(wppronto)|(softlayer)|(incapsula)|(jsdelivr)|(akamai)", re.I) cloudflare_pattern = re.compile(r"cloudflare", re.I) if re.search(pattern, result): if re.search(cloudflare_pattern, result): print("has_cdn=1 from ns,and cdn is cloudflare") return {'has_cdn': 1, 'is_cloud_flare': 1} else: print("has_cdn=1 from ns") return {'has_cdn': 1, 'is_cloud_flare': 0} else: # 下面通过a记载个数来判别,假设a记载个数>1个,以为有cdn result = get_string_from_command("dig a %s +short" % self.domain) find_a_record_pattern = re.findall(r"((d{1,3}.){3}d{1,3})", result) if find_a_record_pattern: ip_count = 0 for each in find_a_record_pattern: ip_count += 1 if ip_count > 1: has_cdn = 1 return {'has_cdn': 1, 'is_cloud_flare': 0} return {'has_cdn': 0, 'is_cloud_flare': 0} def get_domain_actual_ip_from_phpinfo(self): # 从phpinfo页面检验取得实在ip CLIOutput().good_print("现在检验从domain:%s或许存在的phpinfo页面获取实在ip" % self.domain) phpinfo_page_list = ["info.php", "phpinfo.php", "test.php", "l.php"] for each in phpinfo_page_list: url = self.http_or_https + "://" + self.domain + "/" + each CLIOutput().good_print("现在访问%s" % url) visit = get_request(url,'seleniumPhantom *** ') code = visit['code'] content = visit['content'] pattern = re.compile(r"remote_addr", re.I) if code == 200 and re.search(pattern, content): print(each) actual_ip = re.search(r"REMOTE_ADDR[^.d]+([d.]{7,15})[^.d]+", content).group(1) return actual_ip # return 0代表没有通过phpinfo页面得到实在ip return 0 def flush_dns(self): # 这个函数用来改写本地dns cache # 要改写dns cache才干让修正hosts文件有用 CLIOutput().good_print("现在改写体系的dns cache") command = "service network-manager restart && /etc/init.d/networking force-reload" os.system(command) import time time.sleep(3) def modify_hosts_file_with_ip_and_domain(self,ip): # 这个函数用来修正hosts文件 CLIOutput().good_print("现在修正hosts文件") exists_domain_line = False with open("/etc/hosts", "r+") as f: file_content = f.read() if re.search(r"%s" % self.domain.replace(".", "."), file_content): exists_domain_line = True if exists_domain_line == True: os.system("sed -ri 's/.*%s.*/%s %s/' %s" % (self.domain.replace(".", "."), ip, self.domain, "/etc/hosts")) else: os.system("echo %s %s >> /etc/hosts" % (ip, self.domain)) def check_if_ip_is_actual_ip_of_domain(self,ip): # 通过修正hosts文件检测ip是否是domain对应的实在ip # 假设是则回来True,不然回来False #CLIOutput().good_print("现在通过修正hosts文件并改写dns的 *** 检测ip:%s是否是domain:%s的实在ip" % (ip,self.domain)) #python通过requests库或mechanicalsoup库或selenium_phantomjs来恳求时不会被dns缓存影响,只会被hosts文件影响dns解析,人工用浏览器访问域名则会受dns缓存影响 CLIOutput().good_print("现在通过修正hosts文件的 *** 检测ip:%s是否是domain:%s的实在ip" % (ip,self.domain)) os.system("cp /etc/hosts /etc/hosts.bak") self.modify_hosts_file_with_ip_and_domain(ip) #python通过requests库或mechanicalsoup库或selenium_phantomjs来恳求时不会被dns缓存影响,只会被hosts文件影响dns解析,人工用浏览器访问域名则会受dns缓存影响 #self.flush_dns() hosts_changed_domain_title= get_request(self.http_or_https + "://%s" % self.domain,'selenium_phantom_js')['title'] os.system("rm /etc/hosts && mv /etc/hosts.bak /etc/hosts") #这儿要用title判别,html判别不可以,title相同则以为相同 if self.domain_title == hosts_changed_domain_title: CLIOutput().good_print("检测到实在ip!!!!!!",'red') return True else: CLIOutput().good_print("其时ip不是域名的实在ip",'yellow') return False def get_c_80_or_443_list(self,ip): # 得到ip的整个c段的敞开80端口或443端口的ip列表 if "not found" in get_string_from_command("masscan"): #这儿不必nmap扫描,nmap扫描效果禁绝 os.system("apt-get install masscan") if self.http_or_https=="http": scanPort=80 CLIOutput().good_print("现在进行%s的c段开了80端口机器的扫描" % ip) if self.http_or_https=="https": scanPort=443 CLIOutput().good_print("现在进行%s的c段开了443端口机器的扫描" % ip) masscan_command = "masscan -p%d %s/24 > /tmp/masscan.out" % (scanPort,ip) os.system(masscan_command) with open("/tmp/masscan.out", "r+") as f: strings = f.read() #os.system("rm /tmp/masscan.out") import re allIP=re.findall(r"((d{1,3}.){3}d{1,3})",strings) ipList=[] for each in allIP: ipList.append(each[0]) print(ipList) return ipList def check_if_ip_c_machines_has_actual_ip_of_domain(self,ip): # 检测ip的c段有没有domain的实在ip,假设有则回来实在ip,假设没有则回来0 CLIOutput().good_print("现在检测ip为%s的c段中有没有%s的实在ip" % (ip,self.domain)) target_list=self.get_c_80_or_443_list(ip) for each_ip in target_list: if True == self.check_if_ip_is_actual_ip_of_domain(each_ip): return each_ip return 0 def get_ip_from_mx_record(self): # 从mx记载中得到ip列表,检验从mx记载中的c段中找实在ip print("检验从mx记载中找和%s尖端域名相同的mx主机" % self.domain) import socket # domain.eg:www.baidu.com from exp10it import get_root_domain root_domain = get_root_domain(self.domain) from exp10it import get_string_from_command result = get_string_from_command("dig %s +short mx" % root_domain) sub_domains_list = re.findall(r"d{1,} (.*.%s)." % root_domain.replace(".", "."), result) ip_list = [] for each in sub_domains_list: print(each) ip = socket.gethostbyname_ex(each)[2] if ip[0] not in ip_list: ip_list.append(ip[0]) return ip_list def check_if_mx_c_machines_has_actual_ip_of_domain(self): # 检测domain的mx记载地点ip[或ip列表]的c段中有没有domain的实在ip # 有则回来实在ip,没有则回来0 CLIOutput().good_print("检验从mx记载的c段中查找是否存在%s的实在ip" % self.domain) ip_list = self.get_ip_from_mx_record() if ip_list != []: for each_ip in ip_list: result = self.check_if_ip_c_machines_has_actual_ip_of_domain(each_ip) if result != 0: return result else: continue return 0 def get_ip_value_from_online_cloudflare_interface(self): # 从在线的cloudflare查询实在ip接口处查询实在ip # 假设查询到实在ip则回来ip值,假设没有查询到则回来0 CLIOutput().good_print("现在从在线cloudflare类型cdn查询实在ip接口检验获取实在ip") url = "http://www.crimeflare.com/cgi-bin/cfsearch.cgi" post_data = 'cfS=%s' % self.domain content = post_request(url, post_data) findIp = re.search(r"((d{1,3}.){3}d{1,3})", content) if findIp: return findIp.group(1) return 0 def get_actual_ip_from_domain(self): # 检验取得domain背面的实在ip,条件是domain有cdn # 假设找到了则回来ip,假设没有找到回来0 CLIOutput().good_print("进入获取实在ip函数,以为每个domain都是有cdn的情况来处理") import socket has_cdn_value = self.domain_has_cdn() if has_cdn_value['has_cdn'] == 1: CLIOutput().good_print("检测到domain:%s的A记载不止一个,以为它有cdn" % self.domain) pass else: CLIOutput().good_print("Attention...!!! Domain doesn't have cdn,I will return the only one ip") true_ip = socket.gethostbyname_ex(self.domain)[2][0] return true_ip # 下面检验通过cloudflare在线查询实在ip接口获取实在ip if has_cdn_value['is_cloud_flare'] == 1: ip_value = self.get_ip_value_from_online_cloudflare_interface() if ip_value != 0: return ip_value else: pass # 下面检验通过或许存在的phpinfo页面取得实在ip ip_from_phpinfo = self.get_domain_actual_ip_from_phpinfo() if ip_from_phpinfo == 0: pass else: return ip_from_phpinfo # 下面通过mx记载来检验取得实在ip result = self.check_if_mx_c_machines_has_actual_ip_of_domain() if result == 0: pass else: return result print("很惋惜,鄙人以为%s有cdn,可是现在鄙人的才干没能获取它的实在ip,其时函数将回来0" % self.domain) return 0if __name__ == '__main__': import sys domain=sys.argv[1] Xcdn(domain)

8.服务器ssh配备信息,丢东西:https://github.com/mozilla/ssh_scan

9.灵敏文件爆炸

 

svn

源代码走漏运用

svn

版别控制体系时,过错操作将

.svn

文件寄存,那么久可以看他

SVN

服务器账号暗码等信息

http://xxx.xxx.xxx/.svn/entries

 

10.依据方针体系情况:依据方针体系情况是因为看他对应的体系是什么对应有什么缝隙,下面这个是tomcat的session走漏:

 

 

/examples/servlets/servlet/SessionExample/examples/

 

/examples/servlets/servlet/SessionExample

 

/examples/

 

 

灵敏目录走漏

WEB-INF/web.xml走漏

WEB-INF是Java的WEB使用的安全目录。假设想在页面中直接访问其间的文件,有必要通过web.xml文件对要访问的文件进行相应映射才干访问:

 

 

 

 

 

/WEB-INF/config/jdbc.properties

 

/WEB-INF/web.xml

 

/WEB-INF/classes/

 

/WEB-INF/lib/

 

/WEB-INF/src/

 

/WEB-INF/database.properties

 

 

bzr走漏

 

 

 

通过它我们可以看项现在史:http://xxx.xxx.xxx/.bzr/

 

 

 

网站源代码走漏

 

 

不多介绍,或许处理员觉得网站不安全,需求我们审计一下:

 

 

[www.zip](http://www.zip)

 

[www.tar.gz](http://www.tar.gz)

 

[www.rar](http://www.rar)

 

web.zip

 

web.rar

 

...
 

 

 

 

这些有许多,,不逐个详细,后边我会将这些悉数 *** 在一个字典里,然后我们可以放入目录遍历的东西里批量扫~

运用shodan、fofa等搜集信息

查找标题是携程并且言语是国语的站点:

 

https://[[www.shodan.io/search?query=http.title:](http://www.shodan.io/search?query=http.title:)]([http://www.shodan.io/search?query=http.title:]( http://www.shodan.io/search?query=http.title:))”携程” country:”CN”。

 

我们可以将其保藏为文件夹,便利下次翻开,然后记载时间,看看有没有新上线的(这儿已经有监控的功用,各位师傅可以去看看米斯特大佬写的shodan监控文章,很风趣很有用)

shodan、fofa不多介绍了,有对应的手册,见的必定比我好。

 

思路扩展

思路扩展便是在a功用点中找出b功用点,以此类推。

 

比方一些后台登录是http://xxx.xxx.xxx/admin-login,我们是不是可以检验把login改成register来注册。

 

再比方获取用户手机号的接口(这儿不存在越权)http://xxx.xxx.xxx/user/GetPhone/?id=1,然后我们把GetPhone改成GetPasswd或许GetPwd或许GetPassword,然后id就或许可以越权,或许这儿可以json绑架或许origin绑架等,我们可以诱导用户点开来绑架账号暗码。

或许仍是看源代码,然后搜索hidden(诙谐),我们或许或许会找到灵敏操作的按钮,然后处理员也知道灵敏,将其”躲藏”了,我们可以依据这个来搜索然后访问他,嘿嘿嘿(之前对一个小站点进行发掘的时分我hidden找竟然找到了不行描述的目录下面放着不行描述的电影,其时我的心境是非常回绝的,通过几小时的考虑我敏捷的将那个目录封闭了,究竟我是祖国的花朵)。

 

这儿有许多是adrian师傅与我共享的,然后暂时只写那么多吧(其实还有几个,怕冒犯到权什么的便是他给你学了但不给我写的那种,很费事所以就以后有时机再写吧),假设遇到了更多我会弥补。

*本文原创作者:Hackhy

靶机接收站:浸透测验信息搜集心得共享

powerview:检验stage0 payload实践上非常简略。生成payload,将其写入文件,然后传输到Windows机器。假设它在射中磁盘时触发防病毒警告,则标明你还有许多其它作业需求做。假设它成功传送并正常实行,则标明你获取到了一个可用的stager。2、 针对优异缝隙的初始rank为5,例如dirtycow和eBPF_verifier等等。Metasploit还包含了生成恶意dll文件的“ *** B Delivery”模块。该模块通过 *** B服务器供应payload,并供应检索和实行生成payload的指令。现在支撑DLL和Powershell。渗透测试信息收集心得分享

靶机接收站志向情况下,注入应该尽或许小:几个代码页,或许再多一个用于数据。而这其间还或许包含链接脚本。不论如何,为了证明这个概念,我们将完结一个同享库。触及proc以下几个目录或文件 *** 情况文件/proc/net/tcp、/proc/net/udp, 进程文件描述符目录/proc/pid/fd。(注:这儿的绝对途径在http://172.16.24.37/vendor/PATH )静态分析

整个loader的逻辑:权限

让我们从头开始。ovpn文件是提供应OpenVPN客户端或服务器的配备文件,这种文件会详细介绍有关VPN联接的悉数内容,包含要联接到的远程服务器、要运用的暗码、要登录的协议、用户身份等。靶机接收站

二、关于WxSpectreSpyDealer感染设备之后,不会在桌面上出现任何icon图标。但其实,它现已注册了两个广播接收器(Broadcast Receivers)对设备的发起工作和 *** 联接进行监听。只需一有此类广播消息,就会触发SpyDealer要害服务AaTService发起,之后,初步从恶意软件中一个名为readme.txt的本地资源文件中检索配备工作信息。Snort #http://bugs.winehq.org/show_bug.cgi?id=19799

程序实行如下图。myfun_returnstring函数的参数为“Hello from Dll”,调用后回来输出“Hello from Dll!”$code=file_get_contents($_GET['readfile']);本文介绍了在企业 *** 中运用个人智能手机的潜在危险,在实践案例发生之后,这些案例被作为了典型。实际证明,欺诈一名员工设备恶意运用程序、绕过 *** 保护、访问企业 *** 、提权并获取保密信息并不困难。渗透测试信息收集心得分享

靶机接收站我们来看下微软这个巨擘是怎样给“数字签名”进行定义的,数字签名是指可以添加到文件的电子安全符号。 运用它可以验证文件的发布者以及帮忙验证文件自被数字签名后是否发生更改。sudo chmod +r ibdata1systeminfo | findstr /B /C:"OS 称谓" /C:"OS 版别"

因为自己作业中要触及到许多东西,审计(日志、数据神马的)、源代码审计、渗透检验、开发一大堆东西,有些东西,越是深化去做,越会发现,没有东西或脚本,作业起来是有多么的坑。 publicvoidprocessHttpMessage(int toolFlag,boolean messageIsRequest,IHttpRequestResponsemessageInfo)  除此之外,晋级后的Network API还共同了悉数设备上的证书认证安排(CA)存储,往后悉数用户设备的证书默许都不再是“可信”的了。 靶机接收站

③答复安全提示问题,然后按照相应进程设置。

分析登录流程:v1是用户名,v2是暗码,v3是PushId,在用户名和暗码不为空并且长度不小于11情况下,实行LoginOperate相关操作,寻找LoginOperate的完结,发现继承自BaseOperate,继续寻找BaseOperate的完结:

工作脚本输出效果为:渗透测试信息收集心得分享

1 CD外部主机可以不合法接入,一般是运用 *** 处理环节上的缝隙,取得了“合法的”接入点。处理触及多个方面,防护上也有必要多方面互相结合:

◆抉择不同的暗码超期时间

是不是还有更好的 *** ?他建议运用简略的化学反应:酸。酸会剥离盘面上的悉数信息。

本文标题:靶机接收站:浸透测验信息搜集心得共享

相关文章

qq解除管理员禁言 黑客,黑客能盗微信钱吗,黑客攻击全球的网站

但我仍是发现chrome有时候编码了,有时候又没编码SharedPreferences存储包含运用操控(Application Control)缝隙。 这种解决计划能够防备ATM上的不想要的代码履行缝...

怎么样查看他人删除的手机短信内容吗

. 宝宝感冒严重了,想去医院,但是最近爆发流感,医院都是爆满各种感冒发烧的孩子,担心交缠感染。可怜的宝宝,妈妈该怎么办啊。相信这是很多的宝妈的心声,那么对于宝妈来说怎么倾诉自己的孩子生病了的心声呢?...

百度SEO:浅谈网站优化常见的五个问题,及解决方法!

百度SEO:浅谈网站优化常见的五个问题,及解决方法!

经常在各大互动和问答平台上,看到很多新手小白的求助。大多都是自己刚刚接触到seo优化,我应该怎么做,诸如此类的提问。今天,小编就总结最近遇到最多的问题来来汇总一下,并给出解决方法,希望助君早日上首页!...

iphone电话导出到sim卡的方法(苹果手机最简单的

iphone电话导出到sim卡的方法(苹果手机最简单的

大家知道苹果手机怎么备份通讯录吗?前段时间小编的手机联系人意外丢失了,这时候才觉得备份苹果手机联系人还是很有必要的,那么iPhone手机电话号码怎么备份呢?其实想要导出iPhone手机联系人并没有那么...

红高粱队-【吕贞】

“红高粱模特队-【吕贞】” 4:出发见人,确认是本人后转钱给经纪人,防止中间女孩走掉,服务质量下降,全程有任何问题经纪人做担保并且处理。陪伴要求:位置和地点:倾向于1线2线城市。空闲时间:7/8两...

微信会被监控吗(微信会被监控吗在聊天的过程会被监控吗)

微信会被监控吗(微信会被监控吗在聊天的过程会被监控吗)

微信会不会被别人监控聊天记录 微信聊天不会被监控。但是特殊情况可以,具体介绍如下:通常情况下,我们每一个公民对自己的个人通信信息享有隐私权,享有不受他人干涉以及不被他人或公众皆知的权利。微信聊天记录不...