本文作者：怪大叔

團隊交流羣：673441920

---------------------------------------------------------------------------------

前言：

這篇文章是大叔2015年總結的零碎的基礎滲透篇，近期拿出來了，我就完任務的貼貼把，適合新手，下面那個內網滲透部分是我自己瞎隨便添加的點，年前的那段時間我一直在看內網相關的文章，感覺看了好多，都是雜碎的，還記得當初把那個大佬的100來篇博客文章看了一個遍，感覺內網高級的技巧還是來自於普通的常規系統操作的應用，將就的看吧，畢竟我也不太會內網滲透，，

百變不離其宗的滲透測試 基礎

一.得到目標網站第一步我們該做什麼？

1.查看審核元素 （瀏覽器插件頂替）

2.判斷網站類型3.查看網站功能4.檢測敏感埠5.檢測其他資產6.收集公司(個人)信息7.查看C段（忽略）

一.① 這些有什麼用？（參照上面）

第一步主要是看審核元素得到返回頭信息能得到中間件，伺服器，程序編程語言信息，Javascript版本信息。

中間件：(iis一定支持asp，asa,cer)(apache常見就是php)（tomcat,jboss,weblogic,jetty為常見的JAVA程序中間件）

Iis在低版本常見的漏洞有：

1.解析漏洞

IIS6.0（asp/aspx）
1.文件解析漏洞：文件名為*.asp;.jsp
2.目錄解析漏洞：文件夾名為*.asp 那麼這個文件 |名下面的所有文件就會解析為asp文件
3.IIS6.0默認可執行的還有*.asa |*.cer *.cdx


IIS7.0/IIS7.5/Nginx<8.03畸形解析漏洞

1.正常後綴加/*.php 如：|xxx.com/upload/1.jpg/1.php
2.*.php.123.234 或|*.php.123;*.php.jpg..jps 以此類推下去直到解析為止 (php,asp,aspx)（適量）
3.建議也多試幾次iis6.0的解析漏洞，有些時候也是可行的。


2.目錄列舉漏洞

3.PUT文件寫入

Apache在低版本常見的漏洞有：

解析漏洞：

1.從右往左判斷解析 如：*.php.rar.jpg.png等等把常見後綴都|寫上去直到解析為止（適量）

2.*.php 改為*.php1,,*.php2,*.php3,*.php4 |以此類推下去直到解析為止（適量）

Win下~特性

tomcat漏洞也有但是沒什麼利用價值

一般都是弱口令

進去後部署war包getshell

jboss常見漏洞：

1.jboss配置不當（人為）

2.jboss命令執行

3.jboss反序列

weblogic常見漏洞：

1.weblogic弱口令（人為）

2.weblogic反序列

3.weblogic SSRF漏洞

jetty常見漏洞：

目錄遍歷

伺服器可以用或許大小寫判斷，返回頭信息以及ping來確認。

編程語言可以測試index.{php,asp,aspx,jsp,do,action}也可以在返回頭信息看到。

一般.do .action都可以測試下有沒有Struts2漏洞

Javascript版本在看審核元素或者默認文件名就可以看到。

Javascript低版本脆弱庫可以XSS（雖然沒啥危害）

第一步可能遇到的漏洞以及風險（滲透測試報告專坑）：

Struts2漏洞
中間件泄露（中間件低版本）
中間件漏洞
Javascript脆弱庫xss
Javascript低版本
未設置cookie的Httponly屬性
cookie固定


第二步很重要也很簡單。

首先確定好了網站類型，我們懟站的思路就會慢慢浮現出來。

門戶：

地方門戶：做的挺好的一般是DZ，phpcms 等等

小型企業門戶：xiaocms 等等

論壇：

國內論壇基本都是：DZ，winphp,其他輕社區cms

博客：

wordpress，Zblog，typecho，emlog等等

商場：

ecshop等等

老站點直接測試注入先手工，xss漏洞也多，無waf情況下抱著Sqlmap就上。商場的另加邏輯漏洞

查找robots.txt 後臺 敏感目錄泄露查找是什麼cms 確認cms就可以在漏洞庫查找改cms漏洞進行測試。

可疑參數也是要測試下注入或xss

切記有WAF情況下不得大線程，除非知道其網站有漏洞，並且可以繞過。

第二步可能遇到的漏洞以及風險（滲透測試報告專坑）：

cms漏洞
邏輯漏洞（詳見看邏輯漏洞注釋）
Robot.txt文件WEB站點結構泄露漏洞
注入漏洞
XSS跨站漏洞
等


第三步熟悉網站功能。

1. 是否有搜索框能否注入或XSS
2. 是否有留言框能否XSS打cookie
3. 有登錄嘗試登錄框是否有sql注入或XSS

• 是否有驗證碼
• 驗證碼能否被識別
• 驗證碼能否被無視

1. 註冊是否有sql漏洞
2. 是否能註冊管理許可權賬號

• 驗證手機的情況下
• 是否能無限轟炸
• 是否能任意更改
• 驗證碼是否有時間驗證
• 驗證碼是否相同
• 是否能爆破驗證碼

1. 登錄是否能越權

• 個人信息是否有存儲型XSS

1. 個人信息能否CSRF
2. 有驗證機制能否繞過

• 頭像上傳是否能getshell
• 直接getshell
• 解析漏洞
• 上傳漏洞
• 是否能上傳txt

1. 修改密碼能否CSRF
2. 有驗證機制能否繞過

• 找回密碼是手機號碼驗證
• 是否能無限轟炸
• 是否能任意更改
• 驗證碼是否有時間驗證
• 驗證碼是否相同
• 是否能爆破驗證碼

1. 是否有購買商品功能
2. 任意修改支付金額
3. 任意修改商品數量
4. 收貨地址存儲型XSS

第三步可能遇到的漏洞以及風險（滲透測試報告專坑）：

• sql注入漏洞
• xss漏洞
• 未限制用戶可輸入長度
• 用戶爆破
• 驗證碼識別
• 驗證碼無視
• 明文傳輸
• HTTP連接的登錄請求表單
• 簡訊轟炸
• 任意註冊
• 平行越權
• 垂直越權
• 管理員許可權註冊
• csrf漏洞
• 頭像上傳getshell
• 上傳漏洞（能傳txt或者html什麼的也可以）
• 支付漏洞
• 任意更改商品數量
• 任意修改運費
• 等

第四步檢測是否有可疑埠或cve漏洞（推薦nmap，或ness）

文件共享訪問埠：
21 FTP
弱口令，爆破
匿名訪問

137,139 Smaba服務
弱口令，爆破
未授權訪問
遠程代碼執行漏洞CVE-2015-0240等

389 LDAP協議
爆破，弱口令

2049 NFS服務
未授權訪問
未限制ip以及用戶許可權

遠程連接服務埠：
22 SSH
28退格漏洞
OpenSSL漏洞（心臟出血）

23 Telnet服務
弱口令，爆破
匿名訪問

81,8080 tomct apache nginx axis2
弱口令爆破manager
http慢速攻擊

3389 win遠程桌面連接
爆破
shift粘貼鍵後門
mas12-020

5632 Pcanywhere
拒絕服務攻擊

5900+桌面id 5901 5902等 vnc
弱口令，爆破
拒絕服務攻擊(CVE-2015-5239)
許可權提升(CVE-2013-6886)
Web應用服務埠：
7001 Weblogic
弱口令(weblogic,weblogic|system,weblogic可weblogic123|portaladmin,guest) ，爆破
後臺部署war包getshell
java反序列
SSRF

1098/1099/4444/4445/8080/8009/8083/8093 Jboss
弱口令，爆破
java反序列
配置不當：遠程代碼執行

908* 第一個應用是9080 第二個是9081；控制檯9090 Websphere
弱口令，爆破
任意文件泄露（CVE-2014-0823）
java反序列

8080(http),3700(IIOP,4848(控制檯) GlassFish
弱口令，爆破
任意文件讀取
認證繞過

8080,8089 Jenkins
弱口令，爆破
java反序列
未授權訪問

8080 Resin
目錄遍歷
遠程文件讀取

8080 Jetty
遠程共享緩衝區溢出

1352 Lotus
弱口令，爆破
信息泄露
跨站腳本攻擊

資料庫埠：
3306 Mysql資料庫
弱口令，爆破
身份驗證漏洞(CVE-2012-2122)
拒絕服務攻擊
phpmyadmin萬能密碼：用戶名；localhost@@ 密碼任意

1433 Mssql資料庫
弱口令，爆破

1521 (資料庫埠),1158(Oracle EMCTL埠),8080(Oracle XDB資料庫),210(Oracle XDB FTP 服務) Oracle
弱口令，爆破

5432 PostgreSQL資料庫
弱口令，爆破

27017 MongoDB資料庫
弱口令，爆破
未授權訪問

6379 Redis資料庫
未授權訪問+配合ssh key提權

5000(服務埠)，4100(監聽埠)，4200(備份埠) SysBase數據
弱口令，爆破
命令注入

5000 DBW資料庫
安全限制繞過(CVE-2015-1922)

郵箱服務埠：
25(smtp)，465(smtps) SMTP協議
弱口令，爆破
未授權訪問

109(POP2),110(POP3),995(POP3S) POP3協議
弱口令，爆破
未授權訪問

143(imap),993(imaps) IMAP協議
弱口令，爆破
配置不當

53 DNS伺服器
區域傳輸漏洞

67,68,546(DHCP Failover做雙機熱備的) DHCP服務
DHCP劫持

161 SNMP
弱口令，爆破

其他埠：
2181 Zookeeper服務
未授權訪問

8069 Zabbix服務
遠程代碼執行

9200，9300 elesticsearch服務
未授權訪問
遠程代碼執行
文件遍歷
低版本webshell植入

11211 mencache服務
未授權訪問
配置不當

512,513,514 Linux R服務
使用rlogin直接登錄對方系統

1090,1099, RML
遠程命令執行
java反序列
調用rmi方式執行命令

873 Rsync服務
未授權訪問
本地提權

1080 Socket代理
爆破，弱口令

第四步可能遇到的漏洞以及風險（滲透測試報告專坑）：

參上

第五步查看資產 這裡包括了子域名，App，微信公眾號，旁站等

參1-4步

App，微信公眾號 只要有調用他們web服務的 正常測試，如公眾號都是調用微信的功能就不必測試。

撞庫(用戶爆破)，越權，信息轟炸等 邏輯漏洞較多

第五步可能遇到的漏洞以及風險（滲透測試報告專坑）：

1. 注入漏洞
2. XSS跨站漏洞
3. 用戶爆破
4. 無驗證碼
5. 驗證碼可識別
6. 越權漏洞
7. 信息轟炸
8. CSRF漏洞
9. 明文傳輸
10. 頭像上傳getshell
11. 上傳漏洞（能傳txt或者html什麼的也可以）
12. 支付漏洞
13. 任意更改商品數量
14. 任意註冊
15. 任意修改運費
16. HTTP連接的登錄請求表單
17. 等

第五步收集資料有：域名信息，是否有開源。

域名信息：
註冊人QQ
註冊人郵箱
註冊人姓名
註冊人手機
註冊人採用ID
以上可以社工庫走一波
組合密碼
得到郵箱或QQ可以充分發揮想像 (最好就郵箱)

開源可以下載查看審計，以及查看是否殘留配置信息等重要信息。

第五步可能遇到的漏洞以及風險（滲透測試報告專坑）：

1. 重要信息泄露
2. 等

除了使用Burp 抓包查看包數據或Nmap（其他工具）檢測埠，在未確認是否有WAF或有WAF的時候盡量不要對網站使用其他工具對其大線程訪問（掃描）。

2.熟悉一下工具（沒有waf情況下可以使用）

綜合掃描器
AWVS
APPSCAN
企業級掃描器（綠盟、啟明星辰等等）
等等

子域名枚舉
subDomainsBrute (經典的子域名爆破枚舉腳本)
Layer (字典強大並且功能強大的EXE子域名爆破工具)
subbrute （根據DNS記錄查詢子域名)
哮天犬
等等

注入，XSS測試
啊D(asp注入專用)
穿山甲
sqlmap
BBQSQL (盲注比較好)
SQLiScanner (一款基於SQLMAP和Charles的被動SQL注入漏洞掃描工具)
burp+sqlmap=被動式掃描
GourdScanV2 （被動式漏洞掃描)
BruteXSS (支持get，post的xss檢測腳本)可自行改字典
xss_scan (批量掃描xss的python腳本）可自行改字典
等等

信息泄漏掃描
御劍
burp (導入字典)
DirBrute（多線程WEB目錄爆破工具）
BBScan(一個迷你的信息泄漏批量掃描腳本) 可自行改字典
GitHack (.git文件夾泄漏利用工具)
wafw00f(WAF產品指紋識別)
bypass_waf （waf自動暴破）
sslscan （ssl類型識別)
FingerPrint (web應用指紋識別)
https://github.com/3xp10it/mytools/blob/master/xcdn.py（獲取cdn背後的真實ip）
F-NAScan (網路資產信息掃描, ICMP存活探測,埠掃描，埠指紋服務識別）
F-MiddlewareScan （中間件掃描）
RASscan(埠服務掃描)
Nmap(埠服務掃描)
m7lrv(集合cms掃描器)
等等

弱口令+爆破
VerifyReader(伏宸驗證碼識別工具)
PKAV HTTP Fuzzer(帶驗證碼枚舉)
burp
htpwdScan (一個簡單的HTTP暴力破解、撞庫攻擊腳本)
fenghuangscanner_v3 (埠及弱口令檢測)
F-Scrack (對各類服務進行弱口令檢測的腳本)
genpAss （中國特色的弱口令生成器）
crack_ssh （go寫的協程版的ssh
edismongodb弱口令破解工具）
Sreg (通過輸入email、phone、username的返回用戶註冊的所有互聯網護照信息)
等等

內網滲透（這部分是shiyan這個彩筆整理的，所以那啥，，，都懂。。。。 - -！ ）

基本信息收集思路篇：（我只列了些我個人的常規手法，僅提供個思路）

1.判斷是否存在域環境

2. 收集整理內網擴展圖

3.內網/域環境存在主機的開放埠和各個存在的服務

4.已控主機本地各種文件翻啊翻

6.信息收集是重中之重，每多一個有用的信息對接下來的滲透都是多一個思路

瞎搞思路篇：

不存在的，沒有思路，我會說我就是一把梭嗎？

掃開內網資產一個漏洞批量打嗎？打到一個算一個，打到了是緣分，打不到拉到,被發現雜了，咬我呀。(*^▽^*)佛系打法。

不開玩笑了，這個主要還是根據信息收集，收集的有利信息越多，對接下來的滲透更有利。

精彩內網滲透匯總：

內網滲透實際案例①：http://payloads.online/archivers/2017-12-28/1
l3m0n內網滲透工具篇：https://github.com/l3m0n/pentest_study
初級域滲透系列-01（需要20權）：https://www.t00ls.net/viewthread.php?tid=30541&highlight=%E5%88%9D%E7%BA%A7
初級域滲透系列-02（需要20權）：https://www.t00ls.net/viewthread.php?tid=30632&highlight=%E5%88%9D%E7%BA%A7
初級域滲透系列-03（需要20權）：https://www.t00ls.net/viewthread.php?tid=30781&highlight=%E5%88%9D%E7%BA%A7
Mickey-《滲透測試技巧詳解》：https://www.ichunqiu.com/course/52979
Mimikatz and Domain Penetration ：https://www.ichunqiu.com/open/59741
內網滲透大佬的博客：https://klionsec.github.io/
Sec-News 安全文摘內網篇：http://wiki.ioin.in/search?word=%E5%86%85%E7%BD%91
.......


待完善........

推薦閱讀：

相關文章