对自己的渗透测试思路的总结

渗透小能手

• 0x00-目标的建立
  

域名信息的收集
首先我们需要渗透一个目标首先要掌握他的域名和ip范围等信息,就需要收集域名信息.
1.域名注册人信息收集whois
寻找相关的其他域名扩大攻击面,当然如果是域名代理商注册的域名就忽略这步.一般常用的就是站长之家的站长工具whois查询
2.子域名爆破
子域名爆破一般都是使用工具进行dns的查询然后在获得域名对应的ip.
常用的有Seay法师的Layer子域名挖掘机还有lijiejie的subDomainsBrute
subDomainsBrute比较有特点的是用小字典递归地发现三级域名，四级域名、五级域名等不容易被探测到的域名,有时候是突破口哦.
3.域传送漏洞
这个遇到比较少原因是企业自己搭建的DNS服务器配置不当造成的.
DNS域传送信息泄露批量网站DNS区域传送漏洞检测——bash shell实现
4.cdn
(1).判断目标是否使用了cdn使用站长之家的多ping工具多地区的ping使用了cdn的ip会很多.
(2).找phpinfo就得看字典大不大了.
(3).查询域名的解析记录,说不定很久以前没用过cdn呢.netcraft
(4).子域名爆破中出现ip比较连续的c段或者是mail的c段都可以尝试一下.
5.利用搜索引擎的site语法有时候也是有意想不到的收获.

• 0x01-寻找突破口
  

1.收集邮箱(命名格式),收集工号等信息(百度文库等等),搜索相关QQ群收集相关企业员工的社交账号.案例:从逛知乎到登录bilibili主站后台从一个QQ群号到登入bilibili内网

2.github上寻找相关的信息.案例:看我如何进入并且漫游京东内网当然不仅仅泄漏这些还可能泄漏数据库连接信息,邮箱密码,uckey,阿里osskey,有时候还会泄漏源代码等等.

然后就是对收集到的ip进行常见端口的服务的识别弱口令以及漏洞的利用了.

常用的东西有NMAP,HSCAN,HYDRA 还有就是wils0n写的凤凰扫描器

1. web类(web漏洞/敏感目录)：
   
2. 第三方通用组件漏洞struts thinkphp jboss ganglia zabbix cacti
   
3. 80
   
4. 80-89
   
5. 8000-9090
   
6. 特殊服务类(未授权/命令执行类/漏洞)：
   
7. 1099 rmi命令执行
   
8. 8000 jdwp java调试接口命令执行
   
9. 443 SSL心脏滴血
   
10. 873 Rsync未授权
    
11. 5984 CouchDB http://xxx:5984/_utils/
    
12. 6379 redis未授权
    
13. 7001,7002 WebLogic默认弱口令，反序列
    
14. 9200,9300 elasticsearch
    
15. 11211 memcache未授权访问
    
16. 27017,27018 Mongodb未授权访问
    
17. 50000 SAP命令执行
    
18. 50060,50070,50030 hadoop默认端口未授权访问
    
19. 2375,docker未授权访问
    
20. 3128 squid代理默认端口
    
21. 2601,2604 zebra路由，默认密码zebra
    
22. 4440 rundeck
    
23. 4848 glassfish 中间件弱口令 admin/adminadmin
    
24. 9000 fcigphp代码执行
    
25. 9043 websphere 弱口令admin/admin
    
26. 常用端口类(扫描弱口令/端口爆破)：
    
27. 21 ftp
    
28. 22 SSH
    
29. 23 Telnet  
    
30. 161 SNMP
    
31. 389 LDAP  
    
32. 445 SMB
    
33. 1433 MSsql
    
34. 1521 Oracle
    
35. 3306 MySQL
    
36. 3389 远程桌面
    
37. 5432 PostgreSQL
    
38. 5900 vnc

复制代码

当然仅仅是默认的,有些修改了端口就得通过nmap来识别.
然后是对web的测试
文件目录的暴力探测,网站备份,未授权可访问的url
御剑,weakfilescan
cms的识别主要是whatweb+收集的指纹
sql注入一般是手工测试验证用sqlmap或者自写python脚本
手工测试语句a' or 'a'='a正常 a' or 'a'='b 异常 1%'and'%'='正常 1%'and'%'='a 异常 %' and 1=1 and '%'='正常 %' and 1=2 and '%'=' 异常
xss的话就是各种反馈处,反正就是见框就插代码.利用xss平台来获得cookies然后登录到后台进行进一步的利用和挖掘.
一般后台就是爆破或者是存在注入可以使用万能密码登录等等.
然后进了后台寻找上传漏洞注入漏洞任意文件读取什么的.
常见cms的漏洞利用脚本的收集.
乌云 seebug
爆破和社会工程学进入mail和oa一切需要登录的入口获取更多的信息(vpn,内网信息,各种密码信息)以及权限来进一步的得到shell进入内网.
常用的工具有burp
mail可以收集员工账号进一步爆破获得更多的企业信息.扩大攻击面.

• 0x02-内网漫游的开始
  

1.得到webshell以后我们需要开代理和反弹端口.
socket可以使用lcx rtcp.py htran ssocks xsocks
然后是web代理
sock代理 regeorg phpsocks reduh tunna
搭建vpn服务
2.从邮箱中得到vpn信息拔入内网.
3.SSRF获得内网shell反弹进入内网.小米某处SSRF漏洞(可内网SHELL 附多线程Fuzz脚本)

进入内网之后我们需要寻找各种平台和web还有各种服务,还有域控.还有在内在进行一次子域名爆破内部dns服务器会有惊喜.
尽可能多的获得内网的权限.一般内网的通病就是各种端口的弱口令,选用合适的工具和字典可以在内网飞起.
域
win

1. ipconfig /all 先查询本机在的ip段和所在的域
   
2. net view 计算机列表
   
3. net view /domain 查看域 /工作组
   
4. net localgroup administrators 本机管理员和域用户
   
5. net user /domain 查询域用户
   
6. net group "domain admins" /domain 查询域管理员用户组

复制代码

找域控

1. net group "domain controllers" /domain 查看域控
   
2. dns服务器可能是域控
   
3. net time /domain 主域服务器做时间服务器

复制代码

还有些工具dsquery,AdFind,ldifde,Sysinternals' AD Explorer
相关的用法和功能百度有.
可使用MS14-068 GPP漏洞
域渗透参考
linux参考Mickey大牛的ppt

xema

整里的很全面，工具方面还是多几个

xunnun

支持分享！