Penetration test memo, incomplete version

  1. 前言
  2. 渗透测试的备忘

前言

总结还没写完,头有点疼。。。可能是昨天晚上喝酒的缘故

渗透测试的备忘

信息收集
whois查询

whois 域名
例如:whois baidu.com
在线查询:https://www.aizhan.com,http://whois.domaintools.com,https://whois.icann.org

真实IP查询

1.DNS查询获得
  dig a 域名
  例如:dig a baidu.com
2.查询DNS历史记录获得或者在线查询 (并不准确)
  http://whois.domaintools.com
3.通过超级ping找出真实IP
 http://ping.chinaz.com/

DNS查询

dnsenum 域名 会自动检查DNS区域传输
例如:dnsenum baidu.com
dig a xxx.com 查询a记录
dig mx xxx.com 查询mx记录
dig axfr xxx.com DNS区传输域检查
dnsrecon -r xxx.com
在线DNS查询推荐的站点:https://dnsdumpster.com/

kYylE4.md.png

DNS区域检查

dnsenum xxx.com
dig axfr xxx.com
nslookup -> set type=any -> ls -d xxx.com

邮箱查询

google搜索:iintext:xxxx@qq.com
reg007查询:https://reg007.com/
推荐工具查询,此工具在google上搜索:https://github.com/killswitch-GUI/SimplyEmail
社工库:http://site2.sjk.space/

指纹查询

nc -v 192.168.1.1 80
云悉:http://www.yunsee.cn/
whatweb http://xxx.com #获取web指纹

子域名查询

Lasy子域名挖掘机
自己写的:https://github.com/422926799/Subdomain-blasting
ip138子域名查询:http://site.ip138.com/ip138.com/domain.htm
子域名光速查询接口:http://sbd.ximcx.cn/?#

端口扫描与CVE漏洞查找

chrome shodan插件:https://chrome.google.com/webstore/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap/related
shodan查询:https://www.shodan.io/
zoomeye查询:https://www.zoomeye.org/

nmap端口扫描
|命令|描述|
|—–|—|
|nmap -v -sS -A -T4 IP|Nmap详细扫描,运行syn stealth,T4计时(在LAN上应该没问题),操作系统和服务版本信息,traceroute和针对服务的脚本
|nmap -v -sS -p 1-65535 -A -T4 IP|扫描TCP全端口,更全面,但时间也很久
|nmap -v -sU -sS -p 1-65535 -A -T4|扫描TCP全部端口和UDP全部端口,更全面,但时间也更久
|nmap -v -sU -sS -P 1-65535 -A –script=auth,vuln IP|扫描全端口并自动测试端口漏洞
|根据扫描出的端口使用对应的脚本进行测试|根据扫描出的端口使用对应的脚本进行测试

nmap UDP扫描

nmap -sU <target>

UDP扫描程序

git clone https://github.com/portcullislabs/udp-proto-scanner.git

扫描所有服务的IP地址

./udp-protocol-scanner.pl -f ip.txt 

扫描特定的UDP服务

udp-proto-scanner.pl -p ntp -f ips.txt

其他主机发现(C段查询)

netdiscover -r 192.168.3.0/24 从ARP发现子网上的IP (实在不靠谱)
fping -ag 192.168.3.0/24 发现存活IP
在线查询:http://www.webscan.cc/
whatweb --no-errors IP/24

旁站查询:

http://www.webscan.cc/

端口漏洞对应列表:
|序号|分类|端口|服务|漏洞
|—-|—-|——-|—–|—–
|1| 中间件 |6379 |Redis |未授权访问
|2 |中间件 |8161 |Apache Group ActiveMQ |远程代码执行
|3 |中间件 |873 |Rsync |远程代码执行
|4| 中间件 |9001 |Supervisor |远程命令执行漏洞。
|5| 中间件 |4899 |Radmin |密码爆破2)远程命令执行
|6 |中间件 |2181 |Zookeeper |未授权访问
|7 |中间件 |11211| memcached|未授权访问
|8 |中间件 |2375 |Docker |未授权访问
|9 |中间件 |7001/7002| weblogic |密码爆破2)Java反序列化漏洞3)任意文件泄漏
|10| 中间件| 8080 |Resin |目录遍历2)远程文件读取
|11 |中间件 |8080 |GlassFish|弱口令2)任意文件读取3)认证绕过
|12 |中间件 |9990 |jboss |密码爆破2)远程代码执行3)Java反序列化
|13 |中间件 |9043| Websphere|密码爆破2)任意文件泄露3)java反序列化
|14| 中间件| 80/81/443 |IIS |PUT写文件2)ms150343)http.sys内存下载4)解析漏洞5)短文件名泄漏
|15 |中间件 |80/8080 |Apache |解析漏洞2)目录遍历3)任意文件上传4)密码爆破
|16| 中间件| 80/8080| Tomcat|爆破,远程代码执行漏洞,绕过漏洞等一系列安全漏洞
|17 |中间件 |80/8080 |Nginx |整数溢出2)目录遍历下载3)文件类型解析漏洞
|18 |中间件 |8080/8089| Jenkins|口令爆破2)未授权访问3)反序列化
|19| 服务类 |161 |SNMP|未授权访问
|20 |服务类| 443 |HTTPS服务|SSL心脏滴血
|21 |服务类 |2049| NFS |未授权访问
|22 |服务类 |445|Samba-NetBIOS服务|MS17-010漏洞2)MS06-040漏洞3) 病毒入口
|23 |服务类| 135|RPC(远程过程调用)服务|利用RPC漏洞攻击计算机2)病毒入口
|24 |服务类| 139 |Samba-文件和打印共享|IPC$共享后的空链接漏洞2)病毒入口
|25 |服务类| 137 |Samba-NetBIOS 名字服务|利用RPC漏洞攻击计算机2)病毒入口3)暴力破解
|26 |服务类| 3389| Windows远程连接|Shift粘滞键后门2)密码爆破3)利用ms12-020攻击3389端口
|27 |服务类| 22 |SSH |密码爆破2)防火墙SSH后门3)OpenSSL漏洞
|28 |服务类| 23 |telnet |使用明文传输技术-嗅探2)暴力破解
|29 |服务类| 53 |DNS |远程溢出2)DNS欺骗攻击3)拒绝服务攻击4)DNS域传送信息泄露5)DNS劫持6)DNS缓存投毒7)DNS隧道技术刺穿防火墙
|30 |服务类| 389| LDAP|注入2)未授权访问3)弱密码
|31 |数据库| 1521| oracle|各种版本的漏洞2)密码爆破3)远程溢出
|32 |数据库| 1433 |SQLServer|各种版本的漏洞2)密码爆破3)远程溢出
|33 |数据库| 3306 |mysql|各种版本的漏洞2)密码爆破3)自定义函数
|34 |其他软件| 5631| symantecpcanywhere|各种版本的漏洞
|35 |其他软件| 5900/5900|VNC|密码验证绕过2)拒绝服务攻击3)权限提升4)密码爆破
|36 |其他软件| 8649| ganglia|未授权访问
|37 |其他软件| 5632 |Pcanywhere|提权控制服务:2)拒绝服务攻击:3)代码执行
|38 |其他软件| 21| FTP |远程溢出2)暴力破解3)匿名访问—未授权访问4)配置不当,直接 cd / && dir5)使用明文传输技术-嗅探6)后门技术7)跳转攻击
|39 |其他软件 |81| ipcam|暴力破解2)可以基于NTP的反射和放大攻击3)NTP反射型doos攻击

扫描敏感目录:

wwwscan
御剑

漏洞挖掘

寻找对应的中间件漏洞
nikto -h xxx.com
AWVS扫描
Burp配置好后自动化扫描
APPSCAN扫描
暴力破解表单
尝试万能密码绕过登录
测试错误的配置服务
寻找对应的CMS漏洞
尝试逻辑漏洞挖掘:如短信轰炸,0元购买
越权漏洞
有框就测试注入和xss
有表单就爆破
有短信发送的就尝试有没有短信轰炸的
url有id的就测试注入
有狗能绕则绕,不能绕就扔掉
抓包如果有类似json数据的多注意一下修改一下值看看有什么变化

枚举网络攻击服务
samba枚举
smb枚举工具

nmblookup -A target
smbclient //MOUNT/share -I target -N
rpcclient -U "" target
enum4linux target

指纹smb版

smbclient -L //ip

查找开放的SMB

nmap -v -T4 -oA shares --script smb-enum-shares --script-args smbuser=<username>,smbpass=<password> -p 445 IP/24

枚举SMB用户

nmap -sU -sS --script=smb-enum-users -p U:137,T:139 x.x.x.2-254

RID枚举域用户(Windows server 2003起作用)

ridenum IP 500 50000 dict.txt

用于RID枚举的metasploit模块

use auxiliary/scanner/smb/smb_lookupsid

空会话测试

windows:net use \\<TARGET>\IPC$ "" /u:""
Linux:smbclient -L //IP

转载请声明:转自422926799.github.io


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:Penetration test memo, incomplete version

本文作者:九世

发布时间:2019-02-07, 14:53:03

最后更新:2019-04-19, 20:36:16

原始链接:http://422926799.github.io/posts/b2490e91.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录