上一節講到滲透測試中的代碼審計講解,對整個代碼的函數分析以及危險語句的避讓操作,近期很多客戶找我們Sine安全想要了解如何擷取到網站的具體資訊,以及我們整個滲透工作的流程,因為這些操作都是通過實戰累計下來的竟然,滲透測試是對網站檢查安全性以及穩定性的一個預防針,前提是必須要有客戶的授權才能做這些操作!
2.2. 站點資訊
判斷網站作業系統
Linux大小寫敏感
Windows大小寫不敏感
描敏感檔案
robots.txt
crossdomain.xml
sitemap.xml
xx.tar.gz
xx.bak
等
确定網站采用的語言
如PHP / Java / Python等
找字尾,比如php/asp/jsp
前端架構
如jQuery / BootStrap / Vue / React / Angular等
檢視源代碼
中間伺服器
如 Apache / Nginx / IIS 等
檢視header中的資訊
根據報錯資訊判斷
根據預設頁面判斷
Web容器伺服器
如Tomcat / Jboss / Weblogic等
後端架構
根據Cookie判斷
根據CSS / 圖檔等資源的hash值判斷
根據URL路由判斷(如wp-admin)
根據網頁中的關鍵字判斷
根據響應頭中的X-Powered-By
CDN資訊
常見的有Cloudflare、yunjiasu
探測有沒有WAF,如果有,什麼類型的
有WAF,找繞過方式
沒有,進入下一步
掃描敏感目錄,看是否存在資訊洩漏
掃描之前先自己嘗試幾個的url,人為看看反應
使用爬蟲爬取網站資訊
拿到一定資訊後,通過拿到的目錄名稱,檔案名稱及檔案擴充名了解網站開發人員的命名思路,确定其命名規則,推測出更多的目錄及檔案名
2.3. 端口資訊
2.3.1. 常見端口及其脆弱點
FTP 21
預設使用者名密碼 anonymous:anonymous
暴力破解密碼
VSFTP某版本後門
SSH 22
Telent 23
SMTP 25
無認證時可僞造發件人
DNS 53 UDP
測試域傳送漏洞
SPF / DMARC Check
DDoS(DNS Query Flood / DNS 反彈)
SMB 137/139/445
未授權通路
弱密碼
SNMP 161
Public 弱密碼
LDAP 389
匿名通路
注入
Rsync 873
任意檔案讀寫
RPC 1025
NFS匿名通路
MSSQL 1433
弱密碼
Java RMI 1099
RCE
Oracle 1521
NFS 2049
權限設定不當
ZooKeeper 2181
無身份認證
MySQL 3306
RDP 3389
Postgres 5432
CouchDB 5984
Redis 6379
無密碼或弱密碼
Elasticsearch 9200
代碼執行
Memcached 11211
MongoDB 27017
Hadoop 50070
除了以上列出的可能出現的問題,暴露在公網上的服務若不是最新版,都可能存在已經公開的漏洞
2.3.2. 常見端口掃描方式
2.3.2.1. 全掃描
掃描主機嘗試使用三次握手與目标主機的某個端口建立正規的連接配接,若成功建立連接配接,則端口處于開放狀态,反之處于關閉狀态。 全掃描實作簡單,且以較低的權限就可以進行該操作。但是在流量日志中會有大量明顯的記錄。
2.3.2.2. 半掃描
在半掃描中,僅發送SYN資料段,如果應答為RST,則端口處于關閉狀态,若應答為SYN/ACK,則端口處于監聽狀态。不過這種方式需要較高的權限,而且部分防火牆已經開始對這種掃描方式做處理。
2.3.2.3. FIN掃描
FIN掃描是向目标發送一個FIN資料包,如果是開放的端口,會傳回RST資料包,關閉的端口則不會傳回資料包,可以通過這種方式來判斷端口是否打開。 這種方式并不在TCP三向交握的狀态中,是以不會被記錄,相對SYN掃描要更隐蔽一些。
2.3.3. Web服務
Jenkins
Gitlab
對應版本CVE
Zabbix
2.3.4. 批量搜尋
Censys
Shodan
ZoomEye
2.4. 搜尋資訊收集
2.4.1. 搜尋引擎利用
恰當地使用搜尋引擎(Google/Bing/Yahoo/Baidu等)可以擷取目标站點的較多資訊。
常見的搜尋技巧有:
site:域名
傳回此目标站點被搜尋引擎抓取收錄的所有内容
site:域名 keyword
傳回此目标站點被搜尋引擎抓取收錄的包含此關鍵詞的所有頁面
此處可以将關鍵詞設定為網站背景,管理背景,密碼修改,密碼找回等
site:域名 inurl:admin.php
傳回目标站點的位址中包含admin.php的所有頁面,可以使用admin.php/manage.php或者其他關鍵詞來尋找關鍵功能頁面
link:域名
傳回所有包含目标站點連結的頁面,其中包括其開發人員的個人部落格,開發日志,或者開放這個站點的第三方公司,合作夥伴等
related:域名
傳回所有與目标站點”相似”的頁面,可能會包含一些通用程式的資訊等
intitle:”500 Internal Server Error” “server at”
搜尋出錯的頁面
inurl:”nph-proxy.cgi” “Start browsing”
查找代理伺服器
除了以上的關鍵字,還有allintile、allinurl、allintext、inanchor、cache等。
還有一些其他的tips
查詢不區分大小寫
-
代表某一個單詞
預設用and
OR 或者 | 代表邏輯或
單詞前跟+表強制查詢
引号引起來可以防止常見詞被忽略
括号會被忽略
搜尋引擎的快照中也常包含一些關鍵資訊,如程式報錯資訊可以會洩漏網站具體路徑,或者一些快照中會儲存一些測試用的測試資訊,比如說某個網站在開發了背景功能子產品的時候,還沒給所有頁面增權重限鑒别,此時被搜尋引擎抓取了快照,即使後來網站增加了權限鑒别,但搜尋引擎的快照中仍會保留這些資訊。
另外也有專門的站點快照提供快照功能,如 Wayback Machine 和 Archive.org 等。
2.5. 目标人員資訊收集
針對人員的資訊收集考慮對目标重要人員、組織架構、社會關系的收集和分析。其中重要人員主要指高管、系統管理者、運維、财務、人事、業務人員的個人電腦。
最容易的入口點是網站,網站中可能包含網站的開發、管理維護等人員的資訊。從網站聯系功能中和代碼的注釋資訊中都可能得到的所有開發及維護人員的姓名和郵件位址及其他聯系方式。
在擷取這些資訊後,可以在Github/Linkedin等網站中進一步查找這些人在網際網路上釋出的與目标站點有關的一切資訊,分析并發現有用的資訊。 如有對此需求滲透測試服務檢查網站漏洞可以聯系專業的網站安全公司來處了解決,國内推薦Sinesafe,綠盟,啟明星辰。
此外,可以對擷取到的郵箱進行密碼爆破的操作,擷取對應的密碼。