信息收集

域名收集

子域名收集

• 区域传送漏洞（axfr---是从DNS服务器请求在主DNS服务器上更新信息的一类域名系统的请求）
  dig命令 dig @DNS服务器地址 test.com axfr
  nmap的 --script
• 爆破子域名
  向域名服务器发送dns请求，看返回数据是否有记录（注意泛解析）
• 搜索引擎
• 爬虫
• IP反查---如这儿
• 在线网站
• SSL域名证书

兄弟域名

指：whois信息同注册邮箱域名，whois反查

IP收集

同C段

一个企业的ip地址通常在一个C段里

服务器指纹

利用主机搜索引擎之类，特殊的HTTPS头

自治系统号码

jwhois

域名txt记录（spf记录）

CDN使用记录

端口服务收集

扫描器

• nmap
• masscan（没用过）

搜索引擎

zoomeye，shodan

Web应用收集

目录及文件扫描

网络搜索

企业人员信息收集

大数据密码

弱口令，撞库

公司邮箱

ID

钓鱼

（vpn）

企业外围信息收集

服务配置

FTP安全配置

基础

错误配置及利用

• 允许匿名用户登录
• 配置不当存在弱口令
• 权限配置不当
• ftp软件、程序或工具漏洞

修复

• 禁止匿名访问

vim /etc/vsftpd/vsftp.conf
anonymous_enable=NO

• 增强口令长度
• 进行访问控制
  iptables主动式，被动式

如何发现

• nmap对端口扫描
• hydra暴破
• medusa暴破

Mysql安全配置

一些操作

错误配置及利用

• phpmyadmin等数据库管理工具
• 允许远程连接3306
• 弱口令

MSSQL安全配置

一些操作

错误配置及利用

• 旧版本的MSSQL，一些公开漏洞
• sa用户弱口令且端口对外开放1433
• 类似xp_cmdshell的扩展命令

修复

• 升级
• 口令 USE master EXEC sp_password '旧口令', '新口令', 用户名
• 管理用户权限
• 删除危险扩展命令 USE master sp_dropextendedproc 'xp_cmdshell'

MSSQL注入知识库

Memcached安全配置

高性能的分布式的内存对象缓存系统
woobuntu

问题

• 默认端口11211开放，远程调用
  nc -vv ip 11211

修复

• 限制访问ip，iptables

MongoDB安全配置

文件导向数据库管理系统

错误配置利用

• MongoDB安装时不添加任何参数，默认不开启权限验证，登录的用户可以对数据库任意操作而且可以远程访问数据库。
• 默认数据库admin（一些版本安装后都有）为空，没有记录权限，当admin.system.users一个用户都没有时，即使开启了权限验证，还是可以进行任何操作，直到有用户
• 没有权限验证可以被Mangodb管理工具（MongoVUE）远程连接操作
• restapi，web界面

修复

• 用户认证，使用-auth启动MongoDB，root账号只有用户管理权限，为每一个数据库设置账号密码
• 限制连接ip
  ./mongod --bind_ip 127.0.0.1

Redis安全配置

一个开源、支持网络、基于内存、键值对存储数据库
端口：6379

错误配置利用

• 未授权访问，默认启动没有任何限制，可以直接连接
• 通过redis获取webshell
  • 利用config set/get命令
  • config set dir 路径 config set dbfilename 名字 set 内容 save
  • (找路径真的累且盲目)
• 通过redis获取服务器用户

Nagios安全配置

网络监视工具
在系统或服务状态异常时发出邮件或短信报警第一时间通知网站运维人员，在状态恢复后发出正常的邮件或短信通知
默认端口：1248

错误配置利用

• 弱口令
• 插件漏洞

Rsync安全配置

实现远程同步功能的软件
默认端口：873

错误配置利用

• 默认允许匿名访问
  • 列出当前目录 rsync ip::
  • 进入目录 rsync ip::目录
  • 下载文件到本地 rsync -avz ip::文件目录 本地目录
  • 上传webshell rsync -avz webshell.php ip::目录
• 提权

修复

• 限定访问的ip
• 添加口令（测试的时候遇到一个访问目录要输密码）

SNMP安全配置

端口161和162
通过这个看懂了

错误配置利用

• 默认团体字符串（社区字符串，可以看作弱口令）
• cve
• （使用snmpwalk，利用节点oid）

修复

• 修改默认团体字符串名（public）
• 升级

Zabbix安全配置

一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案

错误配置利用

• 弱口令
• guest账户
• cve

修复

• 不要放在外网
• 修改默认密码，禁用guest

Cacti安全配置

一套基于PHP，MySQL，SNMP及RRDTool开发的网络流量监测图形分析工具

错误配置利用

• 弱口令
• 插件

修复

• 修复弱口令

NFS安全配置

NFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS，用户和程序可以象访问本地文件 一样访问远端系统上的文件。
woobuntu

Hadoop安全配置

ElasticSearch安全配置

JAVA开发的一个基于Lucene的搜索服务器

配置产生漏洞

文件泄露

github文件泄露

成因

• 邮件信息
• SVN信息
• 内部账号及密码
• 数据库连接信息
• 服务器配置信息

利用

• google hacking
• gitprey

git文件泄露

成因

git init的目录直接发布
代码重构git reset --hard

检测利用

• google hacking
• githack

svn安全配置

错误配置利用

• 未设置密码允许匿名访问
• .svn文件夹

修复

• 设置svn密码，匿名访问用户的权限设置为none
• 发布代码使用svn export导出而不是svn co，防止泄露目录结构
• 设置目录禁止访问

DS_store文件泄露

MAC中用来存储文件夹显示属性的：比如文件图标的摆放位置

成因

发布代码未删除隐藏的.DS_store

检测利用

路径扫描，检测.DS_store文件

修复

• 禁止生成此文件
• 发布时删除此文件

网站备份压缩文件

对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站web目录下，而该目录又没有设置访问权限时，便有可能导致备份文件或者编辑器的缓存文件被下载，导致敏感信息泄露

成因

• 管理人员错误的将备份文件保存至服务器web目录下
• 编辑器自动保存备份文件到web目录下

漏洞检测利用

关键在于字典
weakfilescan

.rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html
……

www
back
backup
web
temp
data
新建文件夹
……

WEB-INF/web.xml泄露

修复

通过nginx配置禁止访问一些敏感目录
location ~ ^/WEB-INF/* { deny all; }

HTTP请求方法（PUT）

这个一直再说webdav（put，move，copy方法），iis的问题
不过之前渗透的一个网站也是可以put上传，但不是iis，应该是nginx

解析漏洞

wooyun

目录遍历

成因及利用

• 服务器配置
• 网站代码缺陷

修复

禁止目录浏览

• apache
  httpd.conf
  Options Indexes FollowSymLinks改为Options -Indexes FollowSymLinks
• nginx
  nginx.conf

  location /soft/ {
  root /var/www/;  此处为soft的上一级目录
  autoindex on;
  autoindex_exact_size off;
  autoindex_localtime on;
  }
  

• IIS
  appcmd set config /section:directoryBrowse /enabled:false

Padding Oracle

Padding Oracle

host绑定的不安全因素

DNS 域传送漏洞

心脏出血

OpenSSL

简介

可读取服务器内存中随机64KB数据，导致服务器内重要信息泄露

成因

使用openssl通信双方建立安全链接后，客户端需要不断发送心跳信息到服务器，以确保服务器是可用的

Web应用

php://filter/read=convert.base64-encode/resource=http://wiki.woooyun.org

MISC

一些常见平台的配置文件

discuz : config.inc.php

ucenter : data/config.inc.php

phpwind : data/sql_config.php

phpmyadmin : libraries/config.default.php

shopex : config/config.php 或 include/mall_config.php

ecshop : data/config.php

dedecms : data/common.inc.php

xss bypass
可以执行js的标签

<script> <a> <p> <img> <body> <button> <var> <div> <iframe> <object> <input> <select> <textarea> <keygen> <frameset> <embed> <svg> <math> <video> <audio>

所有event都可以执行js

onload onunload onchange onsubmit onreset onselect onblur onfocus onabort onkeydown onkeypress onkeyup onclick ondbclick onmouseover onmousemove onmouseout onmouseup onforminput onformchange ondrag ondrops

可以执行js的属性

formaction action href xlink:href autofocus src content data

文章