信息收集

域名收集

子域名收集

• 區(qū)域傳送漏洞（axfr---是從DNS服務(wù)器請求在主DNS服務(wù)器上更新信息的一類域名系統(tǒng)的請求）
  dig命令 dig @DNS服務(wù)器地址 test.com axfr
  nmap的 --script
• 爆破子域名
  向域名服務(wù)器發(fā)送dns請求，看返回?cái)?shù)據(jù)是否有記錄（注意泛解析）
• 搜索引擎
• 爬蟲
• IP反查---如這兒
• 在線網(wǎng)站
• SSL域名證書

兄弟域名

指：whois信息同注冊郵箱域名，whois反查

IP收集

同C段

一個(gè)企業(yè)的ip地址通常在一個(gè)C段里

服務(wù)器指紋

利用主機(jī)搜索引擎之類，特殊的HTTPS頭

自治系統(tǒng)號碼

jwhois

域名txt記錄（spf記錄）

CDN使用記錄

端口服務(wù)收集

掃描器

• nmap
• masscan（沒用過）

搜索引擎

zoomeye，shodan

Web應(yīng)用收集

目錄及文件掃描

網(wǎng)絡(luò)搜索

企業(yè)人員信息收集

大數(shù)據(jù)密碼

弱口令，撞庫

公司郵箱

ID

釣魚

（vpn）

企業(yè)外圍信息收集

服務(wù)配置

FTP安全配置

基礎(chǔ)

錯(cuò)誤配置及利用

• 允許匿名用戶登錄
• 配置不當(dāng)存在弱口令
• 權(quán)限配置不當(dāng)
• ftp軟件、程序或工具漏洞

修復(fù)

• 禁止匿名訪問

vim /etc/vsftpd/vsftp.conf
anonymous_enable=NO

• 增強(qiáng)口令長度
• 進(jìn)行訪問控制
  iptables主動(dòng)式，被動(dòng)式

如何發(fā)現(xiàn)

• nmap對端口掃描
• hydra暴破
• medusa暴破

Mysql安全配置

一些操作

錯(cuò)誤配置及利用

• phpmyadmin等數(shù)據(jù)庫管理工具
• 允許遠(yuǎn)程連接3306
• 弱口令

MSSQL安全配置

一些操作

錯(cuò)誤配置及利用

• 舊版本的MSSQL，一些公開漏洞
• sa用戶弱口令且端口對外開放1433
• 類似xp_cmdshell的擴(kuò)展命令

修復(fù)

• 升級
• 口令 USE master EXEC sp_password '舊口令', '新口令', 用戶名
• 管理用戶權(quán)限
• 刪除危險(xiǎn)擴(kuò)展命令 USE master sp_dropextendedproc 'xp_cmdshell'

MSSQL注入知識庫

Memcached安全配置

高性能的分布式的內(nèi)存對象緩存系統(tǒng)
woobuntu

問題

• 默認(rèn)端口11211開放，遠(yuǎn)程調(diào)用
  nc -vv ip 11211

修復(fù)

• 限制訪問ip，iptables

MongoDB安全配置

文件導(dǎo)向數(shù)據(jù)庫管理系統(tǒng)

錯(cuò)誤配置利用

• MongoDB安裝時(shí)不添加任何參數(shù)，默認(rèn)不開啟權(quán)限驗(yàn)證，登錄的用戶可以對數(shù)據(jù)庫任意操作而且可以遠(yuǎn)程訪問數(shù)據(jù)庫。
• 默認(rèn)數(shù)據(jù)庫admin（一些版本安裝后都有）為空，沒有記錄權(quán)限，當(dāng)admin.system.users一個(gè)用戶都沒有時(shí)，即使開啟了權(quán)限驗(yàn)證，還是可以進(jìn)行任何操作，直到有用戶
• 沒有權(quán)限驗(yàn)證可以被Mangodb管理工具（MongoVUE）遠(yuǎn)程連接操作
• restapi，web界面

修復(fù)

• 用戶認(rèn)證，使用-auth啟動(dòng)MongoDB，root賬號只有用戶管理權(quán)限，為每一個(gè)數(shù)據(jù)庫設(shè)置賬號密碼
• 限制連接ip
  ./mongod --bind_ip 127.0.0.1

Redis安全配置

一個(gè)開源、支持網(wǎng)絡(luò)、基于內(nèi)存、鍵值對存儲數(shù)據(jù)庫
端口：6379

錯(cuò)誤配置利用

• 未授權(quán)訪問，默認(rèn)啟動(dòng)沒有任何限制，可以直接連接
• 通過redis獲取webshell
  • 利用config set/get命令
  • config set dir 路徑 config set dbfilename 名字 set 內(nèi)容 save
  • (找路徑真的累且盲目)
• 通過redis獲取服務(wù)器用戶

Nagios安全配置

網(wǎng)絡(luò)監(jiān)視工具
在系統(tǒng)或服務(wù)狀態(tài)異常時(shí)發(fā)出郵件或短信報(bào)警第一時(shí)間通知網(wǎng)站運(yùn)維人員，在狀態(tài)恢復(fù)后發(fā)出正常的郵件或短信通知
默認(rèn)端口：1248

錯(cuò)誤配置利用

• 弱口令
• 插件漏洞

Rsync安全配置

實(shí)現(xiàn)遠(yuǎn)程同步功能的軟件
默認(rèn)端口：873

錯(cuò)誤配置利用

• 默認(rèn)允許匿名訪問
  • 列出當(dāng)前目錄 rsync ip::
  • 進(jìn)入目錄 rsync ip::目錄
  • 下載文件到本地 rsync -avz ip::文件目錄 本地目錄
  • 上傳webshell rsync -avz webshell.php ip::目錄
• 提權(quán)

修復(fù)

• 限定訪問的ip
• 添加口令（測試的時(shí)候遇到一個(gè)訪問目錄要輸密碼）

SNMP安全配置

端口161和162
通過這個(gè)看懂了

錯(cuò)誤配置利用

• 默認(rèn)團(tuán)體字符串（社區(qū)字符串，可以看作弱口令）
• cve
• （使用snmpwalk，利用節(jié)點(diǎn)oid）

修復(fù)

• 修改默認(rèn)團(tuán)體字符串名（public）
• 升級

Zabbix安全配置

一個(gè)基于WEB界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡(luò)監(jiān)視功能的企業(yè)級的開源解決方案

錯(cuò)誤配置利用

• 弱口令
• guest賬戶
• cve

修復(fù)

• 不要放在外網(wǎng)
• 修改默認(rèn)密碼，禁用guest

Cacti安全配置

一套基于PHP，MySQL，SNMP及RRDTool開發(fā)的網(wǎng)絡(luò)流量監(jiān)測圖形分析工具

錯(cuò)誤配置利用

• 弱口令
• 插件

修復(fù)

• 修復(fù)弱口令

NFS安全配置

NFS允許一個(gè)系統(tǒng)在網(wǎng)絡(luò)上與它人共享目錄和文件。通過使用NFS，用戶和程序可以象訪問本地文件 一樣訪問遠(yuǎn)端系統(tǒng)上的文件。
woobuntu

Hadoop安全配置

ElasticSearch安全配置

JAVA開發(fā)的一個(gè)基于Lucene的搜索服務(wù)器

配置產(chǎn)生漏洞

文件泄露

github文件泄露

成因

• 郵件信息
• SVN信息
• 內(nèi)部賬號及密碼
• 數(shù)據(jù)庫連接信息
• 服務(wù)器配置信息

利用

• google hacking
• gitprey

git文件泄露

成因

git init的目錄直接發(fā)布
代碼重構(gòu)git reset --hard

檢測利用

• google hacking
• githack

svn安全配置

錯(cuò)誤配置利用

• 未設(shè)置密碼允許匿名訪問
• .svn文件夾

修復(fù)

• 設(shè)置svn密碼，匿名訪問用戶的權(quán)限設(shè)置為none
• 發(fā)布代碼使用svn export導(dǎo)出而不是svn co，防止泄露目錄結(jié)構(gòu)
• 設(shè)置目錄禁止訪問

DS_store文件泄露

MAC中用來存儲文件夾顯示屬性的：比如文件圖標(biāo)的擺放位置

成因

發(fā)布代碼未刪除隱藏的.DS_store

檢測利用

路徑掃描，檢測.DS_store文件

修復(fù)

• 禁止生成此文件
• 發(fā)布時(shí)刪除此文件

網(wǎng)站備份壓縮文件

對網(wǎng)站整站或者其中某一頁面進(jìn)行備份。當(dāng)備份文件或者修改過程中的緩存文件因?yàn)楦鞣N原因而被留在網(wǎng)站web目錄下，而該目錄又沒有設(shè)置訪問權(quán)限時(shí)，便有可能導(dǎo)致備份文件或者編輯器的緩存文件被下載，導(dǎo)致敏感信息泄露

成因

• 管理人員錯(cuò)誤的將備份文件保存至服務(wù)器web目錄下
• 編輯器自動(dòng)保存?zhèn)浞菸募絯eb目錄下

漏洞檢測利用

關(guān)鍵在于字典
weakfilescan

.rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html
……

www
back
backup
web
temp
data
新建文件夾
……

WEB-INF/web.xml泄露

修復(fù)

通過nginx配置禁止訪問一些敏感目錄
location ~ ^/WEB-INF/* { deny all; }

HTTP請求方法（PUT）

這個(gè)一直再說webdav（put，move，copy方法），iis的問題
不過之前滲透的一個(gè)網(wǎng)站也是可以put上傳，但不是iis，應(yīng)該是nginx

解析漏洞

wooyun

目錄遍歷

成因及利用

• 服務(wù)器配置
• 網(wǎng)站代碼缺陷

修復(fù)

禁止目錄瀏覽

• apache
  httpd.conf
  Options Indexes FollowSymLinks改為Options -Indexes FollowSymLinks
• nginx
  nginx.conf

  location /soft/ {
  root /var/www/;  此處為soft的上一級目錄
  autoindex on;
  autoindex_exact_size off;
  autoindex_localtime on;
  }
  

• IIS
  appcmd set config /section:directoryBrowse /enabled:false

Padding Oracle

Padding Oracle

host綁定的不安全因素

DNS 域傳送漏洞

心臟出血

OpenSSL

簡介

可讀取服務(wù)器內(nèi)存中隨機(jī)64KB數(shù)據(jù)，導(dǎo)致服務(wù)器內(nèi)重要信息泄露

成因

使用openssl通信雙方建立安全鏈接后，客戶端需要不斷發(fā)送心跳信息到服務(wù)器，以確保服務(wù)器是可用的

Web應(yīng)用

php://filter/read=convert.base64-encode/resource=http://wiki.woooyun.org

MISC

一些常見平臺的配置文件

discuz : config.inc.php

ucenter : data/config.inc.php

phpwind : data/sql_config.php

phpmyadmin : libraries/config.default.php

shopex : config/config.php 或 include/mall_config.php

ecshop : data/config.php

dedecms : data/common.inc.php

xss bypass
可以執(zhí)行js的標(biāo)簽

<script> <a> <p> <img> <body> <button> <var> <div> <iframe> <object> <input> <select> <textarea> <keygen> <frameset> <embed> <svg> <math> <video> <audio>

所有event都可以執(zhí)行js

onload onunload onchange onsubmit onreset onselect onblur onfocus onabort onkeydown onkeypress onkeyup onclick ondbclick onmouseover onmousemove onmouseout onmouseup onforminput onformchange ondrag ondrops

可以執(zhí)行js的屬性

formaction action href xlink:href autofocus src content data

文章