边界渗透中的小技巧

R3START@白帽汇安全研究院个人简介ID:R3start@白帽汇安全研究院白帽汇高级打字工程师兼职初级渗透测试人员希望能多结交一些志同道合的大佬Blog:http://r3start.
netGithub:https://github.
com/r35tart案例分享四月份的时候Github有一个项目名为:openXXXX我在其中发现了多个内部域名,最后通过这些内部域名,结合接下来要讲的方法,成功发现了多个漏洞.
渗透流程明确目的资产收集寻找脆弱点组合利用达到目的资产收集1.
目标主业务二级域名、三级域名等…多级域名收集通过FOFA语法收集通过子域名爆破、反查收集通过JS接口收集通过Github信息泄露…2.
业务强关联子公司资产收集多级域名资产Github信息泄露员工信息、管理后台…3.
目标IP资产、内网域名收集线上测试环境Github信息泄露历史漏洞信息JS代码…4.
…但大部分都是….
资产收集如何渗透401、403、404、500其实很多时候这些IP、域名往往都是一些脆弱的、高价值的又容易被突破的站点,但大部分人看到这些响应码后的操作最多也就扫扫端口、扫扫目录有发现就继续搞搞,没发现就丢掉,从而错失了打入内网的大好机会.
HOSTS碰撞那么…我们应该怎么对这些这些页面开展渗透工作呢Hosts碰撞很多时候访问目标资产响应多为:401、403、404、500,但是用域名请求却能返回正常的业务系统,因为这大多数都是需要绑定host才能正常请求访问的(目前互联网公司基本的做法),那么我们就可以通过收集到的目标的内网域名和目标资产的IP段组合起来,以IP段+域名的形式进行捆绑碰撞,就能发现很多有意思的东西.
这一操作可以通过脚本自动化来访问:https://github.
com/r35tart/Hosts_scan脚本原理在发送http请求的时候,对域名和IP列表进行配对,然后遍历发送请求(就相当于修改了本地的hosts文件一样),并把相应的title和响应包大小拿回来做对比,即可快速发现一些隐蔽的资产美团某金融碰撞案例漏洞原理懂点网站搭建大概了解DNS解析过程需要用到的知识点漏洞原理如果管理员在配置apache或nginx的时候禁止了IP访问,那么我们直接访问IP将会回显403页面(apache_httpd.
conf配置)这时候访问网站则需要使用Apache的httpd.
conf配置中的ServerName里指定的值才能够正常访问(直接IP访问)(使用域名访问)漏洞原理如果管理员在配置的时候ServerName域名写的是内网域名怎么办(公网DNS服务器无法解析内部自定义域名)大概了解一下DNS解析过程1.
在浏览器内部中查看是否有缓存2.
在本机hosts文件中查看是否有映射关系3.
本地DNS缓存(ipconfig/displaydns)4.
本地DNS服务器5.
跟域服务器通俗点讲:当用户在浏览器中输入一个需要访问的网址时,浏览器会查看自身是否有缓存,没有系统则会检查自己的Hosts文件中是否有这个域名和IP的映射关系.
如果有,则直接访问这个IP地址指定的网络位置,如果没有,再向的DNS服务器提出域名解析请求.
也就是说Hosts的IP解析优先级比DNS要高.
漏洞原理那么我们只需要知道目标的IP和域名即可通过修改本机Hosts访问到目标系统√(本机Hosts添加映射关系)(IP域名正确匹配访问成功√)(绑定的域名不正确访问失败*)不好意思还没结束资产收集1.
目标主业务二级域名、三级域名等…多级域名收集通过FOFA语法收集通过子域名爆破、反查收集通过JS接口收集通过Github信息泄露…2.
业务强关联子公司资产收集多级域名资产Github信息泄露员工信息、管理后台…3.
目标IP资产、内网域名收集线上测试环境Github信息泄露历史漏洞信息JS代码…4.
…资产收集但尝试登陆后大部分都是….
然后你突然心血来潮,要爆破六位数验证码、爆破11位手机号来登陆,然后发现.
.
.
.