全套实战网站漏洞检测(src无码)这是一篇正经的漏洞检测报告

2022-12-01 14:45:09 浏览数 (1)

前言:

本篇文章的内容,基于一个很久之前的委托,当时因为被挂马委托了我,但是我当时因为某些事情耽误了,后来网站因为某些原因也废弃不用了,虽然不用了但是仍然挂在服务器上运行着。不出意外现在也已经彻底停用了,大家看文章就不要究其根源了,分享一下我的一些个人思路就好了,因为网站已经关闭,本文就不再打码了。

注:本文所用方式都有更多更优方式,所以大家不必争论。

我会从信息搜集方面开始讲起,大佬暂退,哈哈。如果你是学习的新手,我想这篇文章多少会对你有所启发。

任务一、目标确认及信息搜集

1.1 IP地址及端口服务

首先是确认目标,目标网站淘江阴

代码语言:javascript复制
http://www.taojiangyin.com/

第一步先进行信息搜集,我用我自己整理出来的一个文档来搜集一下信息

首先我通过站长之家工具对基本内容进行查询

确认了IP地址,同站的网站,注册人邮箱等信息,同时我检测了dns的解析,确认没有多个ip,可以确认这个就是真实

注:还有其他方式检测dns,大家自行学习

然后看了一下同IP网站基本就是主网站的一些子域名之类,也基本属于同类网站

通过大小写判断,该网站服务器初步判断为Windows系统

我们再通过whatweb命令来检查

代码语言:javascript复制
whatweb www.taojiangyin.com 

确定为Windows系统,而且使用的是iis7.5,使用的是PHP

我们可以根据版本号来找一下对应的漏洞

下一步我们扫描一下目标开放了哪些端口,这里我是用nmap扫描一下

代码语言:javascript复制
 nmap -sS 115.29.188.182

使用半连接扫描扫全端口,同时也可以增加一个参数来查看一下相关服务

代码语言:javascript复制
map -sS -A 115.29.188.182 

1.2 子域名及c段搜索

端口和服务搜集完毕,我们继续挖掘信息,搜集一下子域名,可以利用旁站攻击

这里我使用在线扫和御剑两款来尝试,子域名就是字典的尝试,大家多搜集字典即可

代码语言:javascript复制
https://phpinfo.me/domain

下面是御剑

查了一下c段并没有,子域名也只有我从站长工具上查到的

同时我在扫描的时候发现了一个phpinfo的页面,可以算是信息泄露

经测试,就只有一个子域名可用,同时无c段旁站

1.3 waf检测

然后我们检测一下有无防火墙

这里我是用wafw00f,sqlmap和nmap都检测了一波

代码语言:javascript复制
wafw00f taojiangyin.com
代码语言:javascript复制
sqlmap -u "www.taojiangyin.com" --identify-waf

都没有检测出waf,这里暂时先假设没有(遇到再说)

1.4 敏感目录搜索

最后我搜集一下这个网站的敏感目录,除了之前搜集到的phpinfo页面可能存在信息泄露

使用了御剑工具,根据响应200的,检查了一下敏感文件

还有一个疑似有问题的页面,同时目录下robots文件也没删除

还有一个1.php页面,分析一下可能不是网站管理设置的,很可能是黑客入侵了上传的

1.5 关联信息搜集

未找到相关app之类。

通过whois查处的公司名字子,到天眼查进行搜集,搜集到了额外的信息,可能会对社工有利。

可以适当利用这些信息来制作字典

任务二、分析寻找漏洞

2.1分析现有可利用信息并尝试利用

首先我看了下现有信息,能利用到的就是一个iis7.5,还有一个不知道干什么用的pop3服务

网上查了一下,pop3可能会有可爆破、未授权访问和嗅探的问题

于是我就用nc探测了一下,发现端口开启但是前面显示无法识别

使用了telnet尝试连接一下

我又尝试使用hydra爆破一下,但是同样无法使用,于是我便放弃了从这个地方爆破的想法

那我就考虑3389端口开启我是不是可以简单爆破一下,但是爆破的结果很奇怪

代码语言:javascript复制
hydra 115.29.188.182 rdp -L 常用用户名.txt -P 常用密码.txt -e n 

出现很多结果都显示正确,但是实际没有正确的,这里我感觉是添加了什么过滤或者其他的

这条线我也暂时放弃了。

于是我盯上了iis7.5的版本

我上网搜索该版本号的漏洞

cgi.fix_pathinfo函数对于7.5版本来说,可以上传带有php代码的图片文件然后修改后缀可以执行,这个函数开启的话就会有这个问题,我们访问之前信息泄露的phpinfo页面查找一下这个函数。

发现这个函数后面是1,证明是开启的,我们找一下有没有图片上传的地方

网站的明面上并没有可上传点,于是我想,能不能通过用户身份去

于是我就到用户登录页面去查看一下,发现没有验证,于是我想爆破一下

想了一下尝试将密码定义为123456,然后设置账号名为变量,看看有多少弱口令的账号

哈,果然有不少账号是弱密码,随便尝试了一个进来

找了半天,连个上传头像的地方都没有,全站也没找到个上传图片的地方(可能因为网站关闭了的原因。)因为网站关闭,基本里面的用户也没有什么利用价值了。

没办法,我尝试一下爆破后台,使用了atscan工具扫一下

代码语言:javascript复制
perl atscan.pl -t https://www.example.com --admin

可惜了,也没扫到

有点难受了

没办法了,只能继续下一个,从php版本入手看看

找到了相应的版本号漏洞CVE-2015-4598,是一个文件上传漏洞,截断,可惜没有上传点都是白费,既然如此我就找一找有没有什么top10的漏洞,从注入和xss找起。

观察了一下页面结构,发现只有搜索框这个地方可以尝试,于是我对其进行了一定的探测,不管怎么说先用sqlmap一把梭跑一个

代码语言:javascript复制
Sqlmap -u "http://www.taojiangyin.com/search.php?encode=YToyOntzOjg6ImtleXdvcmRzIjtzOjEyOiLllYrpo5Lpo5LnmoQiO3M6MTg6InNlYXJjaF9lbmNvZGVfdGltZSI7aToxNjQ4MzcyNDU5O30=" 

跑注入的同时我看这个后面的encode的编码有点像是编码,我用burp抓包,解码一下这个后面的参数

放到重发器,复制这里的参数放到解码处解码看看

这里有点像反序列化的内容,其实就是我传输的搜索框中的参数,传递给服务器

这里发现我们传递的参数带入到了页面中,这样考虑一下,是不是我可以修改这个反序列化的参数然后以此带入一些js的脚本

说干就干,写一下poc

将原本我们搜索的参数改成xss的攻击脚本,同时将前面s后面的数字改成后面脚本对应的数字,着实有点伤眼睛,然后base64编码一下

代码语言:javascript复制
YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCcxMTEnKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

Poc做好直接替换进去看看

弹窗了,反序列化导致的反射性xss,除了这个之外,我们继续观察一下,除了这里,还有一个应该是数据头中没有X-XSS-Protection,缺少这个就是缺少了一些xss的防御功能

代码语言:javascript复制
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Sun, 27 Mar 2022 15:05:23 GMT
Connection: close
Content-Length: 339

还有一个问题在我测试敏感目录的时候发现,路径访问错误就会有报错,报错信息会泄露绝对路径可能造成一定的危险

再找我就没找到有什么可疑漏洞了。反序列化那边的漏洞当然还有其他的利用方式,但是只能带入参数到前端中,无法带入到数据库中。

2.2 漏洞及问题总结

2.2.1 反序列化导致的反射性xss(高危)

http://www.taojiangyin.com/search.php页面存在该漏洞

利用poc:

YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCdiYWknKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

利用方式,加在encode参数后传递即可

代码语言:javascript复制
http://www.taojiangyin.com/search.php?encode=YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCdiYWknKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

2.2.2 cgi.fix_pathinfo函数未禁用(高危)

2.2.3 phpinfo页面未删除,敏感信息泄露(低危)

该信息泄露可能造成一些函数使用信息泄露,使用版本号信息泄露,以及主机部分信息泄露,可能会被黑客利用

http://www.taojiangyin.com/1.php

2.2.4 用户登录传递未加密及验证(中危)

用户登录的位置用户名密码传递都未加密,通过简单的爆破即可获取部分用户账号,可能会对用户造成经济损失。

2.2.5 报错返回信息未设置(中危)

访问错误目录,返回信息错误,泄露了服务器绝对路径,可能会被黑客利用。

注:文章中的工具

Burpsuite

Kali Linux

御剑

Hackbar

0 人点赞