打点

信息收集

oneforall 配置好api 子域名挖掘机5.0补充oneforall

hunter 鹰图 （可以看到备案 去重，一年内

google语法 exploit-db.com/google-hacking-database intitle:index.of “parent directory”

微信小程序 各种口语化词汇都可以 xx旗下 xx公司集团

站长之家的信息比小蓝本全，比如某些zf单位没有资产

浙江大学 -edu.cn 登录|注册 谷歌语法

网站截图工具EyeWitness

敏感信息泄露

案例1：官网直接的JSON文档，里面直接有Mssql的明文账号密码，ip还是外网的。

案例2：使用burpsuite抓包，js源码中存在某云的AK/SK。

案例3：对apk脱壳，反编译Java代码找到了某云的AK/SK。

案例4：对apk直接批量进行信息提取，找到了很多偏门的ip+端口的资产。

案例5：网站的说明文档中会有一些意外的资产，然后用shiro反序列化、log4j2等常规漏洞可以打进去。

案例6：官网链接的软件包中，配置文件含有Socks5代理，直连内网。

案例7：SVN等源码泄露漏洞，通过php代码审计上传漏洞

案例8：百度网盘搜索方法，对敏感关键词进行检索，成功发现一个员工离职交接文档的压缩包，解压后1G多，里面存放了大量的网络拓扑图及通讯录信息，对后渗透了解网络架构起到了很大帮助

(网盘搜索引擎：

凌风云https://www.lingfengyun.com/，

我搜云https://www.wosouyun.com/)

大力盘 https://www.dalipan.com/#/main/search?restype=1

猪猪盘 http://www.zhuzhupan.com/

来搜一下https://www.laisoyixia.com/

盘搜搜https://www.pansoso.com/

区分spring和struts2框架的几种方法

1.在url中添加不存在的路径，如果返回同样的页面，那大概率是struts2框架，如果返回404或者报错，则大概率是spring，比如说：http://192.168.237.128:8080/struts2_032/example/aaaaaa1/bbbbbbbb2/ccccccccc3/HelloWorld.action

在struts框架下，完全可以正常返回页面，而spring会报错

2.在url中添加/struts/domTT.css

源码是找不到domTT文件的，因为这个文件在struts2的jar包中，

注，在一些低版本的struts2框架中，domTT.css文件不存在，需要更换为其他静态文件路径

3.404、500响应码返回信息

输入一个不存在的路径，返回404页面，或者传入一些乱码字符，造成当前的页面响应码500报错抛出异常

struts2常用的关键字有这些，例如no action、mapped、struts2、namespace、defined for action

Spring的报错信息如下：含有Whitelabel Error Page 关键字

4.看网站图标favicon.ico

外围

1.enscan 跑公司和子公司的基本域名公众号小程序和app(缺点：不全)

但是光使用enscan 你会发现该公司的部分域名依旧没有收集到

在此基础上还需要使用小蓝本 手动信息收集

组合出来的信息为初步信息收集

2.使用oneforall 跑所有的域名 收集子域名

oneforall 功能：使用fofa,shadon等api接口进行信息收集

oneforall有自己的字典也可以爆破出来部分

oneforall的 api 尽可能多的配置

3.全部拿出来 使用 ehole 魔改过的版本 自带攻击payload

4.对于子域名还可以进行探测存活(这一步可以放到后面)，

webBatchRequest.jar

探测存活之后批量跑后台 dirsearch bypass 403 魔改版

5.对于文档可以查看某些域名的ip 是否存在关联

xxx.aaa.com 100.1.1.35 bb.aaa.com 100.1.1.23

23-35之间 全是这个公司的资产

一般企业 和学校 极有可能会是一个小段

可以通过已知的ip段进行全端口扫描

goby比较慢 但是goby可以进行弱口令扫描和指纹识别

或者使用 nmap 巨慢 但是准

6.免杀shell可以直接使用 one-fox工具箱里面的webshell生成器。

7.看看是否有ehole可以攻击出来的漏洞，有就上述拿shell。没有则对总计的网站找后台，xlsx文档找弱口令(如果很明显是一个通用的系统，百度logo名称默认密码)。找到弱口令进入后台文件上传getshell 和 sql注入拿shell。

找能注册进去的网站，burp开着插件 xia注 插件 ，Tsojanscan，log4j疯狂模式，RouteVulScan,

挂着捡洞就行

8.备份文件翻配置文件，根据备份文件进入后台。

9.假如一个企业存在c段部分资产，可以直接使用ehole 批量打c段，看看有没有可以直接rce的。

拿到命令行怎么继续利用，找不到网站根目录

找一个网站的图片链接，复制文件名搜索

Windows 主机寻找文件 dir C:\ /s /b | find “example.txt”

where /r C:\ a.jsp

自带 远程下载文件 curl url 命令

curl http://www.linux.com >> linux.html

curl -o linux.html http://www.linux.com

进内网之后

当我们拿到webshell的时候，现在开始要内网渗透了。

查看系统详细信息
systeminfo注意系统的版本，位数，域，补丁信息，更新频率等
查看系统补丁
wmic qfe get caption,description,hotfixid,installedon

tasklist /svc 查看进程 是否有杀软或者其他服务

systeminfo 查看是否存在域环境和补丁情况，还有是否存在域控

netstat -an 查看进程。

2.对于已经开启的进程服务 可以去翻配置文件找到账号密码 ，连上截图。

3.搭建隧道或者把fscan上传上去 ，使用fscan -h 192.168.0.0/24 直接扫

会自动使用弱口令扫描 指纹识别 系统漏洞等等。。。

4.扫不出来怎么办，使用边缘主机的密码，去制作成字典撞密码。

可以是话上线cs 和msf 使用插件去攻击。

清痕

echo > ~/.bash_history

覆盖文件，文件的inodeh不发生改变，只是改变了文件的block指针，使用魔改版debugfs(https://zgao.top)仍可以提取到被删除的.bash_history命令执行记录