web
本系列侧重方法论,各工具只是实现目标的载体。
命令与工具只做简单介绍,其使用另见《安全工具录》。
1:CDN 绕过
CDN(Content Delivery Network,内容分发网络)是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。
在安全测试过程中,若目标存在 CDN 服务,将会影响到后续的安全测试过程。
CDN 绕过就是要绕过 CDN 服务,找到其主服务器真实 ip。
1.1:判断是否有 CDN 服务
- 通过 ping ip 或域名,看相应时间是否会出现大的变化。
- 通过 nslookup 域名,看是否会有很多节点。
- 网站工具:https://tool.chinaz.com/speedtest
1.2:常见绕过方法
- 通过子域名探测:有的网站主域名会做 CDN,但是子域名可能不会做。
- 邮件服务查询:我们访问别人,可能通过 CND,但别人访问我们通常不会走 CDN。
- 国外地址请求:若国外没有 CND 节点,可能直接走原 ip。
- 寻找遗留文件:扫描全网。
- 黑暗引擎搜索特定文件:shodan 搜索指定 hash 文件。
- DNS 历史记录:第三方接口(接口查询)
- “以量打量”:CDN 节点有流量上限,用光后就会直通原机。这也是一种流量攻击。
- 根据网站的域名备案推测(认为判定)
- 更改本地 HOSTS 解析指向文件:本地清理下 DNS,然后 hosts 里写上得到的 ip 和域名,如果是 cdn 可能会出现刷新异常,如果打开很快大概率是原机。
1.3:相关资源
国内测速:
https://tool.chinaz.com/speedtest
傻蛋(shodan):
https://www.shodan.io
X 情报社区:
https://x.threatbook.com
Ping 检测:
https://ping.chinaz.com
check ip and location:
https://get-site-ip.com
fuckcdn:
https://github.com/Tai7sy/fuckcdn
w8fuckcdn:
https://github.com/boy-hack/w8fuckcdn
2:网站架构
网站架构搭建的习惯有以下几种:
- 目录型站点
示例:
www.test.com/dir 与 www.test.com/tql 是两个不同页面或网站
- 端口类站点
示例:
www.test.com:80 与 www.test.com:8080 是两个不同网站
- 子域名站点
示例:
www.test.com 与 blog.test.com 是两个不同网站
- 类似域名站点
示例:
www.test.com 与 www.example.com 是同一个网站
- 旁注站点:同一个服务器上搭建了多个不同的站点。
示例:
在 192.168.10.1 服务器上,搭建了 www.a.com 与 www.b.com 等多个不同站点。
- C 段站点:在同一网段的多个服务器分别搭建了多个不同站点。
示例:
在 192.168.10.1 服务器上,搭建了 www.a.com 与 www.b.com 等多个不同站点。
在 192.168.10.2 服务器上,搭建了 www.c.com 与 www.d.com 等多个不同站点。
相关资源:
同 ip 网站查询:https://www.webscan.cc/
3:WAF
WAF,Web Application Firewall,Web 应用防护系统,也称为:网站应用级入侵防御系统
可以使用 WAFw00f 工具识别 WAF。
工具链接:https://github.com/EnableSecurity/wafw00f
Kali 已经集成了 WAFw00f 工具。
WAF 识别对之后的绕过很有帮助。
4:APP 及其他资产
在安全测试中,若 WEB 无法取得进展或无 WEB 的情况下,需要借助 APP 或其他资产在进行信息收集,从而开展后续渗透。
- apk 反编译提取信息 使用反编译工具,尝试获取包里的源码、url 信息等。
- 配合抓包工具获取更多信息 使用 burp suite 设置代理,查看 history 记录。或 wireshark 抓包分析。
- 第三方相关探针技术 钟馗之眼:https://www.zoomeye.org/ fofa:https://fofa.info/ 傻蛋:https://www.shodan.io/ 站长工具:https://tool.chinaz.com/ Nmap
- 服务接口相关探针
5:资产监控
- Github 监控: 便于收集整理最新 exp 或 poc 便于发现相关测试目标的资产
- 各种子域名查询
- 枚举爆破或解析子域名
- 相关 DNS、备案、证书等: 发现管理员相关的注册信息
- 全球节点请求,CDN 分析
- 黑暗引擎相关搜索
- 微信公众号接口获取
- 内部群信息获取(社工)
相关资源:
https://sct.ftqq.com/login
https://crt.sh
https://dnsdb.io
https://tools.ipip.net/cdn.php
https://github.com/bit4woo/teemo
https://securitytrails.com/domain/www.baidu.com/history/a
示例:GitHub 监控代码
# Title: wechat push CVE-2020# Date: 2020-5-9# Exploit Author: weixiao9188# Version: 4.0# Tested on: Linux,windows# cd /root/sh/git/ && nohup python3 /root/sh/git/git.py &# coding:UTF-8import requests
import json
import time
import os
import pandas as pd
time_sleep =60# 每隔 20 秒爬取一次while(True):
headers1 ={"User-Agent":"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.25 Safari/537.36 Core/1.70.3741.400 QQBrowser/10.5.3863.400"}# 判断文件是否存在
datas =[]
response1 =None
response2 =Noneif os.path.exists("olddata.csv"):# 如果文件存在则每次爬取 10 个
df = pd.read_csv("olddata.csv", header=None)
datas = df.where(df.notnull(),None).values.tolist()# 将提取出来的数据中的 nan 转化为 None
requests.packages.urllib3.disable_warnings()
response1 = requests.get(url="https://api.github.com/search/repositories?q=CVE2020&sort=updated&per_page=10", headers=headers1, verify=False)
response2 = requests.get(url="https://api.github.com/search/repositories?q=RCE&ssort=updated&per_page=10", headers=headers1, verify=False)else:# 不存在爬取全部
datas =[]
requests.packages.urllib3.disable_warnings()
response1 = requests.get(url="https://api.github.com/search/repositories?q=CVE2020&sort=updated&order=desc", headers=headers1, verify=False)
response2 = requests.get(url="https://api.github.com/search/repositories?q=RCE&ssort=updated&order=desc", headers=headers1, verify=False)
data1 = json.loads(response1.text)
data2 = json.loads(response2.text)for j in[data1["items"], data2["items"]]:for i in j:
s ={"name": i['name'],"html": i['html_url'],"description": i['description']}
s1 =[i['name'], i['html_url'], i['description']]if s1 notin datas:print(s1)
情欲意识,尽属妄心消杀得,妄心尽而后真心现。
——《菜根谭》(明)洪应明
版权归原作者 镜坛主 所有, 如有侵权,请联系我们删除。