突破封閉 Web 系統的技巧之旁敲側擊

2021-08-20 11:22:26 字數 3064 閱讀 4120

在網際網路安全服務公司乙方工作的人或者進行src眾測等相關滲透測試時,經常碰到客戶只給乙個"***資訊管理系統"、"***平台"之類的乙個web 登入介面的系統的鏈結位址,其它全憑自己造化,去找漏洞吧!

我將上面講的"需要認證後才能進入系統進行操作,但是當前沒有認證憑證"的 web 系統統一稱為"封閉的 web 系統",本文認為閱讀人員有一定的滲透測試經驗,並將就如何突破封閉的 web 系統,進行**。分享自己的思路與常用技巧,歡迎同道中人一起交流思路。

注:本文有一定的攻擊性操作,僅為安全從業人員滲透測試思路交流,請在法律條規允許的範圍內進行安全測試。

《突破封閉 web 系統的技巧》由兩篇文章組成,第一篇是 突破封閉 web 系統的技巧之正面衝鋒

,這是第二篇文章"旁敲側擊"。

經過我們的一陣自殺式……哦不對,字典式衝鋒,發現我們將自己意淫成管理員企圖從心裡戰勝"封閉系統"的想法失敗了。

進不去就是進不去啊,乙個低危洞都沒有,看來是這系統比較安全了。

但是回頭一瞟,隔壁座位上的老王喜笑顏開,3 個高危已經輕鬆提交上去,還有 2 個中危都不屑一看……

自己心裡想著"我真菜",然後決定徹底放棄。

直到某天,老王感覺虧欠你太多,向你娓娓道出他那天所施展的姿勢……

0x00:掃埠擴範圍

在正面衝鋒失敗後,我們應該暫時放棄"通過合法的憑證進入 web 系統"這個想法,擴散思維,不再侷限於 web 系統,多關注作業系統、中介軟體的層面。

埠掃瞄做為一項常用技術,可用

nmap、masscan、zmap等工具進行埠探測和服務識別,不再贅述。值得注意的是:

不要著急就只掃瞄 tcp 協議的埠,udp協議的埠也不要放過。

掃瞄到一些有趣的埠和服務,就可以盡情的去玩耍了。如果有較多有可能被拿下的服務埠開放,無形中我們直接拿下伺服器的概率會大大增加。當別人還在"衝鋒"時,我們可能早就通過某不知名埠部署的其它 web 應用系統的中介軟體漏洞進入系統了~

0x01:尋找測試網域名稱

有些廠商在開發其 web 系統時,可能會先單獨分配個測試網域名稱來測試正在開發的系統,比如

"testapi.land.com"

當系統開發完成後,廠商如願以償的將安全的系統部署在網域名稱

"api.land.com"上,但是確忘記關閉了

"testapi.land.com"

然後,測試網域名稱上仍然開放著 n 多埠,分別對應著不同版本的 web 系統,儼然成為了乙個天然的靶場。

0x03:尋找蛛絲馬跡

最好詳細的記錄下所有有關 web 系統的相關資訊。

這些資訊都有可能成為最後突破的方向,如伺服器作業系統型別、使用的框架或元件、使用的容器、使用的 cms 型別、伺服器版本、開發語言、前端框架等資訊。

搞不定的 web 系統,說不定乙個

struts2 rce

weblogic rce

tomcat war包部署之類的漏洞,連伺服器的許可權都拿到了。

另外,對於資訊量極少的封閉系統,右擊檢視原始碼基本成了必須要做的事,最好把能接觸到網頁,全部右擊檢視一遍**原始碼。仔細瀏覽一遍,看看有沒有特殊的網頁注釋、特殊鏈結之類的,也許一條測試後台的 ip 位址鏈結、放置在 json 檔案中的明文配置密碼資訊,就能讓你進入未受保護的測試系統。

最後,如果系統條件允許的話,最好用檢測普通 web 系統的手段對封閉的 web 系統檢測一遍。比如用主機漏洞掃瞄器 nessus、web 漏洞掃瞄器awvs

netsparker

等掃瞄下**,防止遺漏重要的

web漏洞資訊。

0x04:何方 cms

如果 web 系統不是作為獨苗被單獨開發的話,那麼很可能是由已知的 cms 或框架寫成的。知名的 cms 在

0x03:尋找蛛絲馬跡步驟就應該已經知道了。如果它是由沒有開放源**的商業化的 cms 改造而成或者不知名的系統建成,我們還有以下幾種方式得到它的名字或者源**。

1、觀察頁面的特殊 css 命名規則、js 方法名等資源特徵,用搜尋引擎搜尋;

4、在頁面底部或者掃瞄到的 reamde 等檔案裡如果有外包公司等名稱或首頁,可以藉此得知是哪個外包公司開發的什麼系統,尋找類似的保護較脆弱的系統,拿到原始碼。

0x05:歷史漏洞搜尋

經過我們上面的工作,我們很可能已經得知系統的名字和版本。這時候,就可以去搜尋引擎、wooyun 漏洞映象站、安全客的漏洞搜尋、cvel 漏洞庫去搜尋下 cms 的歷史漏洞,或者廠商以前曾暴露出來的漏洞,可能會發現許多有用的資訊!

有可能乙個以前暴露出來的員工弱口令稍加變形或者 ***cms 無條件 getshell,封閉系統的大門就徹底向我們敞開了。

0x06:大殺四方

從上文所述,我們可以看出:所謂旁敲側擊的精華思想有兩部分:

一、是規避安全措施做的很好的封閉 web 系統,嘗試從相關的弱點系統和人著手,間接突破封閉的 web 系統;

二、是通過各種渠道,獲得所使用系統的名字和原始碼,嘗試使用歷史漏洞或者審計原始碼,突破封閉的 web 系統。

最後,老王也緩緩說出了他快速提交漏洞的秘密:原來在 n 月前,老王在某次滲透測試時,就通過其它**的 wwwroot.rar 備份檔案。

獲得了和這個 web 系統一樣的原始碼,審計一波已經得到幾個 0day,0day 才是大殺四方的利器啊!

當嘗試突破封閉的 web 系統並且正面強攻不奏效的情況下,旁敲側擊往往具有強大的殺傷力。

其中的技巧往往越猥瑣、小眾、另闢蹊徑,效果越出彩,而且技巧也遠遠不止上面提到的一小部分。

比如,針對性極強的郵件、網頁釣魚套出目標管理員的口令和密碼;在所有思路全部中斷時,去 qq 群搜尋下 web 系統名或者機構名,編織個巧妙的不敢輕易拒絕的謊言,進去 qq 群後,很可能系統原始碼、預設密碼、測試帳號就全部都有了。

web開發的一些工具技巧 Web開發技巧,使用

web開發的一些工具技巧 存檔日期 2019年5月15日 首次發布 2007年8月21日 資料庫很樂意處理許多並行請求 這樣做幾乎是在資料庫的定義中進行的 但是,活動程序 執行緒或分叉 幾乎不可避免地會消耗掉寶貴的資源 資料庫連線。martin blais的antiorm庫中的antipool.py...

國產海量儲存系統的新突破

3月8 14日,十一五 國家重大科技成就展在北京國家會議中心舉行。本次展覽集中展出了一批對國民經濟和社會發展有著重大影響 具有重大創新與突破和自主智財權的重大標誌性專案。本次參展的專案約600項,參展實物近1000件,模型150多件。資訊科學與技術展區吸引了記者的目光,那裡展示了海量資訊儲存 高階容...

國產海量儲存系統的新突破

3月8 14日,十一五 國家重大科技成就展在北京國家會議中心舉行。本次展覽集中展出了一批對國民經濟和社會發展有著重大影響 具有重大創新與突破和自主智財權的重大標誌性專案。本次參展的專案約600項,參展實物近1000件,模型150多件。資訊科學與技術展區吸引了記者的目光,那裡展示了海量資訊儲存 高階容...