.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
毎日の手順の簡単な説明
エントリ許可=イントラネットの収集/検出=殺害の免除[不要]=クロールログイン資格情報=クロスプラットフォームhorizontal=エントリメンテナンス=データリターン=通常の許可メンテナンス
0x01エントリ許可へのアクセス[早期偵察では、コレクション段階には多くの防御可能なポイントがなく、防衛の中心ではありません]
1。CDN周辺のすべての実際のIPセグメントを見つけます(1)。全国の複数のpingを通して、IPアドレスがCDNhttp://PING.com/https://Tools.ipip.net/ping/ping/ping.phphttps://www.17ce.com/3https://ww.cdnplanet.com/tools/cdnfinder/(cdnfinder/(2)かどうかを判断するために一意かどうかを確認してください。以前のDNSバインディング履歴レコードを通じて、実際のIPアドレスhttps://x.Threatbook.cn/https://Viewdns.info/https://www.ip138.com/http://toolbar.netcraft.com/site_report?url=3333https://securitytrails.com/(3)を見つけてください。複数のサブドメインを取得し、バッチ内の複数のサブドメインをpingすることにより、サブドメインのIPを決定できます。セグメントは実際のIPセグメントです(メインサイトはCNDを使用しますが、サブドメインサブサイトはCDNを使用して解決しません)レイヤーサブドメインがExcavator/googlehackinghttps://phpinfo.me/domain/http://tool.chinaz.com/subdomain/https://github.com/lijiejie/subdomainsbrute(4)。 SSL証明書を使用して、実際の元のIPhttps://C essys.io/https://crt.sh/(5)を見つけます。外国人ホストを使用してドメイン名https://asm.ca.com/zh_cn/ping.phphttps://asm.saas.broadcom.com/zh_cn/register.php3359dnscheck.pingdom.com(6)を解決します。 PHPINFOやGitHubに敏感な情報漏れまたはApacheステータス、JBOSSステータス敏感な情報漏れ、Webソースコードの漏れ、SVN情報漏れ文字、GitHub情報漏れ(7)などのWebサイトの脆弱性検索。ウェブサイトの電子メールサブスクリプションRSS電子メールサブスクリプションを探します。多くのウェブサイトにはsendmailが付属しており、メールを送信します。現時点では、電子メールソースコードをチェックするには、サーバーの実際のIPが含まれます。 (8)。 CDNに侵入し、抜け穴または弱いソーシャルワーカーのパスワードを介して入力します。 (9)。 ZMAPとZgrabのフルネットワークスキャンを介して実際のIPを取得します。 https://www.ip2location.com/free/visitor-blocker3https://www.ipdeny.com/ipblocks/3https://www.t00ls.net/articles-40631.html(Zgrab)3https://levyhsu.com/2017/05/05/5%888%A8%A8%A8%a8です94%a8zgrab%e7%bb%95cdn%e6%89%be%e7%9c%9f%e5%ae%9eip/http://bobao.360.cn/learning/detail/211.html(zmap)(10)。 https://www.zoomeyee.orgshodan:https://www.shodan.iofofa:https://fofa.s(11)。 ping 163.conの場合、バイパスできます(12)。前のものの古いドメイン名はping(13)を使用できます。 F5 LTMデコードメソッドサーバーがロードバランスにF5 LTMを使用する場合、実際のIPは、Set-Cookie: Bigipserverpool_8.29_8030=487098378.24095.0000などのSet-Cookieキーワードをデコードすることで取得することもできます。最初に最初のセクションの小数を取り出し、つまり487098378を取り出し、次に16進数1D08880Aに変換し、次に背面から前面に変換し、4桁の番号、つまり0A.88.08.1Dを取得し、最終的にそれらを10桁に変換します。ターゲットを見つけるためのさまざまなWeb管理バックエンドログインポート(1)ターゲットWebバナーツールのすべての実際のCセグメント:iisput
(2)。バッチベーシックサービスポートスキャン、検出、およびターゲットのすべての実際のCセグメントの識別ツール:Yujian Port Scan、Goby
(3)。ターゲットDNSがエリアトランスミッションを許可するかどうかを試してください。許可されていない場合は、サブドメインDNSドメイン送信を爆破しようとします:C: \ users \ ljnslookupデフォルトサーバー:不明: 211.82.100.1サーバー125.223.168.5 LS THNU.EDU.CNサブドメイン名爆発:レイヤー(4)。バルククロールすべてのターゲットサブドメインWebバナーツール:レイヤー(5)、ターゲットのすべてのサブドメインのバッチベーシックサービスポート検出および識別ツール:Yujian Port Scan、Goby(6)Batchは、すべての生存するWebサイトのWebプログラムフィンガープリントを識別し、その詳細なバージョンhttps://github.com/edgesecurityTeam/Ehole33333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333999GITHMY http://finger.tidesec.com/http://whatweb.bugscaner.com/look/3https://fp.shuziguanxing.com/#/3https://www.yunsee.cn/(6)さまざまな敏感なファイルを見つけて、時にはターゲットからターゲットに漏れていることがあります。 'AccessKey'https://github.com/0xbug/hawkeyehttps://github.com/feicn/gsil(6)ネットワークディスク/baiduライブラリからターゲットによって漏れたさまざまな機密ファイルとアカウントパスワードを見つけますhttp://www.daysou.com/(network disk search)
(7)ターゲットがサードパーティの歴史的脆弱性データベースからリークしたさまざまな機密アカウントのパスワードを見つけます[国内ターゲットは非常に有用です]
(9)Webサイトディレクトリスキャン[ターゲットWebサイト、Webサイトのバックアップファイル、機密構成ファイル、ソースコード、その他のWebシェルなどによってリークされたあらゆる種類の機密ファイルを見つけます.]ツール:Yujian Directory、Dirsearch Directory、dirsearchディレクトリ、
(10)フロントエンドコードでターゲットサイト自体によってリークされるさまざまな機密情報
(11)fofa/shodan/bing/googleハッキング詳細な使用率
(12)ターゲットの学生番号/従業員の仕事番号/ターゲットメールを収集します[そしてさまざまなソーシャルワークデータベースに移動して、これらのメールアドレスがパスワードを漏らしたかどうかを確認します]学生学生番号公式ウェブサイトとTIEBAフォーラムコレクション、公式ウェブサイトまたはソーシャルワークデータベースおよびGithubでの従業員の仕事番号検索
(13)ターゲットは、さまざまな技術文書/WIKISおよびさまざまなアカウントパスワードおよびその他の機密情報を提供します。
(14)ターゲットWechatアプレットとパブリックアカウント(15)ターゲットアプリWebリクエストを分析する(16)JSプローブを使用してターゲットイントラネット情報を収集します
(17)さまざまな内部QQグループ/WECHATグループで混合する方法を見つける
(18)ターゲット直接サプライヤーを分析する[特に技術のアウトソーシング]
(19)以前に収集されたさまざまな情報に基づいて、ターゲットを絞った弱いパスワード辞書を作成しますhttps://xsshs.cn/xss.php?do=pass
(20)ターゲットとバイパスhttps://github.com/enablesecurity/wafw00f(WAF認識)が使用するWAFタイプの認識
(21)Bypasswafファイルのアップロード/読み取り/ダウンロード
(22)バイパスワフSQL注射
(23)Bypasswaf rce(24)bypasswafさまざまなタイプのJava Webミドルウェア既知のnday脆弱性
(25)殺害のないバイパスワフのウェブシェル
もっと、追加して正しい.
0x02エントリ許可へのアクセス[外部防衛センター( "Top on Top")]
この段階は、主に主流の「ミドルウェア +オープンソースプログラム + Webサービスコンポーネント」のさまざまな既知のndayの脆弱性を対象としています
以下は、「実際の攻撃利用の難易度」と「取得した高および低いシェル許可」に基づいて詳細に並べ替えられています。それは実用的に完全に導かれているためです
したがって、比較的一般的であり、実際にGettingshellを効果的に支援できる「ミドルウェア」、「オープンソースプログラム」、「Webコンポーネント」のみを選択しました。
さまざまなJavaミドルウェアのさまざまな既知のndayエクスプロイト
他のスクリプトのようなWebプログラムとは異なり、Javaの実行許可は通常比較的高く、それらのほとんどはRoot/Administrator/システムの許可で直接実行されています。
したがって、取得したシェルアクセス許可は一般的に非常に高く、通常は直接サーバー許可です
特にさまざまな赤いチームのシナリオでは、侵入者は通常、これらのポイントを最初に選択し、これをブレークスルーとして使用して、安定したスプリングボードの入力許可を取得します。
どの業界がどのミドルウェアを使用するのが好きかについて、これらも事前に分析および要約する必要があります。
struts2struts2-005
struts2-008
Struts2-009
struts2-013
Struts2-016(実際、多くの古いシステムがこの穴を見逃しており、成功率は高くなっています)
Struts2-019
Struts2-020
struts2-devmode
struts2-032
Struts2-033
Struts2-037
Struts2-045
Struts2-046
Struts2-048
struts2-052
struts2-053
struts2-057
利用ツール:https://github.com/hatboy/struts2-scanweblogiccve-2019-2725
CVE-2019-2729
CVE-2018-3191
CVE-2018-2628
CVE-2018-2893
CVE-2018-2894
CVE-2017-3506
CVE-2017-10271
CVE-2017-3248
CVE-2016-0638
CVE-2016-3510
CVE-2015-4852
CVE-2014-4210
SSRF
弱いコンソールパスワード、WebShellの展開
ツールチェックとエクスプロテーション:https://github.com/0xn0ne/weblogicscanner(ツールチェック)https://github.com/zhzyker/expub/tree/master/weblogic(ツールエクスプロイト)jbosscve-2015-7501
CVE-2017-7504
CVE-2017-12149
許可されていないアクセス、WebShellの展開
弱いコンソールパスワード、WebShellの展開
利用ツール:https://github.com/joaomatosf/jexboss3https://github.com/joaomatosf/javadeserh2hcwildfly [jboss 7.xはwildflyに変更されます]コンソールの弱いパスワード、ウェブシェルの展開
Tomcatcve-2016-8735
CVE-2017-12615 [Readonly、それは真実に設定される可能性が低く、少し役に立たない]
CVE-2020-1938 [AJPプロトコルの脆弱性、多くの人がポート8009を外部ネットワークに直接さらしているわけではありません。
コンソールの弱いパスワード、WebShelllが展開されます[注:バージョン7.x、デフォルトで爆発防止機構が追加されます]
脆弱性のエクスプロイト概要: https://blog.csdn.net/weixin_42918771/article/details/10484443673https://mp.weixin.qq.com/s/zxocj9ghmatvvfeyn8vmua3https://saucer-man.com jekinscve-2018-1999002 [任意のファイルの読み取り]
不正アクセス、任意のコマンド実行
コンソールの弱いパスワード、任意のコマンド実行
脆弱性のエクスプロイト概要: https://www.cnblogs.com/junsec/p/11593556.htmlhttps://misakikata.github.io/2020/03/jenkins%E 6%BC%8F%E6%B4%9E%E9%9B%86%E5%90%88%E5%A4%8D%E7%8E%B0/https://GITHUB.COM/GQUERE/PWN_JENKINS ElasticSearchCVE-2014-3120 [特に古いバージョン用(サンドボックスなし)RCE]
CVE-2015-1427 [グルービーRCE]
CVE-2015-3337 [任意のファイルの読み取り]
許可されていないアクセス、機密情報が漏れました
脆弱性の概要: https://jishuin.proginn.com/p/763bfbd3aa0dhttps://mp.weixin.qq.com/s?__biz=mzawmjgwmtu1mg=mid=2247484 799idx=2sn=b91f5bc7a31f5786a66f39599ea44bffhttps://blog.csdn.net/u011066706/article/details/51175761 https://www.cnblogs.com/atesetenginner/p/12060537.html rabbitmq弱いパスワードのデフォルトアカウントパスワードはゲスト/ゲストです(デフォルトポート:15672、25672、15692)
Glassfish任意のファイル読み取り[低バージョン]
弱いコンソールパスワード、WebShellの展開
脆弱性のエクスプロイト:http://IP:ポート/テーマ/メタINF/%C0 WebSpherejavaの降下
弱いコンソールパスワード、WebShellの展開
脆弱性exploithttps://www.lxhsec.com/2019/03/04/middleware/https://wiki.96.mk/web%E5%AE%89%E5%85%85%A8/websphere/cve-2020-4643%20ibm%20websphere5% a aad%aid%a8です%9c%a8xxe%e5%a4%96%e9%83%a8%e5%ae%9e%e4%bd%93%e6%b3%a8%e5%85%a5%e6%b C%8F%E6%B4%9e/https://github.com/ares-x/vulwikihttps://xz.aliyun.com/t/8248 axis2任意のファイルの読み取り
ディレクトリトラバーサル
脆弱性のエクスプロイト: https://xz.aliyun.com/t/6196https://paper.seebug.org/1489/#23-axis23https://wiki.96.mk/w EB%E5%AE%89%E5%85%A8/Apache%20axis/%EF%BC%88CVE-2019-0227%EF%BC%89APACHE%20axis %201.4%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/https://github.com/Cale doniaproject/axisinvokerhttps://github.com/fnzer0/axis-rcehttps://paper.seebug.org/1489/apache activemqはアクセスの許可されておらず、5.12の前にfileserverが存在し、putが任意に書かれています
CVE-2015-5254
脆弱性のエクスプロイト:http://wiki.sentrylab.cn/0day/activemq/3.html3https://www.freebuf.com/column/161188.htmlhttps://www.taodudu.cc/news/show-234492.htmlcte
CVE-2019-0193 [apache solr 5.x-8.2.0]
エクスプロイト: https://xz.aliyun.com/search?keyword=solrhttps://www.jiansshu.com/p/43e7f13e2058https://caiqiqi.github.io/2019/11/03/apache-solr%e6%bc%8f%e6%b4%9e%e5%90%88%e9%9b%86/https://cloud.tencent.com/developer/article/1810723 http://wiki.peiqi.tech/peiqi_wiki/web%E6%9c%8D%E5%8A%A1%E5%9999999999EAPACHE/APACHE%20Solr/?
Apache Shiro Deserialization Fastjson=1.2.47脱力化利用
さまざまなWindows PHP統合環境の場合[このような環境で得られるWebシェル許可は比較的高いため、通常は赤チームの職員にとって最初の選択肢です)
AppServ
xampp
パゴダ
phpstudy
.
さまざまなオープンソースプログラムの既知のndayの脆弱性エクスプロイト
DEDECMS背景弱いパスワード、シリーズ既知のnday脆弱性エクスプロイト
thinkphp 5.x背景の弱いパスワード、シリーズ既知のndayの脆弱性エクスプロイト
PHPCMSバックグラウンド弱いパスワード、シリーズ既知のndayの脆弱性エクスプロイト
ECSHOPの背景弱いパスワード、シリーズ既知のndayの脆弱性エクスプロイト
MetInfoの背景弱いパスワード、シリーズは既知のndayの脆弱性エクスプロイト
Discuzバックグラウンド弱いパスワード、シリーズ既知のndayの脆弱性エクスプロイト
Empire CMSバックグラウンド弱いパスワード、シリーズ既知のndayの脆弱性エクスプロイト
phpmyAdminデータベース弱いパスワード、シリーズnady脆弱性のエクスプロイト
WordPressの背景弱いパスワード、シリーズ既知のndayの脆弱性エクスプロイト
Joomlaの背景弱いパスワード、シリーズはnadyの脆弱性の悪用を既知のシリーズ
Drupal CVE-2018-7600、バックエンドの弱いパスワード、シリーズ既知のndayの脆弱性エクスプロイト
.
他のさまざまなWebコンポーネントの既知のndayエクスプロイト
IIS 6.0 RCEショートファイルの脆弱性
任意に書き込みます
WebDav RCE CVE-2017-7269
Zendaoプロジェクト管理システムSQLインジェクション
ファイルの読み取り
リモート実行
Tongda OASQL注射
任意のアップロード
Exchangeはインターフェイスを使用して、メールボックスのユーザー名を列挙します
各インターフェイスの弱いパスワードブラスト
CVE-2020-0688 [利用の前提条件は、最初に電子メールユーザーの許可が必要なことです]
.
zimbra [xxe + ssrf=rce] CVE-2013-7091
CVE-2016-9924
CVE-2019-9670
Citrixcve-2019-19781
Jumpserver認証バイパス
Zabbixcve-2017-2824
SQLインジェクション[2.0古いバージョン]
コンソールの弱いパスワード、機密機械情報が漏れます
サボテンバージョンSQLインジェクション
弱いコンソールパスワード
Nagioscve-2016-9565
弱いコンソールパスワード
Webmin RCECVE-2019-15107
phpmailercve-2016-10033
FANWEI OAリモートコード実行キングディーOA SQLインジェクションコアメイル敏感なファイルリークueditor任意のファイルopensSl heart grab平野アカウントパスワード[ハートベルド]シェルブレイクの脆弱性[シェルショック]
迅速に逃げることができるさまざまな通常の基本的なWeb脆弱性[注:いくつかの脆弱性は、コードをレビューせずに効果的かつ盲目的に検出することが実際に困難です]
背景の弱いパスワード
SSRF
SQLインジェクション
権威の行き過ぎ
コマンド/コードの実行/脱介入
ファイルをアップロード/ダウンロード/読み取ります
含む
XSS(実際、XSSは特定の特定の電子メールをターゲットにしていて、ブラウザ0adを手に持っている場合にのみ価値があります。実際、Red Teamシナリオではそれほど致命的ではありません)
ビジネスロジックの脆弱性
さまざまな境界ネットワークデバイスのさまざまな用途、主にWeb管理コンソールの弱いパスワードとさまざまな既知のnday攻撃をログインします。
パルスセキュアVPNCVE-2019-11510 [任意のファイルの読み取り]
Fortinet VPNCVE-2018-13379 [ファイルリーディング]
Sangfor VPN RCE
0x03エントリーアクセスアクセスエントリアクセス[特に、さまざまな基本サービスポートのさまざまなゲッシェル利用、防衛フォーカス(「最優先事項 "))
ここでは、実際には実際にGootshellに役立つサービスのみを選択します。他の比較的限界サービスは言及されていません。
同様に、基準の詳細な並べ替えは、「実際の攻撃利用の難しさ」と「取得したシェル許可」に基づいていました。
次のように、各ポートの特定の攻撃方法について簡単に説明します。
トップポートListMSSQL [TCP 1433ポートのデフォルト作業、パスワードの弱い、敏感なアカウントパスワードリーク、特権昇給、リモート実行、バックドアインプラント]
SMB [TCPポート445のデフォルト作業、パスワードの弱い、リモート実行、バックドア移植]
WMI [TCPポート135のデフォルト作業、パスワードの弱い、リモート実行、バックドア移植]
Winrm [TCP 5985ポートのデフォルトの作業、このアイテムは主にウィンドウ、弱いパスワード、リモート実行、バックドアインプラントのいくつかのより高いバージョン用です]
RDP [デフォルトでは、TCP 3389ポート、弱いパスワード、リモート実行、シフトクラスバックドアが他の人が残しています]
SSH [TCP 22ポート、弱いパスワード、リモート実行、バックドアインプラントのデフォルト作業]
Oracle [TCP 1521ポートでのデフォルト作業、弱いパスワード、敏感なアカウントパスワードの漏れ、特権昇給、リモート実行、バックドア移植]
MySQL [デフォルトでは、TCP 3306ポート、弱いパスワード、敏感なアカウントパスワードの漏れ、および昇給権(いくつかの古いシステムにのみ適用される)で動作します]]
Redis [TCPポート6379のデフォルト作業、弱いパスワード、不正アクセス、書き込みファイル(WebShell、スタートアイテム、スケジュールされたタスク)、許可の引き上げ]
postgreSQL [TCP 5432ポート、弱いパスワード、機密情報漏れのデフォルト作業]
LDAP [TCPポート389でのデフォルト作業、不正アクセス、弱いパスワード、機密アカウントパスワードリーク]]
SMTP [デフォルトでは、ユーザー名の列挙脆弱性、パスワードの弱い、サービスの誤ったものによって引き起こされる機密情報の漏れ]
POP3 [TCPポート110のデフォルト作業、パスワードの弱い、機密情報漏れ]
IMAP [TCPポート143のデフォルト作業、パスワードの弱い、機密情報の漏れ]
Exchange [TCP 443ポートでのデフォルト作業、弱いパスワードBlasting EG: OWA、EWS、OAB、AutoDiscover . PTH OFF-MAIL、機密情報リーク.]
VNC [TCPポート5900のデフォルト作業、パスワードの弱い]
FTP [デフォルトでは、TCP 21ポート、弱いパスワード、匿名アクセス/書き込み、機密情報の漏れで動作します]
RSYNC [TCP 873ポートでのデフォルト作業、不正、弱いパスワード、機密情報漏れ]
mongodb [TCP 27017ポートのデフォルト作業、不正で弱いパスワード]
Telnet [TCP 23ポート、弱いパスワード、バックドア移植のデフォルト作業]
SVN [TCP 3690ポートのデフォルト作業、パスワードの弱い、機密情報漏れ