一昧港、旁注:
安全圈里召调,有一個經(jīng)典的名字,叫做”旁注“瓣距。
那么黔帕,旁注是什么呢?
簡單來說蹈丸,旁注成黄,從其字面含義來理解,意為:從旁注入逻杖。旁注奋岁,我們可以理解為在同一服務器上的多個站點。在進行web站點架設的時候荸百,很多時候由于成本等方面的原因闻伶,我們會在一個服務器上架設多個web站點,然后通過主機頭對網(wǎng)站進行區(qū)分够话,使得可以通過不同域名訪問到不同的web站點蓝翰。
拿IIS6.0舉例來說,在架設web站點時女嘲,可以通過指定站點根目錄畜份,而后在主機頭設置添加相應信息用來實現(xiàn)多個web站點,在同一端口下可正常訪問欣尼。在公網(wǎng)上面很多服務器都是直接在某一盤符下面爆雹,設置為web站點的絕對目錄,然后在目錄下建立對應域名的文件夾用以區(qū)分愕鼓。一臺服務器上面可能存在上百個站點钙态。
二、IP逆向查詢:
簡言之就是菇晃,通過ping域名獲取對方的IP地址册倒,然后在域名網(wǎng)站上搜索該地址服務器下有多少域名,從其他域名入手對目標主機進行滲透磺送,
以百度為例:
通過逆向查詢可以得到此IP下的所有域名:
通常大多數(shù)網(wǎng)站都部署了CDN(內(nèi)容分發(fā)網(wǎng)絡)剩失,這即意味著通過ping命令得到的IP地址為假地址,而不是域名所在服務器的真正的地址册着,而是鏡像網(wǎng)站地址,如果想要得到真實服務器IP地址脾歧,這時就牽扯到CDN繞過甲捏。
三、目錄越權
為什么會有目錄越權:
通過IP逆向查詢可知鞭执,同一臺服務器下可能存在多個網(wǎng)站司顿,每一個網(wǎng)站分布在各自的文件夾下芒粹,網(wǎng)站搭建人員對不同站點文件夾分配不同的權限,這就意味著大溜,在服務器上化漆,每個網(wǎng)站文件夾都被分配了單獨的區(qū)別于其他用戶的賬戶及權限,一個用戶只能訪問一處網(wǎng)站的文件夾钦奋,而沒有權限對其它網(wǎng)站文件夾進行讀寫等操作座云。
如何避免目錄越權(每個站一個賬戶):
目標主機上已部署多個網(wǎng)站,現(xiàn)已拿到其中一個網(wǎng)站的webshell付材,如果管理員沒有做避免目錄越權設置朦拖,那么整臺服務器上的所有網(wǎng)站都被拿下了!厌衔!
通過木馬文件可以服務器上的所有文件夾下載下來h档邸!
訪問網(wǎng)站文件夾XYCMS
給該網(wǎng)站分配唯一賬戶從而限制其他用戶訪問:
創(chuàng)建一個用戶名密碼為test1/test1的用戶富寿,該用戶不屬于任何組2橇ァ!
將服務器上另外的網(wǎng)站分配給此用戶:
通過木馬進行訪問:
從而實現(xiàn)攻擊者無法目錄越權!泞坦!
四窖贤、CDN繞過
判斷網(wǎng)站是否使用了CDN:
CDN,百度百科的解釋為內(nèi)容分發(fā)網(wǎng)絡贰锁。我們可以這么理解:互聯(lián)網(wǎng)是非常大的赃梧,而我的站點在架設的時候全世界的人都有可能來訪問,但是由于互聯(lián)網(wǎng)非常大豌熄,如果想訪問我們站點的用戶與我們的站點延遲非常大授嘀,導致網(wǎng)站首頁打開都非常慢,這會直接影響到用戶的訪問體驗锣险,并且因此而流失掉的潛在客戶是非常不值得的蹄皱。
以上問題在互聯(lián)網(wǎng)發(fā)展史中是真實存在的,是需要解決的芯肤,于是就出現(xiàn)了CDN巷折,我們可以把CDN看作是我們web站點的鏡像服務器,我們在站點架設好之后崖咨,只需要將DNS指向修改一下锻拘,就可以將所有用戶的訪問指向到CDN。CDN一般在全國各地都有,提高了用戶訪問速度署拟;并且由于攻擊者沒有真實IP地址婉宰,哪怕攻陷了CDN也不會對我們的服務器有任何影響,所以CDN解決了訪問速度以及提高安全性這兩個問題推穷。
在我們進行滲透的時候心包,經(jīng)常會會遇到CDN,通過ping 域名即可判斷出是否是CDN馒铃。
那么蟹腾,既然有了CDN,那我們就要放棄嗎骗露?當然不會岭佳,我們要想辦法找到CDN后面的真實服務器IP地址。下面介紹幾個找到服務器真實IP地址的方法:
1萧锉、大型站點一般除了www的子域之外還會有mail珊随、oa、crm等其他二級域名柿隙。我們這個時候可以在google搜索下site:XXX.com –www 或者site:xxx.com mail 來搜索其他的二級域名叶洞。通過其他的二級域名DNS解析所對應的IP地址來判斷其擁有的IP地址段。一般情況下禀崖, www有可能是托管在其他地方但是mail服務器一般是企業(yè)自行運營維護衩辟。在獲得其IP地址段之后,可以在瀏覽器地址欄通過直接訪問IP地址或是使用nmap來進行整段掃描確認其真實IP地址波附。
2艺晴、通過多地ping來確認其真實IP地址;web站點架設的目的就是提供給人訪問掸屡,有時候考慮到訪問速度的問題會使用CDN提高訪問速度封寞,對于這種站點,可通過多地ping的方式仅财,來判斷其web服務器的真實IP地址狈究。
多地ping工具:
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.#/
繞過CDN機制:
1、查看 IP 與 域名綁定的歷史記錄盏求,可能會存在使用 CDN 前的記錄抖锥,相關查詢網(wǎng)站有:
https://dnsdb.io/zh-cn/ ###DNS查詢
https://x.threatbook.cn/ ###微步在線http://toolbar.netcraft.com/site_report?url= ###在線域名信息查詢http://viewdns.info/ ###DNS、IP等查詢
https://tools.ipip.net/cdn.php ###CDN查詢IP
2碎罚、利用SecurityTrails平臺磅废,攻擊者就可以精準的找到真實原始IP。他們只需在搜索字段中輸入網(wǎng)站域名荆烈,然后按Enter鍵即可还蹲,這時“歷史數(shù)據(jù)”就可以在左側的菜單中找到。
https://securitytrails.com/domain/oldboyedu.com/dns
除了過去的DNS記錄,即使是當前的記錄也可能泄漏原始服務器IP谜喊。例如,MX記錄是一種常見的查找IP的方式倦始。如果網(wǎng)站在與web相同的服務器和IP上托管自己的郵件服務器斗遏,那么原始服務器IP將在MX記錄中。
3鞋邑、觀看ip變化
http://toolbar.netcraft.com/site_report?url=www.oldboyedu.com
4诵次、查詢子域名,一般情況下子域名不會使用CDN(CDN需要花錢)
(1)微步在線(https://x.threatbook.cn/)
(2)Dnsdb查詢法(https://dnsdb.io/zh-cn/)
(3)Google 搜索:Google site:baidu.com -www就能查看除www外的子域名
(4)各種子域名掃描器
(5)網(wǎng)絡空間引擎搜索法枚碗,常見的有以前的鐘馗之眼逾一,shodan,fofa搜索肮雨。
以fofa為例遵堵,只需輸入:title:“網(wǎng)站的title關鍵字”或者body:“網(wǎng)站的body特征”就可以找出fofa收錄的有這些關鍵字的ip域名,很多時候能獲取網(wǎng)站的真實ip怨规。
(6)利用SSL證書尋找真實原始IP
oldboyedu.com證書的搜索查詢參數(shù)為:parsed.names:oldboyedu.com
只顯示有效證書的查詢參數(shù)為:tags.raw:trusted
https://censys.io/certificates?q=parsed.names%3Aoldboyedu.com+and+tags.raw%3Atrusted
Censys將向你顯示符合上述搜索條件的所有標準證書陌宿,以上這些證書是在掃描中找到的。
要逐個查看這些搜索結果波丰,攻擊者可以通過單擊右側的“Explore”壳坪,打開包含多個工具的下拉菜單。What's using this certificate?> IPv4 Hosts
5掰烟、通過國外的域名搜索網(wǎng)站
國內(nèi)很多 CDN 廠商因為各種原因只做了國內(nèi)的線路爽蝴,而針對國外的線路可能幾乎沒有,此時我們使用國外的主機直接訪問可能就能獲取到真實IP纫骑。
6蝎亚、利用網(wǎng)站漏洞查找
1)目標敏感文件泄露,例如:phpinfo之類的探針惧磺、"info.php", "phpinfo.php", "test.php", "l.php"颖对、GitHub信息泄露等。
2)查看漏洞掃描報警信息磨隘,手工造成頁面報錯缤底;
3)XSS盲打,命令執(zhí)行反彈shell番捂,SSRF等个唧。
4)無論是用社工還是其他手段,拿到了目標網(wǎng)站管理員在CDN的賬號设预,從而在從CDN的配置中找到網(wǎng)站的真實IP徙歼。
7、網(wǎng)站郵件訂閱查找
RSS郵件訂閱,很多網(wǎng)站都自帶 sendmail魄梯,會發(fā)郵件給我們桨螺,此時查看郵件源碼里面就會包含服務器的真實 IP 了。
8酿秸、:用 Zmap 掃全網(wǎng)
這個我沒試過不知道...據(jù)說 Zmap 44分鐘掃描全網(wǎng)灭翔?
好吧,還是稍微詳細說下吧辣苏,比如要找 xiaix.me 網(wǎng)站的真實 IP肝箱,我們首先從 apnic 獲取 IP 段,然后使用 Zmap 的 banner-grab 掃描出來 80 端口開放的主機進行 banner 抓取稀蟋,最后在 http-req 中的 Host 寫 xiaix.me煌张。
大概就這些了吧,其他的什么像 DDoS 把 CDN 流量打光的這種就算了吧退客,最好還是別干擾到人家網(wǎng)站的正常運轉吧骏融。
www.crimeflare.com/cfs.html#box
9、F5 LTM解碼法
當服務器使用F5 LTM(F5-LTM)做負載均衡時井辜,通過對set-cookie關鍵字的解碼真實ip也可被獲取绎谦,例如:Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小節(jié)的十進制數(shù)即487098378取出來粥脚,然后將其轉為十六進制數(shù)1d08880a窃肠,接著從后至前,以此取四位數(shù)出來刷允,也就是0a.88.08.1d冤留,最后依次把他們轉為十進制數(shù)10.136.8.29,也就是最后的真實ip
10树灶、通過信息報錯或訪問相關測試頁面
