边界渗透中的小技巧.pdf

边界渗透中的小技巧 R3START@白帽汇安全研究院 个人简介 ID：R3start@白帽汇安全研究院 白帽汇高级打字工程师兼职初级渗透测试人员 希望能多结交一些志同道合的大佬 Blog： Github : /r35tart 案例分享 四月份的时候Github有一个项目名为： openXXXX 我在其中发现了多个内部域名，最后通过 这些内部域名，结合接下来要讲的方法， 成功发现了多个漏洞。 渗透流程 明确目的 资产收集 寻找脆弱点 组合利用 达到目的 资产收集 1. 目标主业务二级域名、三级域名等…多级域名收集 ✓ 通过FOFA语法收集 但大部分都是…. ✓ 通过子域名爆破、反查收集 ✓ 通过JS接口收集 ✓ 通过Github信息泄露 ✓ … 2. 业务强关联子公司资产收集 ✓ 多级域名资产 ✓ Github信息泄露 ✓ 员工信息、管理后台 ✓ … 3. 目标IP资产、内网域名收集 ✓ 线上测试环境 ✓ Github信息泄露 ✓ 历史漏洞信息 ✓ JS代码 ✓ … 4. … 资产收集 如何渗透401、403、404、500？ 那么…我们应该怎么对这些这些页面开展渗透工作呢？ 其实很多时候这些IP、域名 往往都是一些脆弱的、高价值的又容 易被突破的站点，但大部分人看到这 些响应码后的操作最多也就扫扫端口、 HOSTS碰撞 扫扫目录有发现就继续搞搞，没发现 就丢掉，从而错失了打入内网的大好 机会。 Hosts碰撞 /r35tart/Hosts_scan 很多时候访问目标资产响应多为： 401、403、404、500，但是用域名请求 却能返回正常的业务系统，因为这大多数 都是需要绑定host才能正常请求访问的 （目前互联网公司基本的做法），那么我 们就可以通过收集到的目标的内网域名和 目标资产的IP段组合起来，以IP段+域名的 形式进行捆绑碰撞，就能发现很多有意思 的东西。这一操作可以通过脚本自动化来 访问： 脚本原理 在发送http请求的时候，对域名和IP列表进行配对，然后遍历发送请求 （就相当于修改了本地的hosts文件一样），并把相应的title和响应包大小拿回 来做对比，即可快速发现一些隐蔽的资产 碰撞案例 某金融 美团 漏洞原理 需要用到的知识点 懂点网站搭建 大概了解DNS解析过程 漏洞原理 如果管理员在配置apache或nginx的时候 这时候访问网站则需要使用Apache的 禁止了IP访问，那么我们直接访问IP将会 httpd.conf配置中的ServerName里指定 回显403页面 的值才能够正常访问