信息收集 Chapter 2

但是,我们常说,路不止一条,只看你愿不愿意选择。

例子3

被动搜集

这次随机采集的是一个卖蛋蛋的公司,打开首页可以发现下面的信息:

  1. 网址:http://www.xxxxx.net/
  2. 标题:xxxxx生产销售_xxxxx蛋批发
  3. 联系方式:xxxxxx9600
  4. 微信:18xxxxxx354
  5. 地址:xxxxx镇尖山村委诗房队及独竹一队瓦窑顶
  6. 目标服务:卖蛋蛋的,但是只有对公司流程的介绍
  7. 技术支持:伯才网络
  8. 页面存在搜索框
  9. 页面存在留言板功能
  10. 动态网址做了伪静态处理

按F12查看返回的头部信息:

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection: Keep-Alive
Content-Encoding: gzip
Content-Length: 8518
Content-Type: text/html
Date: Tue, 16 Apr 2019 05:56:45 GMT
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Keep-Alive: timeout=5, max=99
Pragma: no-cache
Server: Apache/2.4.10 (Unix) PHP/5.5.7
Vary: Accept-Encoding
X-Powered-By: PHP/5.5.7

可以得知:

  1. 服务器:UNIX
  2. WEB容器:apache/2.4.10
  3. 脚本语言:PHP/5.5.7

根据经验猜测是php+mysql搭建的网址,基于UNIX服务器,使用到apache容器。

查看robots.txt,发现什么都么有,随便点开一个网页,在后面加上and 1=2 接着出现了安全狗拦截- -,根据经验输入admin,manage,login,phpmyadmin的目录,都跳转到404页面,因为判断是php写的,于是加上admin.php,运气好直接跳转到管理登陆页面了。发现管理后台有这么一行介绍

Copyright © 2012 - 2019 , BoCaiCMS All Rights Reserved.http://www.bocaicms.com

菠菜cms??//黑人问号

google搜索bocaicms,搜索到67200个结果,排在前面的都是不同网站的后台管理界面,直接访问这个cms的官方返回异常,直接跳转404,但是在搜索引起中发现很多网址的图片都是引用这个网址的图片,服务器是存活的

src="http://img.bocaicms.com/d/file/content/2018/03/5ab356f8a5087.png

等等,重新看一下上面的技术支持的公司,伯才网络​…..

果然惯性思维是可怕的- -,整理一下:

  1. WAF:安全狗
  2. CMS:bocaicms
  3. 后台:http://www.xxxxx.net/admin.php

谷歌搜索这个cms的漏洞,并没有什么信息,这种成套的CMS系统存在的漏洞应该比较少,这个时候可以把方向放到源码上,如果有源码就能做代码审计,找到漏洞点,就能批量成千上万的入侵这套CMS系统,当然我并不会带码审计嘻嘻

通过谷歌黑客什么信息都没能弄到,子域名什么的就拉到吧,这种小站还子域名呢

整理一下被动搜集到的信息:

  1. 网址:http://www.xxxxx.net/
  2. 标题:xxxxx生产销售_xxxxx蛋批发
  3. 联系方式:xxxxxx9600
  4. 微信:18xxxxxx354
  5. 地址:xxxxx镇尖山村委诗房队及独竹一队瓦窑顶
  6. 目标服务:卖蛋蛋的,但是只有对公司流程的介绍
  7. 技术支持:伯才网络
  8. 页面存在搜索框
  9. 页面存在留言板功能
  10. 动态网址做了伪静态处理
  11. 服务器:UNIX
  12. WEB容器:apache/2.4.10
  13. 脚本语言:PHP/5.5.7
  14. WAF:安全狗
  15. CMS:bocaicms
  16. 后台:http://www.xxxxx.net/admin.php

主动搜集

通过站长之家和云悉查询,获取到的结果进行真理筛选后如下:

  1. ip:IP:0.0.0.44[香港 阿里云]
  2. 域名服务器:whois.west263.com

并没有备案,吊吊吊。
通过多地PING发现该网站并没有使用CDN,但是上面有安全狗,所以不能轻举妄动。先通过一些网站的在线扫描开放端口试试水,发现只有80端口开放着,哇难受啊。

直接通过浏览器访问该ip,发现不得了的事,该ip可以访问,并且存在目录访问,页面显示:

Index of /
_p__h-p-MyAdm__in__.zip
_p__h-p-MyAdm__in__/
bocai/

第一个事PHPmyadmin的安装包,第二个事phpmyadmin的登陆界面,第三个点进去显示404,尝试禁用javascript还是没用,通过F12发现network中有

Location:http://0.0.0.44/error.html

重定向,尝试使用python的socket模拟发起http请求,返回的结果如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>伯才网络</title>
</head>
<body>
    <h1 style="margin:10% auto;text-align:center;">没有找到站点的相关信息,请联系管理员!</h1>
</body>
</html>

按照推理应该是有每个网站不同的配置信息,或者这个是加载cms的一些功能的,反正没有源码只能瞎猜,还可能猜错。罢了- -

能发现phpmyadmin的登陆界面也不错了,接下来试一试新写的基于多进程异步协程框架的探测多端口程序,扫描50000个端口只需不到3分钟,因为是采用访问域名+端口号形式,发起的http协议的访问,如果安全的不是服务器安全狗,而是安装的网址安全狗的话,有机会希望不会被安全狗拦截住。

结果很幸运和很不幸,幸运的是安全狗没有封我的IP,不幸的是扫描的结果只有下面一个:

当前分端口允许访问  网址:http://www.xxxxx.net:80  状态:200

行吧,无所谓。

通过设置御剑1个线程,请求方式为get请求,先扫一下目录,然后再扫一扫文件,看看能不能发现什么敏感文件。

结果太太巧了,什么都没得,通过NMAP扫一扫看看能有什么发现好了,

nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125 -PY -g 53 --script "default or (discovery and safe)" 0.0.0.44

截取部分有效的信息:

| http-grep: 
|   (1) http://0.0.0.44:80/_p__h-p-MyAdm__in__/: 
|     (1) ip: 
|_      + 0.0.0.44
| http-headers: 
|   Date: Tue, 16 Apr 2019 08:07:46 GMT
|   Server: Apache/2.4.10 (Unix) PHP/5.5.7
|   Content-Length: 2625
|   Connection: close
|   Content-Type:  text/html; Charset=utf-8
|   
|_  (Request type: HEAD)
| http-internal-ip-disclosure: 
|_  Internal IP Leaked: 10.
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-mobileversion-checker: No mobile version detected.
|_http-referer-checker: Couldn't find any cross-domain scripts.
|_http-security-headers: 
|_http-server-header: Apache/2.4.10 (Unix) PHP/5.5.7
|_http-title: Index of /
| http-traceroute: 
|_  Possible reverse proxy detected.
| http-useragent-tester: 
|   Status for browser useragent: 200
|   Allowed User Agents: 
|     Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
|     libwww
|     lwp-trivial
|     libcurl-agent/1.0
|     PHP/
|     Python-urllib/2.5
|     GT::WWW
|     Snoopy
|     MFC_Tear_Sample
|     HTTP::Lite
|     PHPCrawl
|     URI::Fetch
|     Zend_Http_Client
|     http client
|     PECL::HTTP
|     Wget/1.13.4 (linux-gnu)
|_    WWW-Mechanize/1.34
|_http-xssed: No previously reported XSS vuln.
3306/tcp open   mysql      MySQL (unauthorized)
| banner: F\x00\x00\x00\xFFj\x04Host '210.22.82.252' is not allowed to co
|_nnect to this MySQL server
8080/tcp closed http-proxy
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.70%E=4%D=4/16%OT=80%CT=53%CU=%PV=N%DS=17%DC=T%G=Y%TM=5CB58DBF%P
OS:=i686-pc-windows-windows)SEQ(SP=107%GCD=1%ISR=10C%TI=Z%TS=U)OPS(O1=M5A0%
OS:O2=M5A0%O3=M5A0%O4=M5A0%O5=M5A0%O6=M5A0)WIN(W1=3908%W2=3908%W3=3908%W4=3
OS:908%W5=3908%W6=3908)ECN(R=Y%DF=Y%TG=40%W=3908%O=M5A0%CC=Y%Q=)T1(R=Y%DF=Y
OS:%TG=40%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=N)T5(R=Y%DF=Y%TG=40%W=0%
OS:S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=N)T7(R=N)U1(R=N)IE(R=N)

梳理一下,有用的是:

  1. 开放端口:3306(mysql),但是不允许外联,不给爆破的机会
  2. 数据库管理界面:http://0.0.0.44/_p__h-p-MyAdm__in__/

梳理

  1. 网址:http://www.xxxxx.net/
  2. 标题:xxxxx生产销售_xxxxx蛋批发
  3. 联系方式:xxxxxx9600
  4. 微信:18xxxxxx354
  5. 地址:xxxxx镇尖山村委诗房队及独竹一队瓦窑顶
  6. 目标服务:卖蛋蛋的,但是只有对公司流程的介绍
  7. 技术支持:伯才网络
  8. 页面存在搜索框
  9. 页面存在留言板功能
  10. 动态网址做了伪静态处理
  11. 服务器:UNIX
  12. WEB容器:apache/2.4.10
  13. 脚本语言:PHP/5.5.7
  14. WAF:安全狗
  15. CMS:bocaicms
  16. 后台:http://www.xxxxx.net/admin.php
  17. ip:IP:0.0.0.44[香港 阿里云]
  18. 域名服务器:whois.west263.com
  19. 开放端口:3306(mysql),但是不允许外联,不给爆破的机会
  20. 数据库管理界面:http://0.0.0.44/_p__h-p-MyAdm__in__/
坚持原创技术分享,您的支持将鼓励我继续创作!
------ 本文结束 ------

版权声明

LangZi_Blog's by Jy Xie is licensed under a Creative Commons BY-NC-ND 4.0 International License
由浪子LangZi创作并维护的Langzi_Blog's博客采用创作共用保留署名-非商业-禁止演绎4.0国际许可证
本文首发于Langzi_Blog's 博客( http://langzi.fun ),版权所有,侵权必究。

0%