信息收集(二)
端口扫描
nmap 的参数
-sP/-sn 不进行端口扫描
-p 指定端口 -p- 1-65535
-sT TCP 全连接扫描
-sS SYN 半连接扫描
-sV 显示服务的详细版本
-O 显示操作系统的版本
-A 全面扫描
-Pn 不做ping扫描
操作系统判断
-
80端口是IIS的是win 445是smb的是win 3389是rdp的是win 1433是mssql的是win
22 是 ssh的是linux
-
大小写,win对大小写文件不敏感,linux敏感
-
TTL值:win128 linux 64 unix 255
-
其它方法 网站语言/banner信息
网站数据库判断
- asp+access
- php+mysql
- aspx+mssql
- jsp+oracle
常见端口
- mssql 1433
- mysql 3306
- oracle 1521
漏洞扫描
-
nmap扫描脚本 --vuln 参数
脚本都在/usr/share/nmap/scripts/ 里面
CMS识别
-
通过指定特殊目录或者特殊文件 WP
-
页面底部版权信息,关键字 Powered by
-
注释掉的html代码中的内容
-
robots.txt文件中的关键字
-
潮汐指纹
-
CMS识别工具
-
云悉
CMS识别以及利用
exploit-db 常规搜索 各大战队的漏洞库
目录扫描
- dirbuser
- dirb
- dirsearch
- 铸剑
HTTP 协议
burpsuite 太熟了, 从大一就开始玩了,主要用里面的Proxy Intrude Repeater Decoder Comparer 模块
Cookie 和 Session 的区别
- Cookie 保存在客户端,Session保存在服务端。
- Cookie 保存ASCII,Session可以存任意数据类型。
- Cookie 可设置为长时间保持,Session一般失效时间较短
- Cookie 保存的数据不能超过4K,Session可存储的数据远高于Cookie
弱口令漏洞和爆破
默认弱口令,自带的密码,没有修改
海康威视 admin admin 华为 admin admin@huawei huawei@123 [email protected]
思科 admin admin
app="HIKVISION-视频监控" && country="CN"
win7 破解密码 异常关闭 启动启动修复模式 修复完了 查看问题的详细信息 最后一项 记事本 打开 文件管理 setch 改了,把cmd改成setch。 然后关机重启,shift 5 下,输入cmd命令
爆破工具
Medusa 和 Hydra
nmap端口扫描 和 漏洞扫描
目标 win7
漏洞扫描
发生存在永恒之蓝漏洞
目录扫描
在本地建个站,使用dirb扫描
使用御剑扫描
暴力破解
medusa
爆破电脑密码
medusa -M smbnt -h 192.168.57.135 -u simp -P password.txt -e ns -F
爆破ftp密码
medusa -M ftp -h 192.168.57.55 -u root -P password.txt -e ns -F
HTTP 协议分析
request
GET http://ctf.aabyss.cn/inc/showvcode.php HTTP/1.1
请求方法,网站,协议版本号
Host: ctf.aabyss.cn
主机名
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)Chrome/112.0.0.0 Safari/537.36
客户端信息
Mozilla/5.0 浏览器引擎 操作系统 + 操作系统位数 后面浏览器类型
Accept: image/avif,image/webp,image/apng,image/svg+xml,image/,/*;q=0.8
客户端可以支持的类型 q值代表权重系数
Referer: http://ctf.aabyss.cn/vul/burteforce/bf_server.php
来源
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
可支持的文件压缩字段
可以支持的 语言 q权重
Cookie
底下一行空格,POST里面有请求数据
repose
HTTP/1.1 200 OK
协议 响应码 响应状态
Connection: close
是否保持可持续连接
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Content-Type: image/png
然后的响应数据的MIME格式
Date: Mon, 24 Apr 2023 14:19:43 GMT
时间
Eagleid: dcb57d1716823459830995923e
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Pragma: no-cache
Server: Tengine
Set-Cookie: bf[vcode]=08ajc6
Timing-Allow-Origin: *
Via: cache34.l2ot7-1[125,0], cache32.l2nu16[783,0], kunlun16.cn5114[791,0]
X-Cache: MISS from kangle server us free
Content-Length: 1032
BurpSuite 爆破
无验证码的暴力破解
我这里用在线靶场 http://ctf.aabyss.cn/ 也是一个Pikachu
抓包,导到Intruder模块,攻击类型选择Sniper,选择变量
导入我在github上下载的字典
第一次扫描,扫太快了,崩了,返回长度不一样
修改线程数,让他慢慢扫描
第二次扫描,成功。得到密码123456
有验证码绕过(client)
由于是在客户端验证验证码,所以,我们可以填个正确的验证码然后抓包,之后爆破,和第一步一样
第二种方法就是禁用js脚本
验证码绕过(on server)
正确抓两个包,扔到Comparer模块比较它们哪些地方不同。
可以看到:cookie里面的__vtins__JFA4DMnZBFxe5oq7这个字段不同,猜测就是这个控制了后端的二维码
思路错了,看了源码之后发现
打开一个页面之后,它会向/inc/showvcode.php里面获取验证码,然后后台$_SESSION['vcode'] 保存了这个二维码。我们只需要把阻止网站向/inc/showvcode.php发送请求阻挡住,然后读取此时已保存的vcode即可。
上图左边的hfwmcg是上次/inc/showvcode.php服务端设置的旧vcode,而服务端新设置的vcode在响应包里面
我们只要不再向服务端获取vcode,服务端的SESSION变量里面保存的就是这个vcode,然后我们用这个vcode去爆破
然后发现爆破成功
想吐槽的是,作者多此一举了,其实不需要把 vcode发送通过setcookie发送回来。可以直接来渲染,然后读取
标签:vcode,admin,image,扫描,第六天,Cookie,实训,php
From: https://www.cnblogs.com/An0ma1/p/17351326.html