网站渗透中个人修炼的部分内功心法

2014-01-13 21:29:24 108 2724 1


本篇幅无图,纯文字性描述,讲讲个人的一些经验,想到什么写什么,
内容总结的不全面,不作为技术交流内容,下次再有想法继续写一篇,欢迎吐槽。

内功心法1:诱惑性试探或者刺激目标站。
对于网站(以下简称·站·),我们可以把他假想成一个人(以下简称‘人’),我们可以从他的外观看出这个人的品位,可以通过和他的(试探性)
交流去了解这个人。人漂亮,华丽一般会给人近而生畏的感觉,感觉这个人背景强大,谈吐交流中会有所顾忌,同样站也是。
当你从小道消息了解一个人品质的瑕疵的时候,你可能会有几分妄自得意,这好比你通过sql注入拿到站的数据库root/sa密码。
当你试图要拿捏住一个人把柄或者彻底了解他人性的时候,我有一种思路:拿钱试(现实中这么干过,彻底看透一个相处了好几年舍友的哥们),
当你要测试一个站的时候,拿到root/sa密码,在数据库后台找到admin密码,你可能需要去在浏览器输入一些具有诱惑性的地址,例如
http://www.aaa.com/admin/main.asp http://www.bbb.com/manager/left.jsp,通常网站他都会对session做了校验,这个时候你以一个非法
的session访问后台,就会诱使他给你跳转,一般代码是window.location.href='admin/login.asp',
response.sendRedirect("/manager/login.do");,如此便达到诱惑程序,自动把后台跳出来给你。

当以上无效的时候,你可能有急着试试往网站写shell的冲动,这时候,你可能会手工试验,在浏览器地址后面输入一些无效的url,例如
http://www.aaa.com/ajjakdahj.jsp 咔咔咔,突然报错 Apache Tomcat/5.5.17 - Error report,爆出tomcat版本,这时你可以去找相关exp了
或者http://www.bbb.com/asdka.ashx这时候突然404爆出源代码路径 c:\web\ 以及Filter之类字样的。
当然,以上都爆不出,你就得对他进行轰炸性的压力测试,例如拿出awvs对网站进行刺激,这好比对一个人的承受能力进行压力测试,一个成熟的站好比一个
成熟的人,需要很久或者很大强度的刺激测试,才能套出你想要的东西,站也是,这个工具有那么几次帮我爆出路径来,在windows下,成功导出过shell。


内功心法2:对人类惰性的利用
本人经常听说社工,社工很牛逼。个人感觉想社工学的厉害点,不妨学学卡耐基的人类的优点与人类的缺点,以前别人送给这两本书给我,基本是一个洗脑的书,
但是如今回头想一想,自己都知道他是洗脑的书,何不把作者书中的洗脑内容收入囊中作为己用。我的意思就是在看过这些书以后懂得人性的优缺点加以利用。
说起人性的缺点,不得不说大家都有惰性,例如上线后,很多测试数据没删除。这些数据通常出现在用户表,或者日志表里面。
自己遇到过这样的一个情形,在内网测试后,日志表记录了登录ip,ip地址是172.126.9.30,然后客户需要看这个项目,把它放到外网,于是日志表里多出了一个外网地址
2.2.2.2,要知道,程序员在上线前都会在公共环境(一般是外网)测试,这个时候,在172.126.9.30后面出现在日志里的2.2.2.2很可能就是他办公环境或者经常上线的ip,
这个ip可能是电信拨号的,也可能是固定ip,但是起码这个ip能反映出某一段时间他出现的地方,当你拿到网站服务器,想进内网,却怎么也找不到线索时,拿到这个ip去分析吧。
我曾经用这种思路,找到别人的办公段ip,虽然他只买了这一个ip,他却用作svn服务器,然后你懂的,,,

还有就是用户表,程序员在测试后建出一些帐号,通常在前几十条,或者十来条或者几百条。这些测试帐号在创建时间上一般对于正式的数据具有一些明显的区别。
例如一个项目开发阶段2年,期间包括内测。内测帐号要不是断断续续的建立起来,或者一次性开了n个帐号。 上线后一般在一天内出现的注册量(我这里说的都是大站,因为我,,,,嘿嘿)
大于前一个帐号建立的时间。通过这些,你把前一些帐号解密,观察是不是有些密码重复,这些重复的密码,很可能就是该公司的默认帐号,因为他们懒的改,所以就留在数据库了,,,

内功心法3:柿子要捡软的捏
同站的,找脆弱的下手,c段就找脆弱的下手,拿下c以后嗅探


自言自语完毕

关于作者

评论108次

要评论?请先  登录  或  注册