摘要: 上期我们讲到了google hack,这期我们就从”Shodan hack“继续开始了解网站信息收集。 2.3.1.2 Shodan shodan 是基于各类在线网络设备的旗标的全网搜索,如,各类边界网络摄像头,路由器,交换机,中间件服务等。 在渗透一些特定...
上期我们讲到了google hack,这期我们就从”Shodan hack“继续开始了解网站信息收集。
2.3.1.2 Shodan
shodan 是基于各类在线网络设备的旗标的全网搜索,如,各类边界网络摄像头,路由器,交换机,中间件服务等。
在渗透一些特定的网络设备或者自己手握0day批量打的时候还是非常好使的,俗称"工控设备渗透"。
▼常见命令
跟google hacking一样,shodan也有一套属于自己的语法规则,下面是shodan 内置的几个简单过滤器:
city:指定城市,只允许英文全称,如,TOKYO,Hong Kong,Seoul,Hangzhou...
country:指定国家或地区后缀,比如:cn,us,jp,tw,br,ph,vn,hk...
hostname:指定主机名,其实就是目标域名[域名如果是子域还需要在前面加个.]
net:指定网络范围,可以是单个ip或者cidr格式的ip段
os :指定操作系统,centOS,win32,red hat,suse等...
port:指定端口,HTTP (80),FTP (21),SSH (22),SNMP (161),SIP (5060)等...
product:指定具体的产品名称,各类web服务器,数据库服务器,网络设备名称等..
▼企业安全审计
命令 ssl.version:"sslv2,sslv3,tls1"
PCI-DSS 标准只允许使用 TLS 1.1 和 TLS 1.2 协议。所以让我们快速搜索下目标是否存在 SSLv2、SSLv3 和 TLS 1.0。
命令 ssl.cipher.name:des
脆弱密码算法
命令 -"X-Frame-Options"
审计响应头部的安全同样非常简单,这里以头部中的 X-Frame-Options 字段为例。来看看目标里哪台服务器的相应包中不包含 X-Frame -Options 字段,最好设置为 DENY 或 SAMEORIGIN。
命令 -"X-XSS-Protection"
为防别有用心的人最好设置为 1。
命令 "X-Powered-By"
▼其他功能
Shodan 不仅可以查找网络设备,它还具有其他相当不错的功能。
Exploits:每次查询完后,点击页面上的 “Exploits” 按钮,Shodan 就会帮我们查找针对不同平台、不同类型可利用的 exploits。当然也可以通过直接访问网址来自行搜索:https://exploits.shodan.io/welcome
2.3.2 子域名爆破
对子域名的爆破几乎是了解和扩大一个目标范围最直接的方式,其质量取决于爆破的字典。
这里会使用到subDomainsBrute这个工具。
2.3.2.1 子域名爆破工具
subDomainsBrute官方:
https://github.com/lijiejie/subDomainsBrute
尝试使用subDomainsBrute
命令
python subDomainsBrute.py xxxxx.com --full
使用大字典扫描 bilibili.com,扫描去重发现21个域名及相应IP。
2.3.2.2 兄弟域名探测
兄弟域名指的是同 IP 的域名,我们使用的是在线工具 aizhan。打开下面地址输入域名进行查询即可得到结果。
2.3.2.3 子域名收集爆破实战案例
乌云编号:wooyun-2016-0196483
域名:dialin.staff.s**a.com.cn //某企业的员工登录口
IP: 218.30.113.65
按照以上的步骤扫描子域名及兄弟域名可以找到一些关键且脆弱的域名,这也是渗透测试中的切入点。
此次测试是针对新浪的,由于新浪本身安全做的还可以,所以按照常规的套路很难成功攻击。但通过子域名扫描我们可以找到一个名为“dialin.staff.sina.com.cn”的域名。这是一个外网的员工登录口,再扫描其C段,发现一处网络设备,是以前没有发现的,218.30.113.65
basic 认证,设备名是arg,尝试弱口令 arg admin
利用ping命令制造代码执行漏洞
之后在这个页面找到了ping处的代码执行漏洞,从而可以逐步深入渗透下去。
从这个案例中我们可以看出,渗透测试并不是一味地去“硬碰硬”,掌握域名搜集(子域名探测、兄弟域名探测)能力,就可以找打一些较为容易的渗透切入点,可以打下一个旁站之后,再向中心站点渗透。
这期我们先学习到这里,下期我们继续学习CDN相关知识。