web渗透第一步之信息搜集 [ 找目标内网入口 ]

foxfox 渗透技巧 5年前
7.23W 1
华盟原创文章投稿奖励计划

0x01 为什么要找内网入口:

我们渗透的最终目的大多数都是目标内网,有些核心敏感数据(比如,个人机上的一些数据),我们从边界机器是拿不到的,所以,只能深入内部,当然,这里所指的内部文件数据,并不仅限于数据库,邮件这类数据,可能由于各种各样的需求,我们还需要某些个人的数据或者组织的各种业务数据,技术的各种数据等等,一般情况下,渗透web的目的,很大程度上也是希望能从web边界直接进入到目标内部(内网),对于apt来讲,价值比较高的东西基本也全部在内部,不得不承认的是,有时候公开信息调研确实也能找到部分敏感信息,但那个含金量和时效性就远远不如内网中的了,至于如何深入到目标内部,很大程度上也取决于,我们能不能尽可能多的找到目标可能的内网入口

0x02 利用各类邮件程序自身的漏洞尝试从web边界进入目标内网

下面就简单介绍一种常见的web邮件程序,[这里为什么一定要是邮件程序呢,不同于普通的web网站,普通的web服务器有时候即使拿到shell,但有可能机器并不在内网或者该机器上根本没有内网网卡,但邮件服务器一般都被会用来处理内部实际业务,从个人经验来看,web邮件程序的机器,绝大部分都在内网]:

owa 微软自家的exchange服务,企业为了便于统一协作管理,一般都会直接把exchange服务部署在域内,邮箱名称和邮箱密码大部分也直接是域内的系统账号密码,可以直接拿来登陆域内系统,当然,也是可以尝试的,关键还是看目标具体是怎么部署的了,至于,如何搞到目标的owa的账号密码,嘿嘿……后面再总结吧,包括命令行邮件导出成pst文件,如果目标部署的有exchange server 一般直接访问下/owa/auth即可看到,服务被部署好以后管理员没有特殊情况基本就不怎么会关注/owa/auth目录下的文件了,所以当你拿到权限后,在这儿放个webshell,还是很靠谱的,一般都是web的443端口,另外,对于owa本身几乎是没什么漏洞

owa的一般入口如下:

https://remote.bmtjfa.com.au/owa/auth/logon.aspx机器在域内的情况

https://mail.advancedptsm.com/owa/auth/logon.aspx机器不在域内的情况

如果没有删的话,可以访问下面的路径爆出服务器信息:

https://mail.xxx.com/owa/auth/test.aspx

Mirapoint邮件系统:

ShellShock漏洞,漏洞地址如下:

http://xxxx.com/cgi-bin/search.cgi

http://xxxx.com/cgi-bin/madmin.cgi

KerioConnect 邮件系统:

一般后台只能内网访问,入口如下:

https://mail.xxx.com:4040/admin/login/

Zimbra 邮件系统:

本地包含,入口:

https://webmail.xxx.com:7071/zimbraAdmin/

查看zimbra版本:

https://webmail.xxx.com/help/zh_CN/standard/version.htm

Atmail 邮件系统: 

敏感信息泄露问题[数据库账号密码]:

http://www.xxx.com/config/dbconfig.ini

Lotus Domino Webmail:

越权访问,inurl:.nsf/WebHelp/!OpenPage

TurboMail邮件系统: 

默认配置不当可进入任意邮箱,默认有四个root域账号,一个管理员,三个普通用户

由于设置缺陷,导致普通用户可以查看任意用户的密码

U-mail:

sql注入,可写shell

WinMail:

非授权访问/权限绕过

ExtMail :

老版本注入

SquirrelMail

0x03 找目标的oa系统或者图书馆之类的网站以及各种边界网络设备的web管理端[一般像这些东西跟内网的联系比较大]:

oa本来就是为了方便员工远程办公,处理公司各种业务用的,但,这也给我们提供了通往目标内部的入口至于,为什么非要选则图书馆,目的很显然,既然是图书馆,你肯定会想到内部的什么图书管理系统,实际经验也证明,大多数图书馆的站,都会处在内网中找各种网络设备的web管理端,主要是想登进去以后,看看有没有可以上传shell的地方,也许可以利用得到

0x04在你能力足够的情况下,直接搞路由也是可以的[比如,cisco,端口镜像,抓包分析,说实话自己对路由并不是非常擅长]:

路由作为一种边界设备,搞它的意义就不用再多说了吧

0x05 暴露在边界的目标打印机,智能点儿的打印机都会自带一些web服务[通常是java]:

打印机,就更不用说了,典型的内部设备,一般是先找到配置管理界面,部署war包

0x06 如果实在外部搞不定,条件允许的情况下,尝试实地渗透也是可以的,比如,通过无线进入目标内部

这也算是一种相对比较高效的渗透方式,老外非常干这个,但前提是,你可能需要很多次的蹲点,才能确认目标,实地渗透对你的心里素质要求可能会更高一些,另外,现场的环境和有限的时间也多多少少会影响到你

一些小结:

时间原因,暂时就想到这些,都是一些平时的经验加上一点自己的想法,其实,就整个信息搜集来讲,对你的社工能力其实是个不小的考验,我自己在这方面确实是弱项,后续会慢慢加强

文章来源:klion's blog

Web渗透(7),华盟网(590),网络安全(682)
本文原创,作者:fox,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/223046.html
fox官方
fox

297篇文章 13.66M总阅读量

相关文章

评论:

1 条评论,访客:0 条,站长:0 条

0%好评

  • 好评:(0%)
  • 中评:(0%)
  • 差评:(0%)
  1. 匿名发布于: 

    真的是好

发表评论