JZTXT

实训第六天

发布时间 2023-04-24 23:36:37作者: An0ma1

信息收集(二)

端口扫描

nmap 的参数

-sP/-sn         不进行端口扫描
-p 	            指定端口 -p-   1-65535
-sT	            TCP 全连接扫描
-sS				SYN 半连接扫描
-sV				显示服务的详细版本
-O				显示操作系统的版本
-A				全面扫描
-Pn				不做ping扫描

操作系统判断

  1. 80端口是IIS的是win 445是smb的是win 3389是rdp的是win 1433是mssql的是win

    22 是 ssh的是linux

  2. 大小写,win对大小写文件不敏感,linux敏感

  3. TTL值:win128 linux 64 unix 255

  4. 其它方法 网站语言/banner信息

网站数据库判断

  1. asp+access
  2. php+mysql
  3. aspx+mssql
  4. jsp+oracle

常见端口

  1. mssql 1433
  2. mysql 3306
  3. oracle 1521

漏洞扫描

  1. nmap扫描脚本 --vuln 参数

    脚本都在/usr/share/nmap/scripts/ 里面

CMS识别

  1. 通过指定特殊目录或者特殊文件 WP

  2. 页面底部版权信息,关键字 Powered by

  3. 注释掉的html代码中的内容

  4. robots.txt文件中的关键字

  5. 潮汐指纹

  6. CMS识别工具

  7. 云悉

CMS识别以及利用
exploit-db 常规搜索 各大战队的漏洞库

目录扫描

  1. dirbuser
  2. dirb
  3. dirsearch
  4. 铸剑

HTTP 协议

burpsuite 太熟了, 从大一就开始玩了,主要用里面的Proxy Intrude Repeater Decoder Comparer 模块

Cookie 和 Session 的区别

  1. Cookie 保存在客户端,Session保存在服务端。
  2. Cookie 保存ASCII,Session可以存任意数据类型。
  3. Cookie 可设置为长时间保持,Session一般失效时间较短
  4. Cookie 保存的数据不能超过4K,Session可存储的数据远高于Cookie

弱口令漏洞和爆破

默认弱口令,自带的密码,没有修改

海康威视 admin admin 华为 admin admin@huawei huawei@123 admin@huawei.com
思科 admin admin

app="HIKVISION-视频监控" && country="CN"

1682346988084

win7 破解密码 异常关闭 启动启动修复模式 修复完了 查看问题的详细信息 最后一项 记事本 打开 文件管理 setch 改了,把cmd改成setch。 然后关机重启,shift 5 下,输入cmd命令

爆破工具

Medusa 和 Hydra

nmap端口扫描 和 漏洞扫描

目标 win7

1682344766804

漏洞扫描

1682345330687

发生存在永恒之蓝漏洞

目录扫描

在本地建个站,使用dirb扫描

1682343654360

使用御剑扫描

1682344498753

暴力破解

medusa

爆破电脑密码
medusa -M smbnt -h 192.168.57.135 -u simp -P password.txt -e ns -F

1682348094068

爆破ftp密码
medusa -M ftp -h 192.168.57.55 -u root -P password.txt -e ns -F

1682350126947

HTTP 协议分析

1682346021736

request

GET http://ctf.aabyss.cn/inc/showvcode.php HTTP/1.1
请求方法,网站,协议版本号

Host: ctf.aabyss.cn
主机名

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)Chrome/112.0.0.0 Safari/537.36
客户端信息
Mozilla/5.0 浏览器引擎 操作系统 + 操作系统位数 后面浏览器类型

Accept: image/avif,image/webp,image/apng,image/svg+xml,image/,/*;q=0.8
客户端可以支持的类型 q值代表权重系数

Referer: http://ctf.aabyss.cn/vul/burteforce/bf_server.php
来源

Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
可支持的文件压缩字段
可以支持的 语言 q权重

Cookie

底下一行空格,POST里面有请求数据

repose

HTTP/1.1 200 OK
协议 响应码 响应状态

Connection: close
是否保持可持续连接

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

Content-Type: image/png
然后的响应数据的MIME格式

Date: Mon, 24 Apr 2023 14:19:43 GMT
时间

Eagleid: dcb57d1716823459830995923e
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Pragma: no-cache
Server: Tengine
Set-Cookie: bf[vcode]=08ajc6
Timing-Allow-Origin: *
Via: cache34.l2ot7-1[125,0], cache32.l2nu16[783,0], kunlun16.cn5114[791,0]
X-Cache: MISS from kangle server us free
Content-Length: 1032

BurpSuite 爆破

无验证码的暴力破解

我这里用在线靶场 http://ctf.aabyss.cn/ 也是一个Pikachu

1682336945402

抓包,导到Intruder模块,攻击类型选择Sniper,选择变量

1682337148793

导入我在github上下载的字典

第一次扫描,扫太快了,崩了,返回长度不一样
1682337442464

修改线程数,让他慢慢扫描

1682337492270

第二次扫描,成功。得到密码123456

1682337600277

有验证码绕过(client)

由于是在客户端验证验证码,所以,我们可以填个正确的验证码然后抓包,之后爆破,和第一步一样

1682338043267

第二种方法就是禁用js脚本

验证码绕过(on server)

正确抓两个包,扔到Comparer模块比较它们哪些地方不同。

1682338342350

可以看到:cookie里面的__vtins__JFA4DMnZBFxe5oq7这个字段不同,猜测就是这个控制了后端的二维码

思路错了,看了源码之后发现

1682340005192

打开一个页面之后,它会向/inc/showvcode.php里面获取验证码,然后后台$_SESSION['vcode'] 保存了这个二维码。我们只需要把阻止网站向/inc/showvcode.php发送请求阻挡住,然后读取此时已保存的vcode即可。

1682340697310

上图左边的hfwmcg是上次/inc/showvcode.php服务端设置的旧vcode,而服务端新设置的vcode在响应包里面

1682340941025

我们只要不再向服务端获取vcode,服务端的SESSION变量里面保存的就是这个vcode,然后我们用这个vcode去爆破

1682340980006

然后发现爆破成功

1682341055164

想吐槽的是,作者多此一举了,其实不需要把 vcode发送通过setcookie发送回来。可以直接来渲染,然后读取

1682341163015