对攻防的一些小总结

打点

对靶标的分析

通常分为两个大方向

• 其一为机关单元

地级市通常将网站托管在政务云，大数据云等.所以通常出口ip一般都在几个大的c段当中

• 其二为集团公司单位

漏洞验证

• React，Vue，AngularJs等前端框架1有做预编译不同于jquery所以没必要测试xss //vue{{var}}，v-html=“var”（可能存在注入）

• springboot不解析jsp后缀文件（导入war/jar包可能解析）

• fofa识别后端框架通过hash识别

“springboot”&&icon_hash=“116323821”

• java应用sql注入看法，

放到最后去测，因为mysql和oracle写文件命令执行方式或者udf提权方式十分极端

但是遇到asp站点就比较容易利用。

• fofa不一定是404就是关站，有可能是做了资产迁移，端口扫描。

• java框架演变史

jsp/servlet, ===-> ssh hiberna,spring.struts2,====> ssm mybatis,spring.springmvc ====> springboot ssm约定大于配置===>前后端分离 json ajax（传输数据）前端和后端分开来部署 ====>springcloud。分布式（很多个springboot搭建 ）

• goby和xray结合

将信息搜集的资产放到goby的分布式全端口扫描，扫面完将导出的web服务放到xray和Rad进行批量扫描。

上线

拿到shell不一定要考虑上线cs，webshell有天然的免杀优势，但是有时我们可以利用shell

隧道的建立

• cs：sockt4a

• msf：sockt5

• reGeorg：不上线情况进行隧道建立

• 冰蝎自带进行内网渗透

• 3389 永远的神

  • 值得一提的是，3389是永远的神。

  • 因为在后渗透的过程中会牵扯很多工 具，这些大规模工具的免杀是一件成本很高的事情。如果3389对外开放，可以通过密码直接登录。

  • 不对外开放时，走隧道内网进行3389连接。

  • 如果版本高于2012密文解不开时，使用添加用户的api免杀进行用户添加，3389在当前桌面退出杀软，进行工具上传后渗透。

  • 没有隧道，没有免杀api等情况下，可以进行中找到向日葵，TV进程连接。进程中没有，可在文件中找到运行然后连接。

  • 都没有的情况下，可以尝试CS中的VNC的模块远程操控然后关闭杀软。

• 内网扫描（fscan）

  • 扫描容易丢失权限，所以通常在扫描前做权限维持，在多个目录下植入webshell ，创建计划任务。

• 对连通网段的收集

ipconfig

netstat -ano

route print

arp -a

• 内网主要是信息搜集获取凭证