web渗透第一步之信息搜集 [ 找目标内网入口 ]

0x01 为什么要找内网入口: 我们渗透的最终目的大多数都是目标内网,有些核心敏感数据(比如,个人机上的一些数据),我们从边界机器是拿不到的,所以,只能深入内部,当然,这里所指的内部文件数据,并不仅限于数据库,邮件这类数据,可能由于各种各样的需求,我们还需要某些个人的数据或者组织的各种业务数据,技术的各种数据等等,一般情况下,渗透web的目的,很大程度上也是希望能从web边界直接进入到目标内部(内网),对于apt来讲,价值比较高的东西基本也全部在内部,不得不承认的是,有时候公开信息调研确实也能找到部分敏感信息,但那个含金量和时效性就远远不如内网中的了,至于如何深入到目标内部,很大程度上也取决于,我们能不能尽可能多的找到目标可能的内网入口 0x02 利用各类邮件程序自身的漏洞尝试从web边界进入目标内网 下面就简单介绍一种常见的web邮件程序,[这里为什么一定要是邮件程序呢,不同于普通的web网站,普通的web服务器有时候即使拿到shell,但有可能机器并不在内网或者该机器上根本没有内网网卡,但邮件服务器一般都被会用来处理内部实际业务,从个人经验来看,web邮件程序的机器,绝大部分都在内网]: owa 微软自家的exchange服务,企业为了便于统一协作管理,一般都会直接把exchange服务部署在域内,邮箱名称和邮箱密码大部分也直接是域内的系统账号密码,可以直接拿来登陆域内系统,当然,也是可以尝试的,关键还是看目标具体是怎么部署的了,至于,如何搞到目标的owa的账号密码,嘿嘿……后面再总结吧,包括命令行邮件导出成pst文件,如果目标部署的有exchange server 一般直接访问下/owa/auth即可看到,服务被部署好以后管理员没有特殊情况基本就不怎么会关注/owa/auth目录下的文件了,所以当你拿到权限后,在这儿放个webshell,还是很靠谱的,一般都是web的443端口,另外,对于owa本身几乎是没什么漏洞的 owa的一般入口如下: https://remote.bmtjfa.com.au/owa/auth/logon.aspx机器在域内的情况 https://mail.advancedptsm.com/owa/auth/logon.aspx机器不在域内的情况 如果没有删的话,可以访问下面的路径爆出服务器信息: https://mail.xxx.com/owa/auth/test.aspx Mirapoint邮件系统: ShellShock漏洞,漏洞地址如下: http://xxxx.com/cgi-bin/search.cgi http://xxxx.com/cgi-bin/madmin.cgi KerioConnect 邮件系统: 一般后台只能内网访问,入口如下: https://mail.xxx.com:4040/admin/login/ Zimbra 邮件系统: 本地包含,入口: https://webmail.xxx.com:7071/zimbraAdmin/ 查看zimbra版本: https://webmail.xxx.com/help/zh_CN/standard/version.htm Atmail 邮件系统:  敏感信息泄露问题[数据库账号密码]: http://www.xxx.com/config/dbconfig.ini Lotus Domino Webmail: 越权访问,inurl:.nsf/WebHelp/!OpenPage TurboMail邮件系统:  默认配置不当可进入任意邮箱,默认有四个root域账号,一个管理员,三个普通用户 由于设置缺陷,导致普通用户可以查看任意用户的密码 U-mail: sql注入,可写shell WinMail: 非授权访问/权限绕过 ExtMail : 老版本注入 SquirrelMail 0x03 找目标的oa系统或者图书馆之类的网站以及各种边界网络设备的web管理端[一般像这些东西跟内网的联系比较大]: oa本来就是为了方便员工远程办公,处理公司各种业务用的,但,这也给我们提供了通往目标内部的入口至于,为什么非要选则图书馆,目的很显然,既然是图书馆,你肯定会想到内部的什么图书管理系统,实际经验也证明,大多数图书馆的站,都会处在内网中找各种网络设备的web管理端,主要是想登进去以后,看看有没有可以上传shell的地方,也许可以利用得到 0x04在你能力足够的情况下,直接搞路由也是可以的[比如,cisco,端口镜像,抓包分析,说实话自己对路由并不是非常擅长]: 路由作为一种边界设备,搞它的意义就不用再多说了吧 0x05 暴露在边界的目标打印机,智能点儿的打印机都会自带一些web服务[通常是java]: 打印机,就更不用说了,典型的内部设备,一般是先找到配置管理界面,部署war包 0x06 如果实在外部搞不定,条件允许的情况下,尝试实地渗透也是可以的,比如,通过无线进入目标内部 这也算是一种相对比较高效的渗透方式,老外非常干这个,但前提是,你可能需要很多次的蹲点,才能确认目标,实地渗透对你的心里素质要求可能会更高一些,另外,现场的环境和有限的时间也多多少少会影响到你 一些小结: 时间原因,暂时就想到这些,都是一些平时的经验加上一点自己的想法,其实,就整个信息搜集来讲,对你的社工能力其实是个不小的考验,我自己在这方面确实是弱项,后续会慢慢加强 文章来源：klion's blog