外网收集
内容简介
本小节主要讲解了在拿到一个 Web 站点后的信息收集的一些基础操作,最终通过信息收集找到突破口,逐渐深入。当然关于更详细的信息收集相关的姿势和课程可以来报名我们的 Web 课程来深入学习一下。
指纹识别
使用 Wappalyzer 辅助信息收集探测,发现网站为 PHP 网站,且暴露了 phpMyAdmin 的登录口:
访问测试发现确实存在,且版本为 4.8.1 版本:
这个版本历史上是存在文件包含漏洞的,但是前提是需要拿到 phpMyAdmin 的权限,所以我们现在得想办法来通过相关的漏洞或者手段拿到 phpMyAdmin 的登录认证信息。
网站概览
但是不幸的是,网站虽然是 PHP 语言编辑的,但是通过网站前台并看不到 .php 后缀的网页文件,通通都是 .html后缀结尾的(伪)静态文件。
如果静态文件的话,就不太好使用传统漏洞来进行攻击了,而且浏览全站发现也没有和用户交互的功能口,这样基本上就排除了 XSS、SQL 注入、文件上传、文件下载等传统漏洞的利用方式了。
目录扫描
看样子好像没啥希望了,但是还是要遵循一下网站渗透的基本流程,来目录扫描一下吧,看看有啥惊喜。这里我们使用经典强大的 dirsearch 来进行目录扫描。
通过目录扫描,发现网站果然存在 phpMyAdmin 目录,且存在 robots.txt 文件,这个 robots.txt 文件我们的确是忽略了:
友情提示
可以看到 dirsearch 还扫描出了 2.php 和 shell.php,这两个文件很明显大概率是别人留的 webshell 后门文件,因为这个靶场已经开放给我们课程的学员来练习了,所以我们这里假装没看到,不用对这两个 webshell 文件进行密码爆破了。
我们来手动访问看看 robots.txt 文件看看,原来不允许爬虫去爬取扫描 .bak 后缀的文件,一般 bak 是 backup 备份文件的缩写,所以网站大概率存在备份文件泄露。
备份扫描
虽然网站存在备份文件泄露,但是我们 dirsearch 默认的字典却没有扫描出来,所以我们这里专门准给一个备份文件字典来。
资源下载
网站备份文件分享下载:https://win.sqlsec.com/attachs/backup.txt
有了字典的话,我们使用 dirsearh 的 -w 可以外挂我们自定义的目录字典:
我们居然扫描到了应该 22MB 大小的备份文件,看来有点东西呀:
访问 backup.bak 文件将其下载下来,使用 Linux 下的 file 命令发现这个文件为 ZIP 的压缩文件类型:
敏感信息
我们将其直接解压,拿到网站的源码信息,使用 VSCode 直接挂载文件夹,辅助我们对网站源码内容进行搜索,常规思路是搜索如下关键词:
由于本站脱敏了,所以这里故意降低难度,直接在 doc 里面写了我们的 root 密码(正常应该是在网站源码的配置文件中拿到密码的):
