superfish9/pt

信息收集

主机信息收集

敏感目录文件收集

目录爆破
- 字典
- BurpSuite
搜索引擎语法
- Google Hack
- DuckDuckgo 可搜索微博、人人网等屏蔽了主流搜索引擎的网站
- Bing
js文件泄漏后台或接口信息
- 快捷搜索第三方资源
  - findjs
robots.txt
目录可访问（ autoindex ）
iis短文件名
- IIS-ShortName-Scanner
爬虫
- BurpSuite Site map
编辑器
- 编辑器利用总结.pdf
源码泄漏
- 常见Web源码泄露总结
Git 代码泄露
- Githack
SVN 代码泄露
- svnHack
备份文件
- xxx.php.swp
- *www*.(zip|tar.gz|rar|7z)
xxx.php.bak
- API
探针文件

端口扫描及Banner识别

本地工具
- nmap
- Metasploit auxiliary/scanner/portscan/tcp
- zmap
- masscan
第三方平台
- zoomeye
- shodan
- fofa
- 微步在线

WEB组件识别

平台识别
- 云悉
- shodan
浏览器插件
- Wappalyzer
http://whatweb.bugscaner.com

漏洞信息收集

手动挖掘
扫描器
- AWVS WEB 漏洞扫描器
- Nussus 主机漏洞扫描器

WAF测试

Tor 防止 IP 被 ban
特殊的 HTTP 请求
- 同时包含 GET 与 POST
- chunked 请求
- HTTP 参数污染
- 超大的请求包
- 文件上传类型的参数传播
WAF 规则漏洞
- 白名单
- 控制字符拦截
- 规则库不完全
- 通配符绕过
- 字符串分割
协议
- SSL Cipher 导致绕过
  - abuse-ssl-bypass-waf
- Keeplive 绕过
  - BurpSuite
Fuzz
- wfuzz
- fuzzdb

C 段 IP 信息

与主机信息收集相同，侧重点应放在漏洞信息收集上。

IP 反查域名

目标网络结构

tracert

Nday 信息收集

exploit-db
seebug
乌云镜像站

域名信息收集

域名信息

域名注册人
DNS 提供商
域名到期时间
txt 记录中的 spf 字段（邮件伪造）
MX 记录中邮件服务器地址
工具
- whois
- nslookup
- dig

子域名收集

本地工具
搜索引擎
- Google Hack
- DuckDuckgo 可搜索微博、人人网等屏蔽了主流搜索引擎的网站
- Bing
第三方平台
- 微步在线
- 站长之家
DNS域传送
- nslookup
- dig
- nmap
C/S程序逆向及抓包
- 逆向平台依据语言与平台来选择，移动端建议使用 mobsf ，可以半自动化的发现链接与 IP ，抓包可以使用 wireshark 抓取所有流量来进行筛选。
网站爬虫
- BurpSuite Site map
第三方代码平台
- github
- gitlab

CDN寻找真实IP

CDN 2021 完全攻击指南（一）
子域名未设置泛解析，检测未添加 CDN 的子域名 *详见子域名收集
网站探针
网站根页面响应内容中存在指纹
- zoomeye
- shodan
- fofa
网站存在 SSRF 或者 XXE 漏洞
- ceye
CDN 配置有特定证书
- censys
网站存在邮件功能
- 查询 eml 文件中邮件节点 IP
自建 CDN 机房且未做国外加速
- 站长之家
- 奇云测
DNS 解析记录查询
- 微步在线
- viewdns
添加 Host 做全网扫描
- zmap
F5 负载均衡查看内网 IP
- http://blog.51cto.com/showing/1841564
组件可能存在安全问题 HTTP 盲攻击
- ceye
- Collaborator Everywhere
C/S 程序逆向或抓包
*采用第三方 CDN 可用肉鸡耗尽 CDN 资源后获取真实 IP
*社工

目标信息收集

现场收集

物理安全
- 机房/办公区是否可以随意进出
- 员工PC及服务器是否可控制，是否可插入 badUSB
- 门禁系统是否存在安全问题
无线安全/RF频率扫描
- aircrack-ng
- 万能钥匙
其他信息
- 目标所使用的系统版本
- 目标使用的杀毒软件
- 目标使用的浏览器
- 办公区黑板上是否留有敏感信息
- 垃圾桶或办公桌上是否存在敏感文件
- 内部使用的平台
- 常用的邮件格式体
- oa 及其他平台用户名格式
- 企业邮件用户名命名规则
- 目标网络中的其他资产
  - 摄像头
  - 打印机
  - 门禁系统
  - 条形码扫描器

非现场收集

员工信息收集
- 搜索引擎
  - theHarvester
- 招聘网站
  - 百度招聘爬取了市面上的绝大多数招聘网站的信息
- Duckduckgo 可以搜索微博、人人网等禁止主流搜索引擎爬虫爬取的网站
- QQ、微信、 telegram 等即时聊天群
- 国家企业信用信息公示系统
- 天眼查
- 微步在线
敏感文件收集
- 第三方代码平台 #大部分可用 Google 进行搜索，但需要将代码 clone 到本地后才可以查看 commit history
  - github
  - gitlab
- 网盘搜索
  - http://www.pansoso.com/
  - https://www.lingfengyun.com/
- 搜索引擎
- QQ、微信、 telegram 等即时聊天群
邮件系统信息收集
- 目标使用的邮件系统供应商
- 目标使用的邮件系统
- 邮件服务器（域名 MX 记录）
其他信息
- XSS 盲打后台获取后台地址

其他

社工库
支付宝查询姓名
微博、抖音、微信、QQ搜索手机号
社工

漏洞挖掘与利用

Web应用

PayloadsAllTheThings
“冰蝎”动态二进制加密网站管理客户端
PortSwigger知识点及实验环境
- All learning materials
- All labs

Server端

架构

Path处理
- Take Your Path Normalization Off And Pop 0days Out! - Orange Tsai
- Exploiting-URL-Parsing-Confusion.pdf
- web服务器分层架构的资源文件映射安全以及在J2EE应用中的利用与危害
- [Attacking Secondary Contexts in Web Applications](./Web%E5%BA%94%E7%94%A8/Server%E7%AB%AF/Attacking Secondary Contexts in Web Applications.pdf)
- Middleware, middleware everywhere - and lots of misconfigurations to fix
HTTP盲攻击
HTTP请求走私
Web缓存投毒
Web缓存欺骗
- 详解Web缓存欺骗攻击
- Web Cache Deception Attack
相对路径覆盖
- RPO攻击方式的探究
- Detecting and exploiting path-relative stylesheet import (PRSSI) vulnerabilities
CDN
- CDN安全，DDos攻击
- CDN安全-论文复现-RangeAmp攻击

组件

Web中间件常见漏洞总结
解析漏洞总结
Nginx
- Nginx不安全配置可能导致的安全漏洞
- CVE-2016-1247（本地提权）
Apache
- Confusion Attacks: Exploting Hidden Semantic Ambiguity in Apache HTTP Server!
- CVE-2021-42073（RCE）
CVE-2021-41773（RCE）
CVE-2019-0211（本地提权）
IIS
- IIS PUT
- CVE-2017-7269（RCE）
F5
- CVE-2022-1388（RCE）
- CVE-2021-22986（RCE）
- CVE-2020-5902（RCE，scanv-poc）

基础库

ImageMagick
- imagemagick 邂逅 getimagesize 的那点事儿
- CVE-2019-6116（GhostScript沙箱绕过 RCE）
- CVE-2018-17961（GhostScript沙箱绕过 RCE）
- ghostscript: multiple critical vulnerabilities, including remote command execution
- CVE-2016-5118（命令注入 RCE）
- CVE-2016-3714（“ImageTragick”漏洞 RCE）
FFmpeg
- CVE-2017-9993（任意文件读取）
- CVE-2016-1897/8（SSRF & 任意文件读取）

应用

Zabbix
- 弱口令
- Zabbix 2.2.x, 3.0.x latest.php SQL注入漏洞
- Zabbix 2.2.x, 3.0.x jsrpc.php SQL注入漏洞
- CVE-2014-9450（SQL注入）
- CVE-2013-5743（SQL注入）
Nagios
- CVE-2016-9566（本地提权）

Java Web

WebServer

常见WebServer弱口令及getshell方法总结
解密JBoss和Weblogic数据源连接字符串和控制台密码
Tomcat
- 中间件安全-Tomcat安全测试概要
CVE-2017-12616（信息泄漏）
CVE-2017-12615（PUT RCE）
- CVE-2016-8735（反序列化 RCE）
- CVE-2016-1240（本地提权）
Resin（待整理）
- 未授权访问
- 任意文件读取
- 目录遍历
WebLogic
- CVE-2021-2109（RCE）
- CVE-2020-14882/14883（RCE）
- CVE-2020-13935（DoS）
- CVE-2019-2888（XXE）
- CVE-2019-2729（wls9-async反序列化RCE）
- CVE-2019-2725（CNVD-C-2019-48814，wls9-async反序列化RCE）
- CVE-2019-2647（XXE Weblogic xxe漏洞复现及攻击痕迹分析）
- CVE-2018-3252（反序列化RCE）
- CVE-2018-3246（XXE）
- CVE-2018-2894（文件上传）
- CVE-2017-10271（反序列化RCE）
- CVE-2017-3506（反序列化RCE）
- CVE-2015-4852、CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628、CVE-2018-2983、CVE-2018-3191、CVE-2018-3245、CVE-2020-2801、CVE-2020-2884（反序列化RCE via T3）
- CVE-2014-4210（SSRF）
WebSphere
- CVE-2020-4949（XXE）
- Java反序列化RCE
- CVE-2014-0823（任意文件读取）
GlassFish
- 任意文件读取
JBoss
- CVE-2017-12149（JBoss AS 6.x反序列化RCE）
- Java反序列化RCE（JMXInvokerServlet）
- jmx-console未授权访问
- JBoss安全问题总结

开发框架

《Attacking Java Web》
Spring
- 有趣的SpEL注入
- CVE-2022-22965（Spring4Shell，RCE，java9新特性导致CVE-2010-1622防护绕过）
- CVE-2018-1271（Spring MVC目录遍历）
- CVE-2018-1270（Spring Messaging RCE）
- CVE-2018-1259（Spring Data集成XMLBeam XXE）
- CVE-2017-8046（Spring REST Data SpEL表达式注入RCE）
- CVE-2016-4977（Spring Security OAuth RCE）
- Jndi注入及Spring RCE漏洞分析
- CVE-2011-2730（Spring EL表达式执行RCE）
- CVE-2010-1622（Spring MVC DOS&RCE）
Struts2
- s2-016、s2-019、s2-032、s2-037、s2-045、s2-046、s2-devmode（RCE）

应用

Jenkins
- Compromising Jenkins and extracting credentials
- 未授权访问
- CVE-2019-1003000（RCE）
- CVE-2018-1999002（任意文件读取）
- CVE-2018-1999001（配置文件路径改动导致管理员权限开放）
- CVE-2017-1000353（反序列化RCE）
- CVE-2016-9299（Jenkins-Ldap反序列化）
- CVE-2016-0792（XStream反序列化RCE）
- CVE-2015-8103（Java反序列化RCE）
ElasticSearch
- 未授权访问
- CVE-2015-3337（任意文件读取）
- CVE-2015-1427（RCE）
- CVE-2014-3120（RCE）
Hadoop
- Apache Hadoop远程命令执行
- Hadoop Yarn REST API未授权漏洞利用挖矿分析

组件

Log4j2
- CVE-2021-44228（RCE）
WxJava
- CVE-2018-20318、CVE-2019-5312（XXE）
Fastjson
XStream
- CVE-2021-29505（RCE）
- CVE-2020-26217（反序列化）
- 反序列化
  - 回顾XStream反序列化漏洞
Apache Shiro
- 反序列化

PHP

PHP绕过open_basedir限制操作文件的方法
Bypass_Disable_functions_Shell
- 无需 sendmail：巧用 LD_PRELOAD 突破 disable_functions
PHP FastCGI 的远程利用
文件包含漏洞小结
- LFI_With_PHPInfo_Assitance
- RFI绕过URL包含限制getshell
- PHP文件包含漏洞利用思路与Bypass总结手册
  - 1
  - 2
  - 3
  - 完结
CVE-2019-11043（Nginx + php-fpm RCE）
PHP Object Injection

开发框架

应用

WordPress
- wpscan
- WORDPRESS后台拿WEBSHELL的2个方法
Joomla
- joomscan
Drupal
- CVE-2020-28948/28949（RCE/文件重写）
CVE-2019-6340（反序列化RCE）
CVE-2018-7600、CVE-2018-7602（RCE）
- CVE-2017-6926（越权查看评论）
- CVE-2017-6920（反序列化RCE）
- Drupal 7.x Service模块SQLI & RCE 漏洞分析
- Drupal Core Full config export 配置文件未授权下载漏洞
- Drupal 7.x RESTWS 模块命令执行漏洞
- CVE-2015-7877（SQL注入）
- CVE-2014-3704（SQL注入）
Discuz!
- CVE-2018-14729（Dz! 1.5-2.5 后台RCE）
- Discuz!X前台任意文件删除漏洞
- 后台getshell
  - Discuz X3.3 authkey生成算法的安全性漏洞和后台任意代码执行漏洞
  - 后台 getshell合集（待整理）
- SSRF利用
  - discuz利用ssrf+缓存应用getshell漏洞分析
  - Discuz! SSRF合集（待整理）
- uc_key利用
- SQL注入

组件

PHPMailer
- CVE-2016-10033（命令执行）

Python

Python Pickle的任意代码执行漏洞实践和Payload构造

开发框架

Ruby

开发框架

Ruby on Rails
- CVE-2019-5418（任意文件读取）
- CVE-2018-3760（路径穿越与任意文件读取）
- CVE-2016-2098（RCE）
- CVE-2016-0752（RCE）
- CVE-2015-3224（Web Console IP 白名单绕过 RCE）
- CVE-2013-0333（RCE Rails PoC exploit for CVE-2013-0333）
- CVE-2013-3221（数据类型注入）
- CVE-2013-0156（RCE）

应用

Gitlab
- CVE-2021-22214（SSRF）
- CVE-2021-22205（RCE）

Node.js

Node.js 模块 node-serialize 反序列化任意代码执行漏洞
JavaScript Prototype Pollution

开发框架

Express
- Express黑盒安全测试
- CVE-2017-14849（任意文件读取）

企业应用

Zimbra
- A Saga of Code Executions on Zimbra（Zimbra xxe+ssrf导致getshell）
Confluence
- CVE-2022-26134（RCE OGNL injection）
- CVE-2019-3396（RCE SSTI and RCE in Confluence，scanv-poc）
Exchange
- 渗透测试中的Exchange
- CVE-2018-8581
  - MICROSOFT EXCHANGE漏洞分析 – CVE-2018-8581
  - 利用 Exchange SSRF 漏洞和 NTLM 中继沦陷域控
- CVE-2020-0688（RCE）
  - CVE-2020-0688_exchange漏洞复现
CVE-2020-17144（RCE）
- 从CVE-2020-17144看实战环境的漏洞武器化
Proxylogon（RCE）
- Reproducing the Microsoft Exchange Proxylogon Exploit Chain
CVE-2021-26855&CVE-2021-27065（SSRF&RCE）
- Microsoft Exchange Server CVE-2021-26855漏洞利用
- Exchange攻击链CVE-2021-26855&CVE-2021-27065分析

常见漏洞类型

未授权访问

未授权访问的tips

SQL注入

sqlmap
谈一谈ORM的安全
Bypass WAF
- Bypass WAF Cookbook - MayIKissYou
  - 多角度对抗.WAF.的思路与实例
- 我的WafBypass之道（SQL注入篇）
OOB
- 隐蔽的渗出：在SQL注入中使用DNS获取数据
常见关系型数据库
- SQL Injection Cheat Sheet
  - SQL注入速查表（上）
  - SQL注入速查表（下）与Oracle注入速查表
- Mysql
  - Mysql注入科普
  - Mysql Hacking
  - CVE-2021-27928（MariaDB/MySQL-wsrep provider命令注入）
  - CVE-2016-6662、CVE-2016-6663、CVE-2016-6664（本地提权组合利用）
  - TSec-Comprehensive analysis of the mysql client attack chain
- PostgreSql
  - POSTGRESQL HACK
  - CVE-2019-9193
- Sqlite
  - SQLITE HACKING
- SQL Server
  - MSSQL注射知识库 v 1.0
- Oracle
  - Hacking Oracle with Sql Injection
  - CVE-2014-6577（XXE Oracle盲注结合XXE漏洞远程获取数据）

NoSQL注入

文件上传

SSTI

SSRF

XXE

CRLF

【技术分享】初识HTTP响应拆分攻击（CRLF Injection）

SSI

服务器端包含注入SSI分析总结

自动绑定

未授权访问

常见未授权访问漏洞总结

前端相关

业务逻辑

业务安全漏洞挖掘归纳总结
登陆
- OAuth
  - OAuth 2.0攻击方法及案例总结
- Json Web Token
密码找回
- 密码找回逻辑漏洞总结
- 任意用户密码重置系列
越权
- 我的越权之道
支付
信息泄露
- 挖洞技巧：信息泄露之总结

其他

Java RMI

Redis

About

Languages

Language:Python 100.0%

信息收集

主机信息收集

敏感目录文件收集

端口扫描及Banner识别

WEB组件识别

漏洞信息收集

WAF测试

C 段 IP 信息

IP 反查域名

目标网络结构

Nday 信息收集

域名信息收集

域名信息

子域名收集

CDN寻找真实IP

目标信息收集

现场收集

非现场收集

其他

漏洞挖掘与利用

Web应用

Server端

架构

组件

基础库

应用

Java Web

WebServer

开发框架

应用

组件

PHP

开发框架

应用

组件

Python

开发框架

Ruby

开发框架

应用

Node.js

开发框架

企业应用

常见漏洞类型

未授权访问

SQL注入

NoSQL注入

文件上传

SSTI

SSRF

XXE

CRLF

SSI

自动绑定

未授权访问

前端相关

业务逻辑

其他

Java RMI

Redis

AJP

Mongodb

DNS

Rsync

Docker & 容器编排 & 云

About

Languages