四、常见打点方式

1. 常规打点思路

1.1 信息收集：

1.绕开CDN找到所有靶标的真实ip
2.找到所有目标真实的C段
3.对所有的C段进行基础服务器的探测，端口的扫描，识别
4.对所有目标的子域名进行收集
5.对所有子域名的基础服务 端口进行识别和探测
6.对所有的web服务站点进行 指纹的探测
7.找到web管理的后台
8.git上找目标的各类泄露的信息，账号密码，敏感文件，有时候运气好，
会找到泄露的云key（等于发财）
9.从网盘，百度文库，找敏感，账号密码
10.找设备，CMS OA的默认账号密码
11.对web目标进行目录扫描（开代理）
12.对.svn .git的项目进行源码的还原
13.对网站前端进行源码探测收集敏感信息
14.（学校）收集学号 员工号 目标邮箱（生成社工字典）
15.对一些企业 技术文档 wiki 尝试查找测试账号
16.对目标公众号 小程序 进行流量收集
17.想办法混入内部群 QQ群 微信
18.识别目标所用的waf（不同的waf有不同的bypass方法）

1.2 漏洞利用

漏洞利用：

后台弱口令（默认口令）
SQL注入
SSRF（请看SSRF那节课）
命令执行
代码执行
反系列化
文件上传
任意文件下载
近源
钓鱼

2. 供应链攻击

供应链攻击

房地产公司 -> 建材公司 -> 水泥公司/钢筋公司
xx数据 -> xx局（钓鱼-运维人员）

3. 打点技术区分栈

1.对漏洞的理解（知道漏洞原理，知道对方可能在哪些地方做了防御，加固）

2.思维的开阔（见识少了）

3.编程基础，nmap（流量特征很明显，几乎所有的流量设备都能识别）

nmap的流量特征（扫描的时候流量里面会带有明显nmap字样）

如何提升：

1.漏洞理解，不要用工具，注入用手注 XSS用手挖，杜绝一切扫描器。

2.思维，（多学习别人挖洞经验，护网经验，多动手，虚心像大佬们请教）

3.学习一门编程语言（python，go） 自己动手写个工具，结合你对漏洞的理解

4. getshell漏洞总结

4.1 shiro系列

一般在登录框内

漏洞指纹：

set-Cookie: rememberMe=deleteMe

4.2 struts2

漏洞指纹：

Struts
.action
.do
.action!xxxx

4.3 Fastjson

漏洞指纹：

看到以下就可以拿到工具里试

{"@type":"java.net.Inet4Address", "val":"dnslog"}
{"@type":"java.net.Inet6Address", "val":"dnslog"}
{"@type":"java.net.InetSocketAddress"{"address":, "val":"dnslog"}}
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}
{
  
  {"@type":"java.net.URL", "val":"dnslog"}:"aaa"}
Set[{"@type":"java.net.URL", "val":"dnslog"}]
Set[{"@type":"java.net.URL", "val":"dnslog"}
{
  
  {"@type":"java.net.URL", "val":"dnslog"}:0

4.4 Xstream 反序列化

漏洞指纹：

xml

xml 不仅可以xxe, 还能反序列化代码执行

4.5 泛微OA Bsh远程代码执行

漏洞指纹：

Set-Cookie: ecology_JSessionId=
ecology
WorkflowCenterTreeData
/mobile/plugin/SyncUserInfo.jsp

4.6 通达OA 远程代码执行

漏洞指纹：

"/images/tongda.ico">
Office Anywhere 20xx版 网络智能办公系统
/ispirit/interface/gateway.php

4.7 通达OA SQL注入

漏洞指纹

"/images/tongda.ico">
Office Anywhere 20xx版 网络智能办公系统
/ispirit/interface/gateway.php

4.8 致远OA A8 htmlofficeservlet getshell 漏洞

漏洞指纹：

/seeyon/htmlofficeservlet
/seeyon/index.jsp
seeyon

4.9 致远OA 帆软报表 seeyonreport 远程代码执行

漏洞指纹：

https://seeyoon.com/seeyonreport/ReportServer?op=fs_load&cmd=fs_signin&_=1560911828892
seeyonreport

4.10 Smasti 前台SQL注入

漏洞指纹：

SmartBi
smartbi/WEB-INF/lib/smartbi-BIConfig.jar!/smartbi/config/BIConfigService.class

4.11 深信服VPN远程代码执行

漏洞指纹：

Set-Cookie: TWFID=
welcome to ssl vpn

4.12 深信服VPN的口令爆破

漏洞指纹：

/por/login_auth.csp?apiversion=1
sangfor
/cgi-bin/login.cgi?rnd=

4.13 Fortigate SSL VPN 文件读取/远程代码执行

漏洞指纹：

Fortigate 
4tinet2095866

4.14 Pulse Secure SSL VPN远程代码执行漏洞

漏洞指纹：

Pulse Secure

4.15 Palo Alto GlobalProtect VPN远程代码执行漏洞

漏洞指纹

GlobalProtect Portal

4.16 Citrix Gateway/ADC 远程代码执行漏洞

漏洞指纹：

Citrix Gateway
Citrix Gateway/XSA

4.17 Thinkphp

漏洞指纹：

Thinkphp

4.18 Spring系列

漏洞指纹：

X-Application-Context:
"Spring-Framework"

4.19 Phpstudy 后门远程代码

漏洞指纹：

phpStudy 探针

4.20 Solr系列漏洞

漏洞指纹:

Solr

4.21 Tomcat系列

漏洞指纹：

tomcat
8009
ajp
\x04\x01\xf4\x00\x15

4.22 PHP-fpm 远程代码执行

漏洞指纹

Nginx
PHP
nextcloud

4.23 Confluence Wiki 远程代码执行

漏洞指纹：

Confluence

4.24 JBoss系列

漏洞指纹

Jboss
JBoss

4.25 Websphere 反序列化远程代码执行

漏洞指纹：

WebSphere
8880

4.26 Jenkins 系列漏洞

漏洞指纹：

Jenkins

4.27 weblog T3

漏洞指纹：

weblogic 
7001
Lcom.tangosol.util.extractor

4.28 redis

漏洞指纹：

6379

4.29 宝塔

漏洞指纹：

888/pma