滲透測試之路徑與敏感信息發現

路徑與敏感信息發現概述

一般網站主站信息都比較少，我們需要在滲透測試過程的信息搜集階段，我們可能會自動化工具獲得來網站其他路徑如：后臺、其他未授權訪問路徑，掃描得到敏感文件的路徑，從而找到敏感數據。

根據路徑爆破工具進行使用與測評分析工具的特點，批量訪問發現的路徑查找敏感路徑。工具爬蟲掃描得到敏感文件的路徑，找到敏感數據。

使用爆破工具進行破解

參考工具：

• dirsearch：https://github.com/maurosoria/dirsearch
• OneForAll：https://github.com/shmilylty/OneForAll.git
• virustotal：https://www.virustotal.com
• 子域名自動化搜索：https://d.chinacycc.com
• dnsdumpster：https://dnsdumpster.com
• FeeiCN ：https://github.com/FeeiCN/esd
• 御劍
• DirBuster
• intellitamper
• dirmap

工具介紹

1.Dirsearch：一種高級的命令行工具，旨在對web服務器中的目錄和文件進行暴力破解。

（一）下載dirsearch步驟

1. git clone https://github.com/maurosoria/dirsearch.git//kali上輸入指令下載源碼安裝包

2. cd dirsearch   //切換路徑

3. python3 dirsearch.py -u -e      //-u(url地址)-e (EXTENSION指網站語言，如php、asp)

（二）附上dirsearch使用手冊:

https://blog.csdn.net/yigaoyu/article/details/108473952

在kali上的dirsearch目錄下的README.md文件也有使用方法

（三）模擬暴力破解敏感路徑（靶機的目標ip/510cms）

Dirsearch/db目錄下存放暴力破解所需的字典，可以從中增添字段，充實加強字典庫。

（四）接下來在kali中輸入

./dirsearch.py -u http://10.10.10.1/510cms -e php --plain-text-report=/su.txt

進行路徑的暴力破解

回顯的信息有訪問網頁html的狀態碼status，回復包的長度length，以及網站的路徑

（五）--plain-text-report=/su.txt這條命令為將輸出報告放到kali指定的路徑下面

（六）默認輸出報告位置如下:/dirsearch/reports

2.OneForAll：一款功能強大的子域收集工具

子域名自動化搜索：擴大滲透測試范圍，找到目標站點突破口，業務邊界安全

（一）安裝過程:

1. 下載更新：git clone https://github.com/shmilylty/OneForAll.git

2. 安裝依賴包：

3. cd /OneForALL

4. pip install -r requirements.txt

5. OneForALL源碼鏈接：https://github.com/shmilylty/OneForAll

6. 執行操作指令

./oneforall.py --target http://xxx.com run

（二）掃描輸出的文件存放在/OneForALL/results 目錄下

會生成一個表格數據文件(.csv)，方便用戶查看

（三）可以將csv文件復制到windows系統中，查看xxx.com.csv文件（csv文件信息有：域名，url，ip，回復包狀態碼，title，banner，isp等）

對路徑進行批量訪問查找敏感路徑

敏感路徑：后臺路徑與返回含有重要的敏感信息的文件的路徑，比如數據庫文件、代碼的備份文件或svn、git版本控制文件等

首先了解敏感的信息文件的后綴，如.mdb .zip  .rar .txt .git .svn等

然后構造url+后綴名的訪問請求，即可查找和驗證敏感文件是否存在

（一）簡易枚舉敏感路徑腳本，通過url+后綴名來訪問網站，從得到的狀態碼判斷路徑是否存在。

注：該網站為本機的測試網站

# -*- coding:utf-8 -*-
from typing import TextIO
import requests
url = 'http://www.xxx.com/'
with open("web.txt","r") as web:
webs=web.readlines()
for web in webs:
web=web.strip()
u = url+web
r = requests.get(u)
# print("url為:"+u)
print("url為:"+u+' '+"狀態為:%d"%r.status_code)
w=open('write.txt','w+')
for web in webs:
web = web.strip()
u = url + web
r = requests.get(u)
w.write("url為:"+u+' '+"狀態為:%d"%r.status_code+"")

運行結果圖如下

（二）御劍后臺掃描器，同理可得通過寫入的域名+路徑配置文件，最后判斷狀態碼是否為200，是則回顯，否則不回顯。

注：該網站為本機的測試網站

（三）intellitamper軟件路徑枚舉

注：該網站為本機的測試網站

（四）獲取敏感文件

注：該網站為本機的測試網站

網站源碼備份文件存放在根目錄下，以至于用戶可以訪問并且下載網站源碼備份文件

源碼備份存在著敏感數據庫備份文件（.sql）以及敏感路徑和配置文件信息等敏感文件

攻擊者可以通過代碼審計等方法對網站進一步的滲透

config.php為網站的配置文件，里面存放連接數據庫的主機的ip、user、password、數據庫名等敏感信息

510cms.sql文件就是一個備份的數據庫文件，其中可能存放網站的敏感信息（網站后臺的賬號密碼等）

通常數據庫的密碼為md5加密，我們可以放在網上的在線md5解密網站進行解密

訪問后臺路徑10.10.10.1/510cms/admin，該網頁存在敏感路徑泄露（目錄遍歷），用戶可以實現路徑穿越

總結：

在滲透過程中，目錄爆破是比較重要的一個環節，獲取的子域名和敏感路徑越充分，對后續的滲透利用也就越有利。實際上系統的不同以及建站廠商的不同，敏感路徑以及一些網站建設上存在著差異，所以還是需要我們去多多了解更多的知識點。