一.旁注
原理:在同一服务器上有多个站点,我们要攻击的这个站点假设没有漏洞,我们可以攻击服务器上的任意一个站点,这个就是旁注。(假设A网站和B网站在同一个服务器上,攻击A网站,但是A网站没有漏洞,B网站有漏洞,这时可以通过攻击B网站找到服务器)
二.IP逆向查询
可通过ping 域名获取其相关IP地址,之后通过IP地址反查获取其旁注的域名
如图,这些网站都在同一个cdn下
三.目录越权
运维人员使用了同一个中间件用户而造成目录越权,同时中间件用户权限过高也可以造成目录越权。
查看一个网站,它的Ip为192.168.18.36,端口号为807
用中国菜刀这个工具连接网站
如图,这些网站能跨越访问,原因是都用了同一个账户:IUSER
四.SQL跨库查询
跨库查询是指由于权限设置不严格,导致普通帐号被授予过高的权限,从而使得其可以对其他的数据库进行操作。比如,在mysql中,informatin_schema
这个表默认只有root有权限进行操作。但是如果一个普通账户权限过高后,他便可以对该数据库进行操作,从而影响整个mysql数据库的运行。
五.CDN绕过
如何判断CDN
nslookup 进行检测
多ping 检测
通过网站进行多ping检测
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
比如检测一下www.oldboyedu.com
发现www.oldboyedu.com在各个地区的IP都不一样,说明这个网站存在CDN
绕过方法
1、ping 一个不存在的二级域名(泛域名解析)
2、查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录
因为网站在创建好之前是没有CDN的,所以可以通过一些网站(比如fofa)来查询这个网站使用CDN前的记录
https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询 http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP
https://securitytrails.com/domain/oldboyedu.com/dns
3、查询子域名
例如一个公司有多个域名,但只有最核心的几个域名使用了CDN,那么就可以查找其他没有CDN的域名,通过ping二级域名来获取真实ip
(1)微步在线(https://x.threatbook.cn/)
(2)Dnsdb查询法(https://dnsdb.io/zh-cn/)
(3)Google 搜索Google site:baidu.com -www就能查看除www外的子域名
(4)各种子域名扫描器
(5)网络空间引擎搜索法
常见的有以前的钟馗之眼,shodan,fofa搜索。
4、利用SSL证书寻找真实原始IP
5、网站漏洞查找
1)网站敏感文件泄露,例如:phpinfo之类的探针、"info.php", "phpinfo.php", "test.php", "l.php"、GitHub信息泄露等。
2)查看漏洞扫描报警信息,手工造成页面报错(有时会直接报出真实的IP)
3)XSS盲打,命令执行反弹shell,SSRF等。(攻击它的网站,获取IP)
4)无论是用社工还是其他手段,拿到了目标网站管理员在CDN的账号,从而在从CDN的配置中找到网站的真实IP。
6、网站邮件订阅查找
RSS邮件订阅,很多网站都自带 sendmail,会发邮件给我们,此时查看邮件源码里面就会包含服务器的真实 IP 了。
7、通过国外服务器ping对方网站,国内很多CDN厂商在国外没做CDN加速
通过国外服务器ping对方网站,国内很多CDN厂商在国外没做CDN加速.所以用国外的服务器来ping国内的域名就能获取真实ip.
8、用 Zmap 扫全网、DDOS把 CDN 流量打光
用Zmap扫全网、利用DDOS攻击把CDN的流量打光.因为CDN服务是要收费的,在CDN的流量消耗完之后该网站就失去了CDN的保护