全套实战网站漏洞检测（src无码）这是一篇正经的漏洞检测报告

前言：

本篇文章的内容，基于一个很久之前的委托，当时因为被挂马委托了我，但是我当时因为某些事情耽误了，后来网站因为某些原因也废弃不用了，虽然不用了但是仍然挂在服务器上运行着。不出意外现在也已经彻底停用了，大家看文章就不要究其根源了，分享一下我的一些个人思路就好了，因为网站已经关闭，本文就不再打码了。

注：本文所用方式都有更多更优方式，所以大家不必争论。

我会从信息搜集方面开始讲起，大佬暂退，哈哈。如果你是学习的新手，我想这篇文章多少会对你有所启发。

任务一、目标确认及信息搜集

1.1 IP地址及端口服务

首先是确认目标，目标网站淘江阴

http://www.taojiangyin.com/

第一步先进行信息搜集，我用我自己整理出来的一个文档来搜集一下信息

首先我通过站长之家工具对基本内容进行查询

确认了IP地址，同站的网站，注册人邮箱等信息，同时我检测了dns的解析，确认没有多个ip，可以确认这个就是真实

注：还有其他方式检测dns，大家自行学习

然后看了一下同IP网站基本就是主网站的一些子域名之类，也基本属于同类网站

通过大小写判断，该网站服务器初步判断为Windows系统

我们再通过whatweb命令来检查

whatweb www.taojiangyin.com 

确定为Windows系统，而且使用的是iis7.5，使用的是PHP

我们可以根据版本号来找一下对应的漏洞

下一步我们扫描一下目标开放了哪些端口，这里我是用nmap扫描一下

 nmap -sS 115.29.188.182

使用半连接扫描扫全端口，同时也可以增加一个参数来查看一下相关服务

map -sS -A 115.29.188.182 

1.2 子域名及c段搜索

端口和服务搜集完毕，我们继续挖掘信息，搜集一下子域名，可以利用旁站攻击

这里我使用在线扫和御剑两款来尝试，子域名就是字典的尝试，大家多搜集字典即可

https://phpinfo.me/domain

下面是御剑

查了一下c段并没有，子域名也只有我从站长工具上查到的

同时我在扫描的时候发现了一个phpinfo的页面，可以算是信息泄露

经测试，就只有一个子域名可用，同时无c段旁站

1.3 waf检测

然后我们检测一下有无防火墙

这里我是用wafw00f，sqlmap和nmap都检测了一波

wafw00f taojiangyin.com

sqlmap -u "www.taojiangyin.com" --identify-waf

都没有检测出waf，这里暂时先假设没有（遇到再说）

1.4 敏感目录搜索

最后我搜集一下这个网站的敏感目录，除了之前搜集到的phpinfo页面可能存在信息泄露

使用了御剑工具，根据响应200的，检查了一下敏感文件

还有一个疑似有问题的页面，同时目录下robots文件也没删除

还有一个1.php页面，分析一下可能不是网站管理设置的，很可能是黑客入侵了上传的

1.5 关联信息搜集

未找到相关app之类。

通过whois查处的公司名字子，到天眼查进行搜集，搜集到了额外的信息，可能会对社工有利。

可以适当利用这些信息来制作字典

任务二、分析寻找漏洞

2.1分析现有可利用信息并尝试利用

首先我看了下现有信息，能利用到的就是一个iis7.5，还有一个不知道干什么用的pop3服务

网上查了一下，pop3可能会有可爆破、未授权访问和嗅探的问题

于是我就用nc探测了一下，发现端口开启但是前面显示无法识别

使用了telnet尝试连接一下

我又尝试使用hydra爆破一下，但是同样无法使用，于是我便放弃了从这个地方爆破的想法

那我就考虑3389端口开启我是不是可以简单爆破一下，但是爆破的结果很奇怪

hydra 115.29.188.182 rdp -L 常用用户名.txt -P 常用密码.txt -e n 

出现很多结果都显示正确，但是实际没有正确的，这里我感觉是添加了什么过滤或者其他的

这条线我也暂时放弃了。

于是我盯上了iis7.5的版本

我上网搜索该版本号的漏洞

cgi.fix_pathinfo函数对于7.5版本来说，可以上传带有php代码的图片文件然后修改后缀可以执行，这个函数开启的话就会有这个问题，我们访问之前信息泄露的phpinfo页面查找一下这个函数。

发现这个函数后面是1，证明是开启的，我们找一下有没有图片上传的地方

网站的明面上并没有可上传点，于是我想，能不能通过用户身份去

于是我就到用户登录页面去查看一下，发现没有验证，于是我想爆破一下

想了一下尝试将密码定义为123456，然后设置账号名为变量，看看有多少弱口令的账号

哈，果然有不少账号是弱密码，随便尝试了一个进来

找了半天，连个上传头像的地方都没有，全站也没找到个上传图片的地方（可能因为网站关闭了的原因。）因为网站关闭，基本里面的用户也没有什么利用价值了。

没办法，我尝试一下爆破后台，使用了atscan工具扫一下

perl atscan.pl -t https://www.example.com --admin

可惜了，也没扫到

有点难受了

没办法了，只能继续下一个，从php版本入手看看

找到了相应的版本号漏洞CVE-2015-4598，是一个文件上传漏洞，%00截断，可惜没有上传点都是白费，既然如此我就找一找有没有什么top10的漏洞，从注入和xss找起。

观察了一下页面结构，发现只有搜索框这个地方可以尝试，于是我对其进行了一定的探测，不管怎么说先用sqlmap一把梭跑一个

Sqlmap -u "http://www.taojiangyin.com/search.php?encode=YToyOntzOjg6ImtleXdvcmRzIjtzOjEyOiLllYrpo5Lpo5LnmoQiO3M6MTg6InNlYXJjaF9lbmNvZGVfdGltZSI7aToxNjQ4MzcyNDU5O30=" 

跑注入的同时我看这个后面的encode的编码有点像是编码，我用burp抓包，解码一下这个后面的参数

放到重发器，复制这里的参数放到解码处解码看看

这里有点像反序列化的内容，其实就是我传输的搜索框中的参数，传递给服务器

这里发现我们传递的参数带入到了页面中，这样考虑一下，是不是我可以修改这个反序列化的参数然后以此带入一些js的脚本

说干就干，写一下poc

将原本我们搜索的参数改成xss的攻击脚本，同时将前面s后面的数字改成后面脚本对应的数字，着实有点伤眼睛，然后base64编码一下

YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCcxMTEnKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

Poc做好直接替换进去看看

弹窗了，反序列化导致的反射性xss，除了这个之外，我们继续观察一下，除了这里，还有一个应该是数据头中没有X-XSS-Protection，缺少这个就是缺少了一些xss的防御功能

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Sun, 27 Mar 2022 15:05:23 GMT
Connection: close
Content-Length: 339

还有一个问题在我测试敏感目录的时候发现，路径访问错误就会有报错，报错信息会泄露绝对路径可能造成一定的危险

再找我就没找到有什么可疑漏洞了。反序列化那边的漏洞当然还有其他的利用方式，但是只能带入参数到前端中，无法带入到数据库中。

2.2 漏洞及问题总结

2.2.1 反序列化导致的反射性xss（高危）

http://www.taojiangyin.com/search.php页面存在该漏洞

利用poc：

YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCdiYWknKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

利用方式，加在encode参数后传递即可

http://www.taojiangyin.com/search.php?encode=YToyOntzOjg6ImtleXdvcmRzIjtzOjI5OiI8c2NyaXB0PmFsZXJ0KCdiYWknKTwvc2NyaXB0PiI7czoxODoic2VhcmNoX2VuY29kZV90aW1lIjtpOjE2NDgzNzQwNDM7fQ==

2.2.2 cgi.fix_pathinfo函数未禁用（高危）

2.2.3 phpinfo页面未删除，敏感信息泄露（低危）

该信息泄露可能造成一些函数使用信息泄露，使用版本号信息泄露，以及主机部分信息泄露，可能会被黑客利用

http://www.taojiangyin.com/1.php

2.2.4 用户登录传递未加密及验证（中危）

用户登录的位置用户名密码传递都未加密，通过简单的爆破即可获取部分用户账号，可能会对用户造成经济损失。

2.2.5 报错返回信息未设置（中危）

访问错误目录，返回信息错误，泄露了服务器绝对路径，可能会被黑客利用。

注：文章中的工具

Burpsuite

Kali Linux

御剑

Hackbar