HVV的艺术系列 之 打点的艺术

渗透的本质是信息收集，攻防的体系是知识点的串联。

打点的艺术

01

对靶标的分析

在HVV当中，获取到的靶标存在多种行业。对不同的靶标存在不同的打法，我通常分为两个大方向。其一为机关单位，其二为集团公司等。

其中二者区别对攻击者而言，就是资产的散落程度。地级市的机关单位通常将网站托管在政务云，大数据局等。这意味着，通常两三个的C段部署着当地大量的机关单位网站集群。而集团公司等靶标应当采取“老式”的打点方式，所以接下来对两种打的方式进行打法剖析。

02

工具的使用

对于机关单位的打法，因为其资产通常散落在多个大的C段当中，所以首要的目标就是对其C段权重的寻找。切入点应该选择手中的靶标为机关单位的目标，以此为点。

棱眼:

https://github.com/EdgeSecurityTeam/Eeyes

对目标的子域对应IP进行C段权重的判断

如何确定C段的权重是否正确

棱洞:

https://github.com/EdgeSecurityTeam/EHole

./EHole -f 110.242.68.1/24

其对棱眼的C段权重进行IP资产列举

接下来对其列举出来的指纹进行payload验证。

而对于集团公司的打法还是常用手法，oneForAll,百分百控股..目录等等。

常用的手法并非盲目测试payload，对目标框架的了解也是前提。

如React，Vue，AngularJS的XSS问题？

jquery // vue {{var}}. v-html=var

springboot不解析jsp马的问题？

tomcat-jsper.

Java应用的SQL注入应不应该打的问题？

mysql 写文件 root ,绝对路径 udf username,password, c# mssql,oracle 写文件 root ,绝对路径 udf username,password

fofa的资产打开404真的是关站了嘛？

扫端口

对目标技术栈springcloud分布式，k8s云新架构的入手点问题(软柿子捏的问题)等等，框架的演变史讲解

jsp/servlet. ==> ssh hiberna,spring,struts2. > ssm mybatis,spring,springmvc > springboot ssm 约定大于配置 => 前后端分离 json ajax 前端和 后端分开来部署 ====> springcloud.分布式。

我一直认为人是解决渗透难题的，并非需要把时间花费到基础漏洞上(与扫描的艺术大相径庭，只是内外网的区分)

Goby和Xray的结合往往效果显著

HVV前通常会准备七八台云服务器，部署Xray和Goby，将信息搜集到的资产经过Goby的全端口扫描之后导出web服务转入

Xray和Rad的批量扫描。例如机关单位的几个C段进行Goby全端口扫描

不要小看扫描器，他能发现很多人不能发现的脆弱点，经过很多次实践，发现Xray和Goby带给我了我很多意想不到的惊喜。

03

资产的整理

渗透的本质是信息收集，我们应该把对于每个靶标的收集到的内容进行汇总填充到xlsx当中

或许队友能打进去的点我们未必能进去，通过xlsx的表格和队友的对比能准确找到和队友信息收集到的内容差异。