<acronym id="akasm"></acronym>
<sup id="akasm"><center id="akasm"></center></sup>
<acronym id="akasm"></acronym>
<acronym id="akasm"><center id="akasm"></center></acronym><rt id="akasm"><optgroup id="akasm"></optgroup></rt><rt id="akasm"><small id="akasm"></small></rt><acronym id="akasm"><center id="akasm"></center></acronym>

NEWS

滲透測試總結. 2021-06-15


滲透測試總結

 
從一個攻擊者的角度總結了一些滲透測試的知識,供新手學習和規避這些安全問題保障自己的隱私安全,包含了大部分滲透測試經驗與知識的積累。信息收集業務相關github泄漏網盤泄漏敏感路徑掃描· https://github.com/ring04h/dirfuzzQQ群文件泄漏域名相關域名商
· 找域名商漏洞,越權影響目標域名· 欺騙域名商客服,影響目標域名·社工賬號,篡改解析地址DNS· 滲透DNS服務器,和社工DNS服務商· DNS域傳送漏洞· 子域名接管漏洞CDN· 找真實IP地址? censys.io 等網絡空間引擎查找關鍵字? SSRF漏洞? 查找域名歷史解析IP? https://securitytrails.com/? site.ip138.com? 服務器信息泄露? 探測子域名IP? cloudflare(HatCloud)? 看郵件發送者源IP? APP客戶端? DOS CDN可能會成回源模式· 破解CDN服務賬號WHOIS· 注冊者郵箱? 反查其他域名· 手機號· 地址· 注冊者名稱· DNS子域名· 搜索引擎? fofa、傻蛋、諦聽、zoomeye、censys? Google、bing、baidu、duckduckgo? 接口聚合:https://github.com/bit4woo/teemo· 暴力破解? layer? wydomain· 網頁爬蟲? 基于JS的域名探測https://github.com/nsonaniya2010/SubDomainizer· DNS查找?www.virustotal.com服務器主機端口· nmap· Zenmap系統識別· nmap -O· 大小寫敏感· TTL· banner· 信息泄露· 特殊端口 如(22 / 139 / 445 / 1433 / 3389)· HOSTNAME相關資產· 同服網站? https://dns.aizhan.com· 備案反查C段業務· 可能會有其他相關業務,如交換機、機房后臺、監控系統等指紋識別· 特有文件MD5· 包含字符· cookie· 響應頭弱點檢測常見漏洞文件操作· 文件上傳? 字典生成 https://github.com/c0ny1/upload-fuzz-dic-builder? %00截斷? 畸形文件名? Windows? shell.php{%80-%99}? NTFS ADS特性? shell.php......? shell.php::$DATA? shell.php:a.jpg? 目錄穿越? 文件頭繞過? 修改上傳類型 Content-Type? 雙文件上傳? 超長截斷? 長文件名? 長Content-Disposition? 特殊文件? 上傳html、htm 可以 XSS? swf 可以XSS? pdf 在 chrome 里可以做跳轉? cer、asa、jspx、php5、phtml等可能會被當做動態語言解析? .htaccess .user.ini web.config web.xml 等? 無大小和次數限制? 無限上傳制造垃圾數據堵死硬盤? imagemagick命令執行· 文件讀取? 讀取系統敏感文件 如配置文件· 文件包含? 可讀取文件或代碼執行· 文件刪除? 刪除配置文件可破壞網站? 刪除安裝鎖可重裝CSRF· 自動檢測 https://github.com/BlackHole1/autoFindXssAndCsrf· FLASH CSRF? http://blog.knownsec.com/2013/03/%E7%A7%91%E6%99%AE%E4%BD%8E%E8%B0%83%E7%9A%84flash-srf%E6%94%BB%E5%87%BB/? https://www.cnblogs.com/fdsajhg30000/archive/2011/02/14/1953966.html? http://www.vuln.cn/7134XSS· 普通反射/持久/DOM型· UXSS· XSS 蠕蟲· rootkit xss· Flash Xss? https://www.secpulse.com/archives/44299.html· 其他文檔? Web前后端漏洞分析與防御 https://github.com/TYRMars/WebSafe-StepPitGuide? 腦圖? https://github.com/phith0n/Mind-Map/blob/master/xss%20virus%201.0.png? https://github.com/phith0n/Mind-Map/blob/master/XSS2.png? https://github.com/phith0n/Mind-ap/blob/master/XSS%E8%84%91%E5%9B%BE.png· CRLF注入在響應頭會導致XSSSQL注入· ORACLE? 執行java代碼? https://www.cnblogs.com/rebeyond/p/7928887.html? https://www.cnblogs.com/pshell/articles/7473713.html· MYSQL? load_file() 文件讀取函數? outfile 寫文件? MOF / UDF 提權? general_log_file 寫文件· SQL Server? xp_cmdsell? https://www.jianshu.com/p/027636ef4640? wscript.shell? https://www.cnblogs.com/xred/archive/2011/12/31/2308724.html? 沙盒模式?https://blog.csdn.net/sircoding/article/details/78683192? 存儲過程寫文件? xp_dirtree? https://blog.csdn.net/kj021320/article/details/1736964? sp_oamethod? https://www.0dayhack.com/post-678.html代碼執行/命令執行· 命令執行? & / && / | / | | / ;? 系統變量 ${xx} and %xx%· 代碼執行? 表達式? freemarker? OGNL? Spel? jsel? 非表達式? php? eval? assert? all_user_func() / call_user_func_array()? preg_replace()? create_function()? array_map()? array_filter()? usort() / uasort()? 反序列化? php 源文件拼接寫入? java? 反序列化? 遠程 jar 加載? 反射機制? jsp 源文件拼接寫入· usort() / uasort()· 反序列化· php 源文件拼接寫入反序列化· 格式特征如:O:1:"F":1:{s:8:"filename";s:5:"a.txt";}· unserialize()QL 注入· 未加過濾拼接SQL· 寬字節注入· 注意二次注入文件操作· fopen· file_put_content· $_FILES· file_get_contents· move_uploaded_file· fwrite· nlink· rmdir變量覆蓋· 可以導致繞過gpc過濾邏輯漏洞· 安裝相關? 安裝后未自動刪除目錄或加鎖導致可再次重裝? 通過文件刪除或移動漏洞操作鎖文件,來達到重裝? 安裝展示頁被加鎖,但實際上處理安裝業務的文件沒有則可繞過重裝? 重裝時一些內容會被寫進php的配置文件里,如果知道格式,可以拼接執行php代碼? 加了鎖,但只是js跳轉,并沒有exit或die 結束代碼,導致可繞過重裝文件包含· 本地包含? 如果結尾被拼接.php 則需要00截斷? php<5.3.4? 偽協議? phar/zip? 包含上傳圖片、日志? php://input· 遠程包含? 需要開啟 allow_url_include allow_url_fopen命令執行· exec· system· `whoami`· popen· passthru· shell_execJava反序列化· 搜索readObject· 使用Serializable 接口· 使用反序列化工具類· 使用 alibaba fastjson· shiro rememberMe· XSTREAM· Jackson· dubbo文件讀取· 使用 File 相關工具類· 使用 URLConnection 沒有指明協議時可用 file://etc/passwd命令執行· 使用 Runtime.exec· 使用 ProcessBuilder· 使用命令行相關工具類· Spel ognl 表達式可控SQL注入· ORM框架? Mybatis 使用 $? hibernate 拼接查詢· jdbc? 使用 statement 類參考· http://absec.cn/?p=168后滲透與持續滲透權限維持與提升提權· Windows? 一般情況? pr 、Churrasco、kelong、IIS6up、mimikatz、第三方cmd、第三方net、vbs、讀hash、msf? 找未安裝補丁的提權漏洞? 通過高權應用的RCE 或 LCE提權,如:mssql、Oracle? 參考? https://github.com/SecWiki/windows-kernel-exploits· Linux? 通過高權應用? 根據內核版本找exp? 參考? https://github.com/SecWiki/linux-kernel-exploits維持· 信息收集? 保存用戶bash history? netstat -an 查看端口連接情況? /etc/passwd /etc/shadow 用戶相關信? crontab 里的定時任務? 系統變量? lastlog & last & who /var/log/wtmp 分析登錄頻次? 用戶根目錄的文件? /etc/hosts 中的映射? /.ssh/? 查看數據庫SQL日志? 查看WEB服務運行日志· 后門? shift 后門? Windows $ 隱藏用戶? 開機自啟執行后門? 替換帶有后門的敏感程序 如:ssh / mstsc? 注冊表? dll 劫持? 開啟代理待補充內網滲透參考· https://github.com/Ridter/Intranet_Penetration_Tips· https://github.com/l3m0n/pentest_study待補充持續滲透和一些技巧得到子服務器權限后· 探測內網存活主機/服務 的指紋信息· ARP劫持流量· 找到該服務器與其他服務器的關聯(如:已得到redis服務器權限 web服務器會從redis中取出數據反序列化 則可以篡改redis中的數據以獲取web服務器權限)得到域名解析權后· 指向到反代至目標的服務器,記錄GET POST請求日志,分析特殊URL和登錄后臺的POST 請求找到XSS后· 如果是社交類網站,嘗試尋找CSRF制造蠕蟲· 通過其他社交網站的JSONP漏洞,探測管理員的個人信息· 打到管理員cookie后通過附帶 Cookie 不斷請求后臺以保持會話不被銷毀· 根據瀏覽器、flash、等情況進行瀏覽器攻擊。如:執行代碼、種rootkit· canvas 截圖頁面得到郵箱地址后· 獨立郵件系統可找公開漏洞攻擊· 發送測試郵件探測對方使用郵箱系統? 通過挖掘相關郵箱系統漏洞進行攻擊· 找到服務器、CDN、域名、DNS等服務商,偽造釣魚郵件欺騙管理員登錄· 發送含有后門的附件(如:pdf、Excl、word、rar的代碼執行漏洞)· 通過社工庫或搜索引擎人肉搜索得出密碼后嘗試登陸郵箱得到郵箱權限后· 分析/劫持郵箱收信· 個人郵箱? 搜搜:password、找回密碼、重置密碼、忘記密碼等關鍵字? 找服務器、CDN、域名、DNS等服務商的郵件,如果無法登陸嘗試重置等操作? 找到有關地理位置軟件的郵件? 淘寶(收貨地址)? 京東(收貨地址)? 支付寶(收貨地址)? Apple賬號(可定位)? 各手機大廠(手機定位)? 找發件箱中的原始圖片(找exif的GPS定位)? ...· 企業郵箱? 找VPN相關郵件 可內網滲透? 找A,ERP,SCM,CRM,BRP,OMS,WMS相關系統郵件? 找Git,SVN,自動化測試相關郵件? 搜索關鍵字:password、密碼、192、172、10. 等關鍵字? ...引入了外部資源· 搞定外部網站· 如果是JS 可以考慮XSS攻擊· IMG LINK 可以401認證釣魚· IFRAME bgsound EMBED source object等可以掛可執行文件或跳轉釣魚頁找后臺· 一般在后臺添加友聯時會展示logo圖片,如果可以填寫遠程URL 可以嘗試和站長溝通交換友聯,添加成功后,對方則會發起一個refer為后臺的請求到你的LOGO· 收集網站名簡寫、英文名、郵箱前綴等 于 admin、manage、system、login等常見單詞組合請求· IIS 短文件名漏洞· Windows 下的 >> 特性? https://b1ue.cn/archives/60.html· 找列目錄漏洞· XSS· 收集子域名資產及其C段端口· 二級域名 如:admin.xxx.com· google fofa censys等引擎搜索關鍵字· 爬蟲爬取所有鏈接 提取出目錄部分 按目錄層級窮舉繞過驗證碼· 只請求一次驗證碼,然后用同樣的驗證碼暴力破解· 知道驗證碼在session中的參數,找類似 Tomcat example session重置的漏洞填充同一驗證碼· 云打碼平臺識別· 自己訓練OCR識別APT攻擊待補充...流量取證待補充...社會工程學技巧社交搜索· 查看注冊的網站:0xreg reg007? 知道賬號去已注冊的網站找回密碼,可以看到打碼后的用戶名、郵箱、真實姓名等信息,如果運氣好沒準能從數據包或html中找到未被打碼的信息? 可以從這些方面判斷用戶是否注冊過? 找回密碼? 輸入賬號,如果進入下一步了則該賬號存在? 登錄? 輸入賬號和密碼,如果提示密碼錯誤,則表示該用戶已存在? 注冊? 填寫賬號時一般網站會去檢測該賬號是否已存在,如果已存在則會提示不可重復注冊· 知道QQ? 通過QQ郵箱搜索支付寶、淘寶賬號? 去騰訊微博搜索? 通過微信搜索? 查看QQ空間? 通過說說、留言、日志找到其好友· 知道手機號? 搜索QQ、微信、釘釘等社交賬號? 在比較火的一些APP和網站上注冊或忘記密碼來判斷是否注冊過賬號? 查詢支付寶賬號,嘗試輸入常見姓氏獲取名字· 通過對方的職業、興趣找到該領域知名度較高的社交網站反查· 根據在QQ空間、朋友圈等動態用百度識圖識別照片,在微博、ins、Twitter、fb、百度貼吧搜索相近關鍵字,按地域、年齡、男女、用戶名等篩選· 留意社交動態? 發布時間線? 使用什么客戶端 iPhone Android還是瀏覽器? 注意每一條鏈接 / 圖片 / 視頻? 從最早發布的動態看起,會有很大收獲· 一般得到一個賬號的密碼就相當于得到了其他賬號的密碼· 一般人不同賬號的用戶名都是相同或相近的· 一般人的社交賬號頭像用的都是一樣的嘗試破解社保、公積金賬號· 大部分信息可以用來生成密碼字典待補充工具掃描工具主動掃描· AWVS? 業界知名漏洞掃描器,適用于WEB應用· appscan? 業界知名漏洞掃描器,適用于WEB應用· Fuxi Scanner? 一款聚合了很多功能的綜合掃描器? https://github.com/jeffzh3ng/Fuxi-Scanner· xunfeng? https://github.com/ysrc/xunfeng? 一款綜合的巡航掃描系統· nessus? 適合掃描系統和應用層漏洞的掃描器· sqlmap?https://github.com/sqlmapproject/sqlmap? 知名自動化SQL注入神器,安全人員必備· masscan? 快速端口掃描器被動掃描· GourdScanV2? https://github.com/ysrc/GourdScanV2? 被動式漏洞掃描器· SQLiScanner· Burpsuite? 知名滲透測試工具,安全人員必備滲透框架metasploit· https://github.com/rapid7/metasploit-framework· 知名漏洞利用框架,安全人員必備pocsuite· https://github.com/knownsec/Pocsuite· 知道創宇的POC漏洞測試框架溯光· https://www.trackray.cn/· https://github.com/iSafeBlue/TrackRay· 我開發的一款在線掃描器+接口式滲透測試框架kunpeng· 一個兼容多種語言的漏洞框架poc-t· python 漏洞驗證框架bugscan· 四葉草的漏洞掃描器3xp10itpentestbox· 整合了kali中大部分的安全工具,Windows平臺上的神器w9scan· w8ay的一款漏洞掃描工具信息收集wydomain· 豬豬俠的子域名掃描工具bit4woo/teemo· 聚合多個接口查子域名ring04h/weakfilescan· 豬豬俠的信息泄露掃描器ring04h/dirfuzz· 豬豬俠的網站目錄掃描器whatweb· 網站指紋掃描nsonaniya2010/SubDomainizer信息泄露lijiejie/GitHack· lijiejie的GIT泄露利用engqi158/svnhack· svn泄露利用工具lijiejie/IIS_shortname_Scanner· IIS短文件掃描器滲透輔助Cobalt Strike· 滲透測試工具,安全人員必備hydra· 多種服務的密碼暴力破解工具,安全人員必備nmap· 端口掃描和系統漏洞掃描的神器,安全人員必備lcx· 內網轉發工具nc· 常用于shell反彈,安全人員必備proxychain· linux下的代理工具reGeorg· 內網滲透代理工具Proxifier· Windows下的代理工具菜刀/蟻劍/Cknife· 網站webshell管理工具,安全人員必備
 

 

 
                                                                                                  網絡安全滲透測試簡介與測試流程
       滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
      滲透測試還具備以下兩個顯著特點:
滲透測試是一個漸進的并且逐步深入的過程。
滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。
PETS滲透測試執行標準
Step1、前期交互階段:在前期交互階段,在滲透測試團隊與客戶進行交互討論,最重要的是確定滲透測試的范圍、目標、限制條件以及服務合同細節。
Step2、情報搜集階段:在目標范圍確定之后,將進入情報搜集階段,滲透測試團隊可以利用各種信息來源與搜集技術方法,嘗試獲取更多關于目標組織網絡拓撲、系統配置與安全防御措施的信息。
Step3、威脅建模階段:在搜集到充足的情報信息之后,滲透測試團隊的成員們停下敲擊鍵盤,大家聚到一起針對獲取的信息進行威脅建模(Threat Modeling)與攻擊規劃。這是滲透測試過程中非常重要,但很容易被忽略的一個關鍵點。
Step4、漏洞分析階段:在確定出最可行的攻擊通道之后,接下來需要考慮該如何取得目標系統的訪問控制權,即漏洞分析(Vulnerability Analysis)。
Step5、滲透攻擊階段:滲透攻擊是是滲透測試過程中最有魅力的環節。在此環節中,滲透測試團隊需要利用他們所找出的目標系統安全漏洞,來真正入侵系統當中,獲得訪問權。
Step6、后滲透攻擊階段:后滲透攻擊是整個滲透測試過程中最能體現滲透測試團隊創造力與技術能力的環節,前面的環節可以說是按部就班地完成非常普遍的目標,而在這個環節中,需要滲透測試團隊根據目標組織的業務經營模式,保護資產形式與安全防御計劃的不同特點,自主設計出攻擊目標,識別關鍵基礎設施,并尋找客戶組織最具價值和嘗試安全保護的信息和資產,最終能夠對客戶組織造成最重要業務影響的攻擊途徑。
Step7、撰寫報告階段:滲透測試過程最終向客戶組織提交,取得認可并成功獲得合同付款的就是一份滲透測試報告。這份情報凝聚了之前所有階段之中滲透測試團隊所獲取的關鍵情報信息、探測和發掘出的系統安全漏洞、成功滲透攻擊的過程,以及造成業務影響后果的途徑,同時還要站在防御者的角度上,幫助他們分析安全防御體系中的薄弱環節、存在的問題,以及修補與升級技術方案。
實際滲透測試中的流程
1、明確目標:當拿到一個滲透測試項目時,我們首先應該明確客戶要求我們進行滲透測試的范圍以及整體項目的時間。
2、信息收集:子域名、系統版本、架構、真實IP地址、whios查詢、歷史漏洞查詢、指紋識別等。
3、漏洞發現:通過漏掃軟件結合手動挖掘常規的web、系統等漏洞。
4、漏洞利用:由淺入深、旁敲側推、盡可能的將漏洞的價值發揮到最大化。
5、后滲透:包括內網滲透、權限維持、權限提升,讀取用戶hash,這里一定要把握好尺度。
6、報告文檔階段:根據之前測試獲取的漏洞及企業要求去編寫最終的滲透測試報告。
風險規避
不要進行諸如ddos攻擊,不破壞數據測試之前對重要數據進行備份
任何測試執行前必須和客戶進行溝通,以免引來不必要的麻煩
可以對原始系統生成鏡像環境,然后對鏡像環境進行的測試
明確滲透測試范圍        
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                                      滲透測試術語簡介
白帽子:白帽子描述的是正面的黑客。通過技術手段識別計算機系統或網絡系統中的安全漏洞,提交給廠商并提出修復方法。
黑帽子:為了謀取利益而行走在法律邊緣甚至違法亂紀的駭客。
灰帽子:介質與黑白之間,無法具體的定性。
肉雞:就是傀儡機,可以隨意被控制的電腦或服務器。
木馬:一些用來獲取用戶權限的程序或者代碼段。
后門:為了方便二次進入系統留下的非常隱蔽的后門程序。
shell:命令執行環境,通常所說的拿Shell,就是拿到對方的命令執行環境。
webshell:通過Web入侵的一種腳本工具,可以據此對網站服務進行一定程度的控制。
poc:用來驗證漏洞存在的一段代碼或程序。
EXP:漏洞利用的一段代碼或程序。
Payload:Payload即有效攻擊載荷,可以是一段代碼,被隱藏并且秘密發送的信息。
WAF:web應用防護系統,也稱之為網站應用級入侵防御系統。
提權:利用一些手段將低權限提升為高權限,這里的高權限一般為管理員或系統權限。
API:高級可持續性攻擊,是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的供給形式(極強的隱蔽性、潛伏期長、持續性強、目標性強)。
CMS:內容管理系統,可以理解為網站的一種模板,將一些功能集中控制管理,是網站搭建變得更為快捷。
黑盒測試:即對內部情況一無所知的情況下進行滲透測試或者其他測試。
白盒測試:了解內部系統、結構、源碼的情況下進行滲透測試或其他測試。
灰盒測試:介質于黑白盒之間的滲透測試或其它測試。
0day:0day漏洞是指負責應用程序的程序員或供應商所未知的軟件缺陷。因為該漏洞未知,所以沒有可用的補丁程序。
1day:1day剛發布但是已被發現官方剛發布補丁網絡上還是存在大量的Vulnerability。
Nday:Nday已經被公布出來的0day。
Proxy:代理。一類程序或系統,接收來自客戶機算計的流量,并代表客戶端與服務器交互,代理能用于過濾應用級別的制定類型的流量或緩存信息以提高性能。許多防火墻依賴代理進行過濾。
加殼/脫殼:“殼”是一段專門負責保護軟件不被非法修改或反編譯的程序,它們一般都是先于程序運行,拿到控制權,然后完成它們保護軟件的任務。加殼就是將軟件源碼保護,脫殼相反。
Shellcode: shellcode是一段用于利用軟件漏洞而執行的代碼,shellcode 為16進制的機器碼,因為經常讓攻擊者獲得shell而得名。
釣鯨攻擊:捕鯨是另一種進化形式的魚叉式網絡釣魚。它指的是針對高級管理人員和組織其他高級人員的網絡釣魚攻擊。通過使電子郵件具有個性化并專門針對相關目標進行定制的攻擊。
水坑攻擊:顧名思義,是在受害者必經之路設置了一個"水坑(陷阱)” 。最常見的做法是,黑客分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,先將此網站“攻破”并植入攻擊代碼,一旦攻擊目標訪問該網站就會“中招”。
橫向移動:在縱向獲取到某個服務器的權限時,我們可以以該服務器為跳板,進行橫向拓展的內網攻擊。
電信詐騙:是指通過電話、網絡和短信方式,編造虛假信息,設置騙局,對受害人實施遠程、非接觸式詐騙,誘使受害人打款或轉賬的犯罪行為,通常以冒充他人及仿冒、偽造各種合法外衣和形式的方式達到欺騙的目的。
殺豬盤:網絡流行詞,電信詐騙的一種,是一種網絡交友誘導股票投資、賭博等類型的詐騙方式,"殺豬盤” 則是”從業者們”自己起的名字,是指放長線“養豬”詐騙,養得越久,詐騙得越狠。
脫庫:將數據庫中的數據導出。
社工庫:一種黑客將泄露在暗網/公網上的用戶數據整合起來,并用來查詢或者社工的手段的工具。
撞庫攻擊:在獲取到用戶的一組賬號密碼時,嘗試用該賬號登錄其他站點/app等。
旁站:同一臺服務器上可能存在其他的站點。
蜜罐:可以聯想為情報收集系統,用來誘導黑客進行攻擊,以此來判斷黑客行為,甚至完成反制。
掛馬:就是在別人的網站文件里面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里,以使瀏覽者中馬。
網絡釣魚(Phishing):是"Fishing" 和"Phone" 的綜合體,由于黑客始祖起初是以電話作案,所以用"Ph” 來取代“F”,創造了"Phishing" 。然而,當今的“網絡釣魚"攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,受騙者往往會泄露自己的財務數據,如信用卡號、賬戶用戶名、口令和社保編號等內容。
cc攻擊:攻擊者借助代理服務器生成指向受害主機的合法請求,實現DDOS和偽裝就叫: CC(Challenge Collapsar)CC主要是用來攻擊頁面的。
Dos攻擊:拒絕服務攻擊。攻擊者通過利用漏洞或發送大量的請求導致攻擊對象無法訪問網絡或者網站無法被訪問。
DDos攻擊:分布式DOS攻擊,常見的UDP、SYN、 反射放大攻擊等等,就是通過許多臺肉雞一起向你發送一些網絡請求信息,導致你的網絡堵塞而不能正常上網。
抓雞:利用漏洞或其他手段批量的在公網上獲取存在漏洞的主機,將其淪為肉雞。
C2:C2全稱為CommandandControl, 命令與控制,常見于APT攻擊場景中。作動詞解釋時理解為惡意軟件與攻擊者進行交互,作名詞解釋時理解為攻擊者的“基礎設施”。
魚叉攻擊:魚叉攻擊是將用魚叉捕魚形象的引入到了網絡攻擊中,主要是指可以使欺騙性電子郵件看起來更加可信的網絡釣魚攻擊,具有更高的成功可能性。不同于撒網式的網絡釣魚,魚叉攻擊往往更加具備針對性,攻擊者往往"見魚而使叉"。
黑產:網絡黑產,指以互聯網為媒介,以網絡技術為主要手段,為計算機信息系統安全和網絡空間管理秩序,甚至國家安全、社會政治穩定帶來潛在威脅(重大安全隱患)的非法行為。例如非法數據交易產業。
紅隊:通常指攻防演習中的攻擊隊伍。
藍隊:通常指攻防演習中的防守隊伍。
紫隊:攻防演習中新近誕生的一方,通常指監理方或者裁判方。
IDS:入侵檢測系統,用于在黑客發起進攻或是發起進攻之前檢測到攻擊,并加以攔截。IDS是不同于防火墻。防火墻只能屏蔽入侵,而IDS卻可以在入侵發生以前,通過一些信息來檢測到即將發生的攻擊或是入侵并作出反應。
IPS:IPS全稱為Intrusion-PreventionSystem, 即入侵防御系統,目的在于及時識別攻擊程序或有害代碼及其克隆和變種,采取預防措施,先期阻止入侵,防患于未然?;蛘咧辽偈蛊湮:π猿浞纸档?。入侵預防系統一 般作為防火墻和防病毒軟件的補充來投入使用。
堡壘機:運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為,以便集中報警、及時處理及審計定責。
VPN:虛擬專用網,在公用網絡上建立專用網絡,進行加密通訊,通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。
科學上網:fq,翻越c防火墻,訪問國外外網,實際上是一種不合法的行為。
CTF(奪旗賽):CTF (CaptureThe Flag)中文一般譯作奪旗賽,在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。
awd攻防對抗賽:AWD(AttackWithDefense, 攻防兼備)模式是一個非常有意思的模式,你需要在一場比賽里要扮演攻擊方和防守方,攻者得分,失守者會被扣分。也就是說,攻擊別人的靶機可以獲取Flag分數時,別人會被扣分,同時你也要保護自己的主機不被別人得分,以防扣!                                
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                                                               滲透測試總結
從一個攻擊者的角度總結了一些滲透測試的知識,供新手學習和規避這些安全問題保障自己的隱私安全,包含了大部分滲透測試經驗與知識的積累。
信息收集
業務相關
github泄漏
網盤泄漏
敏感路徑掃描
· https://github.com/ring04h/dirfuzz
QQ群文件泄漏
域名相關
域名商
· 找域名商漏洞,越權影響目標域名
· 欺騙域名商客服,影響目標域名
·社工賬號,篡改解析地址
DNS
· 滲透DNS服務器,和社工DNS服務商
· DNS域傳送漏洞
· 子域名接管漏洞
CDN
· 找真實IP地址
? censys.io 等網絡空間引擎查找關鍵字
? SSRF漏洞
? 查找域名歷史解析IP
? https://securitytrails.com/
? site.ip138.com
? 服務器信息泄露
? 探測子域名IP
? cloudflare(HatCloud)
? 看郵件發送者源IP
? APP客戶端
? DOS CDN可能會成回源模式
· 破解CDN服務賬號
WHOIS
· 注冊者郵箱
? 反查其他域名
· 手機號
· 地址
· 注冊者名稱
· DNS
 
子域名
· 搜索引擎
? fofa、傻蛋、諦聽、zoomeye、censys
? Google、bing、baidu、duckduckgo
? 接口聚合:https://github.com/bit4woo/teemo
· 暴力破解
? layer
? wydomain
· 網頁爬蟲
? 基于JS的域名探測https://github.com/nsonaniya2010/SubDomainizer
· DNS查找
? dnsdumpster.com
? www.virustotal.com
服務器主機
端口
· nmap
· Zenmap
系統識別
· nmap -O
· 大小寫敏感
· TTL
· banner
· 信息泄露
· 特殊端口 如(22 / 139 / 445 / 1433 / 3389)
· HOSTNAME
相關資產
· 同服網站
? https://dns.aizhan.com
· 備案反查
C段業務
· 可能會有其他相關業務,如交換機、機房后臺、監控系統等
指紋識別
· 特有文件MD5
· 包含字符
· cookie
· 響應頭
弱點檢測
常見漏洞
文件操作
· 文件上傳
? 字典生成 https://github.com/c0ny1/upload-fuzz-dic-builder
? %00截斷
? 畸形文件名
? Windows
? shell.php{%80-%99}
? NTFS ADS特性
? shell.php......
? shell.php::$DATA
? shell.php:a.jpg
? 目錄穿越
? 文件頭繞過
? 修改上傳類型 Content-Type
? 雙文件上傳
? 超長截斷
? 長文件名
? 長Content-Disposition
? 特殊文件
? 上傳html、htm 可以 XSS
? swf 可以XSS
? pdf 在 chrome 里可以做跳轉
? cer、asa、jspx、php5、phtml等可能會被當做動態語言解析
? .htaccess .user.ini web.config web.xml 等
? 無大小和次數限制
? 無限上傳制造垃圾數據堵死硬盤
? imagemagick命令執行
· 文件讀取
? 讀取系統敏感文件 如配置文件
· 文件包含
? 可讀取文件或代碼執行
· 文件刪除
? 刪除配置文件可破壞網站
? 刪除安裝鎖可重裝
CSRF
· 自動檢測 https://github.com/BlackHole1/autoFindXssAndCsrf
· FLASH CSRF
? http://blog.knownsec.com/2013/03/%E7%A7%91%E6%99%AE%E4%BD%8E%E8%B0%83%E7%9A%84flash-csrf%E6%94%BB%E5%87%BB/
? https://www.cnblogs.com/fdsajhg30000/archive/2011/02/14/1953966.html
? http://www.vuln.cn/7134
XSS
· 普通反射/持久/DOM型
· UXSS
· XSS 蠕蟲
· rootkit xss
· Flash Xss
? https://www.secpulse.com/archives/44299.html
· 其他文檔
? Web前后端漏洞分析與防御 https://github.com/TYRMars/WebSafe-StepPitGuide
? 腦圖
? https://github.com/phith0n/Mind-Map/blob/master/xss%20virus%201.0.png
? https://github.com/phith0n/Mind-Map/blob/master/XSS2.png
? https://github.com/phith0n/Mind-Map/blob/master/XSS%E8%84%91%E5%9B%BE.png
· CRLF注入在響應頭會導致XSS
SQL注入
· ORACLE
? 執行java代碼
? https://www.cnblogs.com/rebeyond/p/7928887.html
? https://www.cnblogs.com/pshell/articles/7473713.html
· MYSQL
? load_file() 文件讀取函數
? outfile 寫文件
? MOF / UDF 提權
? general_log_file 寫文件
· SQL Server
? xp_cmdsell
? https://www.jianshu.com/p/027636ef4640
? wscript.shell
? https://www.cnblogs.com/xred/archive/2011/12/31/2308724.html
? 沙盒模式
? https://blog.csdn.net/sircoding/article/details/78683192
? 存儲過程寫文件
? xp_dirtree
? https://blog.csdn.net/kj021320/article/details/1736964
? sp_oamethod
? https://www.0dayhack.com/post-678.html
代碼執行/命令執行
· 命令執行
? & / && / | / | | / ;
? 系統變量 ${xx} and %xx%
· 代碼執行
? 表達式
? freemarker
? OGNL
? Spel
? jsel
? 非表達式
? php
? eval
? assert
? all_user_func() / call_user_func_array()
? preg_replace()
? create_function()
? array_map()
? array_filter()
? usort() / uasort()
? 反序列化
? php 源文件拼接寫入
? java
? 反序列化
? 遠程 jar 加載
? 反射機制
? jsp 源文件拼接寫入
 
· usort() / uasort()
· 反序列化
· php 源文件拼接寫入
反序列化
· 格式特征如:O:1:"F":1:{s:8:"filename";s:5:"a.txt";}
· unserialize()
SQL 注入
· 未加過濾拼接SQL
· 寬字節注入
· 注意二次注入
文件操作
· fopen
· file_put_content
· $_FILES
· file_get_contents
· move_uploaded_file
· fwrite
· nlink
· rmdir
變量覆蓋
· 可以導致繞過gpc過濾
邏輯漏洞
· 安裝相關
? 安裝后未自動刪除目錄或加鎖導致可再次重裝
? 通過文件刪除或移動漏洞操作鎖文件,來達到重裝
? 安裝展示頁被加鎖,但實際上處理安裝業務的文件沒有則可繞過重裝
? 重裝時一些內容會被寫進php的配置文件里,如果知道格式,可以拼接執行php代碼
? 加了鎖,但只是js跳轉,并沒有exit或die 結束代碼,導致可繞過重裝
文件包含
· 本地包含
? 如果結尾被拼接.php 則需要00截斷
? php<5.3.4
? 偽協議
? phar/zip
? 包含上傳圖片、日志
? php://input
· 遠程包含
? 需要開啟 allow_url_include allow_url_fopen
命令執行
· exec
· system
· `whoami`
· popen
· passthru
· shell_exec
Java
反序列化
· 搜索readObject
· 使用Serializable 接口
· 使用反序列化工具類
· 使用 alibaba fastjson
· shiro rememberMe
· XSTREAM
· Jackson
· dubbo
文件讀取
· 使用 File 相關工具類
· 使用 URLConnection 沒有指明協議時可用 file://etc/passwd
命令執行
· 使用 Runtime.exec
· 使用 ProcessBuilder
· 使用命令行相關工具類
· Spel ognl 表達式可控
SQL注入
· ORM框架
? Mybatis 使用 $
? hibernate 拼接查詢
· jdbc
? 使用 statement 類
參考
· http://absec.cn/?p=168
后滲透與持續滲透
權限維持與提升
提權
· Windows
? 一般情況
? pr 、Churrasco、kelong、IIS6up、mimikatz、第三方cmd、第三方net、vbs、讀hash、msf
? 找未安裝補丁的提權漏洞
? 通過高權應用的RCE 或 LCE提權,如:mssql、Oracle
? 參考
? https://github.com/SecWiki/windows-kernel-exploits
· Linux
? 通過高權應用
? 根據內核版本找exp
? 參考
? https://github.com/SecWiki/linux-kernel-exploits
維持
· 信息收集
? 保存用戶bash history
? netstat -an 查看端口連接情況
? /etc/passwd /etc/shadow 用戶相關信
? crontab 里的定時任務
? 系統變量
? lastlog & last & who /var/log/wtmp 分析登錄頻次
? 用戶根目錄的文件
? /etc/hosts 中的映射
? /.ssh/
? 查看數據庫SQL日志
? 查看WEB服務運行日志
· 后門
? shift 后門
? Windows $ 隱藏用戶
? 開機自啟執行后門
? 替換帶有后門的敏感程序 如:ssh / mstsc
? 注冊表
? dll 劫持
? 開啟代理
待補充
內網滲透
參考
· https://github.com/Ridter/Intranet_Penetration_Tips
· https://github.com/l3m0n/pentest_study
待補充
持續滲透和一些技巧
得到子服務器權限后
· 探測內網存活主機/服務 的指紋信息
· ARP劫持流量
· 找到該服務器與其他服務器的關聯(如:已得到redis服務器權限 web服務器會從redis中取出數據反序列化 則可以篡改redis中的數據以獲取web服務器權限)
得到域名解析權后
· 指向到反代至目標的服務器,記錄GET POST請求日志,分析特殊URL和登錄后臺的POST 請求
找到XSS后
· 如果是社交類網站,嘗試尋找CSRF制造蠕蟲
· 通過其他社交網站的JSONP漏洞,探測管理員的個人信息
· 打到管理員cookie后通過附帶 Cookie 不斷請求后臺以保持會話不被銷毀
· 根據瀏覽器、flash、等情況進行瀏覽器攻擊。如:執行代碼、種rootkit
· canvas 截圖頁面
得到郵箱地址后
· 獨立郵件系統可找公開漏洞攻擊
· 發送測試郵件探測對方使用郵箱系統
? 通過挖掘相關郵箱系統漏洞進行攻擊
· 找到服務器、CDN、域名、DNS等服務商,偽造釣魚郵件欺騙管理員登錄
· 發送含有后門的附件(如:pdf、Excel、word、rar的代碼執行漏洞)
· 通過社工庫或搜索引擎人肉搜索得出密碼后嘗試登陸郵箱
得到郵箱權限后
· 分析/劫持郵箱收信
· 個人郵箱
? 搜搜:password、找回密碼、重置密碼、忘記密碼等關鍵字
? 找服務器、CDN、域名、DNS等服務商的郵件,如果無法登陸嘗試重置等操作
? 找到有關地理位置軟件的郵件
? 淘寶(收貨地址)
? 京東(收貨地址)
? 支付寶(收貨地址)
? Apple賬號(可定位)
? 各手機大廠(手機定位)
? 找發件箱中的原始圖片(找exif的GPS定位)
? ...
· 企業郵箱
? 找VPN相關郵件 可內網滲透
? 找OA,ERP,SCM,CRM,BRP,OMS,WMS相關系統郵件
? 找Git,SVN,自動化測試相關郵件
? 搜索關鍵字:password、密碼、192、172、10. 等關鍵字
? ...
引入了外部資源
· 搞定外部網站
· 如果是JS 可以考慮XSS攻擊
· IMG LINK 可以401認證釣魚
· IFRAME bgsound EMBED source object等可以掛可執行文件或跳轉釣魚頁
找后臺
· 一般在后臺添加友聯時會展示logo圖片,如果可以填寫遠程URL 可以嘗試和站長溝通交換友聯,添加成功后,對方則會發起一個refer為后臺的請求到你的LOGO
· 收集網站名簡寫、英文名、郵箱前綴等 于 admin、manage、system、login等常見單詞組合請求
· IIS 短文件名漏洞
· Windows 下的 >> 特性
? https://b1ue.cn/archives/60.html
· 找列目錄漏洞
· XSS
· 收集子域名資產及其C段端口
· 二級域名 如:admin.xxx.com
· google fofa censys等引擎搜索關鍵字
· 爬蟲爬取所有鏈接 提取出目錄部分 按目錄層級窮舉
繞過驗證碼
· 只請求一次驗證碼,然后用同樣的驗證碼暴力破解
· 知道驗證碼在session中的參數,找類似 Tomcat example session重置的漏洞填充同一驗證碼
· 云打碼平臺識別
· 自己訓練OCR識別
APT攻擊
待補充...
流量取證
待補充...
社會工程學技巧
社交搜索
· 查看注冊的網站:0xreg reg007
? 知道賬號去已注冊的網站找回密碼,可以看到打碼后的用戶名、郵箱、真實姓名等信息,如果運氣好沒準能從數據包或html中找到未被打碼的信息
? 可以從這些方面判斷用戶是否注冊過
? 找回密碼
? 輸入賬號,如果進入下一步了則該賬號存在
? 登錄
? 輸入賬號和密碼,如果提示密碼錯誤,則表示該用戶已存在
? 注冊
? 填寫賬號時一般網站會去檢測該賬號是否已存在,如果已存在則會提示不可重復注冊
· 知道QQ
? 通過QQ郵箱搜索支付寶、淘寶賬號
? 去騰訊微博搜索
? 通過微信搜索
? 查看QQ空間
? 通過說說、留言、日志找到其好友
· 知道手機號
? 搜索QQ、微信、釘釘等社交賬號
? 在比較火的一些APP和網站上注冊或忘記密碼來判斷是否注冊過賬號
? 查詢支付寶賬號,嘗試輸入常見姓氏獲取名字
· 通過對方的職業、興趣找到該領域知名度較高的社交網站反查
· 根據在QQ空間、朋友圈等動態用百度識圖識別照片,在微博、ins、Twitter、fb、百度貼吧搜索相近關鍵字,按地域、年齡、男女、用戶名等篩選
· 留意社交動態
? 發布時間線
? 使用什么客戶端 iPhone Android還是瀏覽器
? 注意每一條鏈接 / 圖片 / 視頻
? 從最早發布的動態看起,會有很大收獲
· 一般得到一個賬號的密碼就相當于得到了其他賬號的密碼
· 一般人不同賬號的用戶名都是相同或相近的
· 一般人的社交賬號頭像用的都是一樣的
嘗試破解社保、公積金賬號
· 大部分信息可以用來生成密碼字典
待補充
工具
掃描工具
主動掃描
· AWVS
? 業界知名漏洞掃描器,適用于WEB應用
· appscan
? 業界知名漏洞掃描器,適用于WEB應用
· Fuxi Scanner
? 一款聚合了很多功能的綜合掃描器
? https://github.com/jeffzh3ng/Fuxi-Scanner
· xunfeng
? https://github.com/ysrc/xunfeng
? 一款綜合的巡航掃描系統
· nessus
? 適合掃描系統和應用層漏洞的掃描器
· sqlmap
? https://github.com/sqlmapproject/sqlmap
? 知名自動化SQL注入神器,安全人員必備
· masscan
? 快速端口掃描器
被動掃描
· GourdScanV2
? https://github.com/ysrc/GourdScanV2
? 被動式漏洞掃描器
· SQLiScanner
· Burpsuite
? 知名滲透測試工具,安全人員必備
滲透框架
metasploit
· https://github.com/rapid7/metasploit-framework
· 知名漏洞利用框架,安全人員必備
pocsuite
· https://github.com/knownsec/Pocsuite
· 知道創宇的POC漏洞測試框架
溯光
· https://www.trackray.cn/
· https://github.com/iSafeBlue/TrackRay
· 我開發的一款在線掃描器+接口式滲透測試框架
kunpeng
· 一個兼容多種語言的漏洞框架
poc-t
· python 漏洞驗證框架
bugscan
· 四葉草的漏洞掃描器
3xp10it
pentestbox
· 整合了kali中大部分的安全工具,Windows平臺上的神器
w9scan
· w8ay的一款漏洞掃描工具
信息收集
wydomain
· 豬豬俠的子域名掃描工具
bit4woo/teemo
· 聚合多個接口查子域名
ring04h/weakfilescan
· 豬豬俠的信息泄露掃描器
ring04h/dirfuzz
· 豬豬俠的網站目錄掃描器
whatweb
· 網站指紋掃描
nsonaniya2010/SubDomainizer
信息泄露
lijiejie/GitHack
· lijiejie的GIT泄露利用
shengqi158/svnhack
· svn泄露利用工具
lijiejie/IIS_shortname_Scanner
· IIS短文件掃描器
滲透輔助
Cobalt Strike
· 滲透測試工具,安全人員必備
hydra
· 多種服務的密碼暴力破解工具,安全人員必備
nmap
· 端口掃描和系統漏洞掃描的神器,安全人員必備
lcx
· 內網轉發工具
nc
· 常用于shell反彈,安全人員必備
proxychain
· linux下的代理工具
reGeorg
· 內網滲透代理工具
Proxifier
· Windows下的代理工具
菜刀/蟻劍/Cknife
· 網站webshell管理工具,安全人員必備
 
 
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                                                 
                                                                                                  網絡安全滲透測試簡介與測試流程
       滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
      滲透測試還具備以下兩個顯著特點:
滲透測試是一個漸進的并且逐步深入的過程。
滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。
PETS滲透測試執行標準
Step1、前期交互階段:在前期交互階段,在滲透測試團隊與客戶進行交互討論,最重要的是確定滲透測試的范圍、目標、限制條件以及服務合同細節。
Step2、情報搜集階段:在目標范圍確定之后,將進入情報搜集階段,滲透測試團隊可以利用各種信息來源與搜集技術方法,嘗試獲取更多關于目標組織網絡拓撲、系統配置與安全防御措施的信息。
Step3、威脅建模階段:在搜集到充足的情報信息之后,滲透測試團隊的成員們停下敲擊鍵盤,大家聚到一起針對獲取的信息進行威脅建模(Threat Modeling)與攻擊規劃。這是滲透測試過程中非常重要,但很容易被忽略的一個關鍵點。
Step4、漏洞分析階段:在確定出最可行的攻擊通道之后,接下來需要考慮該如何取得目標系統的訪問控制權,即漏洞分析(Vulnerability Analysis)。
Step5、滲透攻擊階段:滲透攻擊是是滲透測試過程中最有魅力的環節。在此環節中,滲透測試團隊需要利用他們所找出的目標系統安全漏洞,來真正入侵系統當中,獲得訪問權。
Step6、后滲透攻擊階段:后滲透攻擊是整個滲透測試過程中最能體現滲透測試團隊創造力與技術能力的環節,前面的環節可以說是按部就班地完成非常普遍的目標,而在這個環節中,需要滲透測試團隊根據目標組織的業務經營模式,保護資產形式與安全防御計劃的不同特點,自主設計出攻擊目標,識別關鍵基礎設施,并尋找客戶組織最具價值和嘗試安全保護的信息和資產,最終能夠對客戶組織造成最重要業務影響的攻擊途徑。
Step7、撰寫報告階段:滲透測試過程最終向客戶組織提交,取得認可并成功獲得合同付款的就是一份滲透測試報告。這份情報凝聚了之前所有階段之中滲透測試團隊所獲取的關鍵情報信息、探測和發掘出的系統安全漏洞、成功滲透攻擊的過程,以及造成業務影響后果的途徑,同時還要站在防御者的角度上,幫助他們分析安全防御體系中的薄弱環節、存在的問題,以及修補與升級技術方案。
實際滲透測試中的流程
1、明確目標:當拿到一個滲透測試項目時,我們首先應該明確客戶要求我們進行滲透測試的范圍以及整體項目的時間。
2、信息收集:子域名、系統版本、架構、真實IP地址、whios查詢、歷史漏洞查詢、指紋識別等。
3、漏洞發現:通過漏掃軟件結合手動挖掘常規的web、系統等漏洞。
4、漏洞利用:由淺入深、旁敲側推、盡可能的將漏洞的價值發揮到最大化。
5、后滲透:包括內網滲透、權限維持、權限提升,讀取用戶hash,這里一定要把握好尺度。
6、報告文檔階段:根據之前測試獲取的漏洞及企業要求去編寫最終的滲透測試報告。
風險規避
不要進行諸如ddos攻擊,不破壞數據測試之前對重要數據進行備份
任何測試執行前必須和客戶進行溝通,以免引來不必要的麻煩
可以對原始系統生成鏡像環境,然后對鏡像環境進行的測試
明確滲透測試范圍
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
滲透測試術語簡介
白帽子:白帽子描述的是正面的黑客。通過技術手段識別計算機系統或網絡系統中的安全漏洞,提交給廠商并提出修復方法。
黑帽子:為了謀取利益而行走在法律邊緣甚至違法亂紀的駭客。
灰帽子:介質與黑白之間,無法具體的定性。
肉雞:就是傀儡機,可以隨意被控制的電腦或服務器。
木馬:一些用來獲取用戶權限的程序或者代碼段。
后門:為了方便二次進入系統留下的非常隱蔽的后門程序。
shell:命令執行環境,通常所說的拿Shell,就是拿到對方的命令執行環境。
webshell:通過Web入侵的一種腳本工具,可以據此對網站服務進行一定程度的控制。
poc:用來驗證漏洞存在的一段代碼或程序。
EXP:漏洞利用的一段代碼或程序。
Payload:Payload即有效攻擊載荷,可以是一段代碼,被隱藏并且秘密發送的信息。
WAF:web應用防護系統,也稱之為網站應用級入侵防御系統。
提權:利用一些手段將低權限提升為高權限,這里的高權限一般為管理員或系統權限。
API:高級可持續性攻擊,是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的供給形式(極強的隱蔽性、潛伏期長、持續性強、目標性強)。
CMS:內容管理系統,可以理解為網站的一種模板,將一些功能集中控制管理,是網站搭建變得更為快捷。
黑盒測試:即對內部情況一無所知的情況下進行滲透測試或者其他測試。
白盒測試:了解內部系統、結構、源碼的情況下進行滲透測試或其他測試。
灰盒測試:介質于黑白盒之間的滲透測試或其它測試。
0day:0day漏洞是指負責應用程序的程序員或供應商所未知的軟件缺陷。因為該漏洞未知,所以沒有可用的補丁程序。
1day:1day剛發布但是已被發現官方剛發布補丁網絡上還是存在大量的Vulnerability。
Nday:Nday已經被公布出來的0day。
Proxy:代理。一類程序或系統,接收來自客戶機算計的流量,并代表客戶端與服務器交互,代理能用于過濾應用級別的制定類型的流量或緩存信息以提高性能。許多防火墻依賴代理進行過濾。
加殼/脫殼:“殼”是一段專門負責保護軟件不被非法修改或反編譯的程序,它們一般都是先于程序運行,拿到控制權,然后完成它們保護軟件的任務。加殼就是將軟件源碼保護,脫殼相反。
Shellcode: shellcode是一段用于利用軟件漏洞而執行的代碼,shellcode 為16進制的機器碼,因為經常讓攻擊者獲得shell而得名。
釣鯨攻擊:捕鯨是另一種進化形式的魚叉式網絡釣魚。它指的是針對高級管理人員和組織其他高級人員的網絡釣魚攻擊。通過使電子郵件具有個性化并專門針對相關目標進行定制的攻擊。
水坑攻擊:顧名思義,是在受害者必經之路設置了一個"水坑(陷阱)” 。最常見的做法是,黑客分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,先將此網站“攻破”并植入攻擊代碼,一旦攻擊目標訪問該網站就會“中招”。
橫向移動:在縱向獲取到某個服務器的權限時,我們可以以該服務器為跳板,進行橫向拓展的內網攻擊。
電信詐騙:是指通過電話、網絡和短信方式,編造虛假信息,設置騙局,對受害人實施遠程、非接觸式詐騙,誘使受害人打款或轉賬的犯罪行為,通常以冒充他人及仿冒、偽造各種合法外衣和形式的方式達到欺騙的目的。
殺豬盤:網絡流行詞,電信詐騙的一種,是一種網絡交友誘導股票投資、賭博等類型的詐騙方式,"殺豬盤” 則是”從業者們”自己起的名字,是指放長線“養豬”詐騙,養得越久,詐騙得越狠。
脫庫:將數據庫中的數據導出。
社工庫:一種黑客將泄露在暗網/公網上的用戶數據整合起來,并用來查詢或者社工的手段的工具。
撞庫攻擊:在獲取到用戶的一組賬號密碼時,嘗試用該賬號登錄其他站點/app等。
旁站:同一臺服務器上可能存在其他的站點。
蜜罐:可以聯想為情報收集系統,用來誘導黑客進行攻擊,以此來判斷黑客行為,甚至完成反制。
掛馬:就是在別人的網站文件里面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里,以使瀏覽者中馬。
網絡釣魚(Phishing):是"Fishing" 和"Phone" 的綜合體,由于黑客始祖起初是以電話作案,所以用"Ph” 來取代“F”,創造了"Phishing" 。然而,當今的“網絡釣魚"攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,受騙者往往會泄露自己的財務數據,如信用卡號、賬戶用戶名、口令和社保編號等內容。
cc攻擊:攻擊者借助代理服務器生成指向受害主機的合法請求,實現DDOS和偽裝就叫: CC(Challenge Collapsar)CC主要是用來攻擊頁面的。
Dos攻擊:拒絕服務攻擊。攻擊者通過利用漏洞或發送大量的請求導致攻擊對象無法訪問網絡或者網站無法被訪問。
DDos攻擊:分布式DOS攻擊,常見的UDP、SYN、 反射放大攻擊等等,就是通過許多臺肉雞一起向你發送一些網絡請求信息,導致你的網絡堵塞而不能正常上網。
抓雞:利用漏洞或其他手段批量的在公網上獲取存在漏洞的主機,將其淪為肉雞。
C2:C2全稱為CommandandControl, 命令與控制,常見于APT攻擊場景中。作動詞解釋時理解為惡意軟件與攻擊者進行交互,作名詞解釋時理解為攻擊者的“基礎設施”。
魚叉攻擊:魚叉攻擊是將用魚叉捕魚形象的引入到了網絡攻擊中,主要是指可以使欺騙性電子郵件看起來更加可信的網絡釣魚攻擊,具有更高的成功可能性。不同于撒網式的網絡釣魚,魚叉攻擊往往更加具備針對性,攻擊者往往"見魚而使叉"。
黑產:網絡黑產,指以互聯網為媒介,以網絡技術為主要手段,為計算機信息系統安全和網絡空間管理秩序,甚至國家安全、社會政治穩定帶來潛在威脅(重大安全隱患)的非法行為。例如非法數據交易產業。
紅隊:通常指攻防演習中的攻擊隊伍。
藍隊:通常指攻防演習中的防守隊伍。
紫隊:攻防演習中新近誕生的一方,通常指監理方或者裁判方。
IDS:入侵檢測系統,用于在黑客發起進攻或是發起進攻之前檢測到攻擊,并加以攔截。IDS是不同于防火墻。防火墻只能屏蔽入侵,而IDS卻可以在入侵發生以前,通過一些信息來檢測到即將發生的攻擊或是入侵并作出反應。
IPS:IPS全稱為Intrusion-PreventionSystem, 即入侵防御系統,目的在于及時識別攻擊程序或有害代碼及其克隆和變種,采取預防措施,先期阻止入侵,防患于未然?;蛘咧辽偈蛊湮:π猿浞纸档?。入侵預防系統一 般作為防火墻和防病毒軟件的補充來投入使用。
堡壘機:運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為,以便集中報警、及時處理及審計定責。
VPN:虛擬專用網,在公用網絡上建立專用網絡,進行加密通訊,通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。
科學上網:fq,翻越c防火墻,訪問國外外網,實際上是一種不合法的行為。
CTF(奪旗賽):CTF (CaptureThe Flag)中文一般譯作奪旗賽,在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。
awd攻防對抗賽:AWD(AttackWithDefense, 攻防兼備)模式是一個非常有意思的模式,你需要在一場比賽里要扮演攻擊方和防守方,攻者得分,失守者會被扣分。也就是說,攻擊別人的靶機可以獲取Flag分數時,別人會被扣分,同時你也要保護自己的主機不被別人得分,以防扣!
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
滲透測試總結
從一個攻擊者的角度總結了一些滲透測試的知識,供新手學習和規避這些安全問題保障自己的隱私安全,包含了大部分滲透測試經驗與知識的積累。
信息收集
業務相關
github泄漏
網盤泄漏
敏感路徑掃描
· https://github.com/ring04h/dirfuzz
QQ群文件泄漏
域名相關
域名商
· 找域名商漏洞,越權影響目標域名
· 欺騙域名商客服,影響目標域名
·社工賬號,篡改解析地址
DNS
· 滲透DNS服務器,和社工DNS服務商
· DNS域傳送漏洞
· 子域名接管漏洞
CDN
· 找真實IP地址
? censys.io 等網絡空間引擎查找關鍵字
? SSRF漏洞
? 查找域名歷史解析IP
? https://securitytrails.com/
? site.ip138.com
? 服務器信息泄露
? 探測子域名IP
? cloudflare(HatCloud)
? 看郵件發送者源IP
? APP客戶端
? DOS CDN可能會成回源模式
· 破解CDN服務賬號
WHOIS
· 注冊者郵箱
? 反查其他域名
· 手機號
· 地址
· 注冊者名稱
· DNS
子域名
· 搜索引擎
? fofa、傻蛋、諦聽、zoomeye、censys
? Google、bing、baidu、duckduckgo
? 接口聚合:https://github.com/bit4woo/teemo
· 暴力破解
? layer
? wydomain
· 網頁爬蟲
? 基于JS的域名探測https://github.com/nsonaniya2010/SubDomainizer
· DNS查找
? dnsdumpster.com
? www.virustotal.com
服務器主機
端口
· nmap
· Zenmap
系統識別
· nmap -O
· 大小寫敏感
· TTL
· banner
· 信息泄露
· 特殊端口 如(22 / 139 / 445 / 1433 / 3389)
· HOSTNAME
相關資產
· 同服網站
? https://dns.aizhan.com
· 備案反查
C段業務
· 可能會有其他相關業務,如交換機、機房后臺、監控系統等
指紋識別
· 特有文件MD5
· 包含字符
· cookie
· 響應頭
弱點檢測
常見漏洞
文件操作
· 文件上傳
? 字典生成 https://github.com/c0ny1/upload-fuzz-dic-builder
? %00截斷
? 畸形文件名
? Windows
? shell.php{%80-%99}
? NTFS ADS特性
? shell.php......
? shell.php::$DATA
? shell.php:a.jpg
? 目錄穿越
? 文件頭繞過
? 修改上傳類型 Content-Type
? 雙文件上傳
? 超長截斷
? 長文件名
? 長Content-Disposition
? 特殊文件
? 上傳html、htm 可以 XSS
? swf 可以XSS
? pdf 在 chrome 里可以做跳轉
? cer、asa、jspx、php5、phtml等可能會被當做動態語言解析
? .htaccess .user.ini web.config web.xml 等
? 無大小和次數限制
? 無限上傳制造垃圾數據堵死硬盤
? imagemagick命令執行
· 文件讀取
? 讀取系統敏感文件 如配置文件
· 文件包含
? 可讀取文件或代碼執行
· 文件刪除
? 刪除配置文件可破壞網站
? 刪除安裝鎖可重裝
CSRF
· 自動檢測 https://github.com/BlackHole1/autoFindXssAndCsrf
· FLASH CSRF
? http://blog.knownsec.com/2013/03/%E7%A7%91%E6%99%AE%E4%BD%8E%E8%B0%83%E7%9A%84flash-csrf%E6%94%BB%E5%87%BB/
? https://www.cnblogs.com/fdsajhg30000/archive/2011/02/14/1953966.html
? http://www.vuln.cn/7134
XSS
· 普通反射/持久/DOM型
· UXSS
· XSS 蠕蟲
· rootkit xss
· Flash Xss
? https://www.secpulse.com/archives/44299.html
· 其他文檔
? Web前后端漏洞分析與防御 https://github.com/TYRMars/WebSafe-StepPitGuide
? 腦圖
? https://github.com/phith0n/Mind-Map/blob/master/xss%20virus%201.0.png
? https://github.com/phith0n/Mind-Map/blob/master/XSS2.png
? https://github.com/phith0n/Mind-Map/blob/master/XSS%E8%84%91%E5%9B%BE.png
· CRLF注入在響應頭會導致XSS
SQL注入
· ORACLE
? 執行java代碼
? https://www.cnblogs.com/rebeyond/p/7928887.html
? https://www.cnblogs.com/pshell/articles/7473713.html
· MYSQL
? load_file() 文件讀取函數
? outfile 寫文件
? MOF / UDF 提權
? general_log_file 寫文件
· SQL Server
? xp_cmdsell
? https://www.jianshu.com/p/027636ef4640
? wscript.shell
? https://www.cnblogs.com/xred/archive/2011/12/31/2308724.html
? 沙盒模式
? https://blog.csdn.net/sircoding/article/details/78683192
? 存儲過程寫文件
? xp_dirtree
? https://blog.csdn.net/kj021320/article/details/1736964
? sp_oamethod
? https://www.0dayhack.com/post-678.html
代碼執行/命令執行
· 命令執行
? & / && / | / | | / ;
? 系統變量 ${xx} and %xx%
· 代碼執行
? 表達式
? freemarker
? OGNL
? Spel
? jsel
? 非表達式
? php
? eval
? assert
? all_user_func() / call_user_func_array()
? preg_replace()
? create_function()
? array_map()
? array_filter()
? usort() / uasort()
? 反序列化
? php 源文件拼接寫入
? java
? 反序列化
? 遠程 jar 加載
? 反射機制
? jsp 源文件拼接寫入
· usort() / uasort()
· 反序列化
· php 源文件拼接寫入
反序列化
· 格式特征如:O:1:"F":1:{s:8:"filename";s:5:"a.txt";}
· unserialize()
SQL 注入
· 未加過濾拼接SQL
· 寬字節注入
· 注意二次注入
文件操作
· fopen
· file_put_content
· $_FILES
· file_get_contents
· move_uploaded_file
· fwrite
· nlink
· rmdir
變量覆蓋
· 可以導致繞過gpc過濾
邏輯漏洞
· 安裝相關
? 安裝后未自動刪除目錄或加鎖導致可再次重裝
? 通過文件刪除或移動漏洞操作鎖文件,來達到重裝
? 安裝展示頁被加鎖,但實際上處理安裝業務的文件沒有則可繞過重裝
? 重裝時一些內容會被寫進php的配置文件里,如果知道格式,可以拼接執行php代碼
? 加了鎖,但只是js跳轉,并沒有exit或die 結束代碼,導致可繞過重裝
文件包含
· 本地包含
? 如果結尾被拼接.php 則需要00截斷
? php<5.3.4
? 偽協議
? phar/zip
? 包含上傳圖片、日志
? php://input
· 遠程包含
? 需要開啟 allow_url_include allow_url_fopen
命令執行
· exec
· system
· `whoami`
· popen
· passthru
· shell_exec
Java
反序列化
· 搜索readObject
· 使用Serializable 接口
· 使用反序列化工具類
· 使用 alibaba fastjson
· shiro rememberMe
· XSTREAM
· Jackson
· dubbo
文件讀取
· 使用 File 相關工具類
· 使用 URLConnection 沒有指明協議時可用 file://etc/passwd
命令執行
· 使用 Runtime.exec
· 使用 ProcessBuilder
· 使用命令行相關工具類
· Spel ognl 表達式可控
SQL注入
· ORM框架
? Mybatis 使用 $
? hibernate 拼接查詢
· jdbc
? 使用 statement 類
參考
· http://absec.cn/?p=168
后滲透與持續滲透
權限維持與提升
提權
· Windows
? 一般情況
? pr 、Churrasco、kelong、IIS6up、mimikatz、第三方cmd、第三方net、vbs、讀hash、msf
? 找未安裝補丁的提權漏洞
? 通過高權應用的RCE 或 LCE提權,如:mssql、Oracle
? 參考
? https://github.com/SecWiki/windows-kernel-exploits
· Linux
? 通過高權應用
? 根據內核版本找exp
? 參考
? https://github.com/SecWiki/linux-kernel-exploits
維持
· 信息收集
? 保存用戶bash history
? netstat -an 查看端口連接情況
? /etc/passwd /etc/shadow 用戶相關信
? crontab 里的定時任務
? 系統變量
? lastlog & last & who /var/log/wtmp 分析登錄頻次
? 用戶根目錄的文件
? /etc/hosts 中的映射
? /.ssh/
? 查看數據庫SQL日志
? 查看WEB服務運行日志
· 后門
? shift 后門
? Windows $ 隱藏用戶
? 開機自啟執行后門
? 替換帶有后門的敏感程序 如:ssh / mstsc
? 注冊表
? dll 劫持
? 開啟代理
待補充
內網滲透
參考
· https://github.com/Ridter/Intranet_Penetration_Tips
· https://github.com/l3m0n/pentest_study
待補充
持續滲透和一些技巧
得到子服務器權限后
· 探測內網存活主機/服務 的指紋信息
· ARP劫持流量
· 找到該服務器與其他服務器的關聯(如:已得到redis服務器權限 web服務器會從redis中取出數據反序列化 則可以篡改redis中的數據以獲取web服務器權限)
得到域名解析權后
· 指向到反代至目標的服務器,記錄GET POST請求日志,分析特殊URL和登錄后臺的POST 請求
找到XSS后
· 如果是社交類網站,嘗試尋找CSRF制造蠕蟲
· 通過其他社交網站的JSONP漏洞,探測管理員的個人信息
· 打到管理員cookie后通過附帶 Cookie 不斷請求后臺以保持會話不被銷毀
· 根據瀏覽器、flash、等情況進行瀏覽器攻擊。如:執行代碼、種rootkit
· canvas 截圖頁面
得到郵箱地址后
· 獨立郵件系統可找公開漏洞攻擊
· 發送測試郵件探測對方使用郵箱系統
? 通過挖掘相關郵箱系統漏洞進行攻擊
· 找到服務器、CDN、域名、DNS等服務商,偽造釣魚郵件欺騙管理員登錄
· 發送含有后門的附件(如:pdf、Excel、word、rar的代碼執行漏洞)
· 通過社工庫或搜索引擎人肉搜索得出密碼后嘗試登陸郵箱
得到郵箱權限后
· 分析/劫持郵箱收信
· 個人郵箱
? 搜搜:password、找回密碼、重置密碼、忘記密碼等關鍵字
? 找服務器、CDN、域名、DNS等服務商的郵件,如果無法登陸嘗試重置等操作
? 找到有關地理位置軟件的郵件
? 淘寶(收貨地址)
? 京東(收貨地址)
? 支付寶(收貨地址)
? Apple賬號(可定位)
? 各手機大廠(手機定位)
? 找發件箱中的原始圖片(找exif的GPS定位)
? ...
· 企業郵箱
? 找VPN相關郵件 可內網滲透
? 找OA,ERP,SCM,CRM,BRP,OMS,WMS相關系統郵件
? 找Git,SVN,自動化測試相關郵件
? 搜索關鍵字:password、密碼、192、172、10. 等關鍵字
? ...
引入了外部資源
· 搞定外部網站
· 如果是JS 可以考慮XSS攻擊
· IMG LINK 可以401認證釣魚
· IFRAME bgsound EMBED source object等可以掛可執行文件或跳轉釣魚頁
找后臺
· 一般在后臺添加友聯時會展示logo圖片,如果可以填寫遠程URL 可以嘗試和站長溝通交換友聯,添加成功后,對方則會發起一個refer為后臺的請求到你的LOGO
· 收集網站名簡寫、英文名、郵箱前綴等 于 admin、manage、system、login等常見單詞組合請求
· IIS 短文件名漏洞
· Windows 下的 >> 特性
? https://b1ue.cn/archives/60.html
· 找列目錄漏洞
· XSS
· 收集子域名資產及其C段端口
· 二級域名 如:admin.xxx.com
· google fofa censys等引擎搜索關鍵字
· 爬蟲爬取所有鏈接 提取出目錄部分 按目錄層級窮舉
繞過驗證碼
· 只請求一次驗證碼,然后用同樣的驗證碼暴力破解
· 知道驗證碼在session中的參數,找類似 Tomcat example session重置的漏洞填充同一驗證碼
· 云打碼平臺識別
· 自己訓練OCR識別
APT攻擊
待補充...
流量取證
待補充...
社會工程學技巧
社交搜索
· 查看注冊的網站:0xreg reg007
? 知道賬號去已注冊的網站找回密碼,可以看到打碼后的用戶名、郵箱、真實姓名等信息,如果運氣好沒準能從數據包或html中找到未被打碼的信息
? 可以從這些方面判斷用戶是否注冊過
? 找回密碼
? 輸入賬號,如果進入下一步了則該賬號存在
? 登錄
? 輸入賬號和密碼,如果提示密碼錯誤,則表示該用戶已存在
? 注冊
? 填寫賬號時一般網站會去檢測該賬號是否已存在,如果已存在則會提示不可重復注冊
· 知道QQ
? 通過QQ郵箱搜索支付寶、淘寶賬號
? 去騰訊微博搜索
? 通過微信搜索
? 查看QQ空間
? 通過說說、留言、日志找到其好友
· 知道手機號
? 搜索QQ、微信、釘釘等社交賬號
? 在比較火的一些APP和網站上注冊或忘記密碼來判斷是否注冊過賬號
? 查詢支付寶賬號,嘗試輸入常見姓氏獲取名字
· 通過對方的職業、興趣找到該領域知名度較高的社交網站反查
· 根據在QQ空間、朋友圈等動態用百度識圖識別照片,在微博、ins、Twitter、fb、百度貼吧搜索相近關鍵字,按地域、年齡、男女、用戶名等篩選
· 留意社交動態
? 發布時間線
? 使用什么客戶端 iPhone Android還是瀏覽器
? 注意每一條鏈接 / 圖片 / 視頻
? 從最早發布的動態看起,會有很大收獲
· 一般得到一個賬號的密碼就相當于得到了其他賬號的密碼
· 一般人不同賬號的用戶名都是相同或相近的
· 一般人的社交賬號頭像用的都是一樣的
嘗試破解社保、公積金賬號
· 大部分信息可以用來生成密碼字典
待補充
工具
掃描工具
主動掃描
· AWVS
? 業界知名漏洞掃描器,適用于WEB應用
· appscan
? 業界知名漏洞掃描器,適用于WEB應用
· Fuxi Scanner
? 一款聚合了很多功能的綜合掃描器
? https://github.com/jeffzh3ng/Fuxi-Scanner
· xunfeng
? https://github.com/ysrc/xunfeng
? 一款綜合的巡航掃描系統
· nessus
? 適合掃描系統和應用層漏洞的掃描器
· sqlmap
? https://github.com/sqlmapproject/sqlmap
? 知名自動化SQL注入神器,安全人員必備
· masscan
? 快速端口掃描器
被動掃描
· GourdScanV2
? https://github.com/ysrc/GourdScanV2
? 被動式漏洞掃描器
· SQLiScanner
· Burpsuite
? 知名滲透測試工具,安全人員必備
滲透框架
metasploit
· https://github.com/rapid7/metasploit-framework
· 知名漏洞利用框架,安全人員必備
pocsuite
· https://github.com/knownsec/Pocsuite
· 知道創宇的POC漏洞測試框架
溯光
· https://www.trackray.cn/
· https://github.com/iSafeBlue/TrackRay
· 我開發的一款在線掃描器+接口式滲透測試框架
kunpeng
· 一個兼容多種語言的漏洞框架
poc-t
· python 漏洞驗證框架
bugscan
· 四葉草的漏洞掃描器
3xp10it
pentestbox
· 整合了kali中大部分的安全工具,Windows平臺上的神器
w9scan
· w8ay的一款漏洞掃描工具
信息收集
wydomain
· 豬豬俠的子域名掃描工具
bit4woo/teemo
· 聚合多個接口查子域名
ring04h/weakfilescan
· 豬豬俠的信息泄露掃描器
ring04h/dirfuzz
· 豬豬俠的網站目錄掃描器
whatweb
· 網站指紋掃描
nsonaniya2010/SubDomainizer
信息泄露
lijiejie/GitHack
· lijiejie的GIT泄露利用
shengqi158/svnhack
· svn泄露利用工具
lijiejie/IIS_shortname_Scanner
· IIS短文件掃描器
滲透輔助
Cobalt Strike
· 滲透測試工具,安全人員必備
hydra
· 多種服務的密碼暴力破解工具,安全人員必備
nmap
· 端口掃描和系統漏洞掃描的神器,安全人員必備
lcx
· 內網轉發工具
nc
· 常用于shell反彈,安全人員必備
proxychain
· linux下的代理工具
reGeorg
· 內網滲透代理工具
Proxifier
· Windows下的代理工具
菜刀/蟻劍/Cknife
· 網站webshell管理工具,安全人員必備

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
        
 
                                                                                                  網絡安全滲透測試簡介與測試流程
       滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
      滲透測試還具備以下兩個顯著特點:
滲透測試是一個漸進的并且逐步深入的過程。
滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。
PETS滲透測試執行標準
Step1、前期交互階段:在前期交互階段,在滲透測試團隊與客戶進行交互討論,最重要的是確定滲透測試的范圍、目標、限制條件以及服務合同細節。
Step2、情報搜集階段:在目標范圍確定之后,將進入情報搜集階段,滲透測試團隊可以利用各種信息來源與搜集技術方法,嘗試獲取更多關于目標組織網絡拓撲、系統配置與安全防御措施的信息。
Step3、威脅建模階段:在搜集到充足的情報信息之后,滲透測試團隊的成員們停下敲擊鍵盤,大家聚到一起針對獲取的信息進行威脅建模(Threat Modeling)與攻擊規劃。這是滲透測試過程中非常重要,但很容易被忽略的一個關鍵點。
Step4、漏洞分析階段:在確定出最可行的攻擊通道之后,接下來需要考慮該如何取得目標系統的訪問控制權,即漏洞分析(Vulnerability Analysis)。
Step5、滲透攻擊階段:滲透攻擊是是滲透測試過程中最有魅力的環節。在此環節中,滲透測試團隊需要利用他們所找出的目標系統安全漏洞,來真正入侵系統當中,獲得訪問權。
Step6、后滲透攻擊階段:后滲透攻擊是整個滲透測試過程中最能體現滲透測試團隊創造力與技術能力的環節,前面的環節可以說是按部就班地完成非常普遍的目標,而在這個環節中,需要滲透測試團隊根據目標組織的業務經營模式,保護資產形式與安全防御計劃的不同特點,自主設計出攻擊目標,識別關鍵基礎設施,并尋找客戶組織最具價值和嘗試安全保護的信息和資產,最終能夠對客戶組織造成最重要業務影響的攻擊途徑。
Step7、撰寫報告階段:滲透測試過程最終向客戶組織提交,取得認可并成功獲得合同付款的就是一份滲透測試報告。這份情報凝聚了之前所有階段之中滲透測試團隊所獲取的關鍵情報信息、探測和發掘出的系統安全漏洞、成功滲透攻擊的過程,以及造成業務影響后果的途徑,同時還要站在防御者的角度上,幫助他們分析安全防御體系中的薄弱環節、存在的問題,以及修補與升級技術方案。
實際滲透測試中的流程
1、明確目標:當拿到一個滲透測試項目時,我們首先應該明確客戶要求我們進行滲透測試的范圍以及整體項目的時間。
2、信息收集:子域名、系統版本、架構、真實IP地址、whios查詢、歷史漏洞查詢、指紋識別等。
3、漏洞發現:通過漏掃軟件結合手動挖掘常規的web、系統等漏洞。
4、漏洞利用:由淺入深、旁敲側推、盡可能的將漏洞的價值發揮到最大化。
5、后滲透:包括內網滲透、權限維持、權限提升,讀取用戶hash,這里一定要把握好尺度。
6、報告文檔階段:根據之前測試獲取的漏洞及企業要求去編寫最終的滲透測試報告。
風險規避
不要進行諸如ddos攻擊,不破壞數據測試之前對重要數據進行備份
任何測試執行前必須和客戶進行溝通,以免引來不必要的麻煩
可以對原始系統生成鏡像環境,然后對鏡像環境進行的測試
明確滲透測試范圍        
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                                      滲透測試術語簡介
白帽子:白帽子描述的是正面的黑客。通過技術手段識別計算機系統或網絡系統中的安全漏洞,提交給廠商并提出修復方法。
黑帽子:為了謀取利益而行走在法律邊緣甚至違法亂紀的駭客。
灰帽子:介質與黑白之間,無法具體的定性。
肉雞:就是傀儡機,可以隨意被控制的電腦或服務器。
木馬:一些用來獲取用戶權限的程序或者代碼段。
后門:為了方便二次進入系統留下的非常隱蔽的后門程序。
shell:命令執行環境,通常所說的拿Shell,就是拿到對方的命令執行環境。
webshell:通過Web入侵的一種腳本工具,可以據此對網站服務進行一定程度的控制。
poc:用來驗證漏洞存在的一段代碼或程序。
EXP:漏洞利用的一段代碼或程序。
Payload:Payload即有效攻擊載荷,可以是一段代碼,被隱藏并且秘密發送的信息。
WAF:web應用防護系統,也稱之為網站應用級入侵防御系統。
提權:利用一些手段將低權限提升為高權限,這里的高權限一般為管理員或系統權限。
API:高級可持續性攻擊,是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的供給形式(極強的隱蔽性、潛伏期長、持續性強、目標性強)。
CMS:內容管理系統,可以理解為網站的一種模板,將一些功能集中控制管理,是網站搭建變得更為快捷。
黑盒測試:即對內部情況一無所知的情況下進行滲透測試或者其他測試。
白盒測試:了解內部系統、結構、源碼的情況下進行滲透測試或其他測試。
灰盒測試:介質于黑白盒之間的滲透測試或其它測試。
0day:0day漏洞是指負責應用程序的程序員或供應商所未知的軟件缺陷。因為該漏洞未知,所以沒有可用的補丁程序。
1day:1day剛發布但是已被發現官方剛發布補丁網絡上還是存在大量的Vulnerability。
Nday:Nday已經被公布出來的0day。
Proxy:代理。一類程序或系統,接收來自客戶機算計的流量,并代表客戶端與服務器交互,代理能用于過濾應用級別的制定類型的流量或緩存信息以提高性能。許多防火墻依賴代理進行過濾。
加殼/脫殼:“殼”是一段專門負責保護軟件不被非法修改或反編譯的程序,它們一般都是先于程序運行,拿到控制權,然后完成它們保護軟件的任務。加殼就是將軟件源碼保護,脫殼相反。
Shellcode: shellcode是一段用于利用軟件漏洞而執行的代碼,shellcode 為16進制的機器碼,因為經常讓攻擊者獲得shell而得名。
釣鯨攻擊:捕鯨是另一種進化形式的魚叉式網絡釣魚。它指的是針對高級管理人員和組織其他高級人員的網絡釣魚攻擊。通過使電子郵件具有個性化并專門針對相關目標進行定制的攻擊。
水坑攻擊:顧名思義,是在受害者必經之路設置了一個"水坑(陷阱)” 。最常見的做法是,黑客分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,先將此網站“攻破”并植入攻擊代碼,一旦攻擊目標訪問該網站就會“中招”。
橫向移動:在縱向獲取到某個服務器的權限時,我們可以以該服務器為跳板,進行橫向拓展的內網攻擊。
電信詐騙:是指通過電話、網絡和短信方式,編造虛假信息,設置騙局,對受害人實施遠程、非接觸式詐騙,誘使受害人打款或轉賬的犯罪行為,通常以冒充他人及仿冒、偽造各種合法外衣和形式的方式達到欺騙的目的。
殺豬盤:網絡流行詞,電信詐騙的一種,是一種網絡交友誘導股票投資、賭博等類型的詐騙方式,"殺豬盤” 則是”從業者們”自己起的名字,是指放長線“養豬”詐騙,養得越久,詐騙得越狠。
脫庫:將數據庫中的數據導出。
社工庫:一種黑客將泄露在暗網/公網上的用戶數據整合起來,并用來查詢或者社工的手段的工具。
撞庫攻擊:在獲取到用戶的一組賬號密碼時,嘗試用該賬號登錄其他站點/app等。
旁站:同一臺服務器上可能存在其他的站點。
蜜罐:可以聯想為情報收集系統,用來誘導黑客進行攻擊,以此來判斷黑客行為,甚至完成反制。
掛馬:就是在別人的網站文件里面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里,以使瀏覽者中馬。
網絡釣魚(Phishing):是"Fishing" 和"Phone" 的綜合體,由于黑客始祖起初是以電話作案,所以用"Ph” 來取代“F”,創造了"Phishing" 。然而,當今的“網絡釣魚"攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,受騙者往往會泄露自己的財務數據,如信用卡號、賬戶用戶名、口令和社保編號等內容。
cc攻擊:攻擊者借助代理服務器生成指向受害主機的合法請求,實現DDOS和偽裝就叫: CC(Challenge Collapsar)CC主要是用來攻擊頁面的。
Dos攻擊:拒絕服務攻擊。攻擊者通過利用漏洞或發送大量的請求導致攻擊對象無法訪問網絡或者網站無法被訪問。
DDos攻擊:分布式DOS攻擊,常見的UDP、SYN、 反射放大攻擊等等,就是通過許多臺肉雞一起向你發送一些網絡請求信息,導致你的網絡堵塞而不能正常上網。
抓雞:利用漏洞或其他手段批量的在公網上獲取存在漏洞的主機,將其淪為肉雞。
C2:C2全稱為CommandandControl, 命令與控制,常見于APT攻擊場景中。作動詞解釋時理解為惡意軟件與攻擊者進行交互,作名詞解釋時理解為攻擊者的“基礎設施”。
魚叉攻擊:魚叉攻擊是將用魚叉捕魚形象的引入到了網絡攻擊中,主要是指可以使欺騙性電子郵件看起來更加可信的網絡釣魚攻擊,具有更高的成功可能性。不同于撒網式的網絡釣魚,魚叉攻擊往往更加具備針對性,攻擊者往往"見魚而使叉"。
黑產:網絡黑產,指以互聯網為媒介,以網絡技術為主要手段,為計算機信息系統安全和網絡空間管理秩序,甚至國家安全、社會政治穩定帶來潛在威脅(重大安全隱患)的非法行為。例如非法數據交易產業。
紅隊:通常指攻防演習中的攻擊隊伍。
藍隊:通常指攻防演習中的防守隊伍。
紫隊:攻防演習中新近誕生的一方,通常指監理方或者裁判方。
IDS:入侵檢測系統,用于在黑客發起進攻或是發起進攻之前檢測到攻擊,并加以攔截。IDS是不同于防火墻。防火墻只能屏蔽入侵,而IDS卻可以在入侵發生以前,通過一些信息來檢測到即將發生的攻擊或是入侵并作出反應。
IPS:IPS全稱為Intrusion-PreventionSystem, 即入侵防御系統,目的在于及時識別攻擊程序或有害代碼及其克隆和變種,采取預防措施,先期阻止入侵,防患于未然?;蛘咧辽偈蛊湮:π猿浞纸档?。入侵預防系統一 般作為防火墻和防病毒軟件的補充來投入使用。
堡壘機:運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為,以便集中報警、及時處理及審計定責。
VPN:虛擬專用網,在公用網絡上建立專用網絡,進行加密通訊,通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。
科學上網:fq,翻越c防火墻,訪問國外外網,實際上是一種不合法的行為。
CTF(奪旗賽):CTF (CaptureThe Flag)中文一般譯作奪旗賽,在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。
awd攻防對抗賽:AWD(AttackWithDefense, 攻防兼備)模式是一個非常有意思的模式,你需要在一場比賽里要扮演攻擊方和防守方,攻者得分,失守者會被扣分。也就是說,攻擊別人的靶機可以獲取Flag分數時,別人會被扣分,同時你也要保護自己的主機不被別人得分,以防扣!                                
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                                                               滲透測試總結
從一個攻擊者的角度總結了一些滲透測試的知識,供新手學習和規避這些安全問題保障自己的隱私安全,包含了大部分滲透測試經驗與知識的積累。
信息收集
業務相關
github泄漏
網盤泄漏
敏感路徑掃描
· https://github.com/ring04h/dirfuzz
QQ群文件泄漏
域名相關
域名商
· 找域名商漏洞,越權影響目標域名
· 欺騙域名商客服,影響目標域名
·社工賬號,篡改解析地址
DNS
· 滲透DNS服務器,和社工DNS服務商
· DNS域傳送漏洞
· 子域名接管漏洞
CDN
· 找真實IP地址
? censys.io 等網絡空間引擎查找關鍵字
? SSRF漏洞
? 查找域名歷史解析IP
? https://securitytrails.com/
? site.ip138.com
? 服務器信息泄露
? 探測子域名IP
? cloudflare(HatCloud)
? 看郵件發送者源IP
? APP客戶端
? DOS CDN可能會成回源模式
· 破解CDN服務賬號
WHOIS
· 注冊者郵箱
? 反查其他域名
· 手機號
· 地址
· 注冊者名稱
· DNS
 
子域名
· 搜索引擎
? fofa、傻蛋、諦聽、zoomeye、censys
? Google、bing、baidu、duckduckgo
? 接口聚合:https://github.com/bit4woo/teemo
· 暴力破解
? layer
? wydomain
· 網頁爬蟲
? 基于JS的域名探測https://github.com/nsonaniya2010/SubDomainizer
· DNS查找
? dnsdumpster.com
? www.virustotal.com
服務器主機
端口
· nmap
· Zenmap
系統識別
· nmap -O
· 大小寫敏感
· TTL
· banner
· 信息泄露
· 特殊端口 如(22 / 139 / 445 / 1433 / 3389)
· HOSTNAME
相關資產
· 同服網站
? https://dns.aizhan.com
· 備案反查
C段業務
· 可能會有其他相關業務,如交換機、機房后臺、監控系統等
指紋識別
· 特有文件MD5
· 包含字符
· cookie
· 響應頭
弱點檢測
常見漏洞
文件操作
· 文件上傳
? 字典生成 https://github.com/c0ny1/upload-fuzz-dic-builder
? %00截斷
? 畸形文件名
? Windows
? shell.php{%80-%99}
? NTFS ADS特性
? shell.php......
? shell.php::$DATA
? shell.php:a.jpg
? 目錄穿越
? 文件頭繞過
? 修改上傳類型 Content-Type
? 雙文件上傳
? 超長截斷
? 長文件名
? 長Content-Disposition
? 特殊文件
? 上傳html、htm 可以 XSS
? swf 可以XSS
? pdf 在 chrome 里可以做跳轉
? cer、asa、jspx、php5、phtml等可能會被當做動態語言解析
? .htaccess .user.ini web.config web.xml 等
? 無大小和次數限制
? 無限上傳制造垃圾數據堵死硬盤
? imagemagick命令執行
· 文件讀取
? 讀取系統敏感文件 如配置文件
· 文件包含
? 可讀取文件或代碼執行
· 文件刪除
? 刪除配置文件可破壞網站
? 刪除安裝鎖可重裝
CSRF
· 自動檢測 https://github.com/BlackHole1/autoFindXssAndCsrf
· FLASH CSRF
? http://blog.knownsec.com/2013/03/%E7%A7%91%E6%99%AE%E4%BD%8E%E8%B0%83%E7%9A%84flash-csrf%E6%94%BB%E5%87%BB/
? https://www.cnblogs.com/fdsajhg30000/archive/2011/02/14/1953966.html
? http://www.vuln.cn/7134
XSS
· 普通反射/持久/DOM型
· UXSS
· XSS 蠕蟲
· rootkit xss
· Flash Xss
? https://www.secpulse.com/archives/44299.html
· 其他文檔
? Web前后端漏洞分析與防御 https://github.com/TYRMars/WebSafe-StepPitGuide
? 腦圖
? https://github.com/phith0n/Mind-Map/blob/master/xss%20virus%201.0.png
? https://github.com/phith0n/Mind-Map/blob/master/XSS2.png
? https://github.com/phith0n/Mind-Map/blob/master/XSS%E8%84%91%E5%9B%BE.png
· CRLF注入在響應頭會導致XSS
SQL注入
· ORACLE
? 執行java代碼
? https://www.cnblogs.com/rebeyond/p/7928887.html
? https://www.cnblogs.com/pshell/articles/7473713.html
· MYSQL
? load_file() 文件讀取函數
? outfile 寫文件
? MOF / UDF 提權
? general_log_file 寫文件
· SQL Server
? xp_cmdsell
? https://www.jianshu.com/p/027636ef4640
? wscript.shell
? https://www.cnblogs.com/xred/archive/2011/12/31/2308724.html
? 沙盒模式
? https://blog.csdn.net/sircoding/article/details/78683192
? 存儲過程寫文件
? xp_dirtree
? https://blog.csdn.net/kj021320/article/details/1736964
? sp_oamethod
? https://www.0dayhack.com/post-678.html
代碼執行/命令執行
· 命令執行
? & / && / | / | | / ;
? 系統變量 ${xx} and %xx%
· 代碼執行
? 表達式
? freemarker
? OGNL
? Spel
? jsel
? 非表達式
? php
? eval
? assert
? all_user_func() / call_user_func_array()
? preg_replace()
? create_function()
? array_map()
? array_filter()
? usort() / uasort()
? 反序列化
? php 源文件拼接寫入
? java
? 反序列化
? 遠程 jar 加載
? 反射機制
? jsp 源文件拼接寫入
 
· usort() / uasort()
· 反序列化
· php 源文件拼接寫入
反序列化
· 格式特征如:O:1:"F":1:{s:8:"filename";s:5:"a.txt";}
· unserialize()
SQL 注入
· 未加過濾拼接SQL
· 寬字節注入
· 注意二次注入
文件操作
· fopen
· file_put_content
· $_FILES
· file_get_contents
· move_uploaded_file
· fwrite
· nlink
· rmdir
變量覆蓋
· 可以導致繞過gpc過濾
邏輯漏洞
· 安裝相關
? 安裝后未自動刪除目錄或加鎖導致可再次重裝
? 通過文件刪除或移動漏洞操作鎖文件,來達到重裝
? 安裝展示頁被加鎖,但實際上處理安裝業務的文件沒有則可繞過重裝
? 重裝時一些內容會被寫進php的配置文件里,如果知道格式,可以拼接執行php代碼
? 加了鎖,但只是js跳轉,并沒有exit或die 結束代碼,導致可繞過重裝
文件包含
· 本地包含
? 如果結尾被拼接.php 則需要00截斷
? php<5.3.4
? 偽協議
? phar/zip
? 包含上傳圖片、日志
? php://input
· 遠程包含
? 需要開啟 allow_url_include allow_url_fopen
命令執行
· exec
· system
· `whoami`
· popen
· passthru
· shell_exec
Java
反序列化
· 搜索readObject
· 使用Serializable 接口
· 使用反序列化工具類
· 使用 alibaba fastjson
· shiro rememberMe
· XSTREAM
· Jackson
· dubbo
文件讀取
· 使用 File 相關工具類
· 使用 URLConnection 沒有指明協議時可用 file://etc/passwd
命令執行
· 使用 Runtime.exec
· 使用 ProcessBuilder
· 使用命令行相關工具類
· Spel ognl 表達式可控
SQL注入
· ORM框架
? Mybatis 使用 $
? hibernate 拼接查詢
· jdbc
? 使用 statement 類
參考
· http://absec.cn/?p=168
后滲透與持續滲透
權限維持與提升
提權
· Windows
? 一般情況
? pr 、Churrasco、kelong、IIS6up、mimikatz、第三方cmd、第三方net、vbs、讀hash、msf
? 找未安裝補丁的提權漏洞
? 通過高權應用的RCE 或 LCE提權,如:mssql、Oracle
? 參考
? https://github.com/SecWiki/windows-kernel-exploits
· Linux
? 通過高權應用
? 根據內核版本找exp
? 參考
? https://github.com/SecWiki/linux-kernel-exploits
維持
· 信息收集
? 保存用戶bash history
? netstat -an 查看端口連接情況
? /etc/passwd /etc/shadow 用戶相關信
? crontab 里的定時任務
? 系統變量
? lastlog & last & who /var/log/wtmp 分析登錄頻次
? 用戶根目錄的文件
? /etc/hosts 中的映射
? /.ssh/
? 查看數據庫SQL日志
? 查看WEB服務運行日志
· 后門
? shift 后門
? Windows $ 隱藏用戶
? 開機自啟執行后門
? 替換帶有后門的敏感程序 如:ssh / mstsc
? 注冊表
? dll 劫持
? 開啟代理
待補充
內網滲透
參考
· https://github.com/Ridter/Intranet_Penetration_Tips
· https://github.com/l3m0n/pentest_study
待補充
持續滲透和一些技巧
得到子服務器權限后
· 探測內網存活主機/服務 的指紋信息
· ARP劫持流量
· 找到該服務器與其他服務器的關聯(如:已得到redis服務器權限 web服務器會從redis中取出數據反序列化 則可以篡改redis中的數據以獲取web服務器權限)
得到域名解析權后
· 指向到反代至目標的服務器,記錄GET POST請求日志,分析特殊URL和登錄后臺的POST 請求
找到XSS后
· 如果是社交類網站,嘗試尋找CSRF制造蠕蟲
· 通過其他社交網站的JSONP漏洞,探測管理員的個人信息
· 打到管理員cookie后通過附帶 Cookie 不斷請求后臺以保持會話不被銷毀
· 根據瀏覽器、flash、等情況進行瀏覽器攻擊。如:執行代碼、種rootkit
· canvas 截圖頁面
得到郵箱地址后
· 獨立郵件系統可找公開漏洞攻擊
· 發送測試郵件探測對方使用郵箱系統
? 通過挖掘相關郵箱系統漏洞進行攻擊
· 找到服務器、CDN、域名、DNS等服務商,偽造釣魚郵件欺騙管理員登錄
· 發送含有后門的附件(如:pdf、Excel、word、rar的代碼執行漏洞)
· 通過社工庫或搜索引擎人肉搜索得出密碼后嘗試登陸郵箱
得到郵箱權限后
· 分析/劫持郵箱收信
· 個人郵箱
? 搜搜:password、找回密碼、重置密碼、忘記密碼等關鍵字
? 找服務器、CDN、域名、DNS等服務商的郵件,如果無法登陸嘗試重置等操作
? 找到有關地理位置軟件的郵件
? 淘寶(收貨地址)
? 京東(收貨地址)
? 支付寶(收貨地址)
? Apple賬號(可定位)
? 各手機大廠(手機定位)
? 找發件箱中的原始圖片(找exif的GPS定位)
? ...
· 企業郵箱
? 找VPN相關郵件 可內網滲透
? 找OA,ERP,SCM,CRM,BRP,OMS,WMS相關系統郵件
? 找Git,SVN,自動化測試相關郵件
? 搜索關鍵字:password、密碼、192、172、10. 等關鍵字
? ...
引入了外部資源
· 搞定外部網站
· 如果是JS 可以考慮XSS攻擊
· IMG LINK 可以401認證釣魚
· IFRAME bgsound EMBED source object等可以掛可執行文件或跳轉釣魚頁
找后臺
· 一般在后臺添加友聯時會展示logo圖片,如果可以填寫遠程URL 可以嘗試和站長溝通交換友聯,添加成功后,對方則會發起一個refer為后臺的請求到你的LOGO
· 收集網站名簡寫、英文名、郵箱前綴等 于 admin、manage、system、login等常見單詞組合請求
· IIS 短文件名漏洞
· Windows 下的 >> 特性
? https://b1ue.cn/archives/60.html
· 找列目錄漏洞
· XSS
· 收集子域名資產及其C段端口
· 二級域名 如:admin.xxx.com
· google fofa censys等引擎搜索關鍵字
· 爬蟲爬取所有鏈接 提取出目錄部分 按目錄層級窮舉
繞過驗證碼
· 只請求一次驗證碼,然后用同樣的驗證碼暴力破解
· 知道驗證碼在session中的參數,找類似 Tomcat example session重置的漏洞填充同一驗證碼
· 云打碼平臺識別
· 自己訓練OCR識別
APT攻擊
待補充...
流量取證
待補充...
社會工程學技巧
社交搜索
· 查看注冊的網站:0xreg reg007
? 知道賬號去已注冊的網站找回密碼,可以看到打碼后的用戶名、郵箱、真實姓名等信息,如果運氣好沒準能從數據包或html中找到未被打碼的信息
? 可以從這些方面判斷用戶是否注冊過
? 找回密碼
? 輸入賬號,如果進入下一步了則該賬號存在
? 登錄
? 輸入賬號和密碼,如果提示密碼錯誤,則表示該用戶已存在
? 注冊
? 填寫賬號時一般網站會去檢測該賬號是否已存在,如果已存在則會提示不可重復注冊
· 知道QQ
? 通過QQ郵箱搜索支付寶、淘寶賬號
? 去騰訊微博搜索
? 通過微信搜索
? 查看QQ空間
? 通過說說、留言、日志找到其好友
· 知道手機號
? 搜索QQ、微信、釘釘等社交賬號
? 在比較火的一些APP和網站上注冊或忘記密碼來判斷是否注冊過賬號
? 查詢支付寶賬號,嘗試輸入常見姓氏獲取名字
· 通過對方的職業、興趣找到該領域知名度較高的社交網站反查
· 根據在QQ空間、朋友圈等動態用百度識圖識別照片,在微博、ins、Twitter、fb、百度貼吧搜索相近關鍵字,按地域、年齡、男女、用戶名等篩選
· 留意社交動態
? 發布時間線
? 使用什么客戶端 iPhone Android還是瀏覽器
? 注意每一條鏈接 / 圖片 / 視頻
? 從最早發布的動態看起,會有很大收獲
· 一般得到一個賬號的密碼就相當于得到了其他賬號的密碼
· 一般人不同賬號的用戶名都是相同或相近的
· 一般人的社交賬號頭像用的都是一樣的
嘗試破解社保、公積金賬號
· 大部分信息可以用來生成密碼字典
待補充
工具
掃描工具
主動掃描
· AWVS
? 業界知名漏洞掃描器,適用于WEB應用
· appscan
? 業界知名漏洞掃描器,適用于WEB應用
· Fuxi Scanner
? 一款聚合了很多功能的綜合掃描器
? https://github.com/jeffzh3ng/Fuxi-Scanner
· xunfeng
? https://github.com/ysrc/xunfeng
? 一款綜合的巡航掃描系統
· nessus
? 適合掃描系統和應用層漏洞的掃描器
· sqlmap
? https://github.com/sqlmapproject/sqlmap
? 知名自動化SQL注入神器,安全人員必備
· masscan
? 快速端口掃描器
被動掃描
· GourdScanV2
? https://github.com/ysrc/GourdScanV2
? 被動式漏洞掃描器
· SQLiScanner
· Burpsuite
? 知名滲透測試工具,安全人員必備
滲透框架
metasploit
· https://github.com/rapid7/metasploit-framework
· 知名漏洞利用框架,安全人員必備
pocsuite
· https://github.com/knownsec/Pocsuite
· 知道創宇的POC漏洞測試框架
溯光
· https://www.trackray.cn/
· https://github.com/iSafeBlue/TrackRay
· 我開發的一款在線掃描器+接口式滲透測試框架
kunpeng
· 一個兼容多種語言的漏洞框架
poc-t
· python 漏洞驗證框架
bugscan
· 四葉草的漏洞掃描器
3xp10it
pentestbox
· 整合了kali中大部分的安全工具,Windows平臺上的神器
w9scan
· w8ay的一款漏洞掃描工具
信息收集
wydomain
· 豬豬俠的子域名掃描工具
bit4woo/teemo
· 聚合多個接口查子域名
ring04h/weakfilescan
· 豬豬俠的信息泄露掃描器
ring04h/dirfuzz
· 豬豬俠的網站目錄掃描器
whatweb
· 網站指紋掃描
nsonaniya2010/SubDomainizer
信息泄露
lijiejie/GitHack
· lijiejie的GIT泄露利用
shengqi158/svnhack
· svn泄露利用工具
lijiejie/IIS_shortname_Scanner
· IIS短文件掃描器
滲透輔助
Cobalt Strike
· 滲透測試工具,安全人員必備
hydra
· 多種服務的密碼暴力破解工具,安全人員必備
nmap
· 端口掃描和系統漏洞掃描的神器,安全人員必備
lcx
· 內網轉發工具
nc
· 常用于shell反彈,安全人員必備
proxychain
· linux下的代理工具
reGeorg
· 內網滲透代理工具
Proxifier
· Windows下的代理工具
菜刀/蟻劍/Cknife
· 網站webshell管理工具,安全人員必備
 
 
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                                                 
滲透測試總結
從一個攻擊者的角度總結了一些滲透測試的知識,供新手學習和規避這些安全問題保障自己的隱私安全,包含了大部分滲透測試經驗與知識的積累。
信息收集
業務相關
github泄漏
網盤泄漏
敏感路徑掃描
· https://github.com/ring04h/dirfuzz
QQ群文件泄漏
域名相關
域名商
· 找域名商漏洞,越權影響目標域名
· 欺騙域名商客服,影響目標域名
·社工賬號,篡改解析地址
DNS
· 滲透DNS服務器,和社工DNS服務商
· DNS域傳送漏洞
· 子域名接管漏洞
CDN
· 找真實IP地址
 censys.io 等網絡空間引擎查找關鍵字
 SSRF漏洞
 查找域名歷史解析IP
 https://securitytrails.com/
 site.ip138.com
 服務器信息泄露
 探測子域名IP
 cloudflare(HatCloud)
 看郵件發送者源IP
 APP客戶端
 DOS CDN可能會成回源模式
· 破解CDN服務賬號
WHOIS
· 注冊者郵箱
 反查其他域名
· 手機號
· 地址
· 注冊者名稱
· DNS
子域名
· 搜索引擎
 fofa、傻蛋、諦聽、zoomeye、censys
 Google、bing、baidu、duckduckgo
 接口聚合:https://github.com/bit4woo/teemo
· 暴力破解
 layer
 wydomain
· 網頁爬蟲
基于JS的域名探測https://github.com/nsonaniya2010/SubDomainizer
· DNS查找
dnsdumpster.com
www.virustotal.com
服務器主機
端口
· nmap
· Zenmap
系統識別
· nmap -O
· 大小寫敏感
· TTL
· banner
· 信息泄露
· 特殊端口 如(22 / 139 / 445 / 1433 / 3389)
· HOSTNAME
相關資產
· 同服網站
 https://dns.aizhan.com
· 備案反查
C段業務
· 可能會有其他相關業務,如交換機、機房后臺、監控系統等
指紋識別
· 特有文件MD5
· 包含字符
· cookie
· 響應頭
弱點檢測
常見漏洞
文件操作
· 文件上傳
 字典生成 https://github.com/c0ny1/upload-fuzz-dic-builder
 %00截斷
 畸形文件名
 Windows
 shell.php{%80-%99}
 NTFS ADS特性
 shell.php......
 shell.php::$DATA
 shell.php:a.jpg
 目錄穿越
 文件頭繞過
 修改上傳類型 Content-Type
 雙文件上傳
 超長截斷
 長文件名
 長Content-Disposition
 特殊文件
 上傳html、htm 可以 XSS
 swf 可以XSS
 pdf 在 chrome 里可以做跳轉
 cer、asa、jspx、php5、phtml等可能會被當做動態語言解析
 .htaccess .user.ini web.config web.xml 等
 無大小和次數限制
 無限上傳制造垃圾數據堵死硬盤
 imagemagick命令執行
· 文件讀取
 讀取系統敏感文件 如配置文件
· 文件包含
 可讀取文件或代碼執行
· 文件刪除
 刪除配置文件可破壞網站
 刪除安裝鎖可重裝
CSRF
· 自動檢測 https://github.com/BlackHole1/autoFindXssAndCsrf
· FLASH CSRF
 http://blog.knownsec.com/2013/03/%E7%A7%91%E6%99%AE%E4%BD%8E%E8%B0%83%E7%9A%84flash-csrf%E6%94%BB%E5%87%BB/
 https://www.cnblogs.com/fdsajhg30000/archive/2011/02/14/1953966.html
 http://www.vuln.cn/7134
XSS
· 普通反射/持久/DOM型
· UXSS
· XSS 蠕蟲
· rootkit xss
· Flash Xss
 https://www.secpulse.com/archives/44299.html
· 其他文檔
 Web前后端漏洞分析與防御 https://github.com/TYRMars/WebSafe-StepPitGuide
 腦圖
 https://github.com/phith0n/Mind-Map/blob/master/xss%20virus%201.0.png
 https://github.com/phith0n/Mind-Map/blob/master/XSS2.png
 https://github.com/phith0n/Mind-Map/blob/master/XSS%E8%84%91%E5%9B%BE.png
· CRLF注入在響應頭會導致XSS
SQL注入
· ORACLE
 執行java代碼
 https://www.cnblogs.com/rebeyond/p/7928887.html
 https://www.cnblogs.com/pshell/articles/7473713.html
· MYSQL
 load_file() 文件讀取函數
 outfile 寫文件
 MOF / UDF 提權
 general_log_file 寫文件
· SQL Server
 xp_cmdsell
 https://www.jianshu.com/p/027636ef4640
 wscript.shell
 https://www.cnblogs.com/xred/archive/2011/12/31/2308724.html
 沙盒模式
 https://blog.csdn.net/sircoding/article/details/78683192
 存儲過程寫文件
 xp_dirtree
 https://blog.csdn.net/kj021320/article/details/1736964
 sp_oamethod
 https://www.0dayhack.com/post-678.html
代碼執行/命令執行
· 命令執行
 & / && / | / | | / ;
 系統變量 ${xx} and %xx%
· 代碼執行
 表達式
 freemarker
 OGNL
 Spel
 jsel
 非表達式
 php
 eval
 assert
 all_user_func() / call_user_func_array()
 preg_replace()
 create_function()
 array_map()
 array_filter()
 usort() / uasort()
 反序列化
 php 源文件拼接寫入
 java
 反序列化
 遠程 jar 加載
 反射機制
 jsp 源文件拼接寫入
· usort() / uasort()
· 反序列化
· php 源文件拼接寫入
反序列化
· 格式特征如:O:1:"F":1:{s:8:"filename";s:5:"a.txt";}
· unserialize()
SQL 注入
· 未加過濾拼接SQL
· 寬字節注入
· 注意二次注入
文件操作
· fopen
· file_put_content
· $_FILES
· file_get_contents
· move_uploaded_file
· fwrite
· nlink
· rmdir
變量覆蓋
· 可以導致繞過gpc過濾
邏輯漏洞
· 安裝相關
 安裝后未自動刪除目錄或加鎖導致可再次重裝
 通過文件刪除或移動漏洞操作鎖文件,來達到重裝
 安裝展示頁被加鎖,但實際上處理安裝業務的文件沒有則可繞過重裝
 重裝時一些內容會被寫進php的配置文件里,如果知道格式,可以拼接執行php代碼
 加了鎖,但只是js跳轉,并沒有exit或die 結束代碼,導致可繞過重裝
文件包含
· 本地包含
 如果結尾被拼接.php 則需要00截斷
 php<5.3.4
 偽協議
 phar/zip
 包含上傳圖片、日志
 php://input
· 遠程包含
 需要開啟 allow_url_include allow_url_fopen
命令執行
· exec
· system
· `whoami`
· popen
· passthru
· shell_exec
Java
反序列化
· 搜索readObject
· 使用Serializable 接口
· 使用反序列化工具類
· 使用 alibaba fastjson
· shiro rememberMe
· XSTREAM
· Jackson
· dubbo
文件讀取
· 使用 File 相關工具類
· 使用 URLConnection 沒有指明協議時可用 file://etc/passwd
命令執行
· 使用 Runtime.exec
· 使用 ProcessBuilder
· 使用命令行相關工具類
· Spel ognl 表達式可控
SQL注入
· ORM框架
 Mybatis 使用 $
 hibernate 拼接查詢
· jdbc
 使用 statement 類
參考
· http://absec.cn/p=168
后滲透與持續滲透
權限維持與提升
提權
· Windows
 一般情況
 pr 、Churrasco、kelong、IIS6up、mimikatz、第三方cmd、第三方net、vbs、讀hash、msf
 找未安裝補丁的提權漏洞
 通過高權應用的RCE 或 LCE提權,如:mssql、Oracle
 參考
 https://github.com/SecWiki/windows-kernel-exploits
· Linux
 通過高權應用
 根據內核版本找exp
 參考
 https://github.com/SecWiki/linux-kernel-exploits
維持
· 信息收集
 保存用戶bash history
 netstat -an 查看端口連接情況
 /etc/passwd /etc/shadow 用戶相關信
 crontab 里的定時任務
 系統變量
 lastlog & last & who /var/log/wtmp 分析登錄頻次
 用戶根目錄的文件
 /etc/hosts 中的映射
 /.ssh/
 查看數據庫SQL日志
 查看WEB服務運行日志
· 后門
 shift 后門
 Windows $ 隱藏用戶
 開機自啟執行后門
 替換帶有后門的敏感程序 如:ssh / mstsc
 注冊表
 dll 劫持
 開啟代理
待補充
內網滲透
參考
· https://github.com/Ridter/Intranet_Penetration_Tips
· https://github.com/l3m0n/pentest_study
待補充
持續滲透和一些技巧
得到子服務器權限后
· 探測內網存活主機/服務 的指紋信息
· ARP劫持流量
· 找到該服務器與其他服務器的關聯(如:已得到redis服務器權限 web服務器會從redis中取出數據反序列化 則可以篡改redis中的數據以獲取web服務器權限)
得到域名解析權后
· 指向到反代至目標的服務器,記錄GET POST請求日志,分析特殊URL和登錄后臺的POST 請求
找到XSS后
· 如果是社交類網站,嘗試尋找CSRF制造蠕蟲
· 通過其他社交網站的JSONP漏洞,探測管理員的個人信息
· 打到管理員cookie后通過附帶 Cookie 不斷請求后臺以保持會話不被銷毀
· 根據瀏覽器、flash、等情況進行瀏覽器攻擊。如:執行代碼、種rootkit
· canvas 截圖頁面
得到郵箱地址后
· 獨立郵件系統可找公開漏洞攻擊
· 發送測試郵件探測對方使用郵箱系統
 通過挖掘相關郵箱系統漏洞進行攻擊
· 找到服務器、CDN、域名、DNS等服務商,偽造釣魚郵件欺騙管理員登錄
· 發送含有后門的附件(如:pdf、Excel、word、rar的代碼執行漏洞)
· 通過社工庫或搜索引擎人肉搜索得出密碼后嘗試登陸郵箱
得到郵箱權限后
· 分析/劫持郵箱收信
· 個人郵箱
 搜搜:password、找回密碼、重置密碼、忘記密碼等關鍵字
 找服務器、CDN、域名、DNS等服務商的郵件,如果無法登陸嘗試重置等操作
 找到有關地理位置軟件的郵件
 淘寶(收貨地址)
 京東(收貨地址)
 支付寶(收貨地址)
 Apple賬號(可定位)
 各手機大廠(手機定位)
 找發件箱中的原始圖片(找exif的GPS定位)
 ...
· 企業郵箱
 找VPN相關郵件 可內網滲透
 找OA,ERP,SCM,CRM,BRP,OMS,WMS相關系統郵件
 找Git,SVN,自動化測試相關郵件
 搜索關鍵字:password、密碼、192、172、10. 等關鍵字
 ...
引入了外部資源
· 搞定外部網站
· 如果是JS 可以考慮XSS攻擊
· IMG LINK 可以401認證釣魚
· IFRAME bgsound EMBED source object等可以掛可執行文件或跳轉釣魚頁
找后臺
· 一般在后臺添加友聯時會展示logo圖片,如果可以填寫遠程URL 可以嘗試和站長溝通交換友聯,添加成功后,對方則會發起一個refer為后臺的請求到你的LOGO
· 收集網站名簡寫、英文名、郵箱前綴等 于 admin、manage、system、login等常見單詞組合請求
· IIS 短文件名漏洞
· Windows 下的 >> 特性
 https://b1ue.cn/archives/60.html
· 找列目錄漏洞
· XSS
· 收集子域名資產及其C段端口
· 二級域名 如:admin.xxx.com
· google fofa censys等引擎搜索關鍵字
· 爬蟲爬取所有鏈接 提取出目錄部分 按目錄層級窮舉
繞過驗證碼
· 只請求一次驗證碼,然后用同樣的驗證碼暴力破解
· 知道驗證碼在session中的參數,找類似 Tomcat example session重置的漏洞填充同一驗證碼
· 云打碼平臺識別
· 自己訓練OCR識別
APT攻擊
待補充...
流量取證
待補充...
社會工程學技巧
社交搜索
· 查看注冊的網站:0xreg reg007
 知道賬號去已注冊的網站找回密碼,可以看到打碼后的用戶名、郵箱、真實姓名等信息,如果運氣好沒準能從數據包或html中找到未被打碼的信息
 可以從這些方面判斷用戶是否注冊過
 找回密碼
 輸入賬號,如果進入下一步了則該賬號存在
 登錄
 輸入賬號和密碼,如果提示密碼錯誤,則表示該用戶已存在
 注冊
 填寫賬號時一般網站會去檢測該賬號是否已存在,如果已存在則會提示不可重復注冊
· 知道QQ
 通過QQ郵箱搜索支付寶、淘寶賬號
 去騰訊微博搜索
 通過微信搜索
 查看QQ空間
 通過說說、留言、日志找到其好友
· 知道手機號
 搜索QQ、微信、釘釘等社交賬號
 在比較火的一些APP和網站上注冊或忘記密碼來判斷是否注冊過賬號
 查詢支付寶賬號,嘗試輸入常見姓氏獲取名字
· 通過對方的職業、興趣找到該領域知名度較高的社交網站反查
· 根據在QQ空間、朋友圈等動態用百度識圖識別照片,在微博、ins、Twitter、fb、百度貼吧搜索相近關鍵字,按地域、年齡、男女、用戶名等篩選
· 留意社交動態
 發布時間線
 使用什么客戶端 iPhone Android還是瀏覽器
 注意每一條鏈接 / 圖片 / 視頻
 從最早發布的動態看起,會有很大收獲
· 一般得到一個賬號的密碼就相當于得到了其他賬號的密碼
· 一般人不同賬號的用戶名都是相同或相近的
· 一般人的社交賬號頭像用的都是一樣的
嘗試破解社保、公積金賬號
· 大部分信息可以用來生成密碼字典
待補充
工具
掃描工具
主動掃描
· AWVS
 業界知名漏洞掃描器,適用于WEB應用
· appscan
 業界知名漏洞掃描器,適用于WEB應用
· Fuxi Scanner
 一款聚合了很多功能的綜合掃描器
 https://github.com/jeffzh3ng/Fuxi-Scanner
· xunfeng
 https://github.com/ysrc/xunfeng
 一款綜合的巡航掃描系統
· nessus
 適合掃描系統和應用層漏洞的掃描器
· sqlmap
 https://github.com/sqlmapproject/sqlmap
 知名自動化SQL注入神器,安全人員必備
· masscan
 快速端口掃描器
被動掃描
· GourdScanV2
 https://github.com/ysrc/GourdScanV2
 被動式漏洞掃描器
· SQLiScanner
· Burpsuite
 知名滲透測試工具,安全人員必備
滲透框架
metasploit
· https://github.com/rapid7/metasploit-framework
· 知名漏洞利用框架,安全人員必備
pocsuite
· https://github.com/knownsec/Pocsuite
· 知道創宇的POC漏洞測試框架
溯光
· https://www.trackray.cn/
· https://github.com/iSafeBlue/TrackRay
· 我開發的一款在線掃描器+接口式滲透測試框架
kunpeng
· 一個兼容多種語言的漏洞框架
poc-t
· python 漏洞驗證框架
bugscan
· 四葉草的漏洞掃描器
3xp10it
pentestbox
· 整合了kali中大部分的安全工具,Windows平臺上的神器
w9scan
· w8ay的一款漏洞掃描工具
信息收集
wydomain
· 豬豬俠的子域名掃描工具
bit4woo/teemo
· 聚合多個接口查子域名
ring04h/weakfilescan
· 豬豬俠的信息泄露掃描器
ring04h/dirfuzz
· 豬豬俠的網站目錄掃描器
whatweb
· 網站指紋掃描
nsonaniya2010/SubDomainizer
信息泄露
lijiejie/GitHack
· lijiejie的GIT泄露利用
shengqi158/svnhack
· svn泄露利用工具
lijiejie/IIS_shortname_Scanner
· IIS短文件掃描器
滲透輔助
Cobalt Strike
· 滲透測試工具,安全人員必備
hydra
· 多種服務的密碼暴力破解工具,安全人員必備
nmap
· 端口掃描和系統漏洞掃描的神器,安全人員必備
lcx
· 內網轉發工具
nc
· 常用于shell反彈,安全人員必備
proxychain
· linux下的代理工具
reGeorg
· 內網滲透代理工具
Proxifier
· Windows下的代理工具
菜刀/蟻劍/Cknife
· 網站webshell管理工具,安全人員必備


上一篇:后臺登陸頁面的滲透測
下一篇:滲透測試術語簡介