常规web渗透测试汇总

原来是想着每个点都自己写的,后来觉得重复造轮子花费这么多时间似乎没什么必要,网上文章已经这么多,而且大家都写的这么好了,自己也没什么新增有用有创意的点。逐,汇总此文。

做Web渗透测试也算是有接近两年的实战经验了,认为常规渗透就分三个步骤:

1、信息收集;2、漏洞测试;3、漏洞利用;其中,漏洞测试和漏洞利用就是把自己所有会的姿势全部试一遍,需要平时积累的基本功,测试和利用的时候一把梭就完了。

一个比较简陋的脑图:

信息收集:

先说信息收集,如果说可以拿下站点是一个概率问题的话,那么信息收集的越全面,则攻击面越广,概率就越大。

信息收集有时候需要某个敏感信息灵机一动,但大多数时候需要完整的流程,收集完整的信息。

1、普通搜索引擎

普通的搜索引擎配合google hack的语法,可以较为精确的搜集到我们想要的信息,

比如搜一个站的后台:"insite:xxx.com inurl:admin"

详细的语法戳右边链接:https://blog.csdn.net/u012991692/article/details/82937100

2、空间搜索引擎

空间搜索引擎与普通搜索引擎不同,普通搜索引擎爬取网站页面信息,空间搜索引擎会爬取端口的banner等信息

常用的空间搜索引擎有shodan、fofa、ZoomEye和BinaryEdge等。

常用语法戳右边链接:https://www.cnblogs.com/miaodaren/p/7904484.html

大型项目实用技巧移步:https://www.jianshu.com/p/ee22367303d5

3、子域名收集

直接搜索:site:xxx.com

站长之家查询子域名:http://tool.chinaz.com/subdomain/

在线资产搜集,子域名&C段:http://www.yunsee.cn/info.html

通过爆破的方式搜集子域名:layer子域名挖掘机

更全一些的子域名收集参考链接:https://blog.csdn.net/qq_41880069/article/details/83037081

4、端口服务探测

比较常用端口服务方式有nmap

nmap常用参数戳右边链接:https://blog.csdn.net/zz_Caleb/article/details/95335060

nmap所有参数戳右边链接:https://blog.csdn.net/qq_26090065/article/details/80285088

还有偷懒的方式,浏览器装一个shodan的插件,访问每个网站都能看到常用端口是否开放的信息:


直接点击view host details可以看到端口对应的信息,也可以直接查看shodan检测出的漏洞等信息:


chrome下载地址:https://chrome.google.com/webstore/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap

火狐下载地址:https://addons.mozilla.org/en-US/firefox/addon/shodan_io/

其他:

其他信息收集还有网站指纹识别,比较推荐使用云悉,如果在内网用不了云悉的话可以使用whatweb,kali内置whatweb。

同IP多个域名等,也可以在云悉查看。

以及web目录爆破等,可以用dirbuster或御剑等工具。

漏洞测试:

漏洞测试主要还是web漏洞,因为非web的大部分都是通用漏洞,一般都被人抓肉鸡抓了,然后打上补丁了。

web漏洞主要还是sql注入,xss,文件上传,代码&命令执行以及弱口令等 。

sql注入:

关于sql注入的原理就不多说了,sql注入测试主要是为了检测能否改变原有的sql语法结构,可以的话才考虑进行下一步。

若可以改变原有的语法结构,就可以尝试判断注入是否存在限制,如waf什么的。可以fuzzing注入所需的关键字,然后替换被限制的关键字进行绕过。

这里附一个mysql常用的fuzzing表(其他数据库的晚点整理后补上):

select、union、concat、or、and、limit、&&、||、group by、order by

into outfile、into、into dumpfile、having、where、insert、update、delete、updatexml

if、rand、from、information_schema、mid、ord、ExtractValue、/*、大小写

除了对关键字fuzzing进行过滤外,还有一些其他方法。比如参数污染,由于检测的参数跟传入的参数不一致,导致绕过。

以及一些waf需要考虑性能的,可能就会对静态文件进行放行,就可能存在这样的绕过方式:

xxx.com/xxx.php?id=1 and 1=1?xxx.js,这样就可能会被误以为是js文件,从白名单绕过。

或者在请求包中加一堆垃圾数据,使得waf难以检测,直接放行等。参考:

https://mp.weixin.qq.com/s?__biz=MzI5MDU1NDk2MA==&mid=2247488830&idx=1&sn=762f90f6ce3b98c76e74f194c2c0fc14&chksm=ec1f4001db68c917007d6b8f66737e91b3238afba7df379269b587e3cdc691e2c9257e3c4b16&mpshare=1&scene=1&srcid=&sharer_sharetime=1583659486027&sharer_shareid=9bb36e6ef190787654eb1204658c7215#rd

Xss:

 sql注入执行sql语句,xss执行js。和注入一样,也是需要改变原有的结构,达到执行js的效果。

fuzzing可以看这里:https://github.com/payloadbox/xss-payload-list

文件上传:

网站常常有文件上传的功能,若对上传的文件类型不做限制或限制存在缺陷,则可以上传一个可执行文件,如php和jsp,从而在网站上解析执行。

最常见的绕过是开发人员直接将文件后缀的放在前端,使用burp抓包修改文件后缀就可以绕过。

以及判断存在缺陷的,以php为例,常见上传后缀有:“.php”、".Php"、".php."、".php "(左边的这个php后面是有空格的,windows下的会直接把文件名最后的空格和.去掉)。

还有根据文件类型进行判断的,上传时抓包修改content-type类型,上传时修改这个属性,是不会改变文件作用的,所以可以以此进行绕过。常见类型有:text/plain、 text/html、image/jpeg、application/octet-stream

详细的content-type类型戳这里:

文件上传fuzzing字典戳这里:https://github.com/mai-lang-chai/FUZZ-dic/tree/master/%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/upload-fuzz-dic-builder-master/dic

应该和文件上传一块讲的还有一个解析漏洞:https://tool.oschina.net/commons/


解析漏洞详情:https://blog.csdn.net/weixin_30952535/article/details/99423388

这个图比较旧,少了个CVE-2017-15715:https://blog.csdn.net/nzjdsds/article/details/82049718

目前比较有利用价值的是nginx的fig_pathinfo的解析漏洞,phpstudy下用nginx启动默认还存在该漏洞。

代码&命令执行:

黑盒测试中存在或者发现rce的概率并不高,这类漏洞一般通过白盒测试发现

常见通用漏洞可以戳这里:https://github.com/Mr-xn/Penetration_Testing_POC

弱口令:

弱口令比较常见的账号是admin,密码为:admin、123456、12345678、admin888

一个比较全的弱口令集合:https://download.csdn.net/download/tsyang36/10752470

其他:

其他漏洞还有csrf:https://baike.baidu.com/item/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0/13777878?fromtitle=CSRF&fromid=2735433&fr=aladdin

ssrf:https://xz.aliyun.com/t/2115

xxe:https://www.jianshu.com/p/ec2888780308

以及逻辑漏洞短信轰炸等。。

漏洞利用:

在我看来,漏洞测试跟漏洞利用还是有些区别的,因为常常会有存在漏洞,但却无法利用的场景。这样漏洞就显得很鸡肋。比如、sql注入使用单引号响应500,而且把sql语句的错误都爆出来了。但是利用的时候发现做了限制,select等关键字被过滤了,这样只能做到查出数据库名称,却不能查询数据库的其他内容。

sql注入:

 sql注入入门神帖,手工注入:https://www.freebuf.com/articles/web/120747.html

手工盲注:https://www.freebuf.com/articles/web/120985.html

注入神器sqlmap简易教程:http://blog.csdn.net/zhaozhanyong/article/details/41011193

sqlmap各参数详解:http://blog.csdn.net/u012763794/article/details/52638931

sqlmap虽然是目前的注入神器,不过曾经有一次sqlmap测出存在access数据库注入,却难以利用的情况。因为access用的少,自己当时也懒得去琢磨access的sql语句,后来用老牌的注入工具穿山甲跑出来就跑出来了。

老牌注入工具:穿山甲,阿D,明小子。可以稍微记一下,指不定哪天确实需要

普通注入和盲注区别在于注入后的回显,但人类是很机智的,即便不能回显,通过数据库可发送请求的功能,一样可以把注入的信息发送出来。dnslog技巧看这个贴子:https://bbs.ichunqiu.com/thread-22002-1-1.html

Xss:

大部分人知道xss测试的时候弹框框,由于非存储型的xss需要交互,而且利用危害低,所以利用这个漏洞的人比较少。

xss漏洞在web中非常常见,所以防范措施也非常多。比如有些浏览器会不执行在url中出现的js代码。刚弄清楚原理的同学还需要了解一下和xss相关的httponly响应头,以及csp策略。

这里推荐一款xss利用平台:http://xsspt.com

除去打cookie以外,还内置了其他功能。

百度搜到了这个平台的源代码,应该是一样的,感兴趣的朋友可以自己搭一下:https://download.csdn.net/download/wang3890161/10406644

另外,关于xss的利用,还有另一个工具--beef。kali下内置,beef系列帖子感兴趣可以看一下:

浏览器攻击框架BeEF Part 1:https://www.freebuf.com/articles/web/175755.html

webshell管理工具:

目前主流的webshell管理工具就三款,中国菜刀、冰蝎、蚁剑。

其中中国菜刀是老牌的webshell管理工具,随着攻防技术的不断发展,使用量正在逐渐减少。

百度一下中国菜刀有很多假冒的官网,不建议下载使用。

冰蝎应该是目前使用最多的webshell工具了,自带二进制加密,可以直接反弹metasploit的shell。不过由于冰蝎应用太广泛,所以现在很多安全厂商的安全设备都能对其进行检测。

冰蝎官方下载地址:https://github.com/rebeyond/Behinder

蚁剑目前应用也非常广泛,自行开发编码器对通信进行加密和新增插件,可扩展性强。

蚁剑官方下载地址:https://github.com/AntSwordProject/antSword

蚁剑下载完了不能直接打开就用,注意下安装文档的加载器。

大马用的不多,spy系列应该比较常见一些:

这里很多webshell木马,自行探索:https://github.com/tennc/webshell

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,711评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,079评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,194评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,089评论 1 286
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,197评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,306评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,338评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,119评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,541评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,846评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,014评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,694评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,322评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,026评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,257评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,863评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,895评论 2 351

推荐阅读更多精彩内容

  • 作者:Gilberto Najera-Gutierrez译者:飞龙协议:CC BY-NC-SA 4.0 简介 这章...
    三月行者阅读 1,886评论 2 7
  • 本篇文章介绍如何从常规攻击的防御能力来评测一款WAF。一共覆盖了十六种攻击类型,每种类型均从利用场景(攻击操作的目...
    生活的探路者阅读 1,268评论 0 4
  • 作者:Gilberto Najera-Gutierrez译者:飞龙协议:CC BY-NC-SA 4.0 简介 在获...
    三月行者阅读 2,968评论 2 7
  • 在异乡 看似忙碌,实则孤独 三两好友相聚 卸下平日的盔甲与面具 畅饮畅聊 美酒满斟 哪管晨曦晚曦 这 是起点 是家的感觉
    不会冬眠的小松鼠阅读 167评论 0 0
  • 这是第二次参加国培英语送教下乡培训,每次都能学到非常多的东西。对于这次周五请假没去培训深感遗憾,觉得自己错过了非常...
    黄玉玲_bca6阅读 74评论 0 0