渗透测试是网络安全评估的核心环节,涵盖前期准备、信息收集、渗透攻击及安全防护四大阶段。前期需明确目标并获取授权;信息收集包括网站类型判断、中间件版本查询、端口扫描及敏感目录探测;渗透攻击涉及威胁建模、漏洞利用、提权及内网横向移动;安全防护则强调日志审计、漏洞扫描与权限控制。本文整理了常见漏洞如 SQL 注入、XSS、弱口令及中间件解析漏洞的排查方法,并提供基础的安全加固建议。
在渗透测试过程中,有时容易陷入无解状态,不知从何下手。本文对渗透测试的整体思路进行系统整理,涵盖前期准备、信息收集、攻击实施及安全防护四个核心阶段,旨在为安全从业者提供清晰的行动指南。
明确渗透测试的目标范围和授权深度是首要任务。正规渗透必须获取书面授权。整体流程大致如下:
信息收集是渗透测试的基础,主要包括以下内容:
编程语言可以通过测试 index.{php,asp,aspx,jsp,do,action} 来确认,也可在返回头信息中查看。
以 .do、.action 结尾的 URL 通常涉及 Struts2 框架,需重点测试相关漏洞。确定网站类型有助于梳理后续的渗透思路。
通过了解业务逻辑寻找潜在漏洞点:
主要利用社会工程学和一些常规信息搜索手段:
中间件漏洞非常常见,常见的中间件包括:
低版本 IIS 常见漏洞有:
*.asp;.jsp。*.asp,则该文件夹下所有文件会被解析为 asp 文件。*.asa, *.cer, *.cdx。/*.php,如:xxx.com/upload/1.jpg/1.php。*.php.123.234 或 *.php.123;*.php.jpg..jps,以此类推直到解析为 php, asp, aspx。低版本 Apache 常见漏洞有:
*.php.rar.jpg.png,把常见后缀都写上去直到解析为止。*.php 改为 *.php1, *.php2, *.php3, *.php4 等,以此类推直到解析为止。Google 搜索引擎是强大的信息收集工具:
site: 搜索特定服务器或域名的页面。filetype: 搜索特定后缀的文件。link: 包含指定网页链接的网页。inanchor: 寻找链接的锚点。cache: 显示页面的缓存版本。numberange: 搜索一个数字范围。daterange: 搜索特定日期范围内发布的页。示例:
site:xxxxx.com
intitle:index.of site:xxxxx.com
intitle:login
intext:版权信息
inurl:php?id=
filetype:mdb inurl:xxxxx.com
link:xxxxx.com
filetype:log inurl:log # 日志查找
查找敏感信息、网站后台、源码或数据库备份文件,以便进一步渗透:
/robots.txt
/admin.php
/admin_login.php
/admin/login.php
/user_login.php
/upload.php
/up2.php
/phpmyadmin
/dede
/www.rar
/wwwroot.rar
/备份.rar
/*.sql
/.git
/.svn
针对 PHP 环境,可使用以下 Payload 探测(本地测试 5.5 以下版本):
/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP 信息列表)
/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP 的 LOGO)
/?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO)
/?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO 蓝色大象)
官方声明这不是安全漏洞,可通过在 php.ini 中设置 expose_php = Off 关闭。
确定网站的 CMS 及版本信息有助于查找 0day 进行攻击。如果开源可进行白盒测试,否则只能黑盒测试。
CMS 往往存在较多漏洞,需重点关注。
使用 Nmap 等神器对服务器进行端口扫描,查询其开放的服务。
| 端口 | 服务 | 常见风险 |
|---|---|---|
| 21 | FTP | 弱口令,爆破,匿名访问 |
| 22 | SSH | 弱口令,爆破,Backspace 键漏洞,OpenSSH 用户枚举漏洞 (CVE-2018-15473) |
| 23 | Telnet | 弱口令登录 |
| 137, 139 | Samba | 弱口令,未授权访问,远程代码执行漏洞 (CVE-2015-0240) |
| 389 | LDAP | 爆破,弱口令 |
| 443 | SSL | OpenSSL 心脏滴血漏洞 (CVE-2014-0160) |
| 445 | SMB | 弱口令,永恒之蓝等 |
| 1080 | Socket 代理 | 代理配置不当 |
| 1433 | MSSQL | 弱口令,爆破 |
| 1521 | Oracle | 弱口令,爆破 |
| 3306 | MySQL | 弱口令,爆破 |
| 5432 | PostgreSQL | 弱口令,爆破 |
| 6379 | Redis | 未授权访问,弱口令 |
| 27017 | MongoDB | 弱口令,爆破 |
| 5000 | DB2 | 弱口令,爆破 |
| 7001 | WebLogic | 弱口令,war 包部署 GetShell,Java 反序列化,SSRF |
| 2601 | Zebra 路由 | 弱口令,默认密码 zebra |
| 3389 | 远程桌面 | 弱口令,Shift 后门 |
| 8080 | Tomcat | 弱口令 |
| 2181 | Zookeeper | 未授权访问,命令执行 |
| 11211 | Memcache | 未授权访问 |
Zookeeper 常用命令:
echo envi | nc 127.0.0.1 2181 # 输出关于服务环境的详细信息
echo conf | nc 127.0.0.1 2181 # 输出相关服务配置的详细信息
echo stat | nc 127.0.0.1 2181 # 查看哪个节点被选为 follower 或 leader
echo ruok | nc 127.0.0.1 2181 # 测试是否启动,回复 imok 表示已启动
echo dump | nc 127.0.0.1 2181 # 列出未经处理的会话和临时节点
echo kill | nc 127.0.0.1 2181 # 关掉 server
echo cons | nc 127.0.0.1 2181 # 列出所有连接到服务器的客户端连接/会话详情
echo reqs | nc 127.0.0.1 2181 # 列出未经处理的请求
echo wchs | nc 127.0.0.1 2181 # 列出服务器 watch 的详细信息
echo wchc | nc 127.0.0.1 2181 # 通过 session 列出服务器 watch 的详细信息
echo wchp | nc 127.0.0.1 2181 # 通过路径列出服务器 watch 的详细信息
主要是二级/三级域名爆破,用于扩展渗透的范围。
使用 Fofa 等搜索引擎进行 C 段检测,可以有效扩展渗透的范围。
收集好目标系统的情报后,不要急于渗透,应与团队进行头脑风暴。团队成员各有特长,交流可以取长补短,从而更快制定入侵方案,确定最可行的攻击通道。
综合所有情报,特别是漏洞扫描结果、服务器配置、防火墙使用情况,分析确定可利用的漏洞和挖掘未知漏洞,选择有针对性的工具或开发必要的渗透代码。
验证漏洞是否存在,最终目标是 GetShell 或拿到管理后台。
获得初始权限后,需进行提权以获取更高权限,并植入后门保持持久化访问。
Linux 提权常见方法:
Windows 提权常见方法:
后门植入:
在内网环境中,攻击者通常需要进行横向移动以扩大战果。
为了保障系统安全,需考虑以下防护措施:
渗透测试是一个持续的过程,需要不断更新知识库和工具链。通过规范化的流程和严谨的安全防护,可以有效降低系统面临的风险。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online