滲透測試技巧小結-備忘

一、信息收集

1，獲取域名的whois信息,獲取註冊者郵箱姓名電話等。

2，查詢服務器旁站以及子域名站點，因爲主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他漏洞。

3，查看服務器操作系統版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞

4，查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。

5，掃描網站目錄結構，看看是否可以遍歷目錄，或者敏感文件泄漏，比如php探針

6，google hack 進一步探測網站的信息，後臺，敏感文件

備註安全團隊在進行滲透測試的時候，收集完相關的信息後，通過自動化的漏掃工具，進行進一步的問題發掘，然後通過掃描出來的漏洞以及自身的實戰項目經驗再進行深層次的漏洞挖掘，這也是爲什麼滲透測試比漏掃工具發現問題的深度和攻擊面會更廣。

二、漏洞掃描

開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含， 遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等

三、漏洞利用

利用以上的方式拿到webshell，或者其他權限

四、權限提升

提權服務器，比如windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉， linux髒牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權

五、 日誌清理

六、總結報告及修復方案

報告內容，首先是對本次網站滲透測試的一個總概括，發現幾個漏洞，有幾個是高危的漏洞，幾個中危漏洞，幾個低危漏洞。

然後對漏洞進行詳細的講解，比如是什麼類型的漏洞，漏洞名稱，漏洞危害，漏洞具體展現方式，修復漏洞的方法。

七、其他滲透相關知識點

01.sqlmap，怎麼對一個注入點注入

1）如果是get型號，直接，sqlmap -u “諸如點網址”.

2) 如果是post型諸如點，可以sqlmap -u “注入點網址” – data=”post的參數”

3）如果是cookie，X-Forwarded-For等，可以訪問的時候，用burpsuite抓包，注入處用*號替換，放到文件裏，然後sqlmap -r “文件地址”

sql注入的幾種類型

1）報錯注入

2）bool型注入

3）延時注入

4）寬字節注入

02.盲注和延時注入的共同點

都是一個字符一個字符的判斷

03.如何拿一個網站的webshell

上傳，後臺編輯模板，sql注入寫文件，命令執行，代碼執行， 一些已經爆出的cms漏洞，比如dedecms後臺可以直接建立腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等

sql注入寫文件都有哪些函數？

select ‘一句話’ into outfile ‘路徑’

select ‘一句話’ into dumpfile ‘路徑’

select ” into dumpfile ‘d:\wwwroot\http://baidu.com\nvhack.php’;

04.如何防止CSRF

1,驗證referer

2，驗證token

詳細：淺談cnode社區如何防止csrf攻擊 – CNode技術社區

05.owasp 漏洞都有哪些

1、SQL注入防護方法：

2、失效的身份認證和會話管理

3、跨站腳本攻擊XSS

4、直接引用不安全的對象

5、安全配置錯誤

6、敏感信息泄露

7、缺少功能級的訪問控制

8、跨站請求僞造CSRF

9、使用含有已知漏洞的組件

10、未驗證的重定向和轉發

06.SQL注入防護方法

1、使用安全的API

2、對輸入的特殊字符進行Escape轉義處理

3、使用白名單來規範化輸入驗證方法

4、對客戶端輸入進行控制，不允許輸入SQL注入相關的特殊字符

5、服務器端在提交數據庫進行SQL查詢之前，對特殊字符進行過濾、轉義、替換、刪除。

07.代碼執行，文件讀取，命令執行的函數都有哪些

1，代碼執行：eval,pregreplace+/e,assert,calluserfunc,calluserfuncarray,create_function

2，文件讀取：filegetcontents(),highlightfile(),fopen(),read file(),fread(),fgetss(), fgets(),parseinifile(),showsource(),file()等

3，命令執行：system(), exec(), shellexec(), passthru() ,pcntlexec(), popen(),proc_open()

img標籤除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎？

src指定一個遠程的腳本文件，獲取referer

img標籤除了onerror屬性外，並且src屬性的後綴名，必須以.jpg結尾，怎麼獲取管理員路徑。

08.繞過waf

1、關鍵字可以用%（只限IIS系列）。

比如select，可以sel%e%ct。

原理：網絡層waf對SEL%E%CT進行url解碼後變成SEL%E%CT，匹配select失敗，而進入asp.dll對SEL%E%CT進行url解碼卻變成select。

IIS下的asp.dll文件在對asp文件後參數串進行url解碼時，會直接過濾掉09-0d（09是tab鍵,0d是回車）、20（空格）、%(後兩個字符有一個不是十六進制)字符。xss也是同理。

2、編碼。這個方法對waf很有效果，因爲一般waf會解碼，但是我們利用這個特點，進行兩次編碼，他解了第一次但不會解第二次，就bypass了。騰訊waf、百度waf等等都可以這樣bypass的。

3、繞過策略一：僞造搜索引擎

4、360webscan腳本存在這個問題，就是判斷是否爲admin dede install等目錄，如果是則不做攔截

5、multipart請求繞過，在POST請求中添加一個上傳文件，繞過了絕大多數WAF。

6、參數繞過，複製參數，id=1&id=1

用一些特殊字符代替空格，比如在mysql中%0a是換行，可以代替空格，這個方法也可以部分繞過最新版本的安全狗，在sqlserver中可以用/**/代替空格