第七章 渗透测试基础之 怎么学

[yzdily]

概念和流程 渗透测试要求 常见名词解释 其他

渗透测试概念

1、什么是渗透测试 渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这 个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能 存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。 2、为什么需要渗透测试 如果把企业的信息安全管理比作牙齿护理，安全服务公司比作牙医，那么企业自己定期进行 渗透测试自查就好比刷牙和使用牙线，如今几乎所有安全顾问公司都会建议企业重视渗透测 试检查，这样可以有效避免很多浅显而严重的失误和漏洞。【安全不是一场运动会，安全是 一场持久战】 3、渗透测试做什么 渗透测试流程 黑盒测试又被称为所谓的“Zero-Knowledge Testing”，渗透者完全处于对系统一无所知的状 态，通常这类型测试，最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。 白盒测试 ： 白盒测试与黑盒测试恰恰相反，测试者可以通过正常渠道向被测单位取得各种资料，包括网 络拓扑、员工资料甚至网站或其它程序的代码片断，也能够与单位的其它员工（销售、程序 员、管理者……）进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。

灰盒测试 ： 灰盒测试是介于白盒测试与黑盒测试之间的一种测试方法。测试人员模拟内部雇员，有一个 内部网络账号，并拥有了访问网络的标准方法。 渗透测试思路 搞渗透 先扫描 扫描器 商业好 默密码 都知道 社工库 找一找 邮箱号 先列好 九头蛇 跑一跑 搞不定 放大招 发邮件 凭伪造 没邮箱 搞网站 二级域 皆可爆 老漏洞 没修好 新漏洞 刷一票 干研发 Git 找 源代码 全都要 C D N 可以跳 防火墙 可以撬 堡垒机 可以秒 云防护 可以秒 是企业 没有哪家搞不了 渗透网站娱乐版 进谷歌 找注入 没注入 就旁注 没旁注 用0day 没0day 猜目录 没目录 就嗅探 爆账户 找后台 传小马 放大马 拿权限 挂页面 放暗链 清数据 清日志 留后门 信息收集 【知识面决定你看到的攻击面，而知识链则决定了你发动的杀伤链条】 漏洞扫描 漏洞验证 手工测试 渗透思路 信息收集 1.常规操作： WHOIS查询、子域名、 真实ip、开放端口、 旁站、 c段 网站（cms）指纹识别、 敏感文件、敏感目录探测、 网站漏洞扫描（漏扫）等 2.移动端： 公众号、小程序、app等 3.企业资产统计 天眼查、ICP备案查询网、微步在线

渗透测试要求

一.测试行为规范 项目要求 1.请勿将项目信息外泄 2.严格按照厂商划定的测试范围进行安全测试，超出测试范围的漏洞拒收 3.在测试过程中请将影响业务及破坏数据 4.可能给厂商带来业务影响或造成数据破坏的漏洞请在测试以前与管理员沟通 测试范围 1.禁止扫描器 2.禁止批量爆破，批量遍历行为，证明问题即可 3.所有操作用户均有日志审计和攻击频率统计，不要影响业务 漏洞评级 【 高 】

1. 敏感信息泄漏。包括但不仅限于遍历导致大量敏感数据泄露、非核心DB SQL 注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。
2. 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台以修改大量 前台敏感信息，或利用后台弱密码、SSRF获取大量内网敏感信息。
3. 直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。
4. 越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、 重要业务配置修改等较为重要的越权行为。 漏洞评级 【 中 】
5. 存储型XSS和跨域导致的敏感信息泄漏。（注：XSS盲打类需明确攻击触发 点）
6. 普通越权操作。包括但不仅限于越权查询id、越权查询商家流水、越权查询订 单号等非敏感功能越权。
7. 普通信息泄漏。包括但不仅限于Github涉及美团内部密码泄露。
8. 普通的逻辑设计缺陷和流程缺陷导致的安全风险。
9. 对任意指定用户或手机号无限制的短信轰炸。（参考标准：30条/单手机号/分 钟） 漏洞评级 【 低 】
10. 反射型XSS和重要敏感操作的CSRF。
11. 轻微信息泄漏。包括但不仅限于SVN信息泄漏、调试页面泄露，服务端配置 信息泄漏、以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache 内容）等。
12. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点。
13. 无交互的任意URL跳转。
14. 无回显的ssrf。 漏洞评级 【 无 】
15. 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混 乱、静态文件目录遍历、应用兼容性、复杂交互的URL重定向、账户枚举等问 题。
16. 无法利用的漏洞。无敏感操作的 CSRF（收藏、取消收藏、添加购物车、一 般的资料修改等）、无意义的异常信息泄漏、无意义的源码泄漏、内网 IP 地址/ 域名泄漏、无敏感信息的越权访问、401 基础认证钓鱼。
17. 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重 现、未经验证、无意义的扫描报告的问题。
18. 任何无敏感信息的信息泄露（例如无敏感信息的 jsonp劫持、无敏感信息的 cors跨域配置错误、self类的XSS、仅有 js、img 等的打包文件、 一般信息的 logcat、包含内网 ip/域名的页面）等。 四种脚本语言 1.ASP即Active Server Pages，是 MicroSoft公司开发的服务器端 脚本环境，可用来创建动态交互 式网页并建立强大的web应用程 序。当服务器收到对ASP文件的 请求时，它会处理包含在用于构 建发送给浏览器的HTML （Hyper Text Markup Language， 超文本置标语言）网页文件中的 服务器端脚本代码。除服务器端 脚本代码外，ASP文件也可以包 含文本、HTML（包括相关的客 户端脚本）和com组件调用. 2.PHP是一种通用开源脚本语言。语法吸收了C 语言、Java和Perl的特点，利于学习，使 用广泛，主要适用于Web开发领域。 PHP 独特的语法混合了C、Java、Perl以 及PHP自创的语法。它可以比CGI或者 Perl更快速地执行动态网页。用PHP做出 的动态页面与其他的编程语言相比，PHP 是将程序嵌入到HTML（标准通用标记语 言下的一个应用）文档中去执行，执行效 率比完全生成HTML标记的CGI要高许多； PHP还可以执行编译后代码，编译可以达 到加密和优化代码运行，使代码运行更快. 3.JSP全名为Java Server Pages，中 文名叫java服务器页面，其根本是 一个简化的Servlet设计，它是由 Sun Microsystems公司倡导、许多 公司参与一起建立的一种动态网页 技术标准。JSP技术有点类似ASP 技术，它是在传统的网页HTML（标 准通用标记语言的子集）文件 (.htm,.html)中插入Java程序段 (Scriptlet)和JSP标记(tag)，从而形 成JSP文件，后缀名为(.jsp)。 用 JSP开发的Web应用是跨平台的， 既能在Linux下运行，也能在其他操 作系统上运行。 4.JavaScript一种直译式脚本 语言，是一种动态类型、弱 类型、基于原型的语言，内 置支持类型。它的解释器被 称为JavaScript引擎，为浏 览器的一部分，广泛用于客 户端的脚本语言，最早是在 HTML（标准通用标记语言 下的一个应用）网页上使用， 用来给HTML网页增加动态 功能。 两种网页协议 • 超文本传输协议（HTTP，HyperText Transfer Protocol)，是互联网 上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 1960年美国人Ted Nelson构思了一种通过计算机处理文本信息的方法， 并称之为超文本（hypertext）,这成为了HTTP超文本传输协议标准架构 的发展根基。Ted Nelson组织协调万维网协会（World Wide Web Consortium）和互联网工程工作小组（Internet Engineering Task Force ）共同合作研究，最终发布了一系列的RFC，其中著名的RFC 2616 定义了HTTP 1.1。 • HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全 版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内 容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同 http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP， 但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP 与TCP之间）。 两种渗透测试方法 白盒测试 黑盒测试 主要内容 CMS 内容管理系统，用来统一快速创建网站。例如wordpress是著名的个 人网站CMS。 中间件 中间件是一种独立的系统软件或服务程序，分布式应用软件借助这种 软件在不同的技术之间共享资源。 中间件位于客户机/ 服务器的操作 系统之上，管理计算机资源和网络通讯。是连接两个独立应用程序或 独立系统的软件。常见中间件有IIS、apache、nginx、weblogic等。 三种常见架构 ASP.NET = windows + IIS +SQL SERVER + ASP J2EE = UNIX + TOMCAT + ORACLE + JSP LAMP = LINUX + APACHE + MYSQL + PHP 其他 漏洞 硬件、软件、协议等等的可利用安全缺陷，可能被攻击者利用，对数据 进行篡改，控制等。 CVE漏洞编号 CVE 的英文全称是“Common Vulnerabilities & Exposures”公 共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞 或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名 字， 可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数 据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共 享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE 名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的 信息，解决安全问题。 后门:黑客为了对主机进行 长期的控制，在机器 上种植的一段程序或 留下的一个 “ 入 口 ” 。webshell: 通过web入侵的一种脚 本工具，可以对网站服 务进行一定程度的控制 提权:操作系统低权限的账 户将自己提升为管理 员权限使用的方法 肉鸡：被黑客入侵并被长期驻扎的计算机或 服务器。可以随意控制，可以是任意 系统的设备，对象可以是企业，个人， 政府等等所有单位。 抓鸡：利用使用量大的程序的漏 洞，使用自动化方式获取 存在漏洞的行为。 拖库：本来是数据库领域的术语，指 从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭 到入侵后，黑客窃取其数据库。 撞库是黑客通过收集互联网已泄露 的用户和密码信息，生成对应的字 典表，尝试批量登陆其他网站后， 得到一系列可以登录的用户。 旁站测试：同服务器下的网站入侵，入侵之后可 以通过提权跨目录等手段拿到目标网 站的权限。 即配置了多个虚拟主机的服务器，当 其中一个web站点出现问题之后，能 够控制网站，通过提权等方法，进入 控制web目录的网站。 C段测试：即同 C 段下服务器入侵。如目标 ip 为 192.168.180.253 入侵 192.168.180. 的任意一台机器， 然后利用一些黑客工具嗅探获取 在网络上传输的各种信息。 APT:Advanced Persistent Threat ，高级可持续性 攻击，是指组织或者小团体利用先进的攻击手 段对特定目标进行长期持续性网络攻击的攻击 形式。 1. 极强的隐蔽性 2. 潜伏期长，持续性强 3. 目标性强 黑/白/灰/红 帽子 u 日站 && WAF && IP被ban u 硬件黑客、生物黑客... u 跳板攻击：使用肉鸡IP来实施攻击其他目标，以便更好的隐藏自己的身份信息 u 压力测试(Ddos、CC攻击)：利用流量资源攻击服务器 u 送外卖&&点外卖 渗透测试发展历史 2005-2010 脚本小子时代（05-10年会使用脚本的人特别多） 2010-2015 高级脚本小子时代（10-15年，制作脚本的人越来越多） 2015-至今 信息安全工程化（15年开始，人才复用+全栈） 渗透测试发展历史-平台 白帽第三方平台： 乌云、漏洞盒子、补天、漏洞银行等 乙方各路公司： 天融信、绿盟、启明、360等 SRC安全应急响应中心平台： ASRC、BSRC、TSRC、MTSRC等 学习资源、社区 学习资源： SecWiki：https://www.sec-wiki.com/ https://www.anquanke.com/ http://www.91ri.org/ Freebuf：https://www.freebuf.com/ 每日安全：https://sec.today/pulses/ 红队和蓝队资料集锦：https://www.lshack.cn/772/ 嘶吼：https://www.4hou.com/ 个人网站： Paper：https://paper.seebug.org/ 离别歌：https://www.leavesongs.com/ 九世：https://422926799.github.io/ 学习社区： 先知社区：https://xz.aliyun.com/ Tools：https://www.t00ls.net/ 上班一般做些什么？ 应急响应：系统访问不了啦，被黑客入侵了… 现场讲课：客户需要安全培训… 代码审计：需要对系统进行白盒代码审计… 安全研究：漏洞挖掘、各种研究… 工具编写：编写各种EXP/POC自动化Py代码… 报告撰写：应急报告、渗透报告、漏洞验证报告… 渗透测试：Web漏洞、内网渗透… 驻场服务：去客户那里上班、外派出去服务，如：护网行动！ CTF比赛：强网杯、XCTF、网鼎杯、各种CTF.… 新洞跟进：复现中间件漏洞、CMS漏洞、数据库漏洞、操作系统漏洞… ……（取决你的公司、你的部门、你的领导…） 1、兴趣、伙伴、交流、适应、心态、耐心 2、学会挖掘知识相互的异同点、看文章与实战文章不在一个等级、验证知识的拓 展性和复用性、学会知识的归纳与总结， 3、把控当前、玩出节奏、学会填坑 4、万事俱备、只欠东风