安全
信息收集Web(无CDN)子域名· 工具:layer subdomain
· 主站安全较高,可以通过子域名进行突破
服务端口· 工具:nmap masscan
· 网站端口及服务越多,相对的漏洞也会越多
网站目录· 工具:dirbuster dirsearch
· 目录扫描会得到更多的敏感信息,如源码或数据库备份文件,旧版入口网站等
CMS指纹· 工具:bugscaner cmsmap
· 直接便于查找指定网站程序的漏洞信息
旁注C段· 工具:第三方接口
· 基于同服务器和同网段的站点进行分析
四大件· 中间件
• 脚本类型
· 操作系统
• 数据库类型
域名信息· 站长信息
· 备案信息
• DNS信息
结合其他应用· APP或第三方应用
· 网站插件及模版
工具脚本集合· /
· fuzzscanner
为后期的漏洞测试漏洞利用做准备做爆破字典的生成设计,社工多发现这类应用便于漏洞发现的最大化App抓包分析反编译逆向利用类似burp抓包获取app涉及到的Web信息,再转至Web层面安全测试获取抓包抓不到的其他信息,接口,Web等客户端抓包分析反编译逆向利用类似findder抓包获取app涉及到的Web信息,再转至Web层面安全测试获取抓包抓不到的其他信息,接口,Web等漏洞分类Web层面SQL注入· 数据库类型
• access
• 只能猜解数据库信息
• sqlserver
• 数据库信息(单个或全部)
• 文件操作(读取,写入)
• 注册表,命令执行等
• 取决于当前注入权限,sa db public权限
• mysql
• 数据库信息(单个或全部)
• 文件操作(读取,写入)
• 取决于当前注入权限,root或非root权限
• oracle
• MongoDB
• postsql
· 参数类型
• 数字型
• 无符号干扰
• 字符型
• 单引号干扰
• 搜索型
• 单引号百分号干扰
• SQL命令中各种参数值会使用符号进行闭合
· 提交方式
• GET
• POST
• COOKIE
• HTTP
• 数据传递会有各种请求方式,所以要以正确的请交方式去测试注入
· 其他问题
• 加解密
• 加解码
• 二次注入
• 盲注
• 延时注入
• 防注入
• 程序防注入
• waf产品
• 脚本函数
• 各种复杂的注入问题
文件上传· 客户端
• JS本地验证
· 服务端
• 检测后缀
• 黑名单
• 直接上传脚本类型
• 上传.htaccess
• 后缀名大小写绕过
• 符号点绕过
• 空格绕过
• ::$DATA绕过
• 解析漏洞
• 双后缀名绕过
• 白名单
• MIME绕过
• %00截断
• 0x00截断
• 0x0a截断
• 检测内容
• 文件头检测
• getimagesize()突破
• exif_imagetype()突破
• 二次渲染
• 其他
• 条件竞争
XSS跨站· 反射型
· 存储型
· DOM型
· 简单的xss类型,非持续型的攻击
· 简单的xss类型,持续型攻击,攻击语句会存储至数据库中
· 界面的xss类型,伪装的一种攻击,模拟按钮图像等
文件包含· 本地包含
· 远程包含
代码执行命令执行反序列化目录遍历· 文件泄漏
· 目录安全
· 服务器或中间件的权限设置不当,导致网站路径或备份文件等敏感数据泄露,可勇扫描脚本工具探针
· 目录的读取操作问题,控制变量未进行过滤导致的目录跨越的问题,如文件管理:file.php?=../../
变量覆盖其他· csrf
· ssrf
· xxe xml
· json
· 下载
· 逻辑
· 越权
• 垂直越权
• 水平越权
• 跨权限
• 同权限
· 参考:Web攻防之业务安全实战指南
· 跨站点请求伪造,同源策略的防御措施
· 主要作用在内网进行信息探针,漏洞漏洞一块
· 网站的xml脚本导致的安全问题
· 网站处理文件下载时,未过滤传入的文件名的参数,可以利用该漏洞进行网站的敏感文件下载。如数据库配置文件等
获取数据库信息,部分可以获取Web权限,文件操作等,安全测试工具:sqlmap直接通过上传获取Web权限植入后门,安全测试工具:burpsuite主要获取管理员Cookie信息,可结合其他攻击方式,安全测试工具:beef xsser直接通过文件包含后门获取权限脚本函数导致的代码被执行,将后门或者敏感操作代码进行脚本执行(thinkphp代码执行漏洞)脚本函数调用系统的COM组件的安全问题,一般可以用于调用执行系统命令,如CMD脚本中字符串处理不当导致该漏洞可利用出其他漏洞将原始变量的值进行覆盖,导致数据被替换,一般常结合其他漏洞利用可通过Pikachu靶场进行测试系统层面溢出提权中间件层面弱口令各种漏洞其他层面未授权访问第三方软件参考:未授权访问漏洞集合带环境及解题参考:Web中间件常见漏洞总结漏洞发现WEBCMS· 已知CMS
• 通过漏洞平台进行漏洞查找
• 下载获取源码进行代码审计
· 未知CMS
• 小众或冷门的程序源码搭建
· 内部源码
• 内部团队开发的程序源码
· 网站源码采用网上公开的脚本程序搭建,如dedecms discuz wordpress等
· 常见的测试,可用AWVS或Appscan等安全扫描工具进行漏洞探针
黑盒· 无源码无目标相关信息的测试
· 部分漏洞不能发现,如:二次注入,变量覆盖,反序列化等
白盒· 有源码有目标相关信息的测试
• 通过漏洞平台进行漏洞查找
• 下载获取源码进行代码审计
子域名目录端口IPCMS识别可利用bugscanner或云悉等识别平台通过目标的子域名获取后,再进行子域名目标的安全测试,一般是直接目标的难度较大采用的方案网站搭建的习惯问题导致的思路,例子:xx.com(dedecms) xx.com/old(aspcms) xx.com/bbs(discuz) 三个目标网站搭建的习惯问题导致的思路,例子:xx.com(dedecms) xx.com:8000(aspcms) xx.com:8080/(discuz) 三个目标网站搭建平台或解析问题导致,可利用IP进行信息收集,扫描敏感文件等操作系统中间件其他PhpmyadminSVNopensshimagemagick。。。。WEB或服务器使用第三方软件或插件导致的安全漏洞,主要利用搜索引擎或漏洞平台获取从服务器入手,漏洞发现主要用Nessus,巡风,Nmap等扫描探针参考:Web中间件常见漏洞总结漏洞利用POC,EXP例子:PHPCMS2008 comment.php 注入EXP根据EXP的代码格式,选用对应的安装环境的解析器进行执行解析操作脚本代码WEB应用各种漏洞,上传,代码执行等编程代码系统提权漏洞代码,需要编译环境进行编译工具插件绕过产品· 软件
• 安全狗
• D盾
• 宝塔
• 安骑士
• 护卫神
· 硬件
• 安全产品
分析· 识别
• Wafw00f
· 研究
• 搭建安装
• FUZZ
• 抓包
• 查看配置
绕过· 影响元素
• 产品类别
• 网站环境
• 攻击方法
• SQL注入
• 文件上传
• XSS跨站
• 文件包含
• 目录扫描
• 常见的漏洞攻击方法
• WAF产品的名称
• WEB应用的搭建环境
· 绕过技术
• SQL注入
• 关键字替换(等价替换)
• 大小写
• 特殊符号(注释符)
• 数据库特性
• 提交方式
• 文件上传
• 更改上传参数
• 00截断
• 去符号防匹配
• 多参数(HPP污染)
• 换行截断
• 参考前面的WAF录像
• 后门代码
• 代码层
• 等价函数替换
• 大小写
• 多变量
• 自定义函数
• 加密编码
• 数据提交参数
• 等价替换敏感函数防WAF匹配
• 利用大小写逻辑问题防匹配
• 变量覆盖思路将带有敏感的变量进行伪装防匹配
• 自写函数打造敏感函数的功能
• 伪装敏感数据防匹配
• 将敏感数据进行提交传递不在代码中体现
• 行为层
• 修改工具指纹
• 修改原始代码
• 修改请求来源
• 黑名单
• 更改来源
• 白名单
• 更改来源
• VPN软件
• X-forward伪造
• 修改原有工具的指纹信息防匹配,一般为HTTP请求数据包信息
• 将实现功能的代码部分进行二次开发,修改方法参考代码层绕过
• 通用绕过方案
• 目录扫描
• 延迟扫描
• 代理扫描
• 模拟搜索引擎
• 参考:
· 均可采用模糊测试Fuzz进行测试
WAF会对web应用的相关攻击进行过滤后门获取漏洞直接获取· 如mysql注入进行文件写入
· 如上传漏洞直接上传文件
· 如文件包含直接包含后门
· 如命令执行利用命令写入
后台权限获取· 如利用数据库备份将图片格式备份至脚本格式
· 如文件管理器进行文件创建写入代码操作
· 如SQL命令进行后门文件的写入
· 如修改网站配置文件写入后门代码
· 如利用后台文件上传功能上传后门文件
其他攻击获取· 如FTP爆破后进行后门文件上传
· 如phpmyadmin登录后进行sql命令写入
· 如服务器系统漏洞获取系统权限植入WEB后门
· 如旁注站点权限获取后植入后门文件
· 如中间件漏洞获取相关权限后植入后门文件
通过各种途径获取WEB后门权限的介绍各种问题漏洞发现不了?· 是否信息收集全面?
· 是否工具使用全面?
· 是否需要手工配合?
· 是否从源码入手?
· 端口站点,目录站点,子域名,旁注等信息均以测试?
· 常见扫描工具AWVS,Appscan,各大扫描平台等都扫描测试?
· 部分漏洞可能工具无法探针,需要配合手工进行安全测试?
· 代码审计层面的漏洞挖掘操作呢?
漏洞利用失败?· WAF?
· 漏洞是否存在?
· 其他
· 网上漏洞代码错误等
权限获取不了?· 中间件脚本执行权限设置
· WAF
· 网站某些目录设置了不执行脚本格式
后渗透问题?其他权限提升操作系统Windows· 数据库
• Mssql
• sa权限
• 数据库连接工具进行xp_cmdshell提权
• Mysql
• root权限
• UDF提权
• MOF提权
• 启动项提权
• 漏洞提权
• 提权脚本或工具进行
• Oracle
• 密码获取方法
• 读取网站的数据库配置文件,如conn,config,sql,data等关键字文件
• 利用爆破脚本进行数据库密码猜解
• 利用数据库备份文件进行搭建查询
• 利用数据库文件进行读取(mysql)
• 条件:获取数据库最高权限用户密码,借助数据库用户进行权限提升
· 系统溢出
• CVE或MS编号等EXP
• 收集信息
• 操作系统
• 位数
• 版本信息
• 补丁信息
• 网络信息
• 端口信息
• 筛选可用提权Poc,tasklist /svc ver systeminfo whoami
• 后续控制渗透做准备,netstat -ano ipconfig /all
• 第三方软件提权做铺垫,netstat -ano
• 寻找可读写目录
• 上传执行的CMD
• 上传可用POC
• 调用cmd执行poc
• 后续控制
• 3389控制
• 远控控制
• 终端控制
• 方便,内网服务器需要端口转发
• 解决内网问题,需要制定工具软件
• 方便,无图像化操作
• 获取系统权限
• 自动检测:项目地址:/
· 第三方软件
• Serv-u
• radmin
• pcanywhere
• vnc
• zend
• 以第三方软件的用户密码做条件进行权限提升,有部分是存在提权漏洞
Linux· 数据库
· 系统溢出
• 收集信息
• 内核信息
• 网络信息
• 上传POC至/tmp目录
• 反弹Shell
• 执行POC
• 无权限执行
• chmod 777 poc 赋予poc文件执行权限
• 报错或失败
• EXP问题或无此类提权漏洞
• 后续控制
• 终端控制
• 借助反弹脚本或webshell自带功能
· 其他
• SUID提权
• 案例:Linux-DC-1 vunlhub test \;
内网安全信息收集网络信息· IP地址
· 内外网
· 网卡
· 对应网络连接的计算机
· 用来评估当前安全测试目标的网络架构
密码信息· 计算机用户密码
· 数据库用户密码
· 软件及其他密码
· 用来后续的密码字典制作从而进行弱口令攻击
端口信息· 开放端口及对应服务
· 当前端口连接的计算机
· 用于后续服务攻击做准备
文件信息· 密码记录文件
· 数据备份文件
· 日志记录文件
· 各种敏感文件
· 分析服务器用途及网络的角色
其他信息网络架构攻击方式特有· ARP嗅探
· 会话劫持
· DNS劫持
· 钓鱼攻击
常规· 弱口令攻击
· 服务攻击
· 系统攻击
· WEB攻击
平台:MSF 推荐:Powershell框架 nishang参考文章:绕过旨在收集更全面的信息,为后期漏洞发现打好基础解决权限问题导致的操作失败等,后渗透准备工作
8
