思路流程
資訊收集
服務器的相關資訊(真實ip,系統型別,版本,開放埠,WAF等)
網站指紋識別(包括,cms,cdn,證書等),dns記錄
whois資訊,姓名,備案,郵箱,電話反查(郵箱丟社工庫,社工準備等)
子域名收集,旁站,C段等
google hacking針對化搜索,pdf檔案,中間件版本,弱口令掃描等
掃描網站目錄結構,爆后臺,網站banner,測驗檔案,備份等敏感檔案泄漏等
傳輸協議,通用漏洞,exp,github原始碼等
漏洞挖掘
瀏覽網站,看看網站規模,功能,特點等
埠,弱口令,目錄等掃描,對回應的埠進行漏洞探測,比如 rsync,心臟出血,mysql,ftp,ssh弱口令等,
XSS,SQL注入,上傳,命令注入,CSRF,cookie安全檢測,敏感資訊,通信資料傳輸,暴力破解,任意檔案上傳,越權訪問,未授權訪問,目錄遍歷,檔案 包含,重放攻擊(短信轟炸),服務器漏洞檢測,最后使用漏掃工具等
漏洞利用&權限提升
mysql提權,serv-u提權,oracle提權
windows 溢位提權
linux臟牛,內核漏洞提權e
清除測驗資料&輸出報告
日志、測驗資料的清理
總結,輸出滲透測驗報告,附修復方案
復測
驗證并發現是否有新漏洞,輸出報告,歸檔
問題
1.拿到一個待檢測的站,你覺得應該先做什么?
a、資訊收集
1、獲取域名的whois資訊,獲取注冊者郵箱姓名電話等,丟社工庫里看看有沒有泄露密碼,然后嘗試用泄露的密碼進行登錄后臺,用郵箱做關鍵詞進行丟進搜索引擎,利用搜索到的關聯資訊找出其他郵箱進而得到常用社交賬號,社工找出社交賬號,里面或許會找出管理員設定密碼的習慣 ,利用已有資訊生成專用字典,
2、查詢服務器旁站以及子域名站點,因為主站一般比較難,所以先看看旁站有沒有通用性的cms或者其他漏洞,
3、查看服務器作業系統版本,web中間件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的決議漏洞
4、查看IP,進行IP地址埠掃描,對回應的埠進行漏洞探測,比如 rsync,心臟出血,mysql,ftp,ssh弱口令等,
5、掃描網站目錄結構,看看是否可以遍歷目錄,或者敏感檔案泄漏,比如php探針
6、google hack 進一步探測網站的資訊,后臺,敏感檔案
b、漏洞掃描
開始檢測漏洞,如XSS,XSRF,sql注入,代碼執行,命令執行,越權訪問,目錄讀取,任意檔案讀取,下載,檔案包含,遠程命令執行,弱口令,上傳,編輯器漏洞,暴力破解等
c、漏洞利用
利用以上的方式拿到webshell,或者其他權限
d、權限提升
提權服務器,比如windows下mysql的udf提權,serv-u提權,windows低版本的漏洞,如iis6,pr,巴西烤肉,linux臟牛漏洞,linux內核版本漏洞提權,linux下的mysql system提權以及oracle低權限提權
e、日志清理
f、總結報告及修復方案
2.判斷出網站的CMS對滲透有什么意義?
查找網上已曝光的程式漏洞,
如果開源,還能下載相對應的原始碼進行代碼審計,
3.一個成熟并且相對安全的CMS,滲透時掃目錄的意義?
敏感檔案、二級目錄掃描
站長的誤操作比如:網站備份的壓縮檔案、說明.txt、二級目錄可能存放著其他站點
4.常見的網站服務器容器,
IIS、Apache、nginx、Lighttpd、Tomcat
5.mysql注入點,用工具對目標站直接寫入一句話,需要哪些條件?
root權限以及網站的絕對路徑,
6.目前已知哪些版本的容器有決議漏洞,具體舉例,
a、IIS 6.0
/xx.asp/xx.jpg "xx.asp"是檔案夾名
b、IIS 7.0/7.5
默認Fast-CGI開啟,直接在url中圖片地址后面輸入/1.php,會把正常圖片當成php決議
c、Nginx
版本小于等于0.8.37,利用方法和IIS 7.0/7.5一樣,Fast-CGI關閉情況下也可利用,空位元組代碼 xxx.jpg.php
d、Apache 上傳的檔案命名為:test.php.x1.x2.x3,Apache是從右往左判斷后綴
e、lighttpd xx.jpg/xx.php,不全,請小伙伴們在評論處不吝補充,謝謝!
7.如何手工快速判斷目標站是windows還是linux服務器?
linux大小寫敏感,windows大小寫不敏感,
8.為何一個mysql資料庫的站,只有一個80埠開放?
更改了埠,沒有掃描出來,
站庫分離,
3306埠不對外開放
9、3389無法連接的幾種情況
沒開放3389 埠
埠被修改
防護攔截
處于內網(需進行埠轉發)
10.如何突破注入時字符被轉義?
寬字符注入
hex編碼繞過
11.在某后臺新聞編輯界面看到編輯器,應該先做什么?
查看編輯器的名稱版本,然后搜索公開的漏洞,
12.拿到一個webshell發現網站根目錄下有.htaccess檔案,我們能做什么?
能做的事情很多,用隱藏網馬來舉例子:
插入
<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php
.jpg檔案會被決議成.php檔案,
具體其他的事情,不好詳說,建議大家自己去搜索陳述句來玩玩,
13.注入漏洞只能查賬號密碼?
只要權限廣,拖庫脫到老,
14.安全狗會追蹤變數,從而發現出是一句話木馬嗎?
是根據特征碼,所以很好繞過了,只要思路寬,繞狗繞到歡,但這應該不會是一成不變的,
**15.access 掃出后綴為asp的資料庫檔案,訪問亂碼,**如何實作到本地利用?
迅雷下載,直接改后綴為.mdb,
16.提權時選擇可讀寫目錄,為何盡量不用帶空格的目錄?
因為exp執行多半需要空格界定引數
17.某服務器有站點A,B 為何在A的后臺添加test用戶,訪問B的后臺,發現也添加上了test用戶?
同資料庫,
18.注入時可以不使用and 或or 或xor,直接order by 開始注入嗎?
and/or/xor,前面的1=1、1=2步驟只是為了判斷是否為注入點,如果已經確定是注入點那就可以省那步驟去,
19:某個防注入系統,在注入時會提示:
系統檢測到你有非法注入的行為,
已記錄您的ip xx.xx.xx.xx
時間:2016:01-23
提交頁面:test.asp?id=15
提交內容:and 1=1
20、如何利用這個防注入系統拿shell?
在URL里面直接提交一句話,這樣網站就把你的一句話也記錄進資料庫檔案了 這個時候可以嘗試尋找網站的組態檔 直接上菜刀鏈接,
21.上傳大馬后訪問亂碼時,有哪些解決辦法?
瀏覽器中改編碼,
22.審查上傳點的元素有什么意義?
有些站點的上傳檔案型別的限制是在前端實作的,這時只要增加上傳型別就能突破限制了,
23.目標站禁止注冊用戶,找回密碼處隨便輸入用戶名提示:“此用戶不存在”,你覺得這里怎樣利用?
先爆破用戶名,再利用被爆破出來的用戶名爆破密碼,
其實有些站點,在登陸處也會這樣提示
所有和資料庫有互動的地方都有可能有注入,
24.目標站發現某txt的下載地址為
http://www.test.com/down/down.php?file=/upwdown/1.txt,你有什么思路?
這就是傳說中的下載漏洞!在file=后面嘗試輸入index.php下載他的首頁檔案,然后在首頁檔案里繼續查找其他網站的組態檔,可以找出網站的資料庫密碼和資料庫的地址,
25.甲給你一個目標站,并且告訴你根目錄下存在/abc/目錄,并且此目錄下存在編輯器和admin目錄,請問你的想法是?
直接在網站二級目錄/abc/下掃描敏感檔案及目錄,
26.在有shell的情況下,如何使用xss實作對目標站的長久控制?
后臺登錄處加一段記錄登錄賬號密碼的js,并且判斷是否登錄成功,如果登錄成功,就把賬號密碼記錄到一個生僻的路徑的檔案中或者直接發到自己的網站檔案中,(此方法適合有價值并且需要深入控制權限的網路),
在登錄后才可以訪問的檔案中插入XSS腳本,
27.后臺修改管理員密碼處,原密碼顯示為*,你覺得該怎樣實作讀出這個用戶的密碼?
審查元素 把密碼處的password屬性改成text就明文顯示了
28.目標站無防護,上傳圖片可以正常訪問,上傳腳本格式訪問則403.什么原因?
原因很多,有可能web服務器配置把上傳目錄寫死了不執行相應腳本,嘗試改后綴名繞過
29.審查元素得知網站所使用的防護軟體,你覺得怎樣做到的?
在敏感操作被攔截,通過界面資訊無法具體判斷是什么防護的時候,F12看HTML體部 比如護衛神就可以在名稱那看到內容,
30.在win2003服務器中建立一個 .zhongzi檔案夾用意何為?
隱藏檔案夾,為了不讓管理員發現你傳上去的工具,
31、sql注入有以下兩個測驗選項,選一個并且闡述不選另一個的理由:
A. demo.jsp?id=2+1
B. demo.jsp?id=2-1
選B,在 URL 編碼中 + 代表空格,可能會造成混淆
32、以下鏈接存在 sql 注入漏洞,對于這個變形注入,你有什么思路?
demo.do?DATA=https://www.cnblogs.com/Alphabets26/p/AjAxNg==
DATA有可能經過了 base64 編碼再傳入服務器,所以我們也要對引數進行 base64 編碼才能正確完成測驗
33、發現 demo.jsp?uid=110 注入點,你有哪幾種思路獲取 webshell,哪種是優選?
有寫入權限的,構造聯合查詢陳述句使用using INTO OUTFILE,可以將查詢的輸出重定向到系統的檔案中,這樣去寫入 WebShell 使用 sqlmap –os-shell 原理和上面一種相同,來直接獲得一個 Shell,這樣效率更高 通過構造聯合查詢陳述句得到網站管理員的賬戶和密碼,然后掃后臺登錄后臺,再在后臺通過改包上傳等方法上傳 Shell
34、CSRF 和 XSS 和 XXE 有什么區別,以及修復方式?
XSS是跨站腳本攻擊,用戶提交的資料中可以構造代碼來執行,從而實作竊取用戶資訊等攻擊,修復方式:對字符物體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端采用相同的字符編碼,
CSRF是跨站請求偽造攻擊,XSS是實作CSRF的諸多手段中的一種,是由于沒有在關鍵操作執行時進行是否由用戶自愿發起的確認,修復方式:篩選出需要防范CSRF的頁面然后嵌入Token、再次輸入密碼、檢驗Referer XXE是XML外部物體注入攻擊,XML中可以通過呼叫物體來請求本地或者遠程內容,和遠程檔案保護類似,會引發相關安全問題,例如敏感檔案讀取,修復方式:XML決議庫在呼叫時嚴格禁止對外部物體的決議,
35、CSRF、SSRF和重放攻擊有什么區別?
CSRF是跨站請求偽造攻擊,由客戶端發起 SSRF是服務器端請求偽造,由服務器發起 重放攻擊是將截獲的資料包進行重放,達到身份認證等目的
36、說出至少三種業務邏輯漏洞,以及修復方式?
密碼找回漏洞中存在
1)密碼允許暴力破解、
2)存在通用型找回憑證、
3)可以跳過驗證步驟、
4)找回憑證可以攔包獲取
等方式來通過廠商提供的密碼找回功能來得到密碼,身份認證漏洞中最常見的是
1)會話固定攻擊
2) Cookie 仿冒
只要得到 Session 或 Cookie 即可偽造用戶身份,驗證碼漏洞中存在
1)驗證碼允許暴力破解
2)驗證碼可以通過 Javascript 或者改包的方法來進行繞過.
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/5095.html
標籤:其他
上一篇:xss防御
