0x00 缘起
作为一个每天说着自己是搞web 以后要搞内网渗透的, 却连渗透测试的流程都不清楚… 确实有点尴尬 😄
遂写一小文,摘录网上的文章, 写一篇笔记, 自己也是打算暑假看能不能有机会出去实习两个月啥的, 一方面可以恰钱, 另一方面可以学到知识, 锻炼眼界
0x01 相关术语
注: 下面提到的一些工具可能已经不能用了, 因为这部分摘自绿盟2年前的文章了, 故需要相关工具请查看有无最新版官网
肉鸡
被黑客入侵并被长期驻扎的计算机或服务器。可以随意控制,可以是任意系统的设备,对象可以是企业,个人,政府等等所有单位。
抓鸡
利用使用量大的程序的漏洞,使用自动化方式获取肉鸡的行为。
提权
操作系统低权限的账户将自己提升为管理员权限使用的方法。
后门
黑客为了对主机进行长期的控制,在机器上种植的一段程序或留下的一个“入口”。
跳板
使用肉鸡IP来实施攻击其他目标,以便更好的隐藏自己的身份信息。
旁站入侵
即同服务器下的网站入侵,入侵之后可以通过提权跨目录等手段拿到目标网站的权限。常见的旁站查询工具有:WebRobot、御剑、明小子和web在线查询等
C段入侵
即同C段下服务器入侵。如目标ip为192.168.180.253 入侵192.168.180.*的任意一台机器,然后利用一些黑客工具嗅探获取在网络上传输的各种信息。常用的工具有:在windows下有Cain,在UNIX环境下有Sniffit, Snoop, Tcpdump, Dsniff 等。
黑盒测试
在未授权的情况下,模拟黑客的攻击方法和思维方式,来评估计算机网络系统可能存在的安全风险。
黑盒测试不同于黑客入侵,并不等于黑站。黑盒测试考验的是综合的能力(OS、Datebase、Script、code、思路、社工)。思路与经验积累往往决定成败。
白盒测试
相对黑盒测试,白盒测试基本是从内部发起。白盒测试与黑盒测试恰恰相反,测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片断,也能够与单位的其它员工(销售、程序员、管理者……)进行面对面的沟通。
APT攻击
Advanced Persistent Threat,高级可持续性攻击,是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。
- 1.极强的隐蔽性
- 2.潜伏期长,持续性强
- 3.目标性强
渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
0x02 常规渗透阶段
渗透测试与入侵的最大区别
渗透测试:出于保护系统的目的,更全面地找出务器的安全隐患。
入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。
一般渗透测试流程
流程只是提供一个大概的方向, 我们要做的是, 在知道流程的情况下, 还要做出自己的思考
明确目标
这一点和挖掘SRC 很相似, 我们安全从事人员都必须在允许的测试范围内做事, 不然就会引起不必要的麻烦🐴
- 确定范围:测试目标的范围,ip,域名,内外网。
- 确定规则:能渗透到什么程度,时间?能否修改上传?能否提权等。
- 确定需求:web应用的漏洞(新上线程序)?业务逻辑漏洞(针对业务的)?人员权限管理漏洞(针对人员、权限)?等等。(立体全方位)
根据需求和自己技术能力来确定能不能做,能做多少。
信息搜集
方式:主动扫描,开放搜索等
开放搜索:利用搜索引擎获得,后台,未授权页面,敏感url等。
- 基础信息:IP,网段,域名,端口
- 系统信息:操作系统版本
- 应用信息:各端口的应用,例如web应用,邮件应用等等
- 版本信息:所有这些探测到的东西的版本。
- 服务信息
- 人员信息:域名注册人员信息,web应用中网站发帖人的id,管理员姓名等。
- 防护信息:试着看能否探测到防护设备
历史DNS记录查询:
https://dnsdb.io/zh-cn/
https://x.threatbook.cn/
http://toolbar.netcraft.com/site_report?url=
http://viewdns.info/
http://whoisrequest.com/history/
https://tools.ipip.net/cdn.php
https://securitytrails.com/
国外DNS 服务器:
209.244.0.3
64.6.64.6
8.8.8.8
9.9.9.9
8.26.56.26
199.85.126.10
208.67.222.222
195.46.39.39
69.195.152.204
208.76.50.50
216.146.35.35
37.235.1.174
198.101.242.72
77.88.8.8
91.239.100.100
74.82.42.42
109.69.8.51
156.154.70.1
1.1.1.1
45.77.165.194
IP 反查
https://www.cnblogs.com/dongchi/p/4155368.html
whois 历史记录
https://www.benmi.com/whoishistory/
指纹识别等
漏洞探测
利用上一步中列出的各种系统,应用等使用相应的漏洞。
方法:
1.漏扫,awvs,IBM appscan等。
2.结合漏洞去exploit-db等位置找利用。
3.在网上寻找验证poc。
内容:
- 系统漏洞:系统没有及时打补丁
- Websever漏洞:Websever配置问题
- Web应用漏洞:Web应用开发问题
- 其它端口服务漏洞:各种21/8080(st2)/7001/22/3389
- 通信安全:明文传输,token在cookie中传送等
关于开源软件的漏洞发现
开源的软件:常见的开源软件有wordpress、phpbb、dedecms等
开源的框架:常见的开源框架有Struts2、 Spring MVC、ThinkPHP等
中间件服务器:常见的中间件服务器有jboss、tomcat、Weblogic等
数据库服务:常见的数据库服务mssql、mysql、oracle、redis、sybase、MongoDB、DB2等
对于开源软件的测试方法
1 通过指纹识别软件判断开源软件的版本信息,针对不同的版本信息去开放的漏洞数据库查找相应版本的漏洞进行测试
2 对于默认的后台登录页、数据库服务端口认证等入口可以进行简单的暴力破解、默认口令尝试等操作
3 使用开源的漏洞发现工具对其进行漏洞扫描,如:WPScan
漏洞验证
将上一步中发现的有可能可以成功利用的全部漏洞都验证一遍。结合实际情况,搭建模拟环境进行试验。成功后再应用于目标中。
- 自动化验证:结合自动化扫描工具提供的结果
- 手工验证,根据公开资源进行验证
- 试验验证:自己搭建模拟环境进行验证
- 登陆猜解:有时可以尝试猜解一下登陆口的账号密码等信息
- 业务漏洞验证:如发现业务漏洞,要进行验证
- 公开资源的利用
-exploit-db/wooyun/
-google hacking
-渗透代码网站
-通用、缺省口令
-厂商的漏洞警告等等。
信息分析
为下一步实施渗透做准备。
- 精准打击:准备好上一步探测到的漏洞的exp,用来精准打击
- 绕过防御机制:是否有防火墙等设备,如何绕过
- 定制攻击路径:最佳工具路径,根据薄弱入口,高内网权限位置,最终目标
- 绕过检测机制:是否有检测机制,流量监控,杀毒软件,恶意代码检测等(免杀)
- 攻击代码:经过试验得来的代码,包括不限于xss代码,sql注入语句等
获取所需
- 实施攻击:根据前几步的结果,进行攻击
- 获取内部信息:基础设施(网络连接,vpn,路由,拓扑等)
- 进一步渗透:内网入侵,敏感目标
- 持续性存在:一般我们对客户做渗透不需要。rookit,后门,添加管理账号,驻扎手法等
- 清理痕迹:清理相关日志(访问,操作),上传文件等
信息整理
- 整理渗透工具:整理渗透过程中用到的代码,poc,exp等
- 整理收集信息:整理渗透过程中收集到的一切信息
- 整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱位置信息
目的:为了最后形成报告,形成测试结果使用。
形成报告
- 按需整理:按照之前第一步跟客户确定好的范围,需求来整理资料,并将资料形成报告
- 补充介绍:要对漏洞成因,验证过程和带来危害进行分析
- 修补建议:当然要对所有产生的问题提出合理高效安全的解决办法
总结
图源自绿盟
这里我只是从网上摘抄总结了流程而已, 对于渗透的学习来说只能说是扫盲作用, 每个步骤该怎么干, 还是得去学的呀! 目前打算就是从下周开始一周一个靶机,一周一个CVE复现
渗透的本质是信息搜集
注意任何没有明确授意 授权的渗透测试都可能存在法律风险,授权最好是纸质文档形式,有你授权人的姓名身份证号甲方盖章和单位名称等。
0x03 后渗透阶段(PostExploitation)
因为后渗透阶段每一个步骤都可以写一篇文章出来, 这里不简单总结了, 先慢慢来, 学会爬再学会走路,最后才学会跑,甚至还可以飞
内网渗透
权限维持
权限提升
读取用户Hash
读取浏览器密码
0x0* 参考资料
绿盟大讲堂 , 主要参考文章
知乎的两篇都很短, 但是提供了一些工具还有一些思路还是可以看的
https://zhuanlan.zhihu.com/p/26350289
https://zhuanlan.zhihu.com/p/50699381
https://www.pa55w0rd.online/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/ , 非常推荐, 有很多利用思路