渗透测试的具体方法

明确目标

明确目标是整个渗透测试实施的基础，通过与客户沟通后确定渗透测试的目的及范围，有时客户会提供完整、明确的目标范围，但多数情况下客户所提供的渗透测试范围并不完善，仅仅给了一个主站域名

信息搜集

信息搜集德完善与否将会验证影响后续渗透测试的速度与深度。要搜集的信息主要包括目标的IP地址、网段、域名和端口

1. 当拿到渗透测试目标的域名后，需要判断域名是否存在CDN（content delivery network，内容分发网络），主要解决因传输距离和不同运营商节点造成网络速度性能地下的问题。
   ● 设置一组在不通运营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态数据资源（例如静态的HTML、css、js图片等文件）直接缓存到节点服务器上，当用户再次请求时，会直接分发到离用户近的节点服务器上响应给用户，当用户需要数据时，才会从远程Web服务器上响应，这样可以大大提高网站的响应速度及用户体验
   ● 如何判断：使用在线的网站http://ping.chinaz.com/实现，通过对域名进行监测，因为CDN的主要目的是将内容分发到网络
   

如何绕过CDN来获取网站的真实IP信息

1. 通过内部邮箱来获取网站真实IP。大多数情况下，邮件服务系统都是部署在公司内部的，并且没有经过CDN的解析，可以通过目标网站的邮箱注册或者订阅邮件等功能，让网站的邮箱服务器给自己的邮箱服务器发送邮件。查看邮件的原始邮件头，其中会包含邮件服务器的IP地址
   

2. 查看域名的历史解析记录。当目标网站的域名使用时间较长时，可能在目标网站刚刚使用的时候并没有绑定CDN的服务，CDN服务是后来加上的。那么在DNS服务器的历史解析记录中就可能存在目标网站的服务器未使用CDN时的真实IP地址，可以通过EXAMPL网站（https://dnsdb.io/zh-cn）进行查询
   

3. 子域名地址查询。CDN只会为网站的主站和部分流量较大的子站购买，而目标网站服务器可能有许多细小子站或者旁站与目标网站服务器部署在同一台机器或者C段网段上，这是只需要知道子站或者旁站的IP地址，就可能拆解出网站的真是IP地址

4. 国外地址访问。国内的CDN服务主要针对国内的用户访问进行服务器，对于国外的访问，则没有多少国内CDN服务商进行服务，因此，我们可以通过使用国外的服务器或地址访问目标网站服务，便可得到真实的目标IP地址。也可以使用一下的国外在线代理网站进行检测
   

5. 主域名查询。将目标网站服务器的www去掉，直接ping网站，查看IP是否有变化

6. Nslookup查询。通过查询域名的NS、MX、TXT记录，有可能找到真实的目标网站IP地址。
   ● NS记录是指域名服务器的记录，用来指定域名由哪台服务器进行解析，使用命令 nslookup-qt = ns XXX.com。
   ● MX记录mail服务器的权重值，当mail服务器先对域名进行解析时，会查找MX记录，找到权重值较小的服务器进行连通，使用命令 nslookup-qt = mx xxx.com
   ● TXT记录一磅是为某一条记录设置说明，使用命令nslookup-qt = txt xxx.com

搜集完网站真实IP后

1. 对网站域名进行whois信息 搜集。 whois是用来记录域名注册的所有者信息的传输协议
   ● 记录所查询的域名是否已经被注册，记录注册的详细信息，如域名所有人，域名注册商等。
   ● whois的查询方法可以通过命令行接口进行查询。
   ● 现在线上查询工具页面（http://whois.chinaz.com）能够一次想不通数据库进行查询
   

确定目标客户公司的具体信息后

1. 可以去网上查询与该公司有关的信息，如公司的邮箱、邮箱格式、公司员工姓名、公司人员配置等任何与之相关的信息。
2. 可以到github、码云等互联网代码托管平台查找与之相关的敏感信息：没有做脱敏处理，导致上传的代码可能包含数据库连接信息、密码，甚至网站源代码等信息

如果使用了CMS建站系统

1. 如phpcms、eshop、wordpress、dedecms、disuz、phpweb、dvbbs、thinkphp等构建
2. 对网站进行指纹识别，将会识别出网站所使用的CMS信息。
3. 利用搜集到的CMS信息可以去查找相关的历史漏洞
4. 进行指纹识别可使用下面的网站（http://www.yunseee.cn/finger.html）
   

漏洞探测

目的是找出可能存在的漏洞，然后进行分析验证。一般通过自动扫描工具结合人工操作以及之前所搜集的信息去挖掘漏洞

1. AWVS是一款较知名的漏洞扫描工具，通过网络爬虫来测试网站的安全性，检测安全漏洞，使用也较为简单
2. NESSUS 是一款全球使用人数非常多的系统漏洞扫描和分析软件，提供完整的主机漏洞扫描服务，且随时更新漏洞数据库，具有家用版本和商用版本
3. APPScan 安装在Windows系统上，可以对网站等web应用进行自动化漏洞扫描和安全测试

漏洞验证

漏洞弹窗完成后需要进行漏洞验证，验证所发现的漏洞是否真实存在，对于目标网站系统能够造成多大的危害。
这个过程需要做到小心谨慎，对于可能造成的危害较大的漏洞，要防范于未然，有条件时最好在本地搭建一个与实际环境相同的环境进行验证，以免给客户造成经济损失
也可以利用公开资源，例如在乌云镜像站中查找对应的历史漏洞进行分析。
在在线网站里查找乌云知识库镜像或者自己动手搭建一个乌云镜像站。
也可通过Google Hacking进行搜索，或者查看厂商的预警漏洞验证

验证漏洞后

1. 进行信息分析，需要分析漏洞位置以及如何利用，分析相同漏洞的案例，在进行精准测试。在此过程中可能会遇到网站安全防护机制，如防火墙、杀毒软件等的拦截，需要绕过此类安全防护 软件在进行进一步的利用。
2. 漏洞利用成功后就打开目标网站服务的缺口，从而获得所需信息，即前期沟通包含的内容，如网络架构、域控服务器等信息
3. 后续需要进行信息整理，包括整个渗透测试IDE思路、分析、成功，并编写成渗透测试报告，给客户提出针对漏洞的修复已经和方法