渗透测试系列：渗透测试 ( 1 ) --- 全流程总结

渗透测试 （ 1 ） --- 全流程总结

• 4、渗透测试 全流程 总结
• • 0x00 信息收集
  • • 1.目标确认
    • • 1.1 域名注册信息
      • • 通过如下步骤确认目标所有者信息：
        • 获取真实 IP：
        • 验证是否存在 CDN
        • 绕过 CDN 查找网站真实IP
        • • 1.查询历史DNS记录(ip的历史解析域名，域名的历史解析ip)
          • 2.查询子域名（捷径，去众测平台、github找官方发布过的）
          • 3.资产搜索(旁站\C段\特征):
          • 4.对方服务器给自己发邮件暴露IP
          • 5.APP客户端爆ip
      • 1.2 DNS信息查询
      • • 目的:
      • 1.3测试域传送漏洞
      • 1.4业务相关
      • • github泄露：
        • 网盘泄露：
    • 2.OSINT 公开情报收集
    • • 2.1社工技巧
      • • 查看注册的网站：0xreg reg007
        • 可以从这些方面判断用户是否注册过
      • 知道QQ
      • 知道手机号
      • 留意社交动态
      • 2.2 搜索引擎 OSINT
      • • Google Hacking(baidu\bing\souhu\github)
        • • GoogleHacking 常用语法
          • GoogleHacking其他语法
          • 管理后台地址
          • 上传类漏洞地址
          • 注入页面
          • 编辑器页面
          • 目录遍历漏洞
          • SQL错误
          • phpinfo()
          • 配置文件泄露
          • 数据库文件泄露
          • 日志文件泄露
          • 备份和历史文件泄露
          • 公开文件泄露
          • 邮箱信息
          • 社工信息
      • 2.3浏览器实用插件：
      • 2.4乌云和cnvd
  • 0x01 主动探测
  • • 1.主动扫描
    • • 1.1常见服务漏洞
      • • nmap的功能:
        • nmap脚本主要分为以下几类，在扫描时可根据需要设置
        • • --script=类别这种方式进行比较笼统的扫描：
      • 1.2常见端口漏洞利用
      • • 快速扫描：
        • • 21 / FTP
          • 22 / SSH
          • 23 / telnet
          • 161 / snmp
          • 389 / ladp
          • 443 / ssl
          • 445 / smb
          • 875 / rsync
          • 1433 / mssql
          • 1521 / oracle
          • 2601 / zebra
          • 3128 / squid
          • 3306 / mysql
          • 3312 / kangle
          • 3389 / rdp
          • 4440 / rundeck
          • 4848 / glassfish
          • 5432 / PostgreSQL
          • 5672,15672,4369,25672 / RabbitMQ
          • 5900 / VNC
          • 5984 / CouchDB
          • 6082 / varnish
          • 6379 / redis
          • 7001,7002 / WebLogic
          • 9200,9300 / elasticsearch
          • 9000 / fcgi
          • 9043 / WebSphere
          • 11211 / memcache
          • 27017,27018 / Mongodb
          • 50000 / SAP
          • 50070,50030 / hadoop
      • 1.3 WAF 及 bypass
      • • 探测 WAF
        • • Nmap 探测 WAF 有两种脚本，
      • 1.4目录、后台和敏感路径文件扫描
    • 2.人工浏览\逐个请求burp
    • 3.自动化
  • 0x02 漏洞挖掘
  • • 1.漏洞扫描工具
    • • 1.1Nikto Web服务漏洞扫描器
      • • NIKTO使用方法：
        • • 1、命令：nikto -update #升级，更新插件；
          • 2、Nikto -list-plugins #查看插件；
          • 3、Nikto -host http://1.1.1.1 #扫描目标：域名方式；
          • 4、Nikto -host http://1.1.1.1 -output #扫描并输出结果
          • 5、Nikto -host 1.1.1.1 -port 80 #扫描目标：ip地址加端口号
          • 6、Nikto -host http://www.baidu.com -port 443 -ssl #扫描https网站
          • 7、Nikto -host 文件名.txt #批量扫描目标
          • 8、nmap -p80 192.168.1.0/24 -oG - | nikto -host -
          • 9、nikto -host 192.168.0.1 -useproxy http://localhost:8070
          • 10、-vhost
          • 11、Nikto交互形参数
      • 1.2AWVS漏扫
      • 1.3NESSUS
      • 1.4Xray自动化的漏洞挖掘
      • 1.5Fuzz
    • 2.挖掘漏洞
    • • 2.1SQL注入：
      • • 实操案例：
        • 注入六连：
        • 获取字段的数据内容
        • • COOKIE注入：
          • POST注入：
        • 常用指令：
        • • --purge 【重新扫描（--purge 删除原先对该目标扫描的记录）
          • --tables 【获取表名
          • --dbs 【检测站点包含哪些数据库
          • --current-db 【获取当前的数据库名
          • --current-user 【检测当前用户
          • --is-dba 【判断站点的当前用户是否为数据库管理员
          • --batch 【默认确认，不询问你是否输入
          • --search 【后面跟参数 -D -T -C 搜索列（C），表（T）和或数据库名称（D）
          • --threads 10 【线程，sqlmap线程最高设置为10
          • --level 3 【sqlmap默认测试所有的GET和POST参数，当--level的值大于等于2的时候也会测试HTTP Cookie头的值，当大于等于3的时候也会测试User-Agent和HTTP Referer头的值。最高为5
          • --risk 3 【执行测试的风险（0-3，默认为1）risk越高，越慢但是越安全
          • -v 【详细的等级(0-6)
          • --privileges 【查看权限
          • --tamper xx.py,cc.py 【防火墙绕过，后接tamper库中的py文件
          • --method "POST" --data "page=1&id=2" 【POST方式提交数据
          • --threads number　　【采用多线程 后接线程数
          • --referer "" 【使用referer欺骗
          • --user-agent "" 【自定义user-agent
          • --proxy “目标地址″ 【使用代理注入
        • sqlmap常用路径：
        • 高阶玩法：
      • 2.2XSS：
      • 2.3文件上传
      • • • 字典生成 [https://github.com/c0ny1/upload-fuzz-dic-builder](https://github.com/c0ny1/upload-fuzz-dic-builder)
        • 文件上传绕过总结，详见笔记
        • • 目录穿越
          • 双文件上传
          • 截断
          • 文件读取
          • 文件包含
          • 文件删除
          • 文件解压
          • 文件导出
      • 2.4命令执行
      • • 命令注入
        • 代码执行
        • • 表达式
          • 非表达式（php）
      • 2.5弱口令及字典破解
      • • 后台弱口令爆破撞库
        • asp aspx万能密码
        • • 1： "or "a"="a
          • 2： ')or('a'='a
          • 3：or 1=1--
          • 4：'or 1=1--
          • 5：a'or' 1=1--
          • 6： "or 1=1--
          • 7：'or'a'='a
          • 8： "or"="a'='a
          • 9：'or''='
          • 10：'or'='or'
          • 11: 1 or '1'='1'=1
          • 12: 1 or '1'='1' or 1=1
          • 13: 'OR 1=1%00
          • 14: "or 1=1%00
          • 15: 'xor
          • 16: 新型万能登陆密码
          • 17..admin' or 'a'='a 密码随便
      • 2.6逻辑漏洞
      • • Cookie
        • 数据篡改
        • 验证码绕过
        • 注册界面：
        • 登录界面：
        • 忘记密码界面：
        • • 任意密码重置概要：
        • 用户凭证暴力破解（验证码）
        • 返回凭证（验证码 及 token）、邮箱弱 token、用户凭证有效性、重新绑定
        • 绕过token
        • 短信验证码、邮箱 token、重置密码 token
        • 手机绑定、邮箱绑定
        • 服务器验证的验证逻辑为空（绕过认证）
        • session 覆盖漏洞
        • 尝试正常密码找回流程

---

接 渗透系列：渗透测试 ( 1 ) — 相关术语、必备 工具、导航

---

4、渗透测试 全流程 总结

From：https://zhuanlan.zhihu.com/p/413574450

知识面，决定看到的攻击面有多广。
知识链，决定发动的杀伤链有多深。

0x00 信息收集

从旁观者的角度了解整个 WEB 应用乃至整个目标的全貌，但是资产是收集不完的，可以边收集，边进行一定程度的测试。信息收集最小的粒度应是目录。

1.目标确认

1.1 域名注册信息

通过如下步骤确认目标所有者信息：

Whois 目标域名/主机名：whois http://examp