渗透步骤

@

目录

• 一、信息收集
• 二、取得内网突破口获得权限
  • 常用攻击方式
    • （一）漏洞攻击
    • （二）协议欺骗攻击
    • （三）木马攻击
    • （四）缓冲区溢出攻击
    • （五）拒绝服务攻击（DOS）
    • （六）口令入侵
  • 提供一些思路
    • （一）通过开放端口
    • （二）web脚本
      • 脚本漏洞
      • 脚本渗透的方法
      • 木马
    • （三）缓冲区溢出攻击
    • （四）DOS攻击
      • DOS攻击实施的基本思想
        • 实现方法
• 三、提升权限
  • 提权方式
• 四、持久渗透及痕迹处理
  • 安装后门
  • 安装跳板
  • 清除或伪造痕迹
• 内容来源及参考

一、信息收集

信息收集非常重要，它决定了攻击者是否能准确定位目标网络系统安全防线上的漏洞，并通过这些信息制定可行的渗透方案。
需要收集的信息主要有以下这些：

• DNS域名信息的收集
• 整站分析
  +服务器类型(Linux/Windows)
  • 网站容器(Apache/Nginx/Tomcat/IIS)
  • 脚本类型(php/jsp/asp)
  • 数据库类型(Mysql/Oracle/Accees/Mqlserver)
• 主机扫描(Nessus)
• 端口扫描(nmap)
• 网站后台目录
• 旁站和C段扫描
• 网站漏洞扫描

这些收集这些工具的信息和方法请参考渗透测试之信息收集。

二、取得内网突破口获得权限

常用攻击方式

（一）漏洞攻击

黑客利用网络系统的漏洞，利用针对该漏洞的工具进行入侵，攻击的行为。无论是操作系统，还是应用程序，协议实现等，都存在大量的漏洞。如何利用漏洞以及利用漏洞能执行什么样的攻击行为取决于该漏洞本身的特性。比较典型的漏洞入侵有：SQL注入入侵，跨站脚步入侵，unicode漏洞入侵等。

（二）协议欺骗攻击

协议欺骗攻击是针对网络协议的缺陷，采取某种欺骗手段，假冒身份来获取信息或取得特权的攻击方式。常见的协议欺骗攻击有如下几种。

• ARP欺骗攻击。利用ARP协议漏洞，通过伪造协议IP地址和MAC地址实现ARP欺骗的攻击技术。
• IP欺骗攻击。通过伪造某台主机的IP地址来骗取特权，进行攻击。
• DNS欺骗攻击。攻击者通过种种欺骗手段，使用户查询（DNS）服务器进行域名解析时获得一个错误的IP地址，从而引导用户访问一个错误的站点。

（三）木马攻击

与一般的病毒不同，木马不会自我繁殖，它通过将自身伪装，吸引用户下载执行，向施种木马者提供打开被种木马者计算机的门户，使施种者可以任意毁坏，窃取被种者的文件，甚至远程操作被种者的计算机。
常见的木马感染途径如下:
1.下载并打开了一个电子邮件附件，该附件中有木马。
2.从网上下载了一个由木马伪装的工具软件，游戏程序，软件审计包等。
3.通过即时通信工具，发送包含木马的链接或文件，接收者运行后被植入木马。
4.黑客利用系统漏洞植入木马。

（四）缓冲区溢出攻击

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍，非常危险的漏洞，在各种操作系统，应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败，系统关机，重新启动等，甚至得到系统控制权，进行各种非法操作。

（五）拒绝服务攻击（DOS）

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

（六）口令入侵

口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为"Crack"。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

内容来源黑客常用套路手法 几种常见的网络攻击方法

提供一些思路

（一）通过开放端口

1.文件共享服务端口

端口号	端口说明	利用方向
21/22/69	FTP/TFTP文件传输协议	允许匿名上传、下载、爆破和嗅探
2049	NFS服务	配置不当
139	Samba服务	爆破、未授权访问、远程代码执行
389	LDAP目录访问协议	注入、允许匿名访问、弱口令

2.远程连接服务端口

端口号	端口说明	利用方向
22	SSH远程连接	爆破、SSH隧道及内网代理转发、文件传输
23	Telnet	爆破、嗅探、弱口令
3389	RDP远程桌面连接	Shift后门(Windows Server 2003以下版本)、爆破
5900	VNC	弱口令爆破
5632	PyAnywhere服务	抓密码、代码执行

3.Web应用服务端口

端口号	端口说明	利用方向
80/443/8080	常见的Web服务端口	Web攻击、爆破、对应服务器版本漏洞
7001/70022	WebLogic控制台	Java反序列化、弱口令
8080/8089	Jboos/Resin/Jetty/Jenkins	反序列化、控制台弱口令
9090	WebSphere控制台	Java反序列化、弱口令
4848	GlassFish控制台	弱口令
1352	Lotus dominio邮件服务	弱口令、信息泄露、爆破
10000	Webmin-Web控制面板	弱口令

4.数据库服务端口

端口号	端口说明	利用方向
3306	MySQL	注入、提权、爆破
1433	MSSQL	注入、提权、SAP弱口令、爆破
1521	Oracle	TNS爆破、注入、反弹Shell
5432	PostgreSQL	爆破、注入、弱口令
27017/27018	MongoDB	爆破、未授权访问
6379	Redis	可尝试未授权访问、弱口令爆破
5000	SysBase/DB2、 爆破、注入

5.邮件服务端口

端口号	端口说明	利用方向
25	SMTP邮件服务	邮件伪造
110	POP3	爆破、嗅探
143	IMAP	爆破

6.网络常见协议端口

端口号	端口说明	利用方向
53	DNS域名系统	允许区域传送、DNS劫持、缓存投毒、欺骗
67/68	DHCP服务	劫持、欺骗
161	SNMP协议	爆破、搜集目标内网信息

7.特殊服务端口

端口号	端口说明	利用方向
2181	Zookeeper服务	未授权访问
8069	Zabbix服务	远程执行、SQL注入
9200/9300	Elasticsearch服务	远程执行
11211	Memcache服务	未授权访问
512/513/514	Linux Rexec服务	爆破、Rlogin登录
873	Rsync服务	匿名访问、文件上传
3690	Svn服务	Svn泄露、未授权访问
50000	SAP Management Console	远程执行

内容来源渗透测试常见开放端口及利用

（二）web脚本

通过网络语言编写（asp aspx php jsp）脚本，利用漏洞攻击

脚本漏洞

• sql注入 所谓SQL注入，就是一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序的返回结果,获得某些想得知的数据

• 上传漏洞关于上传漏洞，主要是过滤不严引起的
  1．对上传的路径过滤不
  2．对上传的文件名过滤不严 ASp

• 远程执行漏洞

• 文件包含漏洞

• 跨站xss

• 信息泄漏

• 遍历目录

• 越权访问

脚本渗透的方法

• 注入 根据数据库的类型注入
• 在线编辑器漏洞 ewebeditor FCKeditor
• 旁注 a b c
• Oday
• 下载数据库 access
• 目录（找上传）
• 找后台 弱口令
• 没验证 穷举口令
• 上传木马
• 解析漏洞 1.asp/1.jpg
• 嗅探 c
• aspx 嗅探
• 社工

木马

上传木马拿webshell的几种方法汇总

• 普通权限下拿webshell

  • 使用sql注入拿webshell
  • 头像上传木马
  • 文件上传漏洞
  • 远程命令执行
  • xss和sql注入联合利用
  • 网站写权限漏洞
  • 通用漏洞

• 拿到后台管理权限下上传木马

  • 直接上传
  • 修改上传类型
  • 数据库备份上传木马
  • 突破JavaScript限制上传类型
  • 上传其他脚本类型
  • %00截断
  • 服务器解析漏洞
  • 利用编辑器
  • 网站配置
  • 编辑模板
  • 修改脚本文件
  • 数据库命令拿webshell
  • 编辑模板添加静态页面
  • 文件包含
  • 添加插件
  • 修改404页面

具体内容请参考上传木马拿webshell的几种方法汇总

（三）缓冲区溢出攻击

渗透之——使用Metasploit实现对缓冲区栈的溢出攻击

（四）DOS攻击

DOS攻击实施的基本思想

1.迫使服务器的缓冲区满，不接收新的请求。
2.使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接

实现方法

• SYN FLOOD
• IP欺骗DOS攻击
• 带宽DOS攻击
• 自身消耗的DOS攻击
• 塞满服务器的硬盘
• 合理利用策略

具体内容请参考DOS攻击原理以及常见方法介绍

三、提升权限

我们通过攻击获得内网访问权限后，就要通过各种方法和漏洞将提权到控制权限，以便掌控全局。

提权方式

• 通过系统漏洞提权（Linux、Win）
• 通过数据库提权
• 通过系统配置错误提权
• 通过权限继承类提权
• 通过第三方软件/服务提权
• 通过获取高权限账号提权
• 通过WebSevrver漏洞提权

具体内容请参考【吐血撰写】渗透测试技术基础——提权技术基础大全（一）与【吐血撰写】渗透测试技术基础——提权技术基础大全二）

四、持久渗透及痕迹处理

安装后门

利用Metasploit建立持续性会话后门

安装跳板

渗透之——Meterpreter以被控制的计算机为跳板渗透其他服务器

清除或伪造痕迹

靶机渗透（零）清除痕迹
渗透测试TIPS之删除、伪造Linux系统登录日志

内容来源及参考

[毕业论文设计设计--信息系统渗透测试原理及模型分析论文](https://wenku.baidu.com/view/ba2f527cb80d6c85ec3a87c24028915f804d84da?ivk_sa_s=130827"With a Title")
渗透测试之信息收集
渗透测试常见开放端口及利用
脚本渗透的概述
上传木马拿webshell的几种方法汇总
黑客常用套路手法 几种常见的网络攻击方法
DOS攻击原理以及常见方法介绍
【吐血撰写】渗透测试技术基础——提权技术基础大全（一）
【吐血撰写】渗透测试技术基础——提权技术基础大全二）
利用Metasploit建立持续性会话后门
靶机渗透（零）清除痕迹
渗透测试TIPS之删除、伪造Linux系统登录日志