信息收集---1

思路流程
信息收集
服務器的相關信息（真實ip，系統類型，版本，開放端口，WAF等）
網站指紋識別（包括，cms，cdn，證書等），dns記錄
whois信息，姓名，備案，郵箱，電話反查（郵箱丟社工庫，社工準備等）
子域名收集，旁站，C段等
google hacking針對化搜索，pdf文件，中間件版本，弱口令掃描等
掃描網站目錄結構，爆後臺，網站banner，測試文件，備份等敏感文件泄漏等
傳輸協議，通用漏洞，exp，github源碼等
漏洞挖掘
瀏覽網站，看看網站規模，功能，特色等
端口，弱口令，目錄等掃描,對響應的端口進行漏洞探測，好比 rsync,心臟出血，mysql,ftp,ssh弱口令等。
XSS，SQL注入，上傳，命令注入，CSRF，cookie安全檢測，敏感信息，通訊數據傳輸，暴力破解，任意文件上傳，越權訪問，未受權訪問，目錄遍歷，文件 包含，重放攻擊（短信轟炸），服務器漏洞檢測，最後使用漏掃工具等
漏洞利用&權限提高
mysql提權，serv-u提權，oracle提權
windows 溢出提權
linux髒牛,內核漏洞提權e
清除測試數據&輸出報告
日誌、測試數據的清理
總結，輸出滲透測試報告，附修復方案

複測
驗證並發現是否有新漏洞，輸出報告，歸檔

問題
1.拿到一個待檢測的站，你以爲應該先作什麼？

a、信息收集
一、獲取域名的whois信息,獲取註冊者郵箱姓名電話等，丟社工庫裏看看有沒有泄露密碼，而後嘗試用泄露的密碼進行登陸後臺。用郵箱作關鍵詞進行丟進搜索引擎。利用搜索到的關聯信息找出其餘郵箱進而獲得經常使用社交帳號。社工找出社交帳號，裏面或許會找出管理員設置密碼的習慣 。利用已有信息生成專用字典。
二、查詢服務器旁站以及子域名站點，由於主站通常比較難，因此先看看旁站有沒有通用性的cms或者其餘漏洞。
三、查看服務器操做系統版本，web中間件，看看是否存在已知的漏洞，好比IIS，APACHE,NGINX的解析漏洞
四、查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，好比 rsync,心臟出血，mysql,ftp,ssh弱口令等。
五、掃描網站目錄結構，看看是否能夠遍歷目錄，或者敏感文件泄漏，好比php探針
六、google hack 進一步探測網站的信息，後臺，敏感文件

b、漏洞掃描
開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等

c、漏洞利用
利用以上的方式拿到webshell，或者其餘權限

d、權限提高
提權服務器，好比windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉，linux髒牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權

e、日誌清理

f、總結報告及修復方案

2.判斷出網站的CMS對滲透有什麼意義？

查找網上已曝光的程序漏洞。

若是開源，還能下載相對應的源碼進行代碼審計。

3.一個成熟而且相對安全的CMS，滲透時掃目錄的意義？

敏感文件、二級目錄掃描

站長的誤操做好比：網站備份的壓縮文件、說明.txt、二級目錄可能存放着其餘站點

4.常見的網站服務器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

5.mysql注入點，用工具對目標站直接寫入一句話，須要哪些條件？

root權限以及網站的絕對路徑。

6.目前已知哪些版本的容器有解析漏洞，具體舉例。

a、IIS 6.0
/xx.asp/xx.jpg "xx.asp"是文件夾名

b、IIS 7.0/7.5
默認Fast-CGI開啓，直接在url中圖片地址後面輸入/1.php，會把正常圖片當成php解析

c、Nginx
版本小於等於0.8.37，利用方法和IIS 7.0/7.5同樣，Fast-CGI關閉狀況下也可利用。空字節代碼 xxx.jpg.php

d、Apache 上傳的文件命名爲：test.php.x1.x2.x3，Apache是從右往左判斷後綴

e、lighttpd xx.jpg/xx.php，不全,請小夥伴們在評論處不吝補充，謝謝！

7.如何手工快速判斷目標站是windows仍是linux服務器？

linux大小寫敏感,windows大小寫不敏感。

8.爲什麼一個mysql數據庫的站，只有一個80端口開放？

更改了端口，沒有掃描出來。

站庫分離。

3306端口不對外開放

九、3389沒法鏈接的幾種狀況

沒開放3389 端口
端口被修改
防禦攔截
處於內網(需進行端口轉發)

10.如何突破注入時字符被轉義？

寬字符注入
hex編碼繞過

11.在某後臺新聞編輯界面看到編輯器，應該先作什麼？

查看編輯器的名稱版本,而後搜索公開的漏洞。

12.拿到一個webshell發現網站根目錄下有.htaccess文件，咱們能作什麼？

能作的事情不少，用隱藏網馬來舉例子：
插入
<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php
.jpg文件會被解析成.php文件。

具體其餘的事情，很差詳說，建議你們本身去搜索語句來玩玩。

13.注入漏洞只能查帳號密碼？

只要權限廣，拖庫脫到老。

14.安全狗會追蹤變量，從而發現出是一句話木馬嗎？

是根據特徵碼，因此很好繞過了，只要思路寬，繞狗繞到歡，但這應該不會是一成不變的。

**15.access 掃出後綴爲asp的數據庫文件，訪問亂碼，**如何實現到本地利用？

迅雷下載，直接改後綴爲.mdb。

16.提權時選擇可讀寫目錄，爲什麼儘可能不用帶空格的目錄？

由於exp執行多半須要空格界定參數

17.某服務器有站點A,B 爲什麼在A的後臺添加test用戶，訪問B的後臺。發現也添加上了test用戶？

同數據庫。

18.注入時能夠不使用and 或or 或xor，直接order by 開始注入嗎？

and/or/xor，前面的1=一、1=2步驟只是爲了判斷是否爲注入點，若是已經肯定是注入點那就能夠省那步驟去。

19:某個防注入系統，在注入時會提示：

系統檢測到你有非法注入的行爲。
已記錄您的ip xx.xx.xx.xx
時間:2016:01-23
提交頁面:test.asp?id=15
提交內容:and 1=1

20、如何利用這個防注入系統拿shell？

在URL裏面直接提交一句話，這樣網站就把你的一句話也記錄進數據庫文件了 這個時候能夠嘗試尋找網站的配置文件 直接上菜刀連接。

21.上傳大馬後訪問亂碼時，有哪些解決辦法？

瀏覽器中改編碼。

22.審查上傳點的元素有什麼意義？

有些站點的上傳文件類型的限制是在前端實現的，這時只要增長上傳類型就能突破限制了。

23.目標站禁止註冊用戶，找回密碼處隨便輸入用戶名提示：「此用戶不存在」，你以爲這裏怎樣利用？

先爆破用戶名，再利用被爆破出來的用戶名爆破密碼。
其實有些站點，在登錄處也會這樣提示
全部和數據庫有交互的地方都有可能有注入。

24.目標站發現某txt的下載地址爲
http://www.test.com/down/down.php?file=/upwdown/1.txt，你有什麼思路？

這就是傳說中的下載漏洞！在file=後面嘗試輸入index.php下載他的首頁文件，而後在首頁文件裏繼續查找其餘網站的配置文件，能夠找出網站的數據庫密碼和數據庫的地址。

25.甲給你一個目標站，而且告訴你根目錄下存在/abc/目錄，而且此目錄下存在編輯器和admin目錄。請問你的想法是？

直接在網站二級目錄/abc/下掃描敏感文件及目錄。

26.在有shell的狀況下，如何使用xss實現對目標站的長久控制？

後臺登陸處加一段記錄登陸帳號密碼的js，而且判斷是否登陸成功，若是登陸成功，就把帳號密碼記錄到一個生僻的路徑的文件中或者直接發到本身的網站文件中。(此方法適合有價值而且須要深刻控制權限的網絡)。

在登陸後才能夠訪問的文件中插入XSS腳本。

27.後臺修改管理員密碼處，原密碼顯示爲*。你以爲該怎樣實現讀出這個用戶的密碼？

審查元素 把密碼處的password屬性改爲text就明文顯示了

28.目標站無防禦，上傳圖片能夠正常訪問，上傳腳本格式訪問則403.什麼緣由？

緣由不少，有可能web服務器配置把上傳目錄寫死了不執行相應腳本，嘗試改後綴名繞過

29.審查元素得知網站所使用的防禦軟件，你以爲怎樣作到的？

在敏感操做被攔截，經過界面信息沒法具體判斷是什麼防禦的時候，F12看HTML體部 好比護衛神就能夠在名稱那看到內容。

30.在win2003服務器中創建一個 .zhongzi文件夾用意何爲？

隱藏文件夾，爲了避免讓管理員發現你傳上去的工具。

3一、sql注入有如下兩個測試選項，選一個而且闡述不選另外一個的理由：

A. demo.jsp?id=2+1
B. demo.jsp?id=2-1
選B，在 URL 編碼中 + 表明空格，可能會形成混淆

3二、如下連接存在 sql 注入漏洞，對於這個變形注入，你有什麼思路？

demo.do?DATA=AjAxNg==
DATA有可能通過了 base64 編碼再傳入服務器，因此咱們也要對參數進行 base64 編碼才能正確完成測試

3三、發現 demo.jsp?uid=110 注入點，你有哪幾種思路獲取 webshell，哪一種是優選？

有寫入權限的，構造聯合查詢語句使用using INTO OUTFILE，能夠將查詢的輸出重定向到系統的文件中，這樣去寫入 WebShell 使用 sqlmap –os-shell 原理和上面一種相同，來直接得到一個 Shell，這樣效率更高 經過構造聯合查詢語句獲得網站管理員的帳戶和密碼，而後掃後臺登陸後臺，再在後臺經過改包上傳等方法上傳 Shell

3四、CSRF 和 XSS 和 XXE 有什麼區別，以及修復方式？

XSS是跨站腳本攻擊，用戶提交的數據中能夠構造代碼來執行，從而實現竊取用戶信息等攻擊。修復方式：對字符實體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端採用相同的字符編碼。

CSRF是跨站請求僞造攻擊，XSS是實現CSRF的諸多手段中的一種，是因爲沒有在關鍵操做執行時進行是否由用戶自願發起的確認。修復方式：篩選出須要防範CSRF的頁面而後嵌入Token、再次輸入密碼、檢驗Referer XXE是XML外部實體注入攻擊，XML中能夠經過調用實體來請求本地或者遠程內容，和遠程文件保護相似，會引起相關安全問題，例如敏感文件讀取。修復方式：XML解析庫在調用時嚴格禁止對外部實體的解析。

3五、CSRF、SSRF和重放攻擊有什麼區別？

CSRF是跨站請求僞造攻擊，由客戶端發起 SSRF是服務器端請求僞造，由服務器發起 重放攻擊是將截獲的數據包進行重放，達到身份認證等目的

3六、說出至少三種業務邏輯漏洞，以及修復方式？

密碼找回漏洞中存在

1）密碼容許暴力破解、

2）存在通用型找回憑證、

3）能夠跳過驗證步驟、

4）找回憑證能夠攔包獲取

等方式來經過廠商提供的密碼找回功能來獲得密碼。身份認證漏洞中最多見的是

1）會話固定攻擊

2） Cookie 仿冒

只要獲得 Session 或 Cookie 便可僞造用戶身份。驗證碼漏洞中存在

1）驗證碼容許暴力破解

2）驗證碼能夠經過 Javascript 或者改包的方法來進行繞過.