對於web應用的滲透測試,大致可分為三個階段:信息收集、漏洞發現以及漏洞利用。在實踐過程中需要進一步明細測試的流程,以下通過9個階段來描述滲透測試的整個流程:
1.明確目標
1)確定范圍:測試的范圍,如:IP、域名、內外網、整站or部分模塊
2)確定規則:能滲透到什么程度(發現漏洞為止or繼續利用漏洞)、時間限制、能否修改上傳、能否提權...
- 目標系統介紹、重點保護對象及特性。
- 是否允許數據破壞?
- 是否允許阻斷業務正常運行?
- 測試之前是否應當知會相關部門接口人?
- 接入方式?外網和內網?
- 測試是發現問題就算成功,還是盡可能的發現多的問題?
- 滲透過程是否需要考慮社會工程?
3)確定需求:web應用的漏洞(新上線程序)?業務邏輯漏洞(針對業務的)?人員權限管理漏洞(針對人員、權限)?
根據需求和自己技術能力來確定能不能做、能做多少
2.分析風險,獲得授權
分析滲透測試過程中可能產生的風險,如大量測試數據的處理、影響正常業務開展、服務器發生異常的應急、數據備份和恢復、測試人力物力成本...
由測試方書寫實施方案初稿並提交給客戶(or本公司內部領導)進行審核。在審核完成后,從客戶(or本公司內部領導)獲取對測試方進行書面委托授權書,授權測試方進行滲透測試。
3.信息收集
在信息收集階段,我們需要盡量多的收集關於目標web應用的各種信息,比如:腳本語言的類型、服務器的類型、目錄的結構、使用的開源軟件、數據庫類型、所有鏈接頁面,用到的框架等。
方式:主動掃描;開放搜索
開放搜索:利用搜索引擎獲得后台、未授權頁面、敏感url
基礎信息:IP,網段,域名,端口
系統信息:操作系統版本
應用信息:各端口的應用,例如web應用,郵件應用等
版本信息:所有探測到的版本
服務信息:服務器類型、版本
人員信息:域名注冊人員信息,web應用中網站發帖人的id,管理員姓名等 防護信息:試着看能否探測到防護設備
4.漏洞探測(手動&自動)
利用上一步中列出的信息,使用相應的漏洞檢測
方法:
1)漏掃:AWVS、AppScan...
2)結合漏洞去exploit-db等位置找利用
3)在網上尋找驗證POC
內容:
系統漏洞:系統沒有及時打補丁
Websever漏洞:Websever配置問題
Web應用漏洞:Web應用開發問題
其它端口服務漏洞:各種21/8080(st2)/7001/22/3389
通信安全:明文傳輸,token在cookie中傳送等
5.漏洞驗證
將上一步中發現的有可能可以成功利用的全部漏洞都驗證一遍。結合實際情況,搭建模擬環境進行試驗,成功后再應用於目標中。
- 自動化驗證:結合自動化掃描工具提供的結果
- 手工驗證:根據公開資源進行驗證
- 試驗驗證:自己搭建模擬環境進行驗證
- 登錄猜解:有時可以嘗試猜解一下登陸口的賬號密碼等信息
- 業務漏洞驗證:如發現業務漏洞,要進行驗證
- 公開資源的利用
exploit-db/wooyun/
滲透代碼網站
通用、缺省口令
廠商的漏洞警告等
6.信息分析
為下一步實施滲透做准備
- 精准攻擊:准備好上一步探測到的漏洞exp(漏洞利用),用來精准攻擊
- 繞過防御機制:是否有防火牆等設備,如何繞過
- 定制攻擊路徑:最佳工具路徑,根據薄弱入口,高內網權限位置,最終目標
- 繞過檢測機制:是否有檢測機制,流量監控,殺毒軟件,惡意代碼檢測等(免殺)
- 攻擊代碼:經過試驗得來的代碼,包括不限於xss代碼,sql注入語句等
7.利用漏洞,獲取數據
- 實施攻擊:根據前幾步的結果,進行攻擊
- 獲取內部信息:基礎設施(網絡連接,vpn,路由,拓撲等)
- 進一步滲透:內網入侵,敏感目標
- 持續性存在:一般對客戶做滲透不需要。rookit,后門,添加管理賬號,駐扎手法等
- 清理痕跡:清理相關日志(訪問,操作),上傳文件等
8.信息整理
- 整理滲透工具:整理滲透過程中用到的代碼,poc,exp等
- 整理收集信息:整理滲透過程中收集到的一切信息
- 整理漏洞信息:整理滲透過程中遇到的各種漏洞,各種脆弱位置信息
目的:為了最后形成報告,形成測試結果使用。
9.形成報告
- 按需整理:按照之前第一步跟客戶確定好的范圍,需求來整理資料,並將資料形成報告
- 補充介紹:要對漏洞成因,驗證過程和帶來危害進行分析
- 修補建議:當然要對所有產生的問題提出合理高效安全的解決辦法
滲透測試
滲透測試
滲透測試就是利用我們所掌握的滲透知識,對一個網站進行一步一步的滲透,發現其中存在的漏洞和隱藏的風險,然后撰寫一篇測試報告,提供給我們的客戶。客戶根據我們撰寫的測試報告,對網站進行漏洞修補,以防止黑客的入侵!
滲透測試的前提是我們得經過用戶的授權,才可以對網站進行滲透。如果我們沒有經過客戶的授權而對一個網站進行滲透測試的話,這是違法的。去年的6.1日我國頒布了《網絡安全法》,對網絡犯罪有了法律約束,不懂的移步——> 網絡安全法
滲透測試分為 白盒測試 和 黑盒測試
白盒測試就是在知道目標網站源碼和其他一些信息的情況下對其進行滲透,有點類似於代碼分析
黑盒測試就是只告訴我們這個網站的url,其他什么都不告訴,然后讓你去滲透,模擬黑客對網站的滲透
我們現在就模擬黑客對一個網站進行滲透測試,這屬於黑盒測試,我們只知道該網站的URL,其他什么的信息都不知道。
接下來,我就給大家分享下黑盒滲透測試的流程和思路!
當我們確定好了一個目標進行滲透之后,第一步該做的是什么呢?
信息收集
第一步做的就是信息收集,正所謂知己知彼百戰百勝,我們根據網站URL可以查出一系列關於該網站的信息。通過URL我們可以查到該網站的IP、該網站操作系統、腳本語言、在該服務器上是否還有其他網站等等一些列的信息。更多的關於信息收集,我在另一篇文章中很詳細的介紹了信息收集需要收集哪些信息,以及信息收集過程中需要用到的工具,傳送門——> 滲透測試之信息收集
漏洞探測
當我們收集到了足夠多的信息之后,我們就要開始對網站進行漏洞探測了。探測網站是否存在一些常見的Web漏洞,比如:
SQL注入,傳送門——>SQL注入詳解
XSS跨站腳本,傳送門——>XSS(跨站腳本)漏洞詳解
CSRF跨站請求偽造, 傳送門——>CSRF跨站請求偽造攻擊
XXE漏洞,傳送門——>XXE(XML外部實體注入)漏洞
SSRF服務端請求偽造漏洞,傳送門——>SSRF(服務端請求偽造)漏洞
文件包含漏洞, 傳送門——>文件包含漏洞
文件上傳漏洞, 傳送門——>文件上傳漏洞
文件解析漏洞,傳送門——>文件解析漏洞
遠程代碼執行漏洞 , 傳送門——> 遠程代碼執行漏洞
CORS跨域資源共享漏洞,傳送門——>CORS跨域資源共享漏洞
越權訪問漏洞,傳送門——>越權訪問漏洞
目錄瀏覽漏洞和任意文件讀取/下載漏洞,傳送門——>目錄瀏覽漏洞和任意文件讀取/下載漏洞
struts2漏洞,傳送門——>Struts2漏洞
JAVA反序列化漏洞,傳送門——>JAVA反序列化漏洞
這些是網站經常發現的一些漏洞,還有一些網站漏洞,這里我就不一一列舉出來了。
網站漏洞掃描工具也有很多,比如:
AWVS ,傳送門——> AWVS掃描器的用法
AppScan ,傳送門——> AppScan掃描器的用法
Owasp-Zap ,傳送門——> OWASP-ZAP掃描器的使用
Nessus ,傳送門——> Nessus掃描器的使用網站漏洞掃描工具我就列舉這幾種,還有很多,最常用的是這幾個!
漏洞利用
當我們探測到了該網站存在漏洞之后,我們就要對該漏洞進行利用了。不同的漏洞有不同的利用工具,很多時候,通過一個漏洞我們很難拿到網站的webshell,我們往往需要結合幾個漏洞來拿webshell。常用的漏洞利用工具如下:
SQL注入 , 傳送門——> Sqlmap的使用
XSS跨站腳本,傳送門——> Beef-XSS的使用
抓包改包工具,——> Burpsuite工具的使用 、 Fidder抓包軟件的使用
文件上傳漏洞,上傳漏洞的話,我們一般會上傳一句話木馬上去,進而再獲得webshell,傳送門——> Webshell和一句話木馬但是,獲得了webshell后,一般權限很低,所以我們需要提權, Windows提權 、 Linux下用SUID提權
內網轉發
當我們獲取到了網站的Webshell之后,如果我們還想進一步的探測內網主機的信息的話,我們就需要進行內網轉發了。我們是不能直接和內網的主機通信的,所以我們就需要借助獲取到的webshell網站的服務器和內網主機進行通信。那么,我們怎么借助網站的服務器和內網通信呢,傳送門——> 內網轉發
內網滲透
當我們能跟內網主機進行通信后,我們就要開始進行內網滲透了。可以先使用nmap對內網主機進行掃描,探測在線的主機,並且探測其使用的操作系統、開放的端口等信息,傳送門——> Nmap和Zenmap詳解
內網用戶基本都是使用的windows系統,而且大多數是使用的windows7,在windows7中有很多漏洞,比如MS17_010這種漏洞,我們可以探測其windows系統是否存在這種漏洞,如果有這種漏洞,直接拿shell。傳送門——> Metasploit Framework(MSF)的使用
企業內網大多數是一個域環境。所以,我們只需要找到域控服務器,並拿下其權限,就可以登錄其他所有用戶的主機了。
當然,內網中也有可能存在供內網使用的內網服務器,我們可以進一步滲透拿下其權限。
至於怎么拿下內網中機器的權限,這要看內網環境了。我這里只是說下大概的一個思路。
痕跡清除
當我們達到了目的之后,有時候只是為了黑入網站掛黑頁,炫耀一下;或者在網站留下一個后門,作為肉雞,沒事的時候上去溜達溜達;亦或者掛入挖礦木馬;但是大家千萬不要干這些事,這些都是違法的!
我這里只是教大家在滲透進去之后如何清除我們留下的痕跡,以免被網站管理員發現,
撰寫滲透測試保告
在完成了滲透測試之后,我們就需要對這次滲透測試撰寫滲透測試報告了。明確的寫出哪里存在漏洞,以及漏洞修補的方法。以便於網站管理員根據我們的滲透測試報告修補這些漏洞和風險,防止被黑客攻擊!