滲透測試介紹

一、滲透測試介紹

    滲透測試(penetraion test)並沒有一個標准的定義，國外一些安全組織達成共識的通用說法是：滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的，並且從這個位置有條件主動利用安全漏洞。
    換言之，滲透測試是指滲透人員在不同的位置(比如從內網、外圍等位置)利用各種手段對某個特定網絡進行測試，以期發現和挖掘系統中存在的漏洞，然后輸出滲透測試報告，並提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告，可以清晰知曉系統中存在的安全隱患和問題。

 

二、滲透測試流程

1. 確定目錄-信息收集
2. 漏洞探測-漏洞驗證
3. 編寫報告-信息整理
4. 獲取所需-信息分析

 

三、安全術語介紹

1、腳本(asp、php、jsp)
2、HTML(css、js、html)
3、HTTP協議
4、CMS(B/S)
5、MD5/加鹽(slat)
6、肉雞、抓雞、DDOS、cc
7、一句話、小馬、大馬、webshell、提權、后門、跳板、rookit
8、源碼打包、脫褲、暴庫
9、嗅探、rootkit、社工
10、poc、exp、cve
11、src平台、0day
12、事件型漏洞、通用型漏洞
13、web服務器、web容器、中間件

 

四、網站及常用Google插件 

加密站點
https://www.cmd5.com/
https://pmd5.com/
https://www.somd5.com/
https://www.xmd5.com/

解密工具
https://hashcat.net/hashcat/


Chrome插件

charset 修改網站的默認編碼
Chrome應用商店
https://chrome.google.com/webstore/detail/charset/oenllhgkiiljibhfagbfogdbchhdchml
GitHub 開源地址：
https://github.com/jinliming2/Chrome-Charset


Cookie Hacker   方便使用盜取來的Cookie

https://chrome.google.com/webstore/detail/cookie-hacker/pbobjedjkopcjolicmbnmmhjmnlcdjfh


HackBar  HackBar for Chrome
https://chrome.google.com/webstore/detail/hackbar/ginpbkfigcoaokgflihfhhmglmbchinc


Modify Header Value (HTTP Headers)

https://chrome.google.com/webstore/detail/modify-header-value-http/cbdibdfhahmknbkkojljfncpnhmacdek


Proxy SwitchySharp
https://chrome.google.com/webstore/detail/proxy-switchysharp/dpplabbmogkhghncfbfdeeokoefdjegm

 

五、滲透測試環境配置(靶機)

Windows 2008R IIS配置

Kali 滲透環境配置