渗透测试

渗透测试中，第一阶段就是信息搜集，这一阶段完成的如何决定了你之后的进行是否顺利，是否更容易。而关于信息收集的文章网上也是有太多。今天我们来通过一些例子来讲解如何正确使用Shodan这一利器。 想要利用好这一利器，首先得知道他是什么，Shodan是一款网络空间搜索引擎，和我们常见的百度谷歌不同，他主要搜索的是存在于互联网中的设备，服务器、摄像头、工控设备、智能家居等，都是他的目标。Shodan不仅可以发现这些设备，并且可以识别出其版本，位置，端口，服务等一些信息，并且进行了一些相应分类。 Shodan分免费账户和会员账户，免费账户对一些标签的搜索和多标签关联搜索有限制，而会员的话就可以任意进行一些搜索，所以想要搜到自己想要的结果最好还是有一个会员比较方便，Shodan在每个黑色星期五的时候会进行打折（每年11月第四个周五），平时需要49美元的会员活动时只需要5美元，需要的小伙伴可以关注下。 一个系统的受攻击面越多，被入侵的风险也就越大，Shodan可以很好的帮你找到其他攻击面。下面开始正式来讲一下如何在平时的渗透测试中利用好Shodan，注意学习思考问题的方法，而不只是简单的搜索语句。 场景1：想搜索美国所有的ElasticSearch服务器 ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口

1： Firebug Firefox的 五星级强力推荐插件之一，不许要多解释 2： User Agent Switcher 改变客户端的User Agent的一款插件 3： Hackbar 攻城师必备工具，提供了SQL注入和XSS攻击，能够快速对字符串进行各种编码。 4： HttpFox 监测和分析浏览器与web服务器之间的HTTP流量 5： Live HTTP Headers 即时查看一个网站的HTTP头 6： Tamper Data 查看和修改HTTP/HTTPS头和POST参数 7： ShowIP 在状态栏显示当前页的IP地址、主机名、ISP、国家和城市等信息。 8： OSVDB 开放源码的漏洞数据库检索 9: Packet Storm search plugin Packet Storm提供的插件，可以搜索漏洞、工具和exploits等。 10： Offsec Exploit-db Search 搜索Exploit-db信息 11： Security Focus Vulnerabilities Search Plugin 在Security Focus上搜索漏洞 12： Cookie Watcher 在状态栏显示cookie 13: Header Spy 在状态栏显示HTTP头 14： Groundspeed Manipulate the application user

工欲善必先利其器，firefox一直是各位渗透师必备的利器，小编这里推荐34款firefox渗透测试辅助插件，其中包含渗透测试、信息收集、代理、加密解密等功能。 1： Firebug Firefox的 五星级强力推荐插件之一，不许要多解释 2： User Agent Switcher 改变客户端的User Agent的一款插件 3： Hackbar 攻城师必备工具，提供了SQL注入和XSS攻击，能够快速对字符串进行各种编码。 4： HttpFox 监测和分析浏览器与web服务器之间的HTTP流量 5： Live HTTP Headers 即时查看一个网站的HTTP头 6： Tamper Data 查看和修改HTTP/HTTPS头和POST参数 7： ShowIP 在状态栏显示当前页的IP地址、主机名、ISP、国家和城市等信息。 8： OSVDB 开放源码的漏洞数据库检索 9: Packet Storm search plugin Packet Storm提供的插件，可以搜索漏洞、工具和exploits等。 10： Offsec Exploit-db Search 搜索Exploit-db信息 11： Security Focus Vulnerabilities Search Plugin 在Security Focus上搜索漏洞 12： Cookie Watcher

信息搜集 拿到一个渗透测试目标，在获得合法授权的前提下，要做的第一步就是根据测试范围，开展尽量全面的信息搜集工作，主要目的在于针对测试目标，扩展攻击面，获取的信息越多，了解的目标越全面、立体，越能增加漏洞发现的可能性，本文的内容，主要是涉及web安全方面的信息搜集，具体包含： 域名 （包括子域名）信息搜集、 ip 信息搜集、 端口 信息及开放 服务 等 敏感信息 的搜集。 1、域名信息（和ip）搜集 域名记录: A：主机记录 C name：别名记录，把一个域名解析到另一个域名 NS：域名服务器记录，指向该域的域名服务器地址 MX：邮件服务器记录，指向该域的邮件服务器地址 ptr：反向解析 whois服务器（根域名）： APNIC（net） ARIN (net) AFRINIC (net) IANA (com) ICANN (org) LACNIC (net) NRO (net) RIPE (net) InterNic(original net) 域名信息搜集通常有以下几种方法： 1、通过第三方网站或者搜索引擎 2、通过命令行方式 3、python等自定义脚本 （1） 搜索引擎 ，包括常见的 百度 、 必应（bing） 、 谷歌（国内无法直接访问，需要科学上网） 、 搜狗 、 360 等。 搜索引擎是一个通道，搜索的关键在于根据目标，使用适当的搜索语法，可以参考 google

0x00 信息收集 网址是一个wordpress博客。 1 Apache/2.4.10 (Debian) 既然是wp，直接用wpscan扫一扫。 123456789101112131415161718 [+] We found 2 plugins:[+] Name: akismet | Latest version: 3.3.4 | Location: http://218.2.197.234:2040/wp-content/plugins/akismet/[!] We could not determine a version so all vulnerabilities are printed out[!] Title: Akismet 2.5.0-3.1.4 - Unauthenticated Stored Cross-Site Scripting (XSS) Reference: https://wpvulndb.com/vulnerabilities/8215 Reference: http://blog.akismet.com/2015/10/13/akismet-3-1-5-wordpress/ Reference: https://blog.sucuri.net/2015/10/security-advisory-stored-xss-in-akismet

1. 脚本 :（asp、php、jsp……等） 2. MD5 ：不可逆加密 3. HTTP协议 ：HTTP协议定义Web客户端如何从Web服务器请求Web页面,以及服务器如何把Web页面传送给客户端 4. CMS ：内容管理系统（已经写好的管理系统 稍微修改一下就可以直接使用） 5. 框架 ：代码框架 比如cms是已经装修好的房子 框架就是毛坯房 6. 肉鸡 ：被黑客入侵并被长期驻扎的计算机或服务器 7. 抓鸡 ：利用使用量大的程序的漏洞，使用自动化方式获取肉鸡的行为 8. WebShell ：通过Web入侵后留下的后门工具，可以据此对网站服务进行一定程度的控制 9. 漏洞 ：硬件、软件、协议等等的可利用安全缺陷，可能被攻击者利用，对数据进行篡改，控制等 10. 一句话【木马】 ：通过向服务端提交一句简短的代码，配合本地客户端实现webshell功能的木马 11. 提权 ：操作系统低权限的账户将自己提升为管理员权限使用的方法 12. 后门 ：黑客为了对主机进行长期的控制，在机器上终止的一段程序或留下的一个“入口” 13. 跳板 ：使用肉鸡IP来实施攻击其他目标，以便更好的隐藏自己的身份信息 14. 旁站入侵 ：即同服务器下的网站入侵，入侵之后可以通过提权跨目录等手段拿到目标网站的权限。常见的旁站查询工具有：WebRobot、御剑、和web在线查询等 15. C段入侵

渗透测试注意事项： 1：不要进行恶意攻击 2：不要做傻事 3：在没有获得书面授权时，不要攻击任何目标 4：考虑你的行为将会带来的后果 5：如果你干了非法的是，天网恢恢疏而不漏 渗透测试执行标准http://www.pentest-standard.org/ 1：前期交互阶段 在前期交互（Pre-Engagement Interaction）阶段，渗透测试团队与客户组织进行交互讨论，最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。 该阶段通常涉及收集客户需求、准备测试计划、定义测试范围与边界、定义业务目标、项目管理与规划等活动。 2：情报收集阶段 在目标范围确定之后，将进入情报搜集（Information Gathering）阶段，渗透测试团队可以利用各种信息来源与搜集技术方法，尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。 渗透测试者可以使用的情报搜集方法包括公开来源信息查询、Google Hacking、社会工程学、网络踩点、扫描探测、被动监听、服务查点等。而对目标系统的情报探查能力是渗透测试者一项非常重要的技能，情报搜集是否充分在很大程度上决定了渗透测试的成败，因为如果你遗漏关键的情报信息，你将可能在后面的阶段里一无所获。 3：威胁建模阶段 在搜集到充分的情报信息之后，渗透测试团队的成员们停下敲击键盘，大家聚到一起针对获取的信息进行威胁建模

目录 一、文件包含简介 二、本地文件包含漏洞 三、session文件包含漏洞 有限制本地文件包含漏洞绕过 无限制本地文件包含漏洞绕过 四、远程文件包含漏洞 无限制远程文件包含漏洞 有限制远程文件包含漏洞绕过 问号绕过 #号绕过 空格也可以绕过 五、PHP伪协议 php:// 输入输出流 php://filter（本地磁盘文件进行读取） php://input php://input （读取POST数据） php://input（命令执行） file://伪协议 （读取文件内容） data://伪协议 data://（读取文件） phar://伪协议 zip://伪协议 一、文件包含简介 服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件 文件包含函数--- PHP中文件包含函数有以下四种： require() require_once() include() include_once() include 和 require 区别主要是， include 在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行；而 require 函数出现错误的时候

File Inclusion ，意思是文件包含（漏洞），是指当服务器开启llow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。 文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项（选项开启之后，服务器允许包含一个远程的文件）。 如果打开File Inclusion，出现下面的信息，这需要修改配置文件 找到php.ini中的allow_url_include，如果原来为off，设置为On。 重新启动服务，再次打开，显示如下，则为正常状态。 1、Low 低级别 查看源代码 可以看到没有对页面提交的文件做任何过滤检查，url为http://192.168.92.129/DVWA/vulnerabilities/fi/?page=file1.php 服务器期望用户的操作是点击下面的三个链接，服务器会包含相应的文件，并将结果返回。需要特别说明的是，服务器包含文件时，不管文件后缀是否是php，都会尝试当做php文件执行，如果文件内容确为php，则会正常执行并返回结果，如果不是，则会原封不动地打印文件内容

渗透 以我这样的小菜鸡的眼光来看一个完整的渗透测试就是面对一个目标依靠各种方式将它拿下，也感觉到了渗透的本质就是高级的信息收集，收集各种目标信息，就像海绵吸水一样，从它的缝隙中穿过。 一.信息收集 1.1域名信息收集 whois查询：依靠站长查询到域名的相关信息如域名服务商，域名拥有者，邮箱，电话，地址等 备案信息查询：我喜欢的是天眼查，虽说要付费但是emmm方便，好用， 用途：利用收集到的邮箱，qq，电话，姓名，以及域名服务商可以用来做社工，爆破，撞库 1.2子域名信息收集 子域名爆破： layer工具，google搜索语法 在线子域名查询： phpinfo.me/domain/ 用途：主站不行子域侵 1.3敏感信息收集 github源代码泄露（hack，scan语法信息收集） svn信息泄露收集（scanner，seekret，seay svn漏洞利用工具） 批量信息泄露扫描：bbscan（小字典快速扫描） 用途：收集账户或者密码 1.4敏感文件 扫描工具以及谷歌语法搜索到配置信息，数据库连接文件等 1…5敏感目录 批量扫描C段和旁站目录：推荐御剑 后台扫描工具，谷歌后台搜索语法等 1.6 email收集 google语法，awvs等工具收集，（发现有一些的后台会用内部邮箱账户登录，一些小站点） 用途：弱口令，撞库。 1.7ip段信息收集不熟悉 1.8 常用端口信息收集