技術文章 » 滲透測試基礎安全知識(1)

滲透測試基礎安全知識(1)

2020-09-29 17:00:41

1.拿到一個待檢測的站,你覺得應該先做什麼?

  1. 資訊收集
  1. 獲取域名的whois資訊,獲取註冊者郵箱姓名電話等,丟社工庫裡看看有沒有洩露密碼,然後嘗試用洩露的密碼進行登入後臺。用郵箱做關鍵詞進行丟進搜尋引擎。利用搜尋到的關聯資訊找出其他郵箱進而得到常用社交賬號。社工找出社交賬號,裡面或許會找出管理員設定密碼的習慣 。利用已有資訊生成專用字典。
  2. 查詢伺服器旁站以及子域名站點,因為主站一般比較難,所以先看看旁站有沒有通用性的cms或者其他漏洞。
  3. 檢視伺服器作業系統版本,web中介軟體,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞
  4. 檢視IP,進行IP地址埠掃描,對響應的埠進行漏洞探測,比如 rsync,心臟出血,mysql,ftp,ssh弱口令等。
  5. 掃描網站目錄結構,看看是否可以遍歷目錄,或者敏感檔案洩漏,比如php探針
  6. google hack 進一步探測網站的資訊,後臺,敏感檔案

  1. 漏洞掃描
    開始檢測漏洞,如XSS,XSRF,sql注入,程式碼執行,命令執行,越權存取,目錄讀取,任意檔案讀取,下載,檔案包含, 遠端命令執行,弱口令,上傳,編輯器漏洞,暴力破解等

  2. 漏洞利用
    利用以上的方式拿到webshell,或者其他許可權

  3. 許可權提升
    提權伺服器,比如windows下mysql的udf提權,serv-u提權,windows低版本的漏洞,如iis6,pr,巴西烤肉,linux髒牛漏洞,linux核心版本漏洞提權,linux下的mysql system提權以及oracle低許可權提權

  4. 紀錄檔清理

  5. 總結報告及修復方案

2.判斷出網站的CMS對滲透有什麼意義?
查詢網上已曝光的程式漏洞。
如果開源,還能下載相對應的原始碼進行程式碼審計。

3.一個成熟並且相對安全的CMS,滲透時掃目錄的意義?
敏感檔案、二級目錄掃描
站長的誤操作比如:網站備份的壓縮檔案、說明.txt、二級目錄可能存放著其他站點

4.常見的網站伺服器容器。
IIS、Apache、nginx、Lighttpd、Tomcat

5.mysql注入點,用工具對目標站直接寫入一句話,需要哪些條件?
root許可權以及網站的絕對路徑。

6.目前已知哪些版本的容器有解析漏洞,具體舉例。
IIS 6.0 /xx.asp/xx.jpg "xx.asp"是資料夾名
IIS 7.0/7.5 預設Fast-CGI開啟,直接在url中圖片地址後面輸入/1.php,會把正常圖片當成php解析
Nginx 版本小於等於0.8.37,利用方法和IIS 7.0/7.5一樣,Fast-CGI關閉情況下也可利用。 空位元組程式碼 xxx.jpg.php
Apache 上傳的檔案命名為:test.php.x1.x2.x3,Apache是從右往左判斷字尾
lighttpd xx.jpg/xx.php,不全,請小夥伴們在評論處不吝補充,謝謝!

7.如何手工快速判斷目標站是windows還是linux伺服器?
linux大小寫敏感,windows大小寫不敏感。

8.為何一個mysql資料庫的站,只有一個80埠開放?
更改了埠,沒有掃描出來。
站庫分離。
3306( MySQL)埠不對外開放

9、3389(遠端桌面)無法連線的幾種情況?
沒開放3389 埠
埠被修改
防護攔截
處於內網(需進行埠轉發)

10.如何突破注入時字元被跳脫?
寬字元注入
hex編碼繞過

11.在某後臺新聞編輯介面看到編輯器,應該先做什麼?
檢視編輯器的名稱版本,然後搜尋公開的漏洞。

12.拿到一個webshell發現網站根目錄下有.htaccess檔案,我們能做什麼?
能做的事情很多,用隱藏網馬來舉例子: 插入 <FilesMatch 「xxx.jpg」> SetHandler application/x-httpd-php .jpg檔案會被解析成.php檔案。
具體其他的事情,不好詳說,建議大家自己去搜尋語句來玩玩。

13.注入漏洞只能查賬號密碼?
只要許可權廣,拖庫脫到老。

14.安全狗會追蹤變數,從而發現出是一句話木馬嗎?
根據特徵碼,所以很好繞過了
只要思路寬,繞狗繞到歡,但這應該不會是一成不變的。

15.access 掃出字尾為asp的資料庫檔案,存取亂碼,如何實現到本地利用?
迅雷下載,直接改字尾為.mdb。

16.提權時選擇可讀寫目錄,為何儘量不用帶空格的目錄?
因為exp執行多半需要空格界定引數

17.某伺服器有站點A,B 為何在A的後臺新增test使用者,存取B的後臺。發現也新增上了test使用者?
同資料庫。

18.注入時可以不使用and 或or 或xor,直接order by 開始注入嗎?
and/or/xor,前面的1=1、1=2步驟只是為了判斷是否為注入點,如果已經確定是注入點那就可以省那步驟去。

19:某個防注入系統,在注入時會提示:
系統檢測到你有非法注入的行為。已記錄您的ip xx.xx.xx.xx 時間:2016:01-23 提交頁面:test.asp?id=15 提交內容:and 1=1

20、如何利用這個防注入系統拿shell?
在URL裡面直接提交一句話,這樣網站就把你的一句話也記錄進資料庫檔案了 這個時候可以嘗試尋找網站的組態檔 直接上菜刀連結。

21.上傳大馬後存取亂碼時,有哪些解決辦法?
瀏覽器中改編碼。

22.審查上傳點的元素有什麼意義?
有些站點的上傳檔案型別的限制是在前端實現的,這時只要增加上傳型別就能突破限制了。

23.目標站禁止註冊使用者,找回密碼處隨便輸入使用者名稱提示:「此使用者不存在」,你覺得這裡怎樣利用?
先爆破使用者名稱,再利用被爆破出來的使用者名稱爆破密碼。
其實有些站點,在登陸處也會這樣提示
所有和資料庫有互動的地方都有可能有注入。

24.目標站發現某txt的下載地址為http://www.test.com/down/down.php?file=/upwdown/1.txt,你有什麼思路?
這就是傳說中的下載漏洞!
在file=後面嘗試輸入index.php下載他的首頁檔案,然後在首頁檔案裡繼續查詢其他網站的組態檔,可以找出網站的資料庫密碼和資料庫的地址。

25.甲給你一個目標站,並且告訴你根目錄下存在/abc/目錄,並且此目錄下存在編輯器和admin目錄。請問你的想法是?
直接在網站二級目錄/abc/下掃描敏感檔案及目錄。

26.在有shell的情況下,如何使用xss實現對目標站的長久控制?
後臺登入處加一段記錄登入賬號密碼的js,並且判斷是否登入成功,如果登入成功,就把賬號密碼記錄到一個生僻的路徑的檔案中或者直接發到自己的網站檔案中。(此方法適合有價值並且需要深入控制許可權的網路)。
在登入後才可以存取的檔案中插入XSS指令碼。

27.後臺修改管理員密碼處,原密碼顯示為。你覺得該怎樣實現讀出這個使用者的密碼?*
審查元素 把密碼處的password屬性改成text就明文顯示了

28.目標站無防護,上傳圖片可以正常存取,上傳指令碼格式存取則403.什麼原因?
有可能web伺服器設定把上傳目錄寫死了不執行相應指令碼,嘗試改字尾名繞過

29.審查元素得知網站所使用的防護軟體,你覺得怎樣做到的?
在敏感操作被攔截,通過介面資訊無法具體判斷是什麼防護的時候,
F12看HTML體部 比如護衛神就可以在名稱那看到內容。

30.在win2003伺服器中建立一個 .zhongzi資料夾用意何為?
隱藏資料夾,為了不讓管理員發現你傳上去的工具。

31、sql注入有以下兩個測試選項,選一個並且闡述不選另一個的理由:
A. demo.jsp?id=2+1
B. demo.jsp?id=2-1
選B,在 URL 編碼中 + 代表空格,可能會造成混淆

32、以下連結存在 sql 注入漏洞,對於這個變形注入,你有什麼思路?
demo.do?DATA=AjAxNg== DATA有可能經過了 base64 編碼再傳入伺服器,所以我們也要對引數進行 base64 編碼才能正確完成測試

33、發現 demo.jsp?uid=110 注入點,你有哪幾種思路獲取 webshell,哪種是優選?
有寫入許可權的,構造聯合查詢語句使用using INTO OUTFILE,可以將查詢的輸出重定向到系統的檔案中,這樣去寫入 WebShell 使用 sqlmap –os-shell 原理和上面一種相同,來直接獲得一個 Shell,這樣效率更高 通過構造聯合查詢語句得到網站管理員的賬戶和密碼,然後掃後臺登入後臺,再在後臺通過改包上傳等方法上傳 Shell

34、CSRF 和 XSS 和 XXE 有什麼區別,以及修復方式?

XSS是跨站指令碼攻擊
使用者提交的資料中可以構造程式碼來執行,從而實現竊取使用者資訊等攻擊。修復方式:對字元實體進行跳脫、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端採用相同的字元編碼。

CSRF是跨站請求偽造攻擊
XSS是實現CSRF的諸多手段中的一種,是由於沒有在關鍵操作執行時進行是否由使用者自願發起的確認。修復方式:篩選出需要防範CSRF的頁面然後嵌入Token、再次輸入密碼、檢驗Referer XXE是XML外部實體注入攻擊,XML中可以通過呼叫實體來請求本地或者遠端內容,和遠端檔案保護類似,會引發相關安全問題,例如敏感檔案讀取。修復方式:XML解析庫在呼叫時嚴格禁止對外部實體的解析。

35、CSRF、SSRF和重放攻擊有什麼區別?
CSRF是跨站請求偽造攻擊,由使用者端發起 SSRF是伺服器端請求偽造,由伺服器發起 重放攻擊是將截獲的封包進行重放,達到身份認證等目的

36、說出至少三種業務邏輯漏洞,以及修復方式?

密碼找回漏洞中存在

1)密碼允許暴力破解、

2)存在通用型找回憑證、

3)可以跳過驗證步驟、

4)找回憑證可以攔包獲取

等方式來通過廠商提供的密碼找回功能來得到密碼。 身份認證漏洞中最常見的是

1)對談固定攻擊

2) Cookie 仿冒

只要得到 Session 或 Cookie 即可偽造使用者身份。 驗證碼漏洞中存在

1)驗證碼允許暴力破解

2)驗證碼可以通過 Javascript 或者改包的方法來進行繞過

37、圈出下面對談中可能存在問題的項,並標註可能會存在的問題?

get /ecskins/demo.jsp?uid=2016031900&keyword=」hello world」 HTTP/1.1Host:.com:82User-Agent:Mozilla/ 5.0 Firefox/40Accept:text/css,/;q=0.1 Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3 Referer:http://****.com/eciop/orderForCC/ cgtListForCC.htm?zone=11370601&v=145902 Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d; uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ; st_uid=N90PLYHLZGJXI-NX01VPUF46W; status=True Connection:keep-alive

有寫入許可權的,構造聯合查詢語句使用using INTO OUTFILE,可以將查詢的輸出重定向到系統的檔案中,這樣去寫入 WebShell 使用 sqlmap –os-shell 原理和上面一種相同,來直接獲得一個 Shell,這樣效率更高 通過構造聯合查詢語句得到網站管理員的賬戶和密碼,然後掃後臺登入後臺,再在後臺通過改包上傳等方法上傳 Shell

38、給你一個網站你是如何來滲透測試的?
在獲取書面授權的前提下。

39、sqlmap,怎麼對一個注入點注入?
1)如果是get型號,直接,sqlmap -u 「諸如點網址」.
2) 如果是post型諸如點,可以sqlmap -u "注入點網址」 --data=「post的引數」
3)如果是cookie,X-Forwarded-For等,可以存取的時候,用burpsuite抓包,注入處用號替換,放到檔案裡,然後sqlmap -r 「檔案地址」

40、nmap,掃描的幾種方式
Nmap【空格】【選項|多選項|協定】【空格】【目標】
例:命令: nmap -sn 192.168.0.1/24
-sn :只進行主機發現,不進行埠掃描 掃描(C段) 1-24

命令: namp -Pn 192.168.0.106
-Pn: 不對目標進行ping探測(不判斷主機是否線上)(直接掃描埠)

命令:nmap -p 20-80
-p 指定埠掃描,如「1-65535、1433、135、22、80」等

41、sql注入的幾種型別?
1)報錯注入
2)bool型注入
3)延時注入
4)寬位元組注入

42、報錯注入的函數有哪些?10個
1)and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】
2)通過floor報錯 向下取整
3)+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
4).geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b)); 5).multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));
6).polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));
7).multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));
8).linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));
9).multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));
10).exp()select from test where id=1 and exp(~(select * from(select user())a));

43、延時注入如何來判斷?
if(ascii(substr(「hello」, 1, 1))=104, sleep(5), 1)

44、盲注和延時注入的共同點?
都是一個字元一個字元的判斷

45、如何拿一個網站的webshell?
上傳,後臺編輯模板,sql注入寫檔案,命令執行,程式碼執行, 一些已經爆出的cms漏洞,比如dedecms後臺可以直接建立指令碼檔案,wordpress上傳外掛包含指令碼檔案zip壓縮包等

46、sql注入寫檔案都有哪些函數
select ‘一句話’ into outfile ‘路徑’ select ‘一句話’ into dumpfile ‘路徑’ select ‘’ into dumpfile ‘d:\wwwroot\baidu.com\nvhack.php’;

47、如何防止CSRF?
1,驗證referer
2,驗證token 詳細:http://cnodejs.org/topic/5533dd6e9138f09b629674fd

48、owasp 漏洞都有哪些?
1、SQL隱碼攻擊防護方法:
2、失效的身份認證和對談管理
3、跨站指令碼攻擊XSS
4、直接參照不安全的物件
5、安全設定錯誤
6、敏感資訊洩露
7、缺少功能級的存取控制
8、跨站請求偽造CSRF
9、使用含有已知漏洞的元件
10、未驗證的重定向和轉發

49、SQL隱碼攻擊防護方法?
1、使用安全的API
2、對輸入的特殊字元進行Escape跳脫處理
3、使用白名單來規範化輸入驗證方法
4、對使用者端輸入進行控制,不允許輸入SQL隱碼攻擊相關的特殊字元
5、伺服器端在提交資料庫進行SQL查詢之前,對特殊字元進行過濾、跳脫、替換、刪除。

50、程式碼執行,檔案讀取,命令執行的函數都有哪些?

1)程式碼執行:
eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

2)檔案讀取:
file_get_contents(),highlight_file(),fopen(),read
file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

3)命令執行:
system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

51、img標籤除了onerror屬性外,還有其他獲取管理員路徑的辦法嗎
src指定一個遠端的指令碼檔案,獲取referer

52、img標籤除了onerror屬性外,並且src屬性的字尾名,必須以.jpg結尾,怎麼獲取管理員路徑。
遠端伺服器修改apache組態檔,設定.jpg檔案以php方式來解析 AddType application/x-httpd-php .jpg 會以php方式來解析

53、為什麼aspx木馬許可權比asp大?
aspx使用的是.net技術。IIS 中預設不支援,ASP只是指令碼語言而已。
入侵的時候asp的木馬一般是guest許可權…APSX的木馬一般是users許可權。

54、如何繞過waf?
大小寫轉換法
干擾字元 /!/
編碼 base64 unicode hex url ascll
復引數

55、如何向伺服器寫入webshell?
各種上傳漏洞
mysql具有寫入許可權,用sql語句寫入shell
http put方法

56、滲透測試中常見的埠

1.web類(web漏洞/敏感目錄) 第三方通用元件漏洞struts thinkphp jboss ganglia zabbix

80 web
80-89 web
8000-9090 web

2.資料庫類(掃描弱口令)

1433 MSSQL
1521 Oracle
3306 MySQL
5432 PostgreSQL

3.特殊服務類(未授權/命令執行類/漏洞)

443 SSL心臟滴血
873 Rsync未授權
5984 CouchDB http://xxx:5984/_utils/
6379 redis未授權
7001,7002 WebLogic預設弱口令,反序列
9200,9300 elasticsearch 參考WooYun: 多玩某伺服器ElasticSearch命令執行漏洞
11211 memcache未授權存取
27017,27018 Mongodb未授權存取
50000 SAP命令執行
50070,50030 hadoop預設埠未授權存取

4.常用埠類(掃描弱口令/埠爆破)

21 ftp
22 SSH
23 Telnet
2601,2604 zebra路由,預設密碼zebra
3389 遠端桌面