拿到一個待檢測的站,第一步做什麼……
拿到一個待檢測的站,你的第一反應會是什麼?
信息收集、漏洞挖掘、 漏洞利用&權限提升、清除測試數據&輸出報告、複測......
如果腦海中一秒閃過上述流程,那麼恭喜你,已經 初步滿足了滲透測試工程師的崗位職責需求。
在目前的人才招募市場上,從能搜索到的崗位需求中就能看到, 如果能夠很好地完成目標站點的滲透測試工作,能爲自身擇業創造更多的可能性。
如:某公司滲透測試測試工程師選拔條件:
崗位職責:
1、負責完成目標站點的滲透測試工作。
3、熟悉滲透測試的步驟、方法、流程、熟練掌握各種滲透測試工具的使用;
4、熟悉各類操作系統及數據庫常見的安全漏洞和隱患,熟悉OWASPTOP10;
5、熟悉各類中間件及平臺系統,熟悉黑客攻防技術;6、熟悉常見腳本語言,能夠進行WEB滲透測試,惡意代碼檢測和分析。
示例2:
崗位職責:
1、在公司技術大牛的指導下完成目標站點的滲透測試工作。
崗位要求:
1、在校大學生,大專及以上學歷,網絡安全相關專業優先;
2、具有一定的滲透測試經驗,具備獨立開展滲透工作的能力;
3、熟悉滲透測試的步驟、方法、流程、熟練掌握各種滲透測試工具的使用;
4、熟悉各類操作系統及數據庫常見的安全漏洞和隱患,熟悉OWASPTop10;
5、熟悉各類中間件及平臺系統,熟悉黑客攻防技術;
6、熟悉常見腳本語言,能夠進行WEB滲透測試,惡意代碼檢測和分析。
多條崗位職責中都提到了自主完成目標站點測試任務。結合行文開頭說到的測試流程。一個簡單且完整的滲透測試到底是怎樣的。
以一次扎心的滲透測試爲例,感興趣的同學可以看一下(滑動可查看全文)
向上滑動閱覽
目標:www.xxx.com
首先多地ping一下看是否存在cdn
點我查看全圖
都是同一個ip看來並不存在cdn 或許是朋友爲了方便我測試而把cdn撤掉了..
既然沒有cnd那就直接就這個ip來進行探測,首先掃描一下端口,由於存在防火牆這裏並不能用全連接掃描,我們用半開掃描且加上了代理池,這裏我用我自己寫的py腳本進行。
點我查看全圖
開放了一千多個端口... 我一度懷疑這是他故意開放來混淆或者整個服務器就是個蜜罐。
點我查看全圖
現在我們來總結一下端口服務的信息:
FTP端口大概開十個,很可能是各個部門的ftp空間。
3389與及數據庫的端口都沒發現,
Web服務的端口有五個。
Web的信息收集。
服務器爲win,web容器有apace與及iis6.0和iis8.5很可能是win2008.
點我查看全圖
並沒有結果,進行目錄掃描
點我查看全圖
似乎找到了後臺
點我查看全圖
滲透開始
由於掃描會被防火牆ban掉,我手測了漫長的時間後,終於找到了一處注入,內心想這次還不拿下了?
點我查看全圖
但事情沒有我想的那麼簡單... 如下圖
點我查看全圖
Access的數據庫極其不友好 ,一張表都跑不出來!
PS:sqlmap做了代理池與及加了base64encode.py,charunicodeencode.py。
Access的數據庫並不支持os-shell,而且我沒辦法爆破絕對路徑所以sql寫shell的路也被塞死了。
存在反射型xss。
點我查看全圖
由於沒有留言審覈等等功能,qq聯繫方式也沒有,並且網站管理員很可能是我朋友,所以社工欺騙讓他點擊的可能性極低,故放棄此路。
故而轉向其他端口的web程序,20440端口發現存在一個企業短信的平臺
點我查看全圖
點我查看全圖
還有那十多個ftp端口也可以用此字典來爆破,ftp我選擇用hydra來爆破如下圖:
點我查看全圖
其中-s參數爲指定端口 -L爲指定用戶名文件 -P爲指定密碼文件,然而爆破了大半天還是沒有任何結果。
這時候我把目光放在了第三個web程序上,看起來像是一個未完成的test樣品網站。
點我查看全圖
在這個web上我在某一連接上找到了sql注入。
點我查看全圖
不出所料依然還是Access的數據庫,希望能跑出表
點我查看全圖
令人開心的是這次跑出了一個admin表,我頓時興奮了起來。
點我查看全圖
終於拿到賬號密碼,心想找到後臺的話,登陸getshell還不很舒服,然後我拿出了我3w字典,並沒有掃出任何關於後臺的目錄...
但是機智如我發現了一些規律比如說這是產品的目錄
點我查看全圖
這是技術支持的目錄
點我查看全圖
這是新聞的目錄
點我查看全圖
然後僅過了漫長的測試,終於找到了後臺。如下圖
點我查看全圖
夠中式...
然後開開心登陸,這回應該沒啥問題了。然而
點我查看全圖
後臺居然登陸不上去???我內心一度懷疑人生。
但我在某一頁面的註釋上發現了一個github的地址
點我查看全圖
跟進去找到了一些網站建設規劃,與及這個網站的mdb文件,我估計是我朋友的上司開發的這個cms,首先看看mdb文件
點我查看全圖
賬號密碼跟我注入得到的是一樣的,所以的確是該cms的後臺壞掉了。
但是我在網站建設規劃中發現了這臺服務器不僅僅是他們公司的對外的官網服務器,而且還是對內自己開發測試的服務器,在20549端口中我用st2-045拿到了權限,並且上傳了一句話和大馬,嘗試連接3389。
點我查看全圖
然而事情沒有我想的那麼簡單,首先3389端口是開放的。
點我查看全圖
添加用戶也可以成功。
點我查看全圖
但是3389 連不上。
點我查看全圖
考慮是內網等等,所以用lcx轉發。
目標機器執行lcx1.exe -slave 自己服務器的公網ip 接受數據的端口 本機ip 要轉發的端口
點我查看全圖
公網服務器上執行lcx1 -listen 接受數據的端口 本機映射的端口
點我查看全圖
已經成功接收到數據
遠程連接本地轉發端口即可
點我查看全圖
上述提到的滲透測試,是基於對朋友站點的測試,難度方面會比正式的測試要低。所以掌握一些紮實的滲透技巧,才能輕鬆運用到生產中。
本週,蟻景網安學院推出的課程,將會給大家分享到滲透測試中必備的工具與神器,給到大家滲透測試過程中,不可或缺的乾貨內容。課程配套免費靶場實戰,每一節內容精心爲學子們落到最實處。看到這裏,如果你已經被說服了,劃到文章底部即可2分錢完成報名。
下面是本次滲透測試實戰訓練營的具體介紹!
- 3天全勤及靶場作業完成獎勵
- 本週直播依舊是2分錢。3天直播課程安排如下:
直播一-掃描神器Nmap
NMAP在安全界可謂是一枚神器,被譽爲掃描之王。
基本上涵蓋了所有的掃描方式。
配套靶場:Nmap網絡掃描
直播二-快速搭建PHP靶場DVWA
最簡單的一種形式展示暴力破解的原理和利用方法
DVWA(dema vulnerable web application)是一個基於PHP/MYSQL環境寫的一個web應用。他的主要目的是幫助安全專業員去測試他們的技術和工具,在合法的環境裏面也幫助開發人員更好的理解如何加固他們開發的web系統同時幫助老師或者學生去教或者學習web應用安全在教學環境裏面。
配套靶場:DVWA(暴力破解)
直播三-Web利器Burp Suite
Burp Suite是個集成化的滲透測試工具, 它集合了多種滲透測試組件, 使我們自動化地或手工地能更好的完成對web應用的滲透測試和攻擊。 java語言自身的跨平臺性,所以我們能在win系統下以及linux下面進行操作。
配套靶場:burp進行暴力破解
只需要2分錢你就能學習, 收穫掃描神器Nmap熟練掌握+ 掌握最簡單的一種形式展示暴力破解的原理和利用方法+ 和大佬一樣擁有Web利器Burp Suite+7天高質量社羣服務+專業老師答疑+配套靶場實戰鞏固,還能獲取 全勤及實操獎勵+獨家資料大禮包!
掃碼2分錢報名
馬上開課
- 本次課程還提供:
1.課程永久回放,供你重複觀看,可穩固知新
2.配套課程課後靶場作業:學員完成課後靶場作業,老師定時講解作業重點、難點,確保學員真正掌握所學知識!
3.答疑服務,高質量的滲透測試學習社羣,班級羣內分享前沿知識,跟一羣人行走,你能走得更遠
4.全勤及實操獎勵+獨家學習資料包
掃碼領取資料及靶場地址
本課程適合想入門滲透測試的同學參加,學習過程中,同學們千萬不要放棄, 三天按時進行學習,同時學習的過程中要記錄圖文並茂的筆記,最重要的進行實踐,實踐,實踐,所以課後靶場實戰作業一定一定要按時完成。