突破瓶颈！入职安服后的经验之谈

公众号：白帽子左一
学员-xiaoc 投稿

前言

哈喽！各位学长、学姐、学弟、学妹们大家好，我是掌控安全学院第八期的学员xiaoc。

今天主要想总结一下入安服岗位三个月以来的渗透经验。

对于刚刚入职的，或者参与src活动的学弟学妹们一个突破的方向，有什么不足之处，欢迎各位童鞋（大佬）补充。

觉得ok的可以给小弟点赞支持一下哈，感觉很多大佬都不怎么写文章了，都是白嫖大军白嫖的（哈哈，话说零组最近是不是都被嫖挂了）。

不多BB，上干货。

1.信息收集

通常我是先对一个站点进行，端口扫描，然后看一下，有没有一些熟悉的端口，

渗透测试最重要的就是信息收集，这一点我记得聂风老师上课的时候多次强调。

1.1

子域名收集、端口扫描、目录描述是挖掘src的核心，也是项目中的核心。

1.2

如：没开21-22端口，这两个端口很容易存在弱口令,445是否存在ms17-010,

3389端口是否有弱口令、cve-2019-0708等等。所以一定要进行端口扫描。

遇到陌生的端口不要怕，先去谷歌百度一下，如： “ 6379端口 漏洞 ” 。

一般会有比较大的收获，而且相关漏洞有很多现场的exp可以打。

贴几个顺手谷歌的常见端口及其对应服务、漏洞：

https://mntn0x.github.io/2019/08/02/%E5%90%84%E7%AB%AF%E5%8F%A3%E5%B8%B8%E8%A7%81%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8/#%E7%AB%AF%E5%8F%A3%E6%89%AB%E6%8F%8F

https://www.cnblogs.com/xiaozi/p/13296754.html

找不到就直接浏览器打开看看，如： 127.0.0.1:66666 。

对所有的端口都打开看看，一个都不能落下，说不定就会存在一些后台管理什么的。

1.3

目录扫描，一个好的字典与工具可以达到事半功倍的效果。

给的url打不开的情况，换一下协议试试。如：http://www.xxx.com 改为 https://www.xxx.com
说不定就打开了

遇见404的一定不要退出，使用kali里面的工具，dirb nikto扫一下可能会有意外的收获，例如.svn .git泄露。

不了解、不知道的东西，就多百度、多谷歌。比如： 什么是dirb nikto？

2.链接之sql注入
接下来就是正常的渗透地步，查看URL有没有什么敏感参数，例如id,uname,classid等，

2.1

注意的是，不一定是 xxid，事实上所有的参数都应该试试。只是因为 某某id 比较常见，在这里拿出来举例子。

试试这些参数(id)存不存在注入，最简单的方法，一个英文分号’查看页面有没有异常，试试“ - * ”等运算符号，如：-0查看页面是否正常。

有的网站会有搜索框，别仅仅顾着打xss。输入%观察页面情况，报错的话80%存在注入，接下来直接上sqlmap就行。

有一种暴力做法是，遇见如id这样的传参就是用sqlmap跑跑。搜索的地方就抓包 + sqlmap扫，说不定就有意外收获。

但是有一个切记的是，业务之中上sqlmap分情况。一般是 “ 查询 ” 操作适合上述方法，但是在 “ 增删改 ”的地方随意用sqlmap。

你可能会被开除、特别是一些金融之类的业务。上sqlmap这种扫描器之前多问一下，能不能用。别虎了吧唧的把自己坑了。

3.见框就插XSS
见框就插XSS，啊哈哈哈哈。

3.1

插xss有一个问题是，很多地方都插入xss，后来一个地方弹窗了，你也不知道是那个地方弹得。

这种情况就比较尴尬。所以在插入xss，一定要留意一下命名的问题，比如个人资料处。就：

alert(/grzl001/)  alert(/grzl002/)  ....  等等。

3.2

多试试几个xss的语句，不要万年的 “ ”试试别的语句。

至于别的语句？ 自己去百度谷歌，一般试试两payload种就行。

4.S2命令执行
见到.action就测S2命令执行

这些东西都有很多前辈们写好的工具，去试试。Github多搜搜不会亏。

在github可以白嫖很多不错的工具哦。

5.登录处的猫腻

遇到一些登录处、如后后台管理处。假如没有验证码，就直接爆破。

5.1

爆破也有一定的技巧，不要仅仅想着爆破admin账户的密码，

有时候密码设置为： “ 123456 ”，然后爆破账户会有更多的惊喜。

说这个主要是告诉大家，一定要变体，不要把思维固化。

5.2

有验证码观察是否可绕过，存不存在失效，测试验证账号的机制是不是前端校验

有时候，验证码就是摆设。另一种情况就是抓一次验证码，可以使用到地老天荒。

5.3

登录后台试试有没有未授权访问，不能就关闭JS在试试。

后台不要紧紧想着拿shell，后台的csrf，越权漏洞多的很。

因为很多项目都会先用扫描器过几遍，所以逻辑漏洞要更多一些。

6.提供账号的测试方向

甲方如果提供测试账号

6.1

登陆进去后先看看有没有 “ 会话固定漏洞 ”

这个漏洞在项目中一般是中威，原理就是看看登录前与登陆后cookie是否一样。

一样就存在，这个漏洞在项目中较为常见。

6.2
之后就看看是否存在越权漏洞、CSRF。

其中越权分为：水平越权，垂直越权。

但是垂直越权又分为：向上垂直越权与向下垂直越权。不要仅仅觉的有向上的垂直越权。

另外CSRF，一个账户也可以测试。

7.上传shell的地方

观察网站存不存在上传处，上传处不一定在头像，看看背景等等地方。

使用御剑扫描存不存在编辑器，扫出之后直接百度谷歌： “ XX编辑器 漏洞 ”

8.登录处的补充

登录的地方

8.1

除了弱密码、验证码缺陷，一定要试试找回密码。

找回密码处一定要试！！！

8.2

还有就是url跳转漏洞，多发生在登陆的地方。

也比较常见，项目中一般是高危（也可能是中威）。

什么是 “ url跳转 ” ？简单的说，如在下边链接是一个登录处的链接。

https://login.cn/login?XXXXXXXX&service=https://www.admin.com

正常输账户密码登陆后会跳转到 " www.admin.com "。

你把 “ admin.com ”换为 “ baidu.com ”在登录试试，假如跳转到baidu就存在。

9.信息泄露找漏洞

发现一些中间件的版本号，CMS版本号，去网上找找有没有已知漏洞

一般有很多人的总结博客文章，现场的exp，直接拿来用就完事了。

10.常用的漏扫工具

漏扫工具，AWVS，Goby，xray。磁盘空间够的话最好都装一下。

另外有条件尽量装到虚拟机里。特别是一些破解的软件。

11.目标是Win的服务器

遇见Windows服务器要试试，IIS短文件泄露漏洞、MS15-034试试，也是很常见的。

什么是ms15-035？算贴个文章吧。

https://blog.csdn.net/weixin_43970718/article/details/108318898

12.SSRF的测试

发现测试URL里面存在类似，xxxwsssssdsd=http://www.xxx.com 抓包试试有没有SSRF

不要让聂风老师讲的ssrf吃灰。另外ssrf主要威胁是可以访问到内网，一般配合别的漏洞打出组合拳。

如ssrf + redis就有可能拿到shell，这个情况聂风老师应该提到过。

靶场貌似就可以，大家可以去试试。不要光听我说，一定要自己去试。（靶场链接扫描文末二维码领取）

13.一些补充

貌似没设么东西了。

13.1

点击劫持漏洞，貌似也挺多。但是一般风险评估为：低危。

多数用在找不到漏洞去凑数的情况下，啊哈哈。但是这个漏洞非常的普遍。

13.2

在此强调，目录一定要扫！一定要扫！一定要扫！！！

备份文件，数据库文件、以及其他敏感文件都可能存在。

14.其他一些建议

很多时候挖洞没有思路就多看看别人的文章，如乌云（镜像站）

多关注一些安全类得公众号，网站比去水群有用的多。

很多漏洞自己用配合Docker去搭建复现一下。

多提一句，VM虚拟机卡慢的情况。你放到固态试试，速度快到飞起。

所以，骚年存点钱换个大点的固态吧。

未经作者许可！禁止转载

有需要的黑客渗透教程及工具，可直接领