目录
前言
随着国家对网络安全的日益重视,地区护网实现常态化,其中不免出现一些学生队伍(甚至一些学校没有专门做这一个方向的团队,学生也是随机挑选的),这就出现一个问题,在护网过程中不熟悉流程,一脸茫然不知道自己做什么,本文旨在以通俗易懂的方式介绍护网流程,目的是让第一次接触的小白梳理护网流程、在护网时有事可做而不至于直接开摆。
注:我尽量使用通俗易懂的方式讲述,一些术语也都是基本术语,如果你以后想做这个方向,你是必须要了解的。我不会系统地讲整个流程,我将其分为三步,我并不会细化每个步骤,但这对完全没接触过护网的小伙伴已经够用了
一、收集信息
根据发下来的目标收集信息,有几个原则性问题注意一下:
- 各种信息,越全面越好
- 普遍认知中,自动化收集肯定要比手动收集效果好,但不绝对。比如对方资产是装有waf的,一扫描就秒封的ip的那种,这时候人工收集的价值就提现出来了
- 最最基本的信息有ICP备案信息、网址URL、域名、子域名、IP、端口。最最基本的意思是你对一个目标收集到的信息最起码要包含这些,当然实在没有就算了
二、批量验证
这时候你手上应该形成一个txt文本,上面记录这一大堆的url。然后打开批量扫描工具,进行细化收集、漏洞批量验证等。这时候各个队伍会体现出差距,谁的信息收集更全面、谁的漏洞库更齐全、谁的漏扫工具效率更高,谁就能最先发现漏洞。信息收集的重要性就体现在这,一句经典的话:渗透测试的本质就是信息收集,你信息搜集不完全就会错过漏洞,错过漏洞就会导致你后面花时间在一些已知的漏洞上......
批量扫描包括流程:探活-->指纹识别-->特殊响应分类-->漏洞批量验证,下面我细化解释
- 探活:网址url是否存活、ip是否存活
- 指纹识别:开发网站使用到的技术栈,如一些组件、CMS、CDN等
- 特殊响应分类:虽然url不是200存活,但是一些特殊响应码也有利用价值,你可以对特殊相应进行分类,优先级为:403 > 302 > 500。这里重点说一下403,403有时候是可以绕过的,可以尝试以下几种方法:使用插件绕过、进行目录拼接(如:/login.aspx报403,可以尝试在前面拼接一个/admin,即/admin/login.aspx,如果该网站下还有后台或者用户登录,那么我们就会跳转到一些管理系统)
- 对于漏扫的理解:这里我想重点说一下对于漏扫工具的理解,这个是认知问题、经验问题,不是技术问题。漏扫工具一般分为两个派系:一种是发送指定的漏洞利用poc,获得某些响应后,才会提示有漏洞。另一种是,获取目标组件版本,拿着组件版本去漏洞库中查,如果查到这个版本有漏洞,就提示。显而易见,第一种漏扫是更有价值的,它是验证过了才提示,第二种只是做了一个查询,但是注意第二种漏扫也有重要价值,只是第一种更适合批量漏洞验证环节,第二种适合单个目标渗透流程
三、单目标渗透
对目标进行批量验证后,意味着在你的意识里你已经确认那堆url中已经不存在已知的漏洞,那么接下来你要对单个目标进行渗透,在一堆资产中找到脆弱的资产进行渗透【资产不可盲目渗透,所以要去寻找脆弱点(挑软柿子捏),脆弱点一般会出现在测试环境、边界资产中】。对于一般的测试开发环境,域名中会带有一些特别的标记来识别,如:dev.xxx.com、stc.xxx.com、stm.xxx.com、cmm.xxx.com、test.xxx.com等
注:因为在批量验证过程中,可能由于发包过快、poc不够精准导致有已知的漏洞却未被发现或成功利用,那么这些漏洞就需要在单目标渗透中去操作,所以我使用“在你的意识里”这一字眼
总结
最后,我不可能把所有技巧讲完,也讲不完,如上面的初衷一样,只是为了完全没接触过这个方向的小白,在护网时有事可做,最起码把流程弄明白,唯热爱永垂不朽!
2837
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
