渗透步骤概述

最新推荐文章于 2023-10-17 20:09:27 发布
最新推荐文章于 2023-10-17 20:09:27 发布
阅读量671 收藏 2
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nielilijy/article/details/99577553
版权

1、攻击前的信息收集

1、互联网方式获取:网址、ip、服务器所在地址等

2、获取真实ip之后,根据ip开始获取服务器信息:操作系统,开放端口、服务等

3、根据获得的服务器信息,进行漏洞扫描,从而决定后面的攻击策略

2、攻击手段

1、社会工程学方式

        1、目的:获取客户账号密码

              实现:发送钓鱼邮件,说要改账号之类的,然后给一个链接,界面跟某某网站做的一样,让客户输入账号密码,这样就可以截取客户账号密码,获取之后,就跳转到真正的某某网站的登录页面。

        2、目的:控制客户主机

              实现:制造一个病毒,通过邮件发送给所有人,让用户点击,然后就可以控制用户主机;

2、运用层方式

        1、msf 可以通过扫描端口,扫描漏洞等方式,运用攻击模块,实现对远程主机的控制

        2、找注入点,然后找到登录后台的用户名、密码,找后台,登录进去之后,找上传文件漏洞,先上传小马,然后上传大马,最终实现对主机的控制

3、密码破解

         1、破解控制主机后dump下来的hash密码

          2、破解wifi密码

4、维持访问

          1、控制主机之后需要留下后门以供后续访问

5、清除日志文件

 

nielilijy
关注
专栏目录
web渗透测试基本步骤
weixin_34313182的博客
03-05 1375
基本常见步骤: 一 、信息收集 要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等 二、收集目标站注册人邮箱 1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。 2.用邮箱做关键词,丢进搜索引擎。 3.利用搜索到的关联信息找出其他邮进而得到常...
渗透理论概述
Auscoo111的博客
10-23 4721
渗透入门——术语概述 常见术语 渗透流程 明确目标——信息收集——漏洞探测——漏洞验证——编写报告 ——信息整理——获取所需——信息分析 脚本:动态网站(asp,php,jsp), linux, python 网站:静态网站(与后台交互比较少,如html) 动态网站(使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台lin...
渗透测试流程——渗透测试的9个步骤(转)
橘子女侠
05-09 2万+
渗透测试的流程: 1.明确目标 2.分析风险,获得授权 3.信息收集 4.漏洞探测(手动&自动) 5.漏洞验证 6.信息分析 7.利用漏洞,获取数据 8.信息整理 9.形成报告 1.明确目标 1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块; 2)确定规则:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权... 目标系统介绍、重...
渗透步骤
anxiong1803的博客
05-31 812
目录 一、信息收集 二、取得内网突破口获得权限 常用攻击方式 (一)漏洞攻击 (二)协议欺骗攻击 (三)木马攻击 (四)缓冲区溢出攻击 (五)拒绝服务攻击(DOS) (六)口令入侵 ...
网络安全渗透测试的八个步骤
Button12138的博客
02-14 8164
网络安全渗透测试必看
渗透测试的8个步骤—转载
热门推荐
花米徐xl_lx的专栏
10-31 6万+
渗透测试的8个步骤 展现一次完整的渗透测试过程及思路 发布时间:2017年10月25日 15:11    浏览量:1104  渗透测试这个事情不是随便拿个工具就可以做了, 要了解业务还需要给出解决方案 。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我们来说说 渗透测试 的流程及渗透测试相关概念。 渗透测试流程 渗透测试与入侵的最大区别 渗透
计算机病毒与防护:网络渗透概述.ppt
06-10
* * * * * 网络渗透概述 渗透测试基础 渗透(Penetration) HTTP的请求响应模型 无孔不入 固若金汤 千里之堤溃于蚁穴 蚁穴 安全缺陷和漏洞 渗透测试基础 网络渗透 迂回渐进的攻击长期有计划的渗透 渗透测试基础 网络...
WEB应用渗透测试的步骤
12-28
### WEB应用渗透测试的步骤详解 #### 一、概述 WEB应用渗透测试是一种评估WEB应用安全性的重要手段。通过对WEB应用的模拟攻击,测试者能够发现潜在的安全漏洞并提供改进措施。本文将详细介绍WEB应用渗透测试的基本...
渗透测试概述与基本原理
# 第一章:渗透测试的定义与概述 渗透测试是指授权的安全评估,通过模拟恶意黑客的攻击方式,来评估计算机系统、网络或应用程序的安全性。渗透测试是一种防范和发现系统漏洞的方法,利用该方法可以揭示系统中的弱点...
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9045
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
如何对一个网站进行渗透测试
HHH's Blogs
09-02 6978
摘要: 本文参考https://zhuanlan.zhihu.com/p/25605198 流程:获取书面授权--信息收集--漏洞扫描--漏洞利用--权限提升 切记要取得书面授权方可进行渗透测试。从行业惯例来讲,正规渗透测试都是需要厂商签署授权协议,并指定授权范围和要求的。 因此,有些白帽子的行为是非法的,非法的,非法的! 在获取书面授权的前提下。 1)信息收集, ...
渗透测试步骤
Shinyhuang_的博客
11-15 1万+
#记录一下渗透测试中的一些知识点 #渗透测试可以说是模拟黑客入侵的行为,与之不同的是,我们目的是提高系统的安全性,保护系统而进行的测试。 常规渗透测试基本步骤主要分为8个步骤:明确目标、信息收集、漏洞探测、漏洞验证、信息分析、获取所需、文档整理、生成报告。流程如下图所示 渗透测试基本流程 1. 明确目标 确定目标范围、限度、需求等,然后制定渗透测试方案: 确定范围:测试目标ip、域名、内外网、测试账户、子网、旁站等。 确定规则:能渗透到什么程度,允许测试的时间段和周期、能否修
史上最全的渗透测试面试题,都是干货。
m0_48368237的博客
01-30 7767
1、拿到一个待检测的站或给你一个网站,你觉得应该先做什么? 一、信息收集 1.获取域名的whois信息,获取注册者邮箱姓名电话等。 2.通过站长之家、明小子、k8等查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3、通过DNS域传送漏洞、备份号查询、SSl证书、APP、微信公众号、暴力破解、DNS历史记录、K8 C段查询、Jsfinder、360或华为威胁情报、证书序列号获取企业域名与ip。 4.通过Nmap、Wappalyzer、御剑等查看服务器操作系统
一 系统基础----14. 简单渗透流程
一条小虫
10-23 127
a. 授权 b. 信息收集 nslookup whois c. 扫描漏洞 从高至低, IP -> Port 软件 网站 e. 漏洞利用 d. 提权(Shell环境、桌面环境 最高权限) f. 清除日志 telnet <IP> <port> # 使用该命令 可以通过回应来测试端口号是否开启 net use <F:> <IP\...> <pwd> /user:<user> # 以user身份登录,将共享盘映射到本机上的
渗透的常见步骤
m0_65870432的博客
01-26 3549
基本上就这几个就很常见 1)信息收集:通过域名信息解析(注册人、邮箱、地址、电话、DNS)生成弱口令 还可以在Google hack、IP、旁注、CDN上、子域上搜集 2)漏洞挖掘: 可以通过下图的各种途径 3)漏洞利用:我理解为挖掘漏洞后 让漏洞为你所用 4)权限提升:低权限到高权限 5)权限维持:要隐蔽避免杀软发现 要周期查看 免杀 留多个后门来维持权限 6)日志清扫:要严谨 伪装隐蔽把自己的日志和别的日志混在一起来不被发现 避免机警(例如太多于机警把日志全都删掉了 管理人员发现自己的日志
渗透测试八个步骤渗透测试流程】
公众号【伤心的辣条】资料领取~
04-24 3820
渗透测试遵循软件测试的基本流程,但由于其测试过程与目标的特殊性,在具体实现步骤渗透测试与常见软件测试并不相同。渗透测试流程主要包括8个步骤,如下图所示: 下面结合上图介绍每一个步骤所要完成的任务。 (1 )明确目标 当测试人员拿到需要做渗透测试的项目时,首先确定测试需求,如测试是针对业务逻辑漏洞,还是针对人员管理权限漏洞等;然后确定客户要求渗透测试的范围,如IP段、域名、整站渗透或者部分模块渗透等;最后确定渗透测试规则,如能够渗透到什么程度,是确定漏洞为止还是继续利用漏洞进行更进一步的测试,是否允许破.
渗透过程
tomyyyyy
07-12 223
第一次拿下服务器 信息收集 1.IP信息 17CE 看是否存在cdn 存在的话,查找真实ip 从国外去访问,查看ip信息 去掉www,然后查看ip信息 2.旁站信息 webscan.cc 站长之家 3.C段信息 webscan.cc 站长之家 4.子域名信息 layer子域名挖掘机 subdomain 5.端口信息 nmap portscan 6.网站目录信息 ...
渗透测试的八个步骤
178技术
10-12 9304
什么是渗透测试? 其实很多安全漏洞都属于Web应用漏洞,这些Web漏洞可以通过渗透测试验证。渗透测试是利用模拟黑客攻击的方式,评估计算机网络系统安全性能的一种方法。这个过程是站在攻击者角度对系统的任何弱点、技术缺陷或漏洞进行主动分析,并且有条件地主动利用安全漏洞。 渗透测试并没有严格的分类方法,即使在软件开发生命周期中,也包含了渗透测试的环节,但是根据实际应用,普遍认为渗透测试分为黑盒测试、白盒测试2类,其中黑盒测试中,渗透者完全处于对系统一无所知的状态,而白盒测试与黑盒测试恰恰相反,渗透者在完全了解程序
渗透攻击流程(详细)
最新发布
qq_53086712的博客
10-17 320
在各种社交类型的网络上搜索用户信息时,得到管理员的手机号码后,就可以假装是管理员所在公司的一个新员工,然后利用得到的手机号给目标发信息,告诉他“我是你的新同事xxx,是新的xx部门的经理,这是我的手机号码”。whois是用来查询域名的IP以及所有者等信息的传输协议,可以理解为是一个可以查询域名注册详细信息的大数据,whois中包含域名注册者的姓名,邮箱,电话,地址,dns服务器等信息这些对我们渗透目标都很有用,然后在通过whois 获取到的注册者和邮箱进行域名反查可以获取更多的信息。
计算机取证与网络安全渗透测试漏洞概述
本文所提及的《计算机取证 - 概述》PDF主要介绍了计算机取证分析的基本概念和概述。文章的作者Joas Antonio通过LinkedIn进行了介绍,他是一位关于计算机取证的专家。 在文章中,计算机取证被定义为一种对计算机系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值