渗透测试的一些小技巧

最新推荐文章于 2024-09-14 10:24:09 发布

黑战士安全

最新推荐文章于 2024-09-14 10:24:09 发布

阅读量720

点赞数 19

文章标签：渗透测试 web安全

本文链接：https://blog.csdn.net/qq_32277727/article/details/141141403

版权

知己知彼，百战不殆
免责声明：

渗透测试必须在合法的条件下进行！
技术仅用以防御为目的的教学演示
勿将技术用于非法测试，后果自负，与作者及公众号无关。
遵守法律，共创和谐社会。感谢您的理解与支持！
本系列文章将会围绕渗透测试技巧思路进行分享

一些思路技巧来源于师傅的分享。

文章主要针对新手朋友学习

当然老手也可以阅读学习增长思路

老手勿喷！
在这里插入图片描述

1、首先进行信息收集越多对后面的渗透测试就越有帮助，记住：信息收集是渗透测试第一步，也是最重要的一步！whois，旁站子域，服务器端口，操作系统版本，web中间件以及waf与cdn，通过google与github看看是否存在已知的漏洞这样有助于快速的获得权限。

2、弱口令是一个亘古不变的问题，永远不会改变。可能后台弱口令被改掉了，可是一个公司这么多员工，可能有员工没有改自己原先的弱密码…或者公司一些设备没有改掉默认密码…所以一个好用的密码字典显得尤其关键！使用一些工具生成密码，不一定使用top1000弱口令那些，配合上 Hydra 或者其他好用点的爆破工具的使用，常常能够有不错的收获。

3、验证码简单绕过：重复使用，万能验证码（0000,8888），空验证码，验证码可识别（可用PKAV HTTP Fuzzer工具识别等）

4、短信轰炸绕过：手机号前加+86有可能会绕过，手机号输入邮箱，邮箱处输入手机号

5、在JS文件中搜索关键字API，Swagger UI等等，尝试寻找API接口地址。

6、信息收集，在搜狗搜索中选择微信可以搜索相关企业相关公众号资产。

7、经典渗透三字经：

进谷歌  找注入
没注入  就旁注
没旁注  用0day
没0day  猜目录
没目录  就嗅探
爆账户  找后台
传小马  放大马
拿权限  挂页面
放暗链  清数据
渗透企业实战版
搞企业  先扫描
扫描器  商业好
默密码  都知道
社工库  找一找
邮箱号  先列好
九头蛇  跑一跑
搞不定  放大招
找插件  挖一挖
发邮件  凭伪造
没邮箱  搞网站
二级域  皆可爆
老漏洞  没修好
新漏洞  刷一票
干研发  Git 找
源代码  全都要
C D N  可以跳
防火墙  可以撬
堡垒机  可以秒
云防护  可以秒
是企业  没有哪家搞不了！

8、找回密码可能存在的漏洞：任意用户密码重置、直接跳过验证码验证、短信邮箱轰炸/短信邮箱劫持、验证码手机用户未统一验证

9、一些交易设计缺陷可以直接修改订单金额，金额直接传输导致篡改：直接对下单的金额进行修改值，这里可以使用fd或者burp抓包。

10、渗透时尽量不要暴露自己的 IP 地址，挂代理是必须的。（当然了，必须要经过授权才能进行渗透测试）

linux 下要查看自己终端是否走代理可以 curl https://ifconfig.me/ 看下返回的 IP 地址
windows 就直接访问 ip.skk.moe 即可
11、访问网站更改请求头，插件User-Agent switch，修改UA，可以更改请求方式访问安卓、iPhone、PC等可以访问的页面，可能会访问到浏览器访问不到的信息。

12、js里可能有注释掉的测试账号密码

13、信息收集的时候可以使用fofa查看证书看是否是真实IP 语法 cert=“baidu.com”

14、一些实用的浏览器插件
在这里插入图片描述


Ajax Interceptor：可以自定义ajax的json返回值，前端测试用。
Anti-HoneyPot：红队用，可以检查网页中的蜜罐链接并提示。
ApiRequest.io Ajax Capture Debugging Tool：这个是神器！！强推，可以测试网页中任何的ajax请求包括跨站ajax请求重放，官网提供了只30天的请求历史记录记得保存重要请求。
Decentraleyes：可以拦截一些cdn和本地的文件跟踪器
APK Downloader for Google Play Store ：免google框架在线下载应用商店的app。
Buster Captcha Solver for Humans：过goole验证码，有时候识别会比较慢。
Easy WebRTC Block：干掉webrtc的ip回显，避免泄露真实ip，可以配合dnscrypt把dns泄露也保护了。
IP Whois & Flags Chrome & Websites Rating：自动在后台测试当前网站ip的归属地然后以小图标的形式返回给前台非常便捷，点击进去还可以看到cdn以及whois信息。
NoScript: 慎用，此插件可以强力的拦截网页上的追踪器来保护用户的隐私与真实信息，但是会造成许多网站打开异常。
Identify web technologies ：可以帮你分析当前网站所使用的网络技术与框架。
Shodan：网络搜索引擎同fofa与钟馗之眼，互联网设备大杀器
Picture-in-Picture Extension：画中画悬浮窗口看视频
SourceDetector：可以再后台默默的扫描是否有源代码泄露
HackTools：方便懒人使用点击扩展可快速复制sql，xss，反弹shell。
FindSomething :基于浏览器插件的被动式信息提取工具

15、在渗透测试时候，发现有某个html标签调用服务器内图片的，并且是那种加入服务器ip地址，可以通过修改host头来fuzz一下，看看下是否存在xss。

16、一个 cat ~/.bash_history 命令有时候可能会给你带来一些惊喜

17、测试注入的时候,可以psot/get更换，自定义一些参数，删除一些参数，加上分块，以及burp有时候有这种口口符号，可以删除再测试payload。

18、Oneforall、Teemo、subDomainsBrute这三款工具基本上已经满足了搜集子域名的所有需求，包括枚举、证书、DNS、威胁情报、搜索引擎等多个方面获取信息。

19、一些waf防止执行敏感信息，进行base64编码，可以将二进制数据编码为ASCII字符串。Base64编码通常不会被WAF检测到。

20、在找回密码处，填写数据后抓包查看返回信息，有可能存在敏感数据返回。

21、关注网页源代码，有时候会有表单信息，但是被bidden(隐藏标签)给隐藏起来了，可以修改返回包然后尝试获取数据检测多个账号，主要分析请求参数。

22、关注黑战士公众号，不定期分享各种干货！