對于“滲透測試”這個事，我也時常糾結(jié)，尤其在“度”的方面上，畢竟自己還很年輕。個人感覺，滲透是在不影響單位正常運營的前提下的一場完整攻擊，目標(biāo)是一個面不是一個點。但是，大家都懂得2333。

入坑以來，跟著網(wǎng)上師傅們分享的各種好文章劃來劃去，終于肚子里有點墨水?dāng)D出來了，水了一篇基于隱秘測試的黑盒滲透測試的小文分享一下。本文主要分享下一些姿勢和個人總結(jié)，文章涉及的工具可能比較多，就不一一舉例用法了，畢竟不想搞成一個工具使用說明文*(相關(guān)工具用法搜索一下就有了)*，也不提供下載鏈接了，畢竟我是好公民。

??

[[209259]]

一、個人準(zhǔn)備

準(zhǔn)備一套新win+lin虛擬機并安裝常用工具，不要使用實體機。

白天好好睡覺，晚上干活，萬一對服務(wù)造成傷害還可以降低影響。

二、信息搜集

1. 主動/被動搜集

信息搜集分為主動信息搜集和被動信息搜集。

主動信息搜集就是通過直接訪問和掃描信息的方式進行收集信息，缺點是會記錄自己的操作信息;被動信息搜集就是通過第三方服務(wù)進行信息搜集，缺點是收集信息有限。信息搜集是很重要的一部分，信息越全面對后面的攻擊越有幫助，可以先盡最大努力的使用被動信息搜集方式最大效果的搜集信息，再使用主動信息搜集的方式搜集非被動搜集不到的信息。

2. 常用套路

• 搜集網(wǎng)站單位信息。這項可以通過一些在線網(wǎng)站來查詢，可以由此得到單位的基本信息。分享幾個單位信息查詢站點：天眼查、啟信寶、企業(yè)信用信息公示系統(tǒng)、事業(yè)單位在線、
• 搜集whois信息。一個網(wǎng)站的切入點，可以由此得到域名相關(guān)信息。列舉幾個whois查詢站點：Chinaz、Aliyun、Whois365
• 搜集網(wǎng)站備案信息：ICP備案查詢網(wǎng) 、ICP/IP地址/域名信息備案管理系統(tǒng)
• 搜集子域名信息。子域名往往是滲透過程中重點關(guān)注的對象，主站行不通的情況下往往首先想到子站入手。分享幾個子域名搜集方法和工具：搜索引擎查詢(Baidu、So、Bing、Google等)、DNS域傳送漏洞、父站點爬取、IP反查、Forward-DNS 、子域名挖掘機、Host、Dig、Dnsenum、Dnsmap、Fierce
• 搜集郵件系統(tǒng)信息。郵件系統(tǒng)也是需要重點關(guān)注的地方，在自建郵件服務(wù)情況下很好的利用郵件服務(wù)可以達(dá)到意想不到效果，并且在GET到某些郵件地址情況下進行釣魚也不錯的選擇?？梢韵韧ㄟ^域名MX記錄查看是否為自建郵件服務(wù)器，自建的情況下可以后續(xù)測試漏洞，通過TheHarvester可以進行郵箱挖掘，后續(xù)再爆破一波就美滋滋了。
• 搜集真實IP地址。弄到藏在CDN后的真實IP的確是個頭大的事情，師傅們分享的大多是通過多地ping的方式確定是否有CDN，再通過子站IP嘗試和國外訪問嘗試的方式看看是否可獲得IP，或通過歷史域名解析記錄尋找IP，或利用DNS查詢IP、或利用郵件驗證碼之類功能獲取郵件發(fā)送地址，或利用DDOS消耗CND進行IP泄漏。
• 搜集旁站信息。主站搞不定的情況下搞下旁站也是一條路，畢竟目的是一個突破點。感謝師傅分享的旁站查詢接口。
• 搜集C段信息。一個單位不可能只買一個IP，很多都是大小段的買，所以從C段也能突破進單位，舉例幾個的查C段工具：Nmap、Zmap、Webscan、Hackmall
• 搜集Web敏感文件。Web敏感文件比較多，日常留意多搜集。舉幾個例子：robots.txt、crossdomin.xml、sitemap.xml、源碼泄漏文件
• 搜集服務(wù)器和中間件信息。這一項也有多種方式，可以通過Zoomeye、Shodan等優(yōu)秀的在線系統(tǒng)搜集，也可以利用Nmap、MSF、Zmap等端口和指紋識別功能搜集，也可以用NC和Telnet獲取Banner信息進行識別，Web方面可以用Whatweb工具或者通過Headers信息。
• 搜集WAF信息：WAF識別大多基于Headers頭信息，有一個老工具Wafw00f可以用來探測一定的Waf，也可利用Sqlmap的waf腳本，也可使用Nmap的http-waf-detect和http-waf-fingerprint腳本，也可自己平時多收集Waf特征。
• 搜集歷史漏洞。若能夠在根據(jù)已有信息情況下找到一枚歷史漏洞將會是一個巨大的幫助。漏洞查詢站點舉例：exploitdb 、hackerone、CNVD 、0day5 、烏云漏洞庫鏡像站。

3. 從信息到規(guī)劃

根據(jù)已搜集的信息進行梳理與分析，查找疏漏點進行搜集補充，從各個角度都整理一套滲透攻擊步驟與思路的規(guī)劃，優(yōu)先以最擅長的方面切入，優(yōu)先以最有把握的點切入，以不打草驚蛇為原則。

三、漏洞挖掘與利用

1. 漏洞挖掘

站點漏洞挖掘是大家都經(jīng)常搞的了，挖洞技能全靠平時積累學(xué)習(xí)?？次恼碌膸煾祩兯侥繙y都比我高，這里不班門弄斧了，只分享下一般站點漏洞挖掘的個人習(xí)慣(不對地方還請指出，3Q)。

• 針對站點漏洞挖掘，我個人不喜歡直接上AWVS、Appscan、Nessus之類的重量級掃描器，一方面用重量級掃描器會很容易被負(fù)責(zé)的運維人員發(fā)現(xiàn)，這樣無疑會增大接下來的滲透難度;另一方面會被絆IP，這樣就損失部分代理或肉雞;再一方面還有一定機率對站點數(shù)據(jù)和服務(wù)造成破壞，這也是滲透最不想看到的事;再者說現(xiàn)在的站點也沒有能輕易被掃描器掃出來的Web漏洞。
• 對一個站點，我一般會習(xí)慣性的按著從系統(tǒng)漏洞探測到中間件漏洞探測再到Web漏洞探測的過程。雖說大多數(shù)情況下系統(tǒng)漏洞和中間件漏洞碰到的不多，但萬一走運了。對系統(tǒng)漏洞和中間件漏洞挖掘，常用Nmap腳本、MSF模塊、F-MiddlewareScan框架等工具。對于Web漏洞探測，若是CMS站點首先去尋找版本漏洞，也可以WPScan、Joomscan、M7lrv-CMS之類工具掃一掃，也可以利用CMS-Exploit-Framework框架利用漏洞，但大多CMS攻擊還需要靠自己積累學(xué)習(xí)(挖0day);若是自行開發(fā)的Web站點，那就需要發(fā)揮一個Web狗的特長了，先搞帳號熟悉一下基本功能和結(jié)構(gòu)，重點地方重點排查，從注冊到登錄到功能到……從注入到跨站到第三方功能組件……多多探測，多多fuzz。
• 主站搞不下搞旁站，旁站搞不下搞C段，只要得到一個突破口就夠了。站點都不好弄情況下，還可以根據(jù)已有的信息進行社工以獲得更多的信息，信息越多進行密碼破解可能性越大，順便分享個密碼包(ps：忘了從哪掏的包了，感謝收集者。)。
• 若對測試目標(biāo)左挖右挖都挖不到能利用的點，那也不，還有一項：APT攻擊。一個測試目標(biāo)，即便站點維護強固，但也很難保證內(nèi)部員工安全素質(zhì)極高，一點小小的疏漏就給了攻擊者可趁之機。做一個有深度的APT攻擊是個很耗時耗力的事情，但對于測試目標(biāo)安全性能底線而言，可以進行一個小型的APT攻擊?，F(xiàn)在常見的APT攻擊手段就是水坑攻擊和魚叉式網(wǎng)絡(luò)釣魚。攻擊的前提是社工得到足夠的內(nèi)部員工的體系結(jié)構(gòu)、上網(wǎng)習(xí)性等信息，了解體系結(jié)構(gòu)才能知道在哪里能夠獲得更有用的信息，了解上網(wǎng)習(xí)性才能利用習(xí)性漏洞進行開展入侵。一個軟件使用版本、使用習(xí)慣都會給攻擊者帶來一個入侵點，但攻擊者肚里也要有足夠的量。反正只要能通過水坑攻擊或魚叉式釣魚等方式搞到一臺內(nèi)部機，剩余的都是搞內(nèi)網(wǎng)的事情了。

2. 漏洞利用

• 利用挖掘出來的漏洞也要很小心，能把服務(wù)打癱瘓的漏洞就先不要嘗試了。
• 對于系統(tǒng)漏洞和中間件漏洞，自己常用的就是msf和exploitdb直接利用現(xiàn)成腳本工具打，但特別情況下也需要修改或自造腳本。
• 對于邏輯漏洞、越權(quán)、CSRF/XSRF之類的漏洞，在沒法擴大滲透深度的情況下就可以寫這項的報告了。
• 對于SSRF漏洞，環(huán)境允許的情況下可以很好的利用它進行內(nèi)網(wǎng)探測與攻擊，關(guān)于SSRF推薦豬豬俠師傅的《一個只影響有錢人的漏洞》文章。
• 對于任意文件上傳漏洞，能拿shell就可以做跳板搞內(nèi)網(wǎng)了。
• 對于任意文件包含和任意讀取，一般就是遠(yuǎn)程包含拿shell，本地讀取拿文件，特別情況下還可以擴大利用。
• 對于SQL注入漏洞，注入要有“度”，能得到管理員密碼進后臺上shell就知足了，千萬別動別的，利用方式上提倡自寫腳本。
• 對于XSS漏洞，不要習(xí)慣性的拿彈窗測試，不建議使用別人搭建的平臺，可以利用BlueLotus_XSSReceiver搭建或者利用BeEF或者利用XSSer或者寫個小腳本自建。

其他漏洞就不一一舉例了，反正在隱秘測試的情況下，能悄悄的就悄悄的。

漏洞挖掘與利用輔助工具也就那些常用的那些，除了上面列舉外再舉例幾個自己比較習(xí)慣的：Firefox插件(Hackbar、HackSearch、HttpRequester、Live Http headers、Modify Headers、Netcraft Anti-Phishing Toolbar、NoScript、Wappalyzer、Web Developer)、御劍、椰樹、dirb、K8fly、Sqlmap、BurpSuite、AntSword、Hashcat、Hydra、Medusa。

四、提權(quán)與維權(quán)

1. 提升權(quán)限

雖說僅僅是個測試，但很多情況下提權(quán)還是要的，這是變點為面的前提。當(dāng)然，提權(quán)也未必是在自己拿到的站點服務(wù)器或釣到的那個主機上提權(quán)，提權(quán)目的是有個高權(quán)限的機子來方便測試整個內(nèi)網(wǎng)，比如可以以已有機器為跳板以遠(yuǎn)程提權(quán)方式來打到內(nèi)網(wǎng)其他主機的高權(quán)限，所以只要在內(nèi)網(wǎng)任意機器上拿到可進一步滲透利用的高級權(quán)限就夠了。提權(quán)方法也有很多，不同環(huán)境下有不同的姿勢。

• 系統(tǒng)漏洞提權(quán)。windows下可以用systeminfo查看系統(tǒng)版本和補丁記錄，利用沒修補的漏洞提權(quán)，例如MS11080等;linux下可以用uname -a查看系統(tǒng)內(nèi)核版本，利用系統(tǒng)內(nèi)核漏洞提權(quán)(內(nèi)核提權(quán)很容易導(dǎo)致系統(tǒng)崩潰，要小心)，例如心臟出血等。
• 數(shù)據(jù)庫提權(quán)。一方面可以利用數(shù)據(jù)庫漏洞得到數(shù)據(jù)庫執(zhí)行權(quán)的Shell;另一方面可以在站點數(shù)據(jù)庫配置文件找數(shù)據(jù)庫帳號密碼，利用數(shù)據(jù)庫系統(tǒng)命令執(zhí)行功能獲得數(shù)據(jù)庫執(zhí)行權(quán)的Shell。數(shù)據(jù)庫漏洞上例如Mssql的JOB提權(quán)、Mysql的Mof提權(quán)。
• Web中間件漏洞提權(quán)。通過Web服務(wù)的容器漏洞進行本地提權(quán)。例如IIS溢出、Tomcat提權(quán)等。
• 第三方軟件提權(quán)。很多開機自啟的軟件都會以system權(quán)限運行，或者使用者啟動時使用了管理員權(quán)限運行。例如Radmin、Filezllia、搜狗拼音提權(quán)等
• 系統(tǒng)錯誤配置提權(quán)。在windows下可以使用BeRoot工具進行系統(tǒng)配置檢查，利用配置錯誤點進行提權(quán)。
• 獲取高權(quán)限賬號提權(quán)?？梢栽诳刂茩C上利用LaZagne project(支持linux、windows、mac)，可以抓取chats、mails、database、wifi、sysadmin、wallet、browsers、memory中的密碼，可以利用抓取到的密碼進行高權(quán)限帳號密碼測試，也可以利用神器mimikatz和mimipenguin，不過在部分時候由于權(quán)限問題可能讀取不到部分密碼。

2. 維持權(quán)限

維權(quán)也是一個必須的點，好不容易搞到的跳板可不能輕易丟了。維權(quán)也就是所謂的留后門，無論windows下還是linux下留后門姿勢都多種多樣，我也就只列舉幾個吧。

• 服務(wù)器站點可以采取構(gòu)造Web漏洞方式維權(quán)。我感覺這種方式比放上個馬可靠多，同時漏洞構(gòu)造的隱蔽一些，讓其他人給利用了就不好完了。比如可以構(gòu)造復(fù)雜的文件包含漏洞包含放在某個系統(tǒng)目錄下的木馬圖片來獲取Shell，也可以構(gòu)造SQL注入利用Sqlmap的--os-shell參數(shù)來執(zhí)行Shell。
• 服務(wù)器站點可以使用過狗過盾的復(fù)雜馬維權(quán)。復(fù)雜馬的構(gòu)造需要私下自己多實驗多構(gòu)造了。
• Linux、Windows賬戶維權(quán)。這個方法只適合沒有做LDAP或堡壘機之類的SSO統(tǒng)一權(quán)限管理和沒有屏蔽對外端口的情況，可以利用密碼讀取工具讀取到的密碼進行保持權(quán)限，也可以自建linux隱藏賬戶、windows隱藏賬戶的方式保持權(quán)限。
• 工具法維權(quán)。工具概括來說就是主動反彈和被動連接兩種。兩種方式各有優(yōu)缺點，例如：主動反彈方式既可以放在有公網(wǎng)IP的服務(wù)器站點也可以放在內(nèi)網(wǎng)釣到的機子上，并且更方便規(guī)避防火墻、IPS等阻礙，但需要設(shè)定觸發(fā)機制，不能做到想連就連;被動連接方式能夠隨時連，但無法利用在內(nèi)網(wǎng)機子上(除非你拿了上層路由做了端口映射)。利用上例如msf生成后門、nc反彈，腳本反彈shell等。

3. 內(nèi)網(wǎng)滲透

內(nèi)網(wǎng)滲透基本都是依據(jù)當(dāng)前所獲得的網(wǎng)絡(luò)環(huán)境進行策略制定，不同環(huán)境方式不同，但內(nèi)網(wǎng)中能搞得也就常說的那些，在有比較靠譜的防火墻、NIDS、IPS的情況下內(nèi)網(wǎng)就更加難搞了，時時刻刻還要提防它們。這里也就之列舉一下常用的內(nèi)網(wǎng)思路。

4. 常用套路

• 網(wǎng)絡(luò)拓?fù)涮綔y。探測拓?fù)涫莻€很頭大的事，子內(nèi)網(wǎng)和防火墻都會阻礙拓?fù)涮綔y。大多也只能探測到上層網(wǎng)、公共網(wǎng)、內(nèi)網(wǎng)服務(wù)器網(wǎng)的網(wǎng)絡(luò)環(huán)境，再有些其他因素就導(dǎo)致探測的更少了。
• 內(nèi)網(wǎng)弱口令。內(nèi)網(wǎng)弱口令其實還是蠻多的，可以對同子網(wǎng)個人電腦、內(nèi)網(wǎng)服務(wù)器、交換機、路由器嘗試弱口令破解。
• 內(nèi)網(wǎng)服務(wù)器漏洞。若在OA之類的內(nèi)網(wǎng)辦公通訊站點，可以挖到漏洞就可以獲取到部分有助內(nèi)網(wǎng)滲透的信息。
• 內(nèi)網(wǎng)路由器漏洞。無論是上層網(wǎng)路由還是內(nèi)網(wǎng)服務(wù)器網(wǎng)路由，只要拿下路由器那就是個很大的幫助，這樣就可以進一步做端口映射和轉(zhuǎn)發(fā)，更好的其搜集其他內(nèi)網(wǎng)信息，擴大了攻擊面。
• 內(nèi)網(wǎng)個人電腦漏洞。例如利用17010之類的遠(yuǎn)程漏洞測試同子內(nèi)網(wǎng)中的個人電腦，進而多搜集信息，以方便測試內(nèi)網(wǎng)服務(wù)器。一個不錯的內(nèi)網(wǎng)信息搜集腳本：地址
• 內(nèi)網(wǎng)釣魚。和一般釣魚思路差不多，不過內(nèi)網(wǎng)中更容易讓別人信任，可以通過OA和辦公郵件進行釣魚。
• 中間人攻擊。不同環(huán)境下可以用不同的姿勢，一般用的多的就是ARP欺騙、DNS欺騙、會話劫持，進行中間人攻擊的前提是取得一定的內(nèi)網(wǎng)權(quán)限。
• 內(nèi)網(wǎng)穿透。在進行部分攻擊時候，可能需要讓其他內(nèi)網(wǎng)電腦穿過外網(wǎng)出口進行輔助測試，這里推薦一篇不錯的穿越邊界的姿勢，另外經(jīng)過Web站點做代理進行穿透時候還需要做Web端口復(fù)用。

五、后記

一場正規(guī)測試下清理痕跡就可以省了，所以這里也不寫了，但還是需要老老實實供出在人家網(wǎng)絡(luò)干了哪些事，以免以后出其他亂子扣在自己頭上。另外還需要撰寫漏洞報告，一個漂亮的報告是滲透測試的滿意答卷，漏洞報告上不僅要體現(xiàn)出漏洞危害程度與漏洞細(xì)節(jié)，相應(yīng)的修補建議尤其是內(nèi)網(wǎng)修補建議要詳細(xì)、規(guī)格、嚴(yán)謹(jǐn)。