滲透測試tips...零碎的小知識
[轉]滲透測試tips...零碎的小知識
1.拿到一個待檢測的站,你覺得應該先做什麼?
收集資訊
whois、網站源IP、旁站、C段網站、伺服器系統版本、容器版本、程式版本、資料庫型別、二級域名、防火牆、維護者資訊另說…
2.mysql的網站注入,5.0以上和5.0以下有什麼區別?
5.0以下沒有information_schema這個系統表,無法列表名等,只能暴力跑表名。
5.0以下是多使用者單操作,5.0以上是多使用者多操做。
3.在滲透過程中,收集目標站註冊人郵箱對我們有什麼價值?
丟社工庫裡看看有沒有洩露密碼,然後嘗試用洩露的密碼進行登入後臺。
用郵箱做關鍵詞進行丟進搜尋引擎。
利用搜索到的關聯資訊找出其他郵進而得到常用社交賬號。
社工找出社交賬號,裡面或許會找出管理員設定密碼的習慣 。
利用已有資訊生成專用字典。
觀察管理員常逛哪些非大眾性網站,拿下它,你會得到更多好東西。
4.判斷出網站的CMS對滲透有什麼意義?
查詢網上已曝光的程式漏洞。
如果開源,還能下載相對應的原始碼進行程式碼審計。
5.一個成熟並且相對安全的CMS,滲透時掃目錄的意義?
敏感檔案、二級目錄掃描
站長的誤操作比如:網站備份的壓縮檔案、說明.txt、二級目錄可能存放著其他站點
6.常見的網站伺服器容器。
IIS、Apache、nginx、Lighttpd、Tomcat
7.mysql注入點,用工具對目標站直接寫入一句話,需要哪些條件?
root許可權以及網站的絕對路徑。
8.目前已知哪些版本的容器有解析漏洞,具體舉例。
IIS 6.0
/xx.asp/xx.jpg “xx.asp”是資料夾名
IIS 7.0/7.5
預設Fast-CGI開啟,直接在url中圖片地址後面輸入/1.php,會把正常圖片當成php解析
Nginx
版本小於等於0.8.37,利用方法和IIS 7.0/7.5一樣,Fast-CGI關閉情況下也可利用。
空位元組程式碼 xxx.jpg%00.php
Apache
上傳的檔案命名為:test.php.x1.x2.x3,Apache是從右往左判斷後綴
lighttpd
xx.jpg/xx.php,不全,請小夥伴們在評論處不吝補充,謝謝!
9.如何手工快速判斷目標站是windows還是linux伺服器?
linux大小寫敏感,windows大小寫不敏感。
10.為何一個mysql資料庫的站,只有一個80埠開放?
更改了埠,沒有掃描出來。
站庫分離。
3306埠不對外開放
11.3389無法連線的幾種情況。
沒開放3389 埠
埠被修改
防護攔截
處於內網(需進行埠轉發)
12.如何突破注入時字元被轉義?
寬字元注入
hex編碼繞過
13.在某後臺新聞編輯介面看到編輯器,應該先做什麼?
檢視編輯器的名稱版本,然後搜尋公開的漏洞。
14.拿到一個webshell發現網站根目錄下有.htaccess檔案,我們能做什麼?
能做的事情很多,用隱藏網馬來舉例子:
插入
<FilesMatch “xxx.jpg”> SetHandler application/x-httpd-php
.jpg檔案會被解析成.php檔案。
具體其他的事情,不好詳說,建議大家自己去搜索語句來玩玩。
15.注入漏洞只能查賬號密碼?
只要許可權廣,拖庫脫到老。
16.安全狗會追蹤變數,從而發現出是一句話木馬嗎?
是根據特徵碼,所以很好繞過了,只要思路寬,繞狗繞到歡,但這應該不會是一成不變的。
17.access 掃出字尾為asp的資料庫檔案,訪問亂碼。如何實現到本地利用。
迅雷下載,直接改字尾為.mdb。
18.提權時選擇可讀寫目錄,為何儘量不用帶空格的目錄?
因為exp執行多半需要空格界定引數
19.某伺服器有站點A,B 為何在A的後臺新增test使用者,訪問B的後臺。發現也新增上了test使用者?
同資料庫。
20.注入時可以不使用and 或or 或xor,直接order by 開始注入嗎?
and/or/xor,前面的1=1、1=2步驟只是為了判斷是否為注入點,如果已經確定是注入點那就可以省那步驟去。
21:某個防注入系統,在注入時會提示:
系統檢測到你有非法注入的行為。
已記錄您的ip xx.xx.xx.xx
時間:2016:01-23
提交頁面:test.asp?id=15
提交內容:and 1=1
如何利用這個防注入系統拿shell?
在URL裡面直接提交一句話,這樣網站就把你的一句話也記錄進資料庫檔案了 這個時候可以嘗試尋找網站的配置檔案 直接上菜刀連結。具體文章參見:http://ytxiao.lofter.com/post/40583a_ab36540。
22.上傳大馬後訪問亂碼時,有哪些解決辦法?
瀏覽器中改編碼。
23.審查上傳點的元素有什麼意義?
有些站點的上傳檔案型別的限制是在前端實現的,這時只要增加上傳型別就能突破限制了。
24.目標站禁止註冊使用者,找回密碼處隨便輸入使用者名稱提示:“此使用者不存在”,你覺得這裡怎樣利用?
先爆破使用者名稱,再利用被爆破出來的使用者名稱爆破密碼。
其實有些站點,在登陸處也會這樣提示
所有和資料庫有互動的地方都有可能有注入。
25.目標站發現某txt的下載地址為http://www.test.com/down/down.php?file=/upwdown/1.txt,你有什麼思路?
這就是傳說中的下載漏洞!在file=後面嘗試輸入index.php下載他的首頁檔案,然後在首頁檔案裡繼續查詢其他網站的配置檔案,可以找出網站的資料庫密碼和資料庫的地址。
26.甲給你一個目標站,並且告訴你根目錄下存在/abc/目錄,並且此目錄下存在編輯器和admin目錄。請問你的想法是?
直接在網站二級目錄/abc/下掃描敏感檔案及目錄。
27.在有shell的情況下,如何使用xss實現對目標站的長久控制?
後臺登入處加一段記錄登入賬號密碼的js,並且判斷是否登入成功,如果登入成功,就把賬號密碼記錄到一個生僻的路徑的檔案中或者直接發到自己的網站檔案中。(此方法適合有價值並且需要深入控制權限的網路)。
在登入後才可以訪問的檔案中插入XSS指令碼。
28.後臺修改管理員密碼處,原密碼顯示為*。你覺得該怎樣實現讀出這個使用者的密碼?
審查元素 把密碼處的password屬性改成text就明文顯示了
29.目標站無防護,上傳圖片可以正常訪問,上傳指令碼格式訪問則403.什麼原因?
原因很多,有可能web伺服器配置把上傳目錄寫死了不執行相應指令碼,嘗試改字尾名繞過
30.審查元素得知網站所使用的防護軟體,你覺得怎樣做到的?
在敏感操作被攔截,通過介面資訊無法具體判斷是什麼防護的時候,F12看HTML體部 比如護衛神就可以在名稱那看到內容。
31.在win2003伺服器中建立一個 .zhongzi資料夾用意何為?
隱藏資料夾,為了不讓管理員發現你傳上去的工具。
32、sql注入有以下兩個測試選項,選一個並且闡述不選另一個的理由:
A. demo.jsp?id=2+1 B. demo.jsp?id=2-1
選B,在 URL 編碼中 + 代表空格,可能會造成混淆
33、以下連結存在 sql 注入漏洞,對於這個變形注入,你有什麼思路?
demo.do?DATA=AjAxNg==
DATA有可能經過了 base64 編碼再傳入伺服器,所以我們也要對引數進行 base64 編碼才能正確完成測試
34、發現 demo.jsp?uid=110 注入點,你有哪幾種思路獲取 webshell,哪種是優選?
有寫入許可權的,構造聯合查詢語句使用using INTO OUTFILE,可以將查詢的輸出重定向到系統的檔案中,這樣去寫入 WebShell
使用 sqlmap –os-shell 原理和上面一種相同,來直接獲得一個 Shell,這樣效率更高
通過構造聯合查詢語句得到網站管理員的賬戶和密碼,然後掃後臺登入後臺,再在後臺通過改包上傳等方法上傳 Shell
35、CSRF 和 XSS 和 XXE 有什麼區別,以及修復方式?
XSS是跨站指令碼攻擊,使用者提交的資料中可以構造程式碼來執行,從而實現竊取使用者資訊等攻擊。修復方式:對字元實體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端採用相同的字元編碼。
CSRF是跨站請求偽造攻擊,XSS是實現CSRF的諸多手段中的一種,是由於沒有在關鍵操作執行時進行是否由使用者自願發起的確認。修復方式:篩選出需要防範CSRF的頁面然後嵌入Token、再次輸入密碼、檢驗Referer
XXE是XML外部實體注入攻擊,XML中可以通過呼叫實體來請求本地或者遠端內容,和遠端檔案保護類似,會引發相關安全問題,例如敏感檔案讀取。修復方式:XML解析庫在呼叫時嚴格禁止對外部實體的解析。
36、CSRF、SSRF和重放攻擊有什麼區別?
CSRF是跨站請求偽造攻擊,由客戶端發起
SSRF是伺服器端請求偽造,由伺服器發起
重放攻擊是將截獲的資料包進行重放,達到身份認證等目的
37、說出至少三種業務邏輯漏洞,以及修復方式?
密碼找回漏洞中存在密碼允許暴力破解、存在通用型找回憑證、可以跳過驗證步驟、找回憑證可以攔包獲取等方式來通過廠商提供的密碼找回功能來得到密碼
身份認證漏洞中最常見的是會話固定攻擊和 Cookie 仿冒,只要得到 Session 或 Cookie 即可偽造使用者身份
驗證碼漏洞中存在驗證碼允許暴力破解、驗證碼可以通過 Javascript 或者改包的方法來進行繞過
轉自:http://www.cnblogs.com/wsygoogol/p/6605751.html