导语:
我在CSDN活跃已有6年,这是国内最优秀的IT学习平台之一。尽管有人对其持批评态度,我个人认为它拥有独特的优势。
最近我参加了一场网络安全工作的面试,在广州与面试官深入交流了半个多小时。尽管未能通过面试,但这次经历让我意识到自己在渗透测试思路方面还有不足之处。我发现,虽然我在CSDN上撰写了许多博客,但却很少详细探讨过渗透测试的思维模式。因此,我决定填补这一空白,希望能为更多读者提供帮助和启发。
一、攻击的思路与手段
1、需要收集的信息包括:
人员信息:
- 基础信息:姓名、出生日期、住址等(员工通讯录)
- 社交账号:邮箱、手机、QQ、微信等
- 社交关系和互联网泄露信息
- 角色关系:客户、员工、供应商、合作方等
信息资产:
- 域名和IP地址
- 内外网拓扑结构
- 端口信息
- 使用的软件和网络设备
- 关键系统:如邮箱、OA系统、VPN、域控等
- 关联的合作方和其资产
2、寻找突破口的方法
1)利用工作人员的安全意识薄弱:
- 利用弱口令、撞库、泄露账号、钓鱼等攻击方法通常有效。物理入侵和已知漏洞也是潜在的攻击路径,内网安全已成为重点关注区域。
2)建立漏洞利用库
- 累积各种漏洞利用的知识和工具,以便有针对性地攻击目标。
3)从小入手扩展影响
- 从次要站点入手,逐步扩展攻击范围。利用 XSS、CSRF、SQL注入、越权等漏洞,目标是获取管理员账号权限,执行上传和备份操作,最终获取后台系统的Shell权限。审计源代码以发现更多漏洞。
4)文件扫描和GitHub搜索:
- 扫描目标系统的文件结构,同时搜索GitHub等平台获取相关源码和配置信息。
5)考虑使用未公开的0day漏洞:
- 未公开的0day漏洞可能是非常强大的武器,但使用时需要谨慎权衡风险和收益。
扩展:
0day漏洞是指软件或系统中未被发现或公开的漏洞,因此它们很难被发现和修复。
3、钓鱼攻击
1)口令钓鱼
- 将用户引导至一个外观与真实网站几乎无法区分的假冒网站,并诱使他们输入个人数据。即使使用强加密的SSL服务器认证,检测仿冒网站仍然非常困难。常见形式包括域名仿冒和中奖邮件。
2)鱼叉式网络钓鱼
- 定制化钓鱼攻击,伪装成目标的同事、亲友或领导等身份,诱导目标点击链接或下载附件(如Word文档、VPN设置)。这种方式常用于执行某些操作或窃取敏感信息。
3)偷渡式下载 (Drive-by Download)
- 用户在未完全了解后果的情况下授权下载,例如安装未知或伪造的可执行程序、ActiveX组件或Java applet。这种方式通常导致计算机感染病毒、间谍软件、恶意软件或其他犯罪软件。
4)热点钓鱼 (WiFi钓鱼)
- 攻击者切断目标的网络连接,设置一个假的公开WiFi热点。一旦目标设备连接,攻击者可以监控和截取所有的数据和操作,造成严重的信息泄露风险。
5)搜索引擎钓鱼
- 攻击者通过购买近似域名或通过提升搜索引擎排名的方式,将恶意网站的链接显示在搜索结果中。这种方法利用用户对搜索引擎结果的信任,诱导其访问恶意网站。
6)桌面钓鱼
- 攻击者可能修改用户计算机的hosts文件或制作自解压文件,并捆绑其他软件,通过各种途径诱导用户安装恶意软件或执行不安全的操作。
4、其他突破口
1)社会工程学
- 伪造猎头身份,诱导目标员工下载Word文档木马。
- 利用个人信息生成字典,进行DNS欺骗攻击。
2)破坏DNS记录
- 修改目标网站的DNS记录,将访问者引导至预设的欺诈网站。
3)水坑攻击
- 入侵路由器,截取目标经常访问的网站流量,进行恶意操作。
4)物理攻击
- 冒充水、电、网络或空调维修人员,实施未授权的物理访问。
- 假冒面试者,提供带有恶意软件的U盘,诱导目标打开进行打印。
5、后门隐藏
-
Webshell的隐藏
- 使用回调后门
- 代码混淆和加密
- 不死马(persistent backdoors)
- 无文件Webshell
- 利用计划任务、启动项、注册表等隐藏Webshell
-
增加特权账户和SSH后门
- 增加UID为0或权限为Administrator的账户
- 植入SSH Key
- 利用alias创建后门
- 使用suid后门
-
SSH后门
- 软连接后门
- 使用SSH服务器包装器(ssh server wrapper)
- 利用PAM(Pluggable Authentication Modules)创建后门
-
其他类型的后门
- 利用mafix后门
- 使用Kbeast_rootkit进行植入
6、内网渗透选择攻击目标的优先级
1)攻击高权限账号
- 优先目标是管理员和系统负责人的账号,因为他们拥有广泛的系统权限。
2)攻击运维/安全人员账号和终端
- 这些人员通常拥有服务器的root账号或安全设备管理员账号,攻击他们可以进一步深入控制系统。
3)攻击集中管控设施
- 重点攻击域控制器、集中身份认证系统、终端管理系统等,攻陷这些系统将获取公司内大部分系统的权限。
4)攻击基础设施
- 针对DNS、DHCP、邮件系统、知识分享平台、OA系统、工单系统等基础设施进行攻击。这些系统可能内置有高权限账号,或者能帮助攻击者隐蔽其活动痕迹。
5)攻击开发源代码管理服务器
- 攻击Git、SVN等源代码管理服务器,通过代码审计发现应用的0day漏洞,从而进一步渗透其他系统。
二、攻击常用的工具
1、信息收集工具
公司信息收集
- 天眼查
- GitHub
- 各大搜索引擎
个人信息收集
- Telegram
- 微信
- 钉钉
- 支付宝
- 脉脉
- 贴吧
端口扫描工具
- nmap(kali自带)
- zmap
- masscan
目录扫描工具
- dirb(kali)
- dirsearch
- 御剑
- SourceLeakHacker
- wwwscan
- weakfilescan
Whois/备案查询
- 站长之家
- 阿里云
- 备案查询
历史域名解析记录
- ViewDNSInfo
- DomailTools
- dnsdumpster
- WhoISRequest
C段收集工具
- 必应
子域名收集工具
- Layer子域名挖掘机
- subDomainsBrute
- Sublist3r
- DNSDumper
- IP反查域名
- 谷歌语法:site:baidu.com
指纹识别
- bugscaner
- 云悉
- whatweb
多地ping工具(CDN)
- 站长之家
- 爱站网
- dnsenum
- just-ping
2、绕过CDN查找真实IP的方法
-
探测CDN是否开启:
- 使用多地ping工具,例如通过全球不同地点的ping测试来判断是否存在CDN。(如果同一域名有多个ip就说明目标购买了CDN)
-
查找二级域名:
- CDNs通常将主域名如
example.com
进行CDN加速,而留下二级域名如www.example.com
或其他非主要二级域名可能仍指向真实IP地址。
- CDNs通常将主域名如
-
使用nslookup:
- 查询目标域名的国外DNS记录,因为大部分CDN服务集中在国内市场。比如使用命令
nslookup example.com 8.8.8.8
来查询Google的公共DNS服务器上的解析结果。
- 查询目标域名的国外DNS记录,因为大部分CDN服务集中在国内市场。比如使用命令
-
利用ping:
- 对不同的域名记录如
www.example.com
和example.com
进行ping测试。有些CDN只会对主域名或特定的子域名进行CDN加速,而其他可能保留真实IP。
- 对不同的域名记录如
-
查找历史域名解析记录:
- 如果目标曾使用CDN之前的历史记录,这些记录可能包含真实IP地址。
-
内部邮箱源:
- 探索目标网站的内部邮件服务器,可能会泄露真实IP地址。
-
网站测试文件:
- 分析网站的测试文件如phpinfo等,有时这些文件可能会包含对真实IP的引用或信息。
-
使用APP抓包:
- 通过抓包分析应用程序的网络通信,尤其是移动应用程序可能会绕过CDN直接连接到真实IP。
3、EXP、POC库,漏洞扫描框架EXP、POC库
-
Exploit-DB
- Exploit-DB(https://www.exploit-db.com/)是一个广为人知的漏洞利用数据库,提供各种漏洞的EXP和POC。
-
乌云镜像库
- 乌云镜像库(乌云(WooYun.org)历史漏洞查询---http://WY.ZONE.CI)是一个汇集了大量POC和EXP的平台,特别关注国内外安全漏洞。
-
vulhub
-
Some-PoC-oR-ExP
- Some-PoC-oR-ExP
漏洞扫描框架
CMS-Hunter
- CMS-Hunter是一个专注于CMS漏洞扫描的工具,用于自动化检测和利用各种CMS系统的漏洞。
AngelSwor:Kali安装天使之剑AngelSword,python3的poc!!-CSDN博客
exphubstruts-scan
- exp hubstruts-scan是一个专门用于Struts框架漏洞扫描的工具,帮助检测和利用Struts漏洞。
wpscan
- WPSca n(【Kali Linux工具篇】wpscan的基本介绍与使用_wpscan使用方法-CSDN博客)是一个专门用于WordPress漏洞扫描的工具,包含了丰富的EXP和POC。
A WVS:如何使用 AWVS 安全扫描器进行网站漏洞检查-CSDN博客
- AWV S 是一个全面的Web应用程序安全扫描器,帮助发现并修复Web应用程序中的漏洞。
AppScan:黑客工具之AppScan安装,超详细使用教程(附安装包)-CSDN博客
- Ap pScan 是IBM提供的一个全面的应用程序安全测试解决方案,支持各种应用的漏洞扫描。)
Nessus
- N essus 是一个广为流行的网络漏洞扫描工具,支持全面的漏洞检测和报告功能。
Xray:xray使用入门-CSDN博客
- Xray 是一款高效的安全评估工具,支持Web应用和网络基础设施的漏洞扫描和利用。
4、漏洞利用工具
SQLMap(kali)
- 自动化的SQL注入工具,用于检测和利用Web应用程序中的SQL注入漏洞。
Burp Suite
- 集成的Web应用程序安全测试平台,包括漏洞扫描、攻击代理等功能,被广泛用于渗透测试和安全审计。
NoSQLMap
- 用于自动化发现和利用NoSQL数据库中的安全漏洞的工具。
WebShell
- Web服务器上的后门脚本集合,用于远程控制和执行恶意操作。
WebShell管理工具
-
菜刀
- 管理和控制WebShell的工具,常用于非法入侵活动。
-
蚁剑
- 多功能的WebShell管理工具,支持远程代码执行(RCE)等功能。
-
冰蝎
- 另一个常用的WebShell管理工具,提供强大的远程控制能力。
内网渗透工具
-
Metasploit Framework(msf)
- 全面的渗透测试工具集,包括多种漏洞利用模块和攻击工具。
-
Cobalt Strike(CS)
- 专业的渗透测试工具,提供高级的攻击和渗透功能,如克隆网站和生成Word宏病毒等。
Proxy工具
- ReGeorg
- EarthWorm
- Termite
- ProxyChains-ng
- Proxifier
- Venom
- OpenVPN
提权工具
- windows-kernel-exploits
- linux-kernel-exploits
- LinEnum
端口转发工具
- 根据需要选择合适的工具。(windows、linux)
手机短信接收平台
- materialtools
- z-sms
- receive-sms-online
在线临时匿名邮箱
- yopmail
在线邮件伪造
- EMKEI
- 小幻邮箱系统
在线短链生成
- 站长之家
- 短网址工具
在线MD5解密
- cmd5
- zuWuwang
- somd5
- pmd5
- chamd5
- xmd5
- ttmd5