黑帽seo培训_网络信息安全_渗透测试培训_若钒安全网

若钒黑帽seo技术及黑帽seo培训,
一对一教学国内外白帽黑帽seo技术!微信/QQ:3909832

Web渗透测试方法和技巧

微信:tllieshou520 QQ:2734390152.网页信息采集(1)在一些大型网站进行二级域名时,主站难以直接查找,子站容易出现问题..

例如,由于数据库的配置不严格,子站的注入可以用于跨库,或者子站的服务器可以使用内部网来危害主站的安全。

图3是一个脚本爆炸百度二级域名的结果。

图3使用脚本炸出211个子域名(2)目录信息在渗透,目录是非常重要的信息..

如果获得根目录,可以将注入合并到GetShell(GET权限),如果有Web目录,则可以尝试放大背景地址并猜测背景文件。

这说明了目录的重要性,下面介绍了获取目录的常用方法。

1)phpinfo和探针文件。

phpinfo文件如图4所示。

图4显示了phpinfo文件PHP探测文件,如图5所示。

图5 PHP探测文件(2)搜索引擎。

在渗透方面,搜索引擎是一个利器,尝试使用搜索引擎的语法,往往会有意想不到的收获..

以下是一些常见的搜索引擎语法。

域:使用域命令查找有关站点的信息。

filetype:限制查找文件的格式类型。

当前可以找到的文件类型是.pdf/.doc/.xls/.ppt/.rtf。

Inurl:限定查询只匹配搜索URL链接。

链接:场外链接查询。

网站:网站全网站搜索引擎包括查询..

标题:搜索网页标题中包含的关键字。

域:使用域命令查找有关站点的信息..

filetype:限制查找文件的格式类型。

当前可用的文件类型是。PDF/.doc/.xls/.ppt/.rtf.

网址:限定查询匹配只搜索网址链接..

查询链接外的链接:网站。

网站:网站全网站搜索引擎包括查询..

标题:搜索网页标题中包含的关键字。

用普通目录暴力破解渗透目标。

对于安全性较差的站点,这种方法往往是有效的。

爬行动物在寻找隐蔽目录方面起着重要的渗透作用。

whois Infor mation Collectionwhois是域名查询协议,用来查询域名的IP地址和所有者的信息..

网络上有很多平台可以提供用户查询。如图6所示,如果在查询中输入目标域名,可以看到目标站点的域名服务器、DNS服务器和其他隐私信息。

图6Whois查询结果4,爆破信息采集\u“爆破\u是一个形象的说法,剧烈开裂,一般采用穷举法或字典(大数据集)列举法。”

中,爆破的作用十分重要..

特别是对于一些大型企业的内部系统,许多员工为了便于使用而忽视密码的安全性,经常使用一些AS,用户名往往是其名称或拼写。

您可以尝试使用搜索引擎并收集目标员工列表,然后生成字典并进行推广。

为了防止这类攻击,一是增加验证,使暴力破解不能进行,如验证代码;二是提高安全性。

第二,SQL注入在几年前很流行,但是今天,SQL注入仍然是最流行的攻击手段之一,开发人员已经伤害了他们的大脑。

当然,这主要是由于注入攻击的灵活性,一个目的,多个语句,多个书写。

SQL注入可以分为工具和手工两种。工具通常比手工工作效率高得多,因为它们是自动化的,但它们不是目标。

1.喷射开挖所有输入都可能是危险的,而且可能存在参数。

那么如何进行全面的挖掘呢??这里需要工具Burp。

挖掘是确定是否可以注入一个参数..

以下是常见的判断方法。

(1)一般来说,大多数编程语言使用内置错误处理库来方便开发人员灵活地调试和修复他们的应用程序,从而简化了调试程序所需的时间。

错误注入是输入一些特殊的字符来产生语法错误,从而确定是否存在注入。常见的特殊字符如下。

(#‘#)将这些特殊字符添加到提交参数中,如果报告了错误,则很可能是注入点,如图9所示。

图单引号错误示例(2)盲注和错误注入是相对的,错误注入返回数据库的一些特定信息,而盲注只返回真值和假值,从而猜测所需的信息;因此,盲注的效率低于报告错误注入。

常见的盲注入可分为两类:布尔盲注和基于时间的盲注。

两者的不同之处在于注射条件不同。

布尔盲注是判断页面响应的信息,而基于时间的盲注又称为延迟注入,是判断页面响应的时间。

对于布尔盲点,在默认情况下关闭错误消息时,如果此时不执行其他处理,则可以使用逻辑表达式进行盲注。

一般原则是,如果逻辑表达式是正确的,则整个SQL查询语句必须返回结果,然后站点显示正确的内容。

基于这一原理,每个字符都可以依次通过注入获得。

最经典的判断方法是1=1和1=2,当提交和1=1页是正常的,当1=2时页面是异常的。

然而,这种判断方法是针对数值参数的,它类似于或2>1;或1>2;xor1=1;xor1=2等。

然而,对于字符参数,常用的语句是‘和’1‘=1;和’1‘=2,其判断方法与数字类型相同。

对于基于时间的盲点,它通常是在更苛刻的条件下使用的注入(例如,最终是跳转)。

以MySQL为例,该判断方法主要涉及睡眠和基准两大功能。本文以基准函数为例进行了介绍。

Benchmark(Count,Exr)基准(Count,Exr)的作用是重复表达式expr的计数执行,根据表达式的响应时间确定表达式是否正确,以及是否存在注入。

当然,延迟注入通常留给工具或脚本进行分析,这可以大大提高准确性和效率。

2.随着注入攻击的流行,市场上有很多种工具。

常见的Havij等,其中由于具有免费、开源、功能强大等特点,一直受到广大用户的尊重。

以下是Windows系统使用的详细说明。

(1)安装sqlmap1)需要在环境中运行,因此需要在安装前安装。

在Windows下,由于版本2.x和版本3.x在性能上的差异,我们使用了2.7.2版本,如图10所示..

图10在Windows环境中安装Python 2)安装完成后,需要添加环境变量。

安装路径是D≤python,执行MyComputer属性命令,并打开Advancedtab,如图11所示。

图11配置运行环境3)单击Environment变量按钮将D:Python(安装路径)添加到PATH并保存它,如图12所示。

图12设置环境变量4)安装配置后,下载的压缩包解压缩,解压路径为D:sqlmap..

打开命令提示符,用cd命令切换到解压缩路径,然后尝试运行它。Py,检查它是否安装成功,如图13所示。

图13检查安装是否成功(2)sqlmap的使用是一个半自动工具,需要手动输入命令才能注入。

(3)在实际注射试验中,通常绕开WAF,可以绕过WAF继续注入检测。下面讨论的是sqlmap对WAF的绕行。

在这种情况下,内置的旁路脚本可以使用语法格式(如.py-uurl“v1-DBS-pacper”脚本名称)使用-tapper命令调用。“

表1是常见的脚本名称和函数。

表1Sqlmap公共脚本名称及其角色3。手动注入在介质中,最强大的注入工具将有局限性,手动注入可以解决这一弱点。

当然,那些需要手动注入的人对他们所针对的数据库语法有一定的理解。

由于灵活性和多样性,这里只选择最具代表性的例子加以说明。

主要结果如下:(1)注入测试可以在确定注入点和确定注入点时开始,如图14所示。

图14My SQ L查询语句的示例这里是Burp的Repeater函数。

从图14中可以看到,POST下的参数topic_title有一个错误注入,其中提交了一个引号并返回了一个错误消息。

在错误消息中返回的错误查询语句如下:SELECT‘aws_topic’。*从‘aws_topic’WHERE(topic_title=’)ORDERBY‘topic_id’ASCE LECT‘aws_topic’WHERE(topic_title=’)ORDERBY’IDERE(2)这是一个My SQ L查询语句。

查看提交的数据在语句中的位置,提交xx,查看查询语句如下:选择‘aws_topic’..*来自`aws_topic'WHERE(topic_title='xx')ORDERBY'topic_ID'ASCELECT'aws_topic。*从`aws_topic'WHERE(topic_title=xx’)ORDERDITE_ID‘(3)确定提交的数据的位置,并尝试关闭语句。

因此,构造的语句格式应该是:‘)Injection语句#’)Injection语句#(5)知道注入语句的格式,然后查看查询语句本身,因为它在哪里之后,因此只能用联合查询或盲点注入。

首先,使用ORDER BY来猜测,您可以看到ORDER BY在16:00返回正常,ORDER BY在17:00报告错误。

因此,它可以构造如下:‘)UNION SELECT1、2、3、4、5、6、7、8、9、10、11、13、13、14、15、16#)UNION SELECT1、2、3、4、5、6、7、8、10、11、13、14、15、16#如图15所示,提交后正常返回,因此可以判断支持联合查询。

图15联合查询(6)使用用户()、数据库()等函数替换查询。

‘UNSELECT USER(),2,3,4,5,6,8,9,10,11,12,13,14,15,16’)UNIONSELECT USER(),2,3,4,6,6,8,9,10,12,13,14,16#,结果如图16所示

图16查询数据库用户名,您可以看到用户的询问@*。61.105,尝试用数据库()替换用户()。

如图17所示,您可以看到数据库被询问,然后继续弹出表名。

图18成功返回表名,对表名进行排序,可以清楚的看到表结构,如图19所示..

图21注入结果4,注入扩展在注入中经常遇到的事情之一是加密的密文是不可溶解的。

这里有几种可能的方法来解决这个问题。

(1)使用国外搜索引擎,往往有意想不到的收获,最常见的是谷歌。

(2)使用无名标识管理员,然后发送电子邮件将更改通知管理员。

(3)饼干的分析。

有时加密的密文出现在Cookie中,在这种情况下,直接用管理员的密码文本替换原来Cookie中的密文。

(4)在特定的注入环境中,有时可以用新的密文代替原来的密文。

当然,实施这一办法的条件是苛刻的,在实践中很少遇到。

(5)利用恢复功能。

通常使用秘密保护问题恢复,在这种情况下,您可以将秘密保护问题的答案插入,然后使用恢复功能成功地登录到目标帐户。

例如,一些登录功能,修改恢复功能,在数据包中直接在密文传输。

此时,您可以使用生成的密文来替换,以便登录、更改等等。

1.使用Burp进行爆破爆破是Web上最常用的爆破工具,其操作非常简单,只需几个步骤就可以实现爆破:设置变量、加载字典攻击、返回信息。

下面详细介绍如何操作..

主要内容如下:(1)建立了浏览器的代理,并没有对具体的过程进行描述。

设置好后,打开目标站点。

您可以在Burp中看到您刚刚登录的数据包,如图23所示。

图22目标爆破页面图23登录操作发送的数据包(3)单击Burp工具界面右上角的Action按钮,查看如图24所示的下拉菜单列。

图24操作下拉条(4)选择发送到入侵者,点击命令返回到Burp的主界面,如图25所示,可以看到主界面的“入侵者”选项卡被高亮显示..

图25数据包进入发送器(5)切换到入侵者选项卡,单击位置选项,如图26所示,查看刚刚捕获的数据包。

图26登录包(6)可以看到数据包中的一些字符被标记,这是Burp对变量的自动判断和标记。

单击清除节按钮,其中只有密码被字典替换,因此选择123456,然后单击“添加§”按钮。

(7)如图27所示,123456已经设置为一个变量,您所要做的就是加载字典文件,替换它,并提交数据包以爆炸。

选择有效载荷选项卡,然后单击“加载”按钮加载字典文件。

图27设置了如图28所示的爆破变量(8),并加载了字典文件,可以进行爆破。

选择顶部的入侵者选项卡并单击Start攻击命令,如图29所示。

图28字典文件成功地加载图。29准备开始爆破(9)时,你可以看到返回信息正在滚动。

字典运行后,分析返回数据长度,找出正确的密码。

图30提示:通过对爆炸结束时的Lengthvalue进行排序,可以快速找到具有不同值的物品..

当然,今天许多网站都有身份验证代码。

但是,验证代码仍有被绕过的风险。利用图像库、Tesseract-OCR和pytesser的第三方库,只有二值化和文本分割才能方便地识别互联网上60%以上的验证代码。

2.爆破在大型网站渗透中的作用,一般不直接将目标放在主站,而是从子站。

我们都知道,一个大型网站必须有一些内部人员登录到该系统。

对于这类系统,安全往往掌握在用户手中,因为许多安全公司认为一个系统只能登录一些固定的内部帐户,而它的一些操作所引起的一些安全问题并不那么重要,所以在开发过程中经常会有很多疏忽。

在这种情况下,内部工作人员的实力尤为重要,但仍然是一个经常出现的问题。

接下来,试着用爬虫爬下所有可以被搜索引擎搜索到的员工名字,已经建立互动网站的人都知道,如果不需要复杂性,有些人总是会使用123456和88888888等弱密码,爆破就是使用这个功能。

所以收集尽可能多的名字。

在收集员工姓名时,可以将其制作成字典文件中的用户名,然后选择一些最常见的,将用户名设置为不变,将用户名设置为变量,从而使用户名爆破。

当一个帐户成功地被炸毁时,试图利用人的惯性和多功能性来杀死其他系统,可以大大提高效率。

在后台问题上,后台文件的使用往往会产生意想不到的影响。

网站背景路径的曝光相当于家的特定位置的曝光。为了杜绝这种现象,开发人员往往使用复制的后台路径,这带来了困难。

常见的后端地址搜索方法有哪些?1.背景地址搜索(1)扫描器和爬行器经常使用外部字典炸掉路径,这种方法的局限性也很明显,词典的强度决定了搜索的成功率。

相比之下,爬行动物通常可以爬出隐藏目录,以提高爆破成功率。

(2)搜索引擎用于后台查找,通常的语法不是文本、inurl、initle等基本的搜索语法,简单实用,而且往往也有意想不到的收获。

(3)页面信息访问Firefox浏览器中的Web站点,右键单击浏览器的空白界面,然后单击ViewPageInformation,如图31所示。

图31表示页面信息,并且可以在媒体页面信息中看到多媒体文件路径,包括图片的路径等。

因为这些图片往往是管理员在后台更新时上传的,而且有些网站上传目录分配不严格,比如上传目录是后台目录的子目录,所以后台路径隐藏在图片路径中..

(4)XSS全名跨站脚本攻击与堆叠样式表(级联样式表,CSS)的缩写不相混淆。因此,跨站点脚本攻击XSS,XSS是Web应用程序中的一个计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其他用户的页面中。

XSS的危害是巨大的,但往往被忽视。

(5)在大型网站中,二次域名和其他端口经常出现这种现象。

例如,Web是从目标站点的二级域名执行的,但其后台登录界面往往是另一个二级域名或三级域名。

因此,有必要用脚本对目标站点的二级域名进行爆破。

其他港口呢?通常,Web站点的默认端口是80个端口,但在实践中,经常会发现一个站点的前台确实有80个端口,而后台登录端口通常是其他端口,例如8000、8080和8001。

因此,在以前的目标应该是尽可能的、全面的,这样才不会浪费大量的时间和精力。

(6)获取来源这种方法对于有留言板或可以与管理员交互的网站更有效。

首先,需要自己准备一个站点,然后在这个站点JS中添加站长统计,将准备好的站点URL以添加好友链的名义发送给目标管理员..

当目标管理员访问发送给他的url时,访问的来源可以在站长统计的后台看到,一般管理员都在后台查看一些消息,所以访问的来源往往是后台地址。

在开发中,后台是为了方便管理员更新站点,所以功能往往很多,如添加管理员、数据库备份下载、文件上传等。

强大,往往伴随着安全问题..

在中间,巧妙地使用后台比在前台更好。

常用的后台用途有哪些??在后台验证绕过,一些网站在后台使用Java验证和固定cookie,这样的验证很可能被绕过..

以Java身份验证为例,因为它发生在客户端,所以对于这种背景,只要在浏览器中禁用Java,就可以访问背景..

例如,蓝色CMS中的背景验证是Java,如图32所示,您可以看到在打开JS时无法访问后台。

图32JS脚本在设置Fire fox的java.enabled为false时验证权限,再次访问后台,如图33所示,可以看到您成功访问了后台,很容易绕过Java验证..

图33成功进入后台3,后台越权本地未授权访问是很多后台问题,即一个页面在后台就可以访问..

最常见的问题,如管理员管理,数据库操作,文件上传等,导致添加管理员,数据泄露,getshell等严重问题..

而当面对那些在后台不是高危越权的人时,该怎么办?(1)越权XSS对于一些低风险的后台越权,开发者往往不太重视,往往问题出在小问题上。

在大多数情况下,与前台相比,背景过于脆弱,很多后台、背景注入等等,在开发人员看来,攻击者是鸡肋“,但如果将其与越权相结合,其本质与前台相似。”

例如,越权网站的基本信息页面,从越权的角度来看,确实没有影响,只是一些公司名称等等。

但是,如果攻击者在基本信息中插入代码,则比前景更有害。

(2)在越权注入的背景下,经常会出现大量的数据库查询,如新闻搜索和成员操作。

事实上,数据库上的任何操作都有可能导致注入,而且背景本身通常会有大量的注入,但是背景常常被忽略。

例如,新闻管理页面的越权,无论是删除、添加、修改或搜索新闻,都应该在数据库上运行。如果开发人员没有进行足够的过滤或过滤,因为它在后台,其危害是可以想象的。

4.利用后台文件进行后台文件的使用,常见的有文件上传、备份下载、数据库下载、robots.txt、探测等,这些文件都有大小影响,直至getshell,下至信息泄漏。

对于后台文件扫描,只需注意一些特定的后缀,如RAR、txt、MDB、SQL等,可以大大节省扫描时间,提高效率。

上传黑匣子旁路是最常见的getshell方法之一。

文件上传的验证大致可分为两类:客户端验证和服务器验证,在此解释常见的上传验证旁路。

1.常用的验证方法和旁路(1)Java验证旁路验证是所谓的客户端验证,也是最脆弱的验证方法。

直接修改数据包或禁用Java以绕过它。

(2)内容类型验证绕过了内容类型验证,最常见的是确定内容类型是否为图像/gif。

对于此身份验证,可以直接将数据包中的内容类型修改为Image/gif,如图34所示。

图34修改内容类型(3)黑名单检测旁路黑名单检测是一种常见的上传验证方法,不允许上传黑名单扩展,其安全性低于白名单检测,其旁路模式远大于白名单检测。

有几种常见的方法可以绕过黑名单检测..

(1)在黑名单扩展名(如ASA、cer)中找到漏水的鱼。

2)绕过病例混淆,如Asp、pHp。

3)利用解析漏洞绕过。

4)特殊文件名结构。

(4)白名单检测绕过白名单检测的安全性远高于黑名单检测,只允许上传允许多个扩展的白名单,因此黑名单在混淆情况下、特殊扩展等旁路方法对白名单的检测都是无效的。

但是,仍然可以通过截断上传、解析漏洞和特殊文件名结构绕过它。

(5)规避开发中的风险扩展后检测,为了便于维护和更新,首先验证扩展,如果扩展是可执行脚本,则检测其帖子的数据,如果存在恶意代码,则禁止上传。

对于这种上传检测旁路,大致有这样的想法,一种是使用变体绕过它的检测,另一种是用包含文件绕过它。

以PHP为例,在txt文件中放一个句子,因为txt不是可执行脚本,所以成功上传;然后将如图35所示的代码放在一个PHP文件中,加载外部××.txt文件..

图35加载一个外部×。txt文件使用PHP中的include函数来包含您刚刚上传的txt文件,而且由于PHP中包含是一个常见的函数,一般的POST检测不会认为它是恶意代码,因此成功地上传了它,从而绕过了执行恶意代码的限制。

(6)一些绕过服务器目录限制的Web应用程序本身并不验证扩展,而是限制允许将目录上传到服务器上的文件扩展名。

对于这种防御,如果可以控制上传路径,就可以成功绕过..

其中最常见的是上传路径是写在包中的,您可以直接修改包,如图36所示。/跳出受限目录。

图36直接修改上传路径,直接添加到文件名中..在目录中,如图37所示。

图37构造了一个特殊的文件名以跳出当前目录2,具体分析了一些绕过技术(1)截断上传是使用%00或%80≤%99来截断文件名以绕过验证。

您可以修改其十六进制值以截断Burp中的内容,如图38所示。

图38构造了一个特殊的文件名,将文件名中的十六进制值替换为00,如图39和图40所示..

图39分号图40六角值的位置被成功修改(2)解析漏洞,一些Web应用程序没有重命名上传的文件。

您可以尝试通过一些解析漏洞绕过这一点。

1)利用IIS 6.0解析漏洞有两种方法:目录解析和文件解析。

对于目录解析,原则是创建一个名为×的文件夹。网站下的ASP,×.asa及其目录中的任何扩展文件将由IIS作为ASP文件解析和执行,例如/××.asp/××.jpg、××.jpg将作为ASP执行。

对于文件解析,如××.asp;.j pg,分号没有解析,所以相当于××.asp..

3)Nginx<8.03空字节码执行漏洞将恶意代码插入上传图片,然后通过访问××.jpg%00.php执行代码。

4)Apache解析漏洞Apache从右到左开始,如果无法识别,则从左判断。例如,.owf和.rar的后缀为××。ph.owf.rar是Apache无法识别的解析,Apache解析为××。ph.owf.rar变成php。

(3)在黑匣子中构造特殊的文件名,对于一些不规则的上传验证,往往会出现一些奇怪的旁路。

例如:××.php。jpg,××.php_等,对于这种验证,往往需要在黑盒环境下进行大量的尝试..

六.其他获取shell文件上传的方式是获取shell的主要方式之一,除了文件上传外,还有很多其他获取shell的方式..

2.数据库备份数据库备份也是一种常用的getshell方法,但MDB数据库备份在相对较新的背景下比较少见,但在旧背景下仍然很常见。

通常,成功需要满足两个条件:getshell:数据库路径可控和备份文件名可控,如图41所示。

图41修改了备份路径和名称。您只需将当前数据库路径更改为上载的图片路径,然后将备份数据库名更改为后门地址。

3.Getshell是写入诸如xycms等配置文件的背景配置文件,它在配置文件的任何列中插入特洛伊木马%><%Execute(请求(chr(112)%><%‘),如图42所示。

图42显示了插入特洛伊木马的文件inc/config.asp的源代码,如图43所示。

图43配置文件源文件4,文件包含文件意味着一个源文件可以包含另一个源文件的所有内容。

此命令的目的是在预编译时将指定源文件的内容复制到当前文件。

在黑盒渗透中,文件包含也是常见的getshell方法之一..微信:tllieshou520 QQ:273439015

若钒黑帽seo,提供最专业的黑帽seo和web渗透技术视频直播 以实战为主。提供最专业正规的黑帽seo培训、渗透测试培训、欢迎咨询!! 微信:tllieshou520 QQ:273439015 SRC平台挖掘培训
转载请注明出处:黑帽seo培训_网络信息安全_渗透测试培训_若钒安全网 » Web渗透测试方法和技巧

若钒黑帽渗透技术-提供最专业的渗透测试培训,黑帽SEO培训,欢迎骚扰!!

若钒黑帽SEO培训 渗透测试技术培训
cache
Processed in 0.007605 Second.