渗透测试思路总结

时间：06-12来源：作者：点击数：

一、说明

《Metasploit渗透测试魔鬼训练营》等书已经对渗透测试的步骤流程划分得比较合理透彻了，但感觉在多次通读该类书藉之后仍总感觉不得要领----要对一台给定的主机进行渗透还是不懂到底该如何着手。想来主要是存在以下两个问题。

第一个是在渗透操作系统时，最为关键的从漏洞分析到渗透攻击这一步很难跨越。因为按书中漏洞分析基本只有openvas等漏洞扫描器一条途径，漏洞利用只有Metasploit搜索一条途径；而漏洞扫描器扫出漏洞Metasploit中又正好有利用模块更是少之又少。

第二个是在渗透web系统时，还是和其他很多书藉一样只讲漏洞，而并不能很明确地指出面对一个web系统我怎么知道在哪我应该检测哪些漏洞。

本文一是肯定和总结现在主流的渗透测试的步骤，二是拓展渗透操作系统时从漏洞分析到渗透攻击的途径，三是指出渗透web系统可采用“功能--功能对应检测点”这种触发式渗透方式。

另外可参考SecWiki安全思维导图：https://github.com/SecWiki/sec-chart

二、渗透操作系统（服务版本号漏洞检索法）

操作系统类漏洞一般都是大神们通过代码审计/逆向分析挖掘的漏洞，这需要高深的知识储备，对于一般的渗透而言利用已知漏洞即可，不用也不要自己去挖掘这类漏洞。而查找操作系统类漏洞关键的操作就是确定端口后边的软件及软件版本，然后得用得到的软件名+软件版本到各漏洞库去查找其存在的漏洞乃至exp。这里不妨称之为“服务版本号漏洞检索法”。

2.1 获取正在监听端口的软件及该软件的版本号

比如假设我们探测到8080端口为tomcat监听，版本号为8.5.14

2.2 搜索已有漏洞库，获取该软件及相应版本存在的漏洞列表

2.2.1 搜索CVE漏洞库，获取软件及相应版本存在的漏洞列表

http://www.cvedetails.com/version-search.php

这样我们就找到了tomcat 8.5.14版本存在的几个漏洞，后边以CVE-2017-12617为例

2.3 查看CVE具体信息

2.3.1 在cvedetails查看CVE具体信息

https://www.cvedetails.com/

2.3.2 在mitre查看CVE具体信息

http://cve.mitre.org/cve/search_cve_list.html

2.4 通过CVE查找EXP

2.4.1 在上边的cvedetails或mitre结果中拉到后边的References For CVE-xxx参考区里边有可能有exp链接

在上边已经可看到CVE-2017-12617对应的exploit-db和metasploit中的exp链接

2.4.2在上边的cvedetails中直接点击搜索twitter/youtube/google

2.4.6 openvas等系统漏洞扫描器

三、渗透web系统（功能触发式检测法）

web系统也可以利用现成的漏洞，如各类CMS的漏洞（比如ecshop）、各类插件的漏洞（比如wordpress的各类插件漏洞）、各类框架的漏洞（比如struts反序列化）、各类中间件漏洞（比如weblogic反序列化），这类漏洞在确认web系统使用了该CMS、该插件、该框架、该中间件之后和操作系统类漏洞一样到各漏洞库去找利用方式即可。web渗透更多地是自己去挖掘出其存在的漏洞。

web漏洞我个个喜欢分为业务逻辑漏洞和技术型漏洞两类，业务逻辑漏洞的定性是每套系统都有自己实现无统一的漏洞签名无法使用通用扫描器发现的漏洞，技术型漏洞的定性是因一致的实现或使用一致的第三方组件导致有相对统一的漏洞签名可以使用通用扫描器发现的漏洞（其实看下也没分得那么清还没想得很清楚）。

很多教程都是东一榔头西一棒槌讲各类漏洞也讲得挺清楚，但要去渗透时总感觉一是给定一类漏洞不知道可以去哪些位置找二是给定一个位置又不知道可能会存在哪些漏洞。结合自己的经验我觉得可以自己构建一个“功能----功能对应检测点”的表，以后自己去渗透只要看到web系统有某个功能就去检测其对应检测点即可。这里暂且称之为“功能触发式检测法”。

3.1 信息收集（信收集的目地是锁定可用手段的范围）

网站真实IP--站长、nslookup、dig、www.cz88.net、tcroute

操作系统--TTL、index.PHP、访问不存在页面

网站语言--index等一众页面的后缀、respone包头

服务器--访问不存在页面、respone包头、whatweb

数据库--注入报错、telnet端口

主机端口--Nmap、arp_swwep、portscan

子域名查询--subdomain.chaxun.la

网站CMS--Power By、site+“CMS”；百度”xxx CMS漏洞“

攻击面解析--awvs等爬虫式发现页面、御剑/dirb等暴破式发现隐藏页面、如果是某种标准协议则查看协议查找隐藏接口或隐藏参数

3.2 业务漏洞检测（各项业务都可攻击）

阶段	功能	功能对应检测点
身份认证	用户注册	是否可以重复注册
身份认证	密码修改	修改密码逻辑是否有问题
身份认证	密码重置	重置密码逻辑是否有问题
身份认证	短信验证码	短信炸弹
身份认证	短信验证码	短信验证码是否可暴破
身份认证	图片验证码	验证码是否可重复使用
身份认证	登录	登录逻辑是否有问题
身份认证	用户凭证存储	登录凭证是否存在localStore或sessionStore中
会话管理	登录	会话ID生成机制是否有问题
会话管理	登录	是否有超时自动退出机制
会话管理	退出	退出后会话ID是否真的失效
访问控制	用户信息查看	是否可以水平越权访问其他用户页面
访问控制	具有管理员界面	是否可以垂直越权访问管理员页面
访问控制	具有管理员接口	普通用户直接发包是否也会响应
业务逻辑	购买	修改价格后端是否会再次校验
业务逻辑	多步功能	能否跳过其中某些步
业务逻辑	请求次数限制	服务端如何限制是否可以绕过
业务逻辑	好友查询类	查询自己好友是否把好友的密码等都返回来

3.3 技术型漏洞检测

功能	功能对应检测点	测试基本代码	相关工具
从数据库读取数据	是否存在sql注入	and '1' ='1	sqlmap
用户输入被返回前端页面	是否存在xss	<script>alert('1')</script>	awvs等
功能使用的是请求/响应模式	是否存在csrf		awvs等
文件上传	是否有文件类型、大小限制
文件下载	是否存在目录遍历	../etc/passwd
文件浏览	是否存在目录遍历	../etc/passwd
调用系统命令	是否存在命令注入	;cat /etc/passwd
重定向	是否存在重定向注入
参数	参数超长是否会导致溢出	01234567890123456789
参数	参数有特殊字符是否会导致程序报错
参数	参数缺失是否会导致程序报错