总体思路
“所有存在参数的地方都需要测试”,“脚本是入侵的前提”
忘记了在哪里看到的这句话,觉得很有道理;后来我考虑了一下这句话的意思,存在参数的话那是不是就是说纯静态的网站就是安全的了;基本上是对的;
首先,纯静态的站点一般是没有后台的,可以说后台就是网站的根目录,写好网站直接丢进去就OK了,没有数据库没有后台登录,也可使用一些静态站点生成的辅助类程序来生成;找到一段话:
“纯静态为啥还有后台登录这种东西?
不考虑服务器本身漏洞以及旁注渗透C段等一系列乱七八糟的问题,
纯静态可以认为是安全的,
没有动态脚本、不与数据库交互,
神马注入、上传、抓包改包、xss都死一边去。
说白了我服务器本身都不支持写入和执行脚本,
你还想入侵,折腾啥玩意?”
不考虑主机侧的漏洞,只说Web侧
动态的站点和静态的站点中的差别主要就是和用户的交互;那我们可不可以认为只要有交互的地方,有参数的地方就有可能存在漏洞呢?
wEb的具体思路
可能刚开始挖到的都是一些信息泄露(反正我是这样的,虽然有一些很严重的信息泄露,但终究还是信息泄露,fuck不到控制权)不要灰心;
真正的在做的时候,我们可能不会按照特别完整的渗透流程对一个站点从头到尾的来一遍,所以哪些应该是我们必须需要做的,或者说简化一下流程?
永远的信息收集_其实也就是信息泄露的挖掘过程
拿到一个站点的首页:我们的步骤
- 先扔到云悉上碰下运气:http://www.yunsee.cn/
- 判断出容器,系统,cms,语言,框架,数据库等等;
- url向前,挖子域名(域传送漏洞):Layer我列出的工具基本都是win下的工具,整理好后会放一个工具包上来;kali用的还是有点少的;子域名一般是对应C段的ip或者子目录或其他ip;
- url向后,子目录,所有显式链接:御剑,wwwscan,各综合型漏扫的爬虫功能还是比较好用的;推荐awvs的爬虫;
- whois,google搜索相关信息;
- 以上做完通常可以找到一些备份文件,功能点,敏感人员信息的泄露,点开你找到的每一个信息,仔细看,用好关键字Ctrl+F搜索;
漏洞挖掘阶段
- 通过你判断出的容器版本,语言框架版本,数据库信息,cms类型查找相关的已知漏洞;
- 这里你需要掌握大量的渗透脚本,已知漏洞;
- 首先通过以上步骤99%的情况下你会找到后台或者是一些管理的界面
- 尝试万能密码,弱口令,爆破,未授权访问;
- 上传点,可以直接getshell
- 最好的情况是漏扫直接扫出来一个上传点
- 手动找,google找,编辑器
- 文件包含和目录遍历
- 目录遍历我认为就是文件包含的一种子集;找各种可能存在文件包含的参数
- 文件下载
- 一般的网站都会有一些文件可以下载,尝试任意文件下载
- Sql注入
- 挨个尝试参数
- 命令执行&代码执行
- xss,csrf,ssrf,xxe不容易直接获取shell的方式
- 代码审计,通过各种途径搞到源代码
- 通过主机侧进行渗透
- 系统exp
- 端口服务渗透
- 旁站来一遍
- 社工
暂时这么多;