1、掃描工具Zenmap （Nmap ）一是探測(cè)一組主機(jī)是否在線；二是掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)；三是可以推斷主機(jī)所用的操作系統(tǒng)2、當(dāng)我們知道了數(shù)據(jù)庫類型并有了賬號(hào)密碼，但找不到后臺(tái)的時(shí)候，可

1、掃描工具Zenmap （Nmap ）

一是探測(cè)一組主機(jī)是否在線；二是掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)；三是可以推斷主機(jī)所用的操作系統(tǒng)

2、當(dāng)我們知道了數(shù)據(jù)庫類型并有了賬號(hào)密碼，但找不到后臺(tái)的時(shí)候，可以嘗試下這幾種搜索組合，如：“intitle ：管理員登陸，inurl ：login ，inurl ：admin ，intext ：用戶名 密碼等說不定就找到管理員目錄了；如果我們要對(duì)指定網(wǎng)站進(jìn)行搜索，就應(yīng)該加上site ：網(wǎng)站，搜索語法為“site ：xx.com intitle:管理員登陸”，想找到上傳頁面文件，如：“inurl ：upfile.asp ，intitle ：文件上傳，inurl ：upload.asp ”

3、掃描IPC$漏洞主機(jī)

打開流光，在輔助主機(jī)下的IPC$主機(jī)，讓流光搜索開放了IPC$共享的主機(jī)，確定掃描的種類為

信息收集

1.1試探主機(jī)目標(biāo)是否活動(dòng)，ping ip

若主機(jī)不是活動(dòng)狀態(tài)，證明主機(jī)已裝防火墻或是不在線，比較難攻擊

1.2使用ping 命令探測(cè)操作系統(tǒng)

不同操作系統(tǒng)對(duì)于ping 的TTL 返回值是不同的

TTL 值

1.3由域名得到網(wǎng)站ip 地址

使用命令ping 域名

1、 漏洞類型

不完善的身份驗(yàn)證措施

不完善的訪問控制措施

SOL 注入

跨站點(diǎn)腳本

信息泄露

2、 滲透測(cè)試步驟

1、 檢查用戶測(cè)試結(jié)果。枚舉出所有子目錄名稱、文件詞干和文件 列表

2、 檢查這些列表，確定應(yīng)用程序使用的所有命名方案，猜測(cè)出尚未確定的內(nèi)容的準(zhǔn)確

名稱，如adddocument.jsp 、deletedocument.jsp 等

3、 有時(shí)不同內(nèi)容的命名方案使用數(shù)字和日期作為標(biāo)識(shí)符，通過他們可輕易推測(cè)出隱藏

的內(nèi)容，如annualreport2012、annualreport2013等

4、 檢查所有客戶端代碼，確定任何與隱藏服務(wù)器內(nèi)容有關(guān)的線索

5、 把已經(jīng)枚舉出的內(nèi)容添加到其他根據(jù)這些列表推測(cè)出的名稱中，并將文件擴(kuò)展名列

表添加到常用擴(kuò)展名中，他們也許能夠披露現(xiàn)有頁面?zhèn)浞莅姹镜膩碓匆约芭c所使用的開發(fā)語言有關(guān)的擴(kuò)展名。

6、 搜索開發(fā)者工具很文件編輯器不經(jīng)意建立的臨時(shí)文件

7、 進(jìn)一步執(zhí)行自動(dòng)操作，結(jié)合目錄、文件詞干和文件擴(kuò)展名列表請(qǐng)求大量潛在的資源

8、 針對(duì)新手寫一點(diǎn)滲透的小思路、小技巧，主要講的是思路，所有不會(huì)太詳細(xì)。

9、 經(jīng)常逛一些好的博客或者門戶站，堅(jiān)持下來，每天學(xué)一點(diǎn)思路，你會(huì)積累到很多東

西，記?。杭夹g(shù)需要時(shí)間沉淀。

（一）針對(duì)網(wǎng)站程序，不考慮服務(wù)器。

一、查找注入，注意數(shù)據(jù)庫用戶權(quán)限和站庫是否同服。

10、 二、查找XSS ，最近盲打很流行，不管怎樣我們的目的是進(jìn)入后臺(tái)。

11、 三、查找上傳，一些能上傳的頁面，比如申請(qǐng)友鏈、會(huì)員頭像、和一些敏感頁面等

等，注意查看驗(yàn)證方式是否能繞過，注意結(jié)合服務(wù)器的解析特性，比如典型的IIS6.0、阿帕奇等。

12、 四、查找編輯器，比較典型的ewebeditor 、fckeditor 等等。

13、 五、查找phpmyadmin 等管理程序，可以嘗試弱口令，或者尋找其漏洞。

14、 六、百度、谷歌搜索程序公開漏洞。

15、 七、猜解文件，如知道某文件為admin_login.php,我們可嘗試admin_add.php、

admin_upload.php文件是否存在，也可以谷歌搜索site:exehack.net inurl:edit等等，很多時(shí)候可以找到一些敏感文件，接著看是否驗(yàn)證權(quán)限或能否繞過驗(yàn)證。

16、 八、會(huì)員注冊(cè)、修改、刪除、評(píng)論等一切需要操作數(shù)據(jù)庫的地方記得加單引號(hào)之類

查看是否存在insert 、update 等類型注入。

17、

18、 九、會(huì)員或低權(quán)限管理登陸后可抓包分析，嘗試修改超級(jí)管理員密碼，權(quán)限提升。 19、

20、 十、通常有下載功能的站我們可以嘗試修改下URL 文件名，看能否下載站點(diǎn)敏感文

件，如數(shù)據(jù)庫配置文件等，數(shù)據(jù)庫不可外連情況下可以嘗試數(shù)據(jù)庫密碼登陸后臺(tái)，也可下載上傳、登陸驗(yàn)證等文件進(jìn)行代碼審計(jì)。

21、 十一、備份文件和后門，某些主站子目錄存在分站，比如www.2cto.com/software，

我們可以嘗試www.2cto.com/software.zip/zip等壓縮文件是否存在，可能就是子站的源碼。也有一些站類似這樣www.2cto.com/old/，一般都是以前的老站，通常老站會(huì)比較容易拿。

22、 還有就是數(shù)據(jù)庫備份、前人的后門等，具體這些目錄上的東西就要看你的字典了。

23、 十二、0day 漏洞，不管是別人給你的，還是自己挖的，總之好使就行。

24、 十三、。。。

25、 （二）針對(duì)服務(wù)器

26、 一、通常先掃下服務(wù)器開放的端口，再考慮對(duì)策。

27、 二、比較常見的解析漏洞，比如IIS6.0、阿帕奇、nginx/IIS7.0(php-fpm)解析漏

洞等，還有就是cer 、asa 之類的解析，.htaccess 文件解析配置等。

28、 三、弱口令和everyone 權(quán)限，先掃描服務(wù)器開放的端口，比如21對(duì)應(yīng)的FTP 、1433

對(duì)應(yīng)的MSSQL 、3306對(duì)應(yīng)的MYSQL 、3389對(duì)應(yīng)的遠(yuǎn)程桌面、1521對(duì)應(yīng)的Oracle 等等，平時(shí)可以多搜集下字典，有時(shí)候效果也是不錯(cuò)的(通常在cain 嗅探的時(shí)候，經(jīng)常能嗅到別人不停的掃?很蛋疼) 。

29、 四、溢出，這點(diǎn)要看系統(tǒng)補(bǔ)丁和服務(wù)器使用的軟件等等，比如FTP 等工具，這里不

詳解。

30、 五、針對(duì)一些服務(wù)器管理程序，比如tomcat 、jboss 等等，這種比較常見于大中型

的站點(diǎn)服務(wù)器。

31、

32、 六、IIS 、apache 等各種漏洞，這個(gè)要平時(shí)多關(guān)注。

33、 七、目錄瀏覽，服務(wù)器配置不當(dāng)，可直接瀏覽目錄。

34、 八、共享?

九、。。。

35、

36、 （三）針對(duì)人，社工

37、 社工在滲透中通常能起到驚人的效果，主要還是利用人的弱點(diǎn)，博大精深，這里不

詳細(xì)討論，注意平時(shí)多看一些社工文章，學(xué)習(xí)一些思路、技巧。

38、 （四）迂回戰(zhàn)術(shù)，旁注和C 段

39、 一、旁注，針對(duì)旁站，我們可以運(yùn)用到上面說到的方法，這里不多說。

40、 二、C 段，基本想到C 段就會(huì)想到cain ，針對(duì)C 段的站點(diǎn)和服務(wù)器，結(jié)合上面說的

針對(duì)目標(biāo)站、服務(wù)器、人、旁站的思路，一個(gè)道理，當(dāng)然如果你的目的僅僅是黑站的話，不妨試試NetFuke 之類。

41、 三、?

（五）提權(quán)常用手段

42、 一、使用系統(tǒng)溢出提權(quán)EXP ，這類在提權(quán)中最常用，使用的方法大都一致，比如比

較常見的巴西烤肉、pr 等等，溢出提權(quán)通常在Linux 上也利用的比較多，注意多收集EXP 。

43、 二、第三方軟件提權(quán)，主要還是利用服務(wù)器上安裝的第三方軟件擁有比較高的權(quán)限，

或者軟件的溢出漏洞，比如典型的mssql 、mysql 、serv-u 等等，還有各種遠(yuǎn)程控制軟件，比如pcanywhere 、Radmin 這類。

44、

45、 三、劫持提權(quán)，說到這個(gè)，想必肯定會(huì)想到lpk.dll 這類工具，有時(shí)候在蛋疼怎么

都加不上賬戶的時(shí)候，可以試試劫持shift 、添加開機(jī)啟動(dòng)等等思路。

46、

47、 四、弱口令技巧，我們可以看看有木有什么hack 、或者隱藏賬戶之類的，一般這

種用戶密碼都比較簡單，可以嘗試下弱口令，還有之前說過的各種數(shù)據(jù)庫、遠(yuǎn)程控制軟件、FTP 軟件的弱口令，沒辦法的時(shí)候就去掃掃碰碰運(yùn)氣吧。

48、 五、信息收集，注意翻下硬盤各種文檔，說不定各種密碼就在里面。在內(nèi)網(wǎng)滲透時(shí)，

信息收集是非常重要的，記得拿下服務(wù)器了GET 一下明文密碼，德國那個(gè)mimikatz 不錯(cuò)，還有就是域、ARP 。。。貌似扯多跑題了。

49、 六、社工?不多說。

50、 暫時(shí)總結(jié)到這里，滲透博大精深，不是這么幾段字就能說清楚的，具體還是要看具

體情形，隨機(jī)應(yīng)變。

51、 一定要養(yǎng)成在滲透過程中信息收集的好習(xí)慣，特別是針對(duì)大中型站點(diǎn)，注意收集子

站域名、目錄、密碼等等敏感信息，這對(duì)于我們后面的滲透非常有用，內(nèi)網(wǎng)經(jīng)常弱口令，同密碼比較多。很多時(shí)候，或許一個(gè)主站就死在子站的一個(gè)小漏洞上。