好久没写博客了,上次写博客还是在上学期.而且以前写博客都是写写一周做了些什么.这次分享一些自己学web渗透的一些心得吧(仅作个人心得,谨慎参照,有大佬路过还望指点一下~).此前一直在学Java web.这次趁着五一假期好好钻研了下web渗透.其实我一直觉得每个学计算机的人都有黑客梦,炫酷吊炸天啊......其实很早我就想学web安全.上学期在工作室学了一个学期的前端打了下基础.看了很多web安全的路线啊,入门书籍啊,视频啊,大佬经验啊.寒假的时候看道哥的《白帽子讲web安全》前面还好,勉强看的懂,越看越觉得自己还要学好多前置知识点。就放下了。个人觉得不太适合入门。有一定基础后再回头品味会比较好。其实我一直挺后悔自己学的太晚了,别人在我这个年龄都组队去打CTF了(我的目标就是作为一只web狗去参赛啊~) 。后来我从网上找了网易云的web安全微专业视频课程,说实话,看目录觉得课程很成体系。但每一节都很短,比如XSS,CSRF......都只是讲了原理,好吧其实也有实例,看完后好像理解了却难以加以运用。再后来,我看cracer的渗透测试视频,很详细,嗯,很详细手把手教学.可是不适合我,一方面是感觉他有点过时,很多案例我自己去试就实现不了.另一方面是觉得他讲的主要是工具方面的使用.其实我是比较喜欢原理的,比如SQL注入很多都是工具实现不了的,需要手工注入.其实我刚开始学渗透的时候是很受挫败的,找不到网站去测试,测试也大多失败.不过,说实话我的热情从没降低过,学渗透时候的那种感觉是难以言喻的快感.然后我发现了一个平台 实验吧 用虚拟机构建了攻防环境.真的玩的爽啊.其实类似的平台有很多i春秋啊什么的.
下面整理下我这周的学习笔记:
kaliLinux部分工具:
Mitmproxy
- 中间人代理工具
- 拦截http请求,在请求过程中修改数据
- 保存整个http请求的数据
- 延迟客户端的请求和响应
- 反向代理功能
- 透明代理功能
- 使用Python做修改
- 支持https请求的中间代理功能
Owasp-zap
- OWASP Zed Attack Proxy Project攻击代理(简称ZAP)是一款查找网页应用程序漏洞的综合类渗透测试工具.它包含了拦截代理,自动处理,被动处理,暴力破解,端口扫描以及蜘蛛搜索等功能
- OWASP ZAP为会话类调试工具,调试功能对网站不会发起大量请求,对服务器影响较小
Paros
paros proxy 是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于java的web代理程序,可以评估web应用程序的漏洞,它支持动态的编辑查看 HTTP/HTTPS 从而改变cookies和表单字段等项目.它包括一个web通信记录程序,web圈套程序(Spider),hash计算器,还有一个可以测试常见的web应用程序攻击(如sql注入式攻击,跨站脚本攻击)的扫描器,该工具检查漏洞形式包括:SQL注入,跨站点脚本攻击,目录遍历等
Burp Suite
是用于攻击web应用程序的集成平台
代理Burp Suit带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包
web会话安全分析工具proxystrike
在Web应用中,客户端发出一次请求,服务器响应一次。这构成一个完整的会话。通过分析请求和响应的数据,可以发现Web应用存在的漏洞。Kali Linux提供一款专用工具ProxyStrike。该工具提供HTTP代理功能,可以跟踪HTTP会话信息,并进行分析统计。同时,该工具也提供拦截功能,安全人员可以对每个会话进行分析和修改,以获取服务器的不同响应。
该工具还通过插件模式,提供安全扫描功能。该工具默认集成SQL注入和XSS两个插件。在捕获会话的同时,该工具会自动进行安全检测,以发现目标服务器存在的漏洞。安全人员也可以使用该工具对目标网站进行爬取,以搜集更多的网站资源,并同时进行安全检测。
WebScarab
一款代理软件,包括HTTP代理,网络爬行,网络蜘蛛,会话id分析,自动脚本接口,模糊测试工具,web格式的编码/解码,web服务描述语言和soap解析器等功能模块,webscarab基于GNU协议,使用java编写,是WebGoat中所使用的工具之一
两个基本案例
以SQL注入入手,目标为熟悉基本的思路,关注细节信息
基本步骤:
1.通过Google hack寻找测试目标
inurl:asp?id=
2.一个asp站点的SQL注入
http://www.lightingchina.com/member/oldhy/index.asp?unitid=23555
- 测试数字型注入点
- SQLmap拆解数据库和表名
- dump表数据
- 登录后台
3.一个PHP战舰的SQL注入以及管理后台的寻找过程
http://www.xindadong.com/about/index.php?id=3
URL跳转
定义:借助未验证的url跳转,将应用程序引导到不安全的第三方区域,从而导致安全问题.
实现方式:
Header头跳转,
JavaScript跳转,
META标签跳转
SQL 注入:
万能密码->SQL注入原理 ->利用和危害
SQL Injection
是一种常见的web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库进行攻击
用户输入用户名和密码点击submit后,服务器会把用户名和加密后的密码拼接到SQL语句中
select name from teacher where name="admin" and passwd="s2g13s1s33d5f1351sdf" limit 1
sql注入的必备条件
1.可以控制输入的数据
2.服务器要执行的代码拼接了控制的数据
SQL注入的本质
数据代码未分离,即数据当做了代码来执行
SQL注入
手工注入
1.理解万能密码的使用
2.PHP+MySQL环境下的SQL注入
SQL注入在渗透测试过程中的作用
绕过登录验证
使用万能密码登录网站后台
获取敏感数据信息
获取网站管理员账号,密码等
文件系统操作'
列目录,读取,写入文件等
注册表操作
读取,写入,删除注册表等
执行系统命令
远程执行命令
哪些地方存在注入漏洞
参数名,参数值,Cookie,目录名,文件名...
使用漏洞扫描器寻找注入点
常用的Web漏洞扫描工具:
- 啊D注入工具
- WebCruiser
- AWVS
- Netsparker
Sql注入的分类
按数据类型
按返回结果
命令注入:
什么是命令-->命令可以做什么-->命令注入解析
复合命令:
命令拼接&,依次执行拼接的命令
管道符|,前面命令的输出作为后面命令的输入
WebShell
Web入侵的脚本攻击工具,简单的说,webshell就是一个ASP或者PHP木马后门,黑客在入侵了一个网站之后,常常会将这些ASP或者PHP木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起,然后黑客就可以用web的方式通过ASP,PHP木马后门控制网站服务器,包括上传下载文件,查看数据库,执行任意程序命令等.使用方法就是把ASP 或PHP木马放到对方的web目录中然后在浏览器中输入www.wxx.com/muma/muma.asp 这样的相对路径来使用你安排好的木马
提权
提权就是通过获得低权限用户在通过漏洞获得最高权限的过程
入侵思路:
SQL注入拿到网站后台-->进入网站后台上传webshell-->拿到服务器
shell---取得对服务器某种程度上操作的权限
WebShell的特点
- Webshell大多是以动态脚本的形式出现,也可称为网站的后门工具
- Webshell就是一个ASP或PHP木马后门
- Webshell可以穿越服务器防火墙,由于被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截
- Webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员很难看出入侵痕迹
- 黑客将这些ASP或PHP木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起,黑客可以利用web的方式通过ASP或PHP木马后门控制网站服务器,包括上传下载文件,查看数据库,执行任意程序命令等.
webshell主要功能:
- 环境探针
- 资源管理器
- 文件编辑器
- 执行os命令
- 读取注册表
- 创建socket
- 调用系统组件
- ........
Webshell扩展功能
- 权限提升:从网站到系统
- DDoS:替代传统僵尸网络
- 网页挂马:篡改网页
- "黑帽"SEO:流量劫持
- 代理服务器:请求转发
- 端口扫描:隐蔽身份
- 内网探测:充分利用信息
Webshell分类
全功能型:什么都做
文件管理:基本文件管理
命令执行:执行系统命令
上传型:负责上
传"大马"
一句话型:及其精简
入侵思路:
SQL注入拿到网站后台-->进入网站后台上传webshell-->拿到服务器
shell---取得对服务器某种程度上操作的权限
WebShell的特点
- Webshell大多是以动态脚本的形式出现,也可称为网站的后门工具
- Webshell就是一个ASP或PHP木马后门
- Webshell可以穿越服务器防火墙,由于被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截
- Webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员很难看出入侵痕迹
- 黑客将这些ASP或PHP木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起,黑客可以利用web的方式通过ASP或PHP木马后门控制网站服务器,包括上传下载文件,查看数据库,执行任意程序命令等.
webshell主要功能:
- 环境探针
- 资源管理器
- 文件编辑器
- 执行os命令
- 读取注册表
- 创建socket
- 调用系统组件
- ........
Webshell扩展功能
- 权限提升:从网站到系统
- DDoS:替代传统僵尸网络
- 网页挂马:篡改网页
- "黑帽"SEO:流量劫持
- 代理服务器:请求转发
- 端口扫描:隐蔽身份
- 内网探测:充分利用信息
Webshell分类
全功能型:什么都做
文件管理:基本文件管理
命令执行:执行系统命令
上传型:负责上传"大马"
一句话型:及其精简