渗透入门

渗透介绍

渗透测试(penetration test),一门用来模拟黑客的攻击方法,对系统进行安全评估的测试技术

使用的工具

1、渗透工具(现成的)

2、自己开发的程序(脚本)

Web渗透测试

渗透测试的目标对象是一台Web服务器

合法测试

一定要被授权,才能测试!!!

Kali Linux

kali linux介绍

Kali Linux是一个专门的渗透测试的平台

渗透入门_第1张图片

介绍:链接1 

Web渗透测试

目标:获取渗透靶机的敏感目录和敏感文件

敏感文件

开发者不希望我们看到的信息就是敏感文件,例如:

渗透入门_第2张图片

如何获取呢?

部署 “爬虫” ,获取有关Web应用的信息

典型方法

暴力破解,所用的工具是:暴力破解工具字典SVN Digger项目

测试环境

攻击机:Lali Linux

渗透靶机:testphp.vulnweb.com   【被允许测试的】

测试实例

1、看目标靶机是否在线存活?

nmap -sP testphp.vulnweb.com

2、目标靶机运行的系统版本

sudo nmap -0 testphp.vulnweb.com

3、目标靶机是都开启web服务

sudo nmap -p 80 www.baidu.com

4、进一步获取目标靶机web服务的信息

sudo nmap -A T4 -p 80  testphp.vulnweb.com

5、获取敏感目录 / 文件

dirb http://testphp.vulnweb.com/   ./all.txt

dirb是Kali Linux提供的一个强大而web目录扫描工具

总结

渗透测试步骤:

1、渗透前,信息收集

2、渗透攻击

3、渗透后:服务维持、渗透报告

扩展

Owasp

一个项目:开放式web应用程序安全项目

一个组织:一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究

渗透靶机

官网:链接

该网站提供一些存在漏洞的WEB应用,可以进行测试

获取系统和应用版本的作用

利用   “国家信息安全漏洞共享平台” 发布的漏洞公告,来了解该系统或这个该版本的应用是否可以测试

官网:链接

你可能感兴趣的:(渗透入门)