前言
渗透测试:出于保护信息系统的目的,更全面地找出测试对象的安全隐患。
入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。
做渗透测试,需要了解业务,给企业归纳整理和设计渗透测试方案。记住在渗透测试之前必须要拿到相关企业合法的授权协议。
一、渗透测试流程
流程步骤(重点)
一般渗透测试流程如下:
1、明确目标
2、信息收集
3、漏洞探测
4、漏洞验证
5、提取所需
6、信息分析
7、信息整理
8、形成报告
二、流程步骤
1.明确目标
确定范围:测试目标的范围,ip,域名,内外网。
确定规则:能渗透到什么程度,时间?能够修改上传?能否提权等等。
确定需求:web应用的漏洞,业务逻辑漏洞,权限管理漏洞。
2.信息收集
基础信息:IP地址、网段、域名、端口等
系统信息:操作系统种类,windows、centos、ubuntu等等
应用信息:端口的应用,如web应用,邮件应用等等。
版本信息:探测到系统、应用、组件的版本,根据版本号寻找对应的漏洞。
人员信息:域名注册人员信息、管理员、企业邮箱、手机号等
防护信息:看看能否探测到防护设备,WAF。
3.漏洞探测
信息收集好了之后,我们针对这些信息来分析和探测项目是否有漏洞。通常有以下方法来进行探测,一是使用漏洞扫描工具,二是手工探测。
方法:
1、漏洞扫描工具:awvs,appscan,nessus等
2、结合漏洞去exploit-db漏洞库寻找。
3、在网上寻找验证POC(POC:漏洞利用工具和代码脚本等等)
探测内容:
系统漏洞:系统有没有及时打补丁
web应用漏洞:web应用开发问题
端口服务:21/22/3389
通信安全:明文传输,cookie,session,token等。
4.漏洞验证
接着就是验证一些我们探测到的漏洞是不是真的可以使用,结合实际情况,搭建模拟环境进行试验,成功之后再应用到目标中。
通过工具或者手工来验证:
自动化验证:结合自动化扫描工具提供的结果。
手工验证:根据公开资源进行验证。
试验验证:自行搭建模拟环境进行验证。
登录猜解:尝试猜解一些登录的账号密码等信息。
业务漏洞验证:如发现业务漏洞,需要进行验证。
公开资源的利用:乌云、exploit、googlehacking等。
5.提权所需
提取一些有用信息,比如网站开发的源代码、数据库里面的数据、系统用户信息
实施攻击:根据前几步的结果进行攻击。
获取内部信息:基础设施(网络连接、vpn、路由,拓扑等)
持续性:内网入侵、敏感目标,rookit,后门,添加管理员账号等。
6.信息分析
漏洞验证之后如果真实存在,那么就可以利用这个漏洞来入侵主机。为什么入侵主机,是为了获取信息,但是不能破坏和篡改别人的数据,只是为了测试。
精准打击:准备好上一步探测到的漏洞exp,用来精准打击。
绕过防御机制:是否与防火墙等设备,如何绕过。
确定攻击路径:最佳的攻击路径,薄弱入口、内网权限等。
绕过检测机制:是否有检测机制、流量监控、杀软恶意代码检测等(免杀)
攻击代码:经过验证得来的代码,包括不限于sql注入语句、XSS代码。
7.信息整理
将以上的步骤进行整理,该画图的画图,过程用到的工具及代码等等,该删掉的要删除掉。
清理痕迹:清理相关日志(访问、操作),上传文件等。
整理渗透工具:整理渗透过程中用到的代码,poc/exp等。
整理收集信息:整理渗透过程中收集到的一切信息。
整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱位置信息。
目的是为了最后形成报告,形成测试结果使用。
8.形成报告
最后,形成安全检测报告提交给甲方。
按需整理:按照之前和客户确定好的范围,需求来整理资料,并将资料形成报告。
补充介绍:要多漏洞成因,验证过程和带来危害进行分析。
修补建议:对所有产生的问题提出合理高效安全的解决方法。
总结
渗透测试是在得到合法授权的前提下进行的,它和攻击入侵的区别在于点到即止。在开展工作之前,要先拿到合法的渗透测试授权书,然后在规定时间内对渗透测试范围中设计的相关系统进行渗透测试。
扫一扫
7859
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
