渗透测试流程

最新推荐文章于 2020-08-28 18:14:40 发布
最新推荐文章于 2020-08-28 18:14:40 发布
阅读量165 收藏 1
点赞数
分类专栏: 渗透测试基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39421693/article/details/105148127
版权

渗透测试流程:

 

1)信息收集:

  • whois收集域名注册相关信息
  • 目标网站指纹识别(cms(内容管理系统,可能存在敏感文件或已知漏洞))、dns记录
  • 子域名收集(whatweb)、旁站查询等
  • 主机扫描和端口扫描  获取服务器相关信息(ip,系统、版本,开放端口等)
  • 扫描网站目录结构(御剑工具)

2)漏洞挖掘:

  • 浏览网站,了解架构与功能
  • 漏洞探测、常规漏洞(SQL注入、xss、文件上传、CSRF、文件包含、命令注入)

3)漏洞利用和提权:

  • MySQL提权(udf提权(用户自定义函数)、mof提权)、Serv-u(文件管理)提权、    
  • Windows溢出(利用未修复漏洞提权)

4)日志清理,测试数据清楚,输出报告:

  • 日志(tail命令)、测试数据的清理,总结,输出渗透测试报告给出修复方案

5)再次测试:

  • 查看是否还有漏洞
渗透测试流程与内网渗透测试实战
悦分享
07-15 7947
关于免杀,我使用的全部是msf的编码自免杀,64位使用的是x64/zutto_dekiru,32位使用的是x86/shikata_ga_nai,360都没有拦截。虽然靶机中有360,但是我直接上传的mimikatz也没有被杀,所以我有些怀疑是360的版本比较低,除了web服务器上传的第一个payload,其它都进行了编码处理,而第一个也确实没有执行成功,这说明360至少对第一个payload是拦截了的。
渗透测试流程到底是什么?这篇给你讲清楚(超详细)
最新发布
Ms08067安全实验室
03-20 861
若没有这条记录 ,则选择"添加",绑定端口为8080,绑定绑定端口为8080,绑定地址为回环口。c. 如果第⼀次配置,这里应该为空 ,则选择"添加",目标Host为 * ,代理主机及代理端口为Xray 监听的IP及端口,其余不填,选择OK。3. 如果想要针对性的对某个漏洞进行扫描,例如:SQL注⼊漏洞,XSS跨站脚本攻击漏洞等,可以自主选择插件处选择扫描的对应漏洞。(可以复现的真实存在的漏洞,可以写⼊渗透测试报告中)ⅵ. 爆破完成后,长度为最短的即pro_id不存在,其余的均存在,可以获取其文集信息。
渗透测试流程图-PTES渗透测试执行标准
09-07
以下是渗透测试流程的相关知识点: 1. 测试前准备:在开始渗透测试之前,需要与客户进行前期交互,明确测试范围,包括确定IP地址、域名、云服务和第三方资源。此外,还需要定义测试时间表、额外技术支持的时长,并...
渗透测试流程图.zip
04-06
这份"渗透测试流程图.zip"文件包含了详细的渗透测试过程,主要目的是帮助IT专业人士和安全工程师理解并实施这一过程。其中的"渗透测试流程图.pdf"很可能是以图形化的方式详细展示了每个阶段及其相互关系。 渗透测试...
渗透测试流程(PTES)思维导图
08-02
该思维导图主要针对信息安全从业者撰写的渗透流程总结而来,其中的部分专业术语的翻译可能存在偏差,希望能够及时指导。部分安全策略及攻击方法都有相对应的解释,如还有部分专业术语需要本人解释的话,请私聊我。该...
渗透测试流程
AzVoidSUN的博客
08-28 694
一般标准中的渗透测试流程 1.测试范围确定 双方共同指定一个规范,比如是否让做内网渗透,是否对业务系统渗透。 2.测试时间确定 做好时间规范,甲方会有时间准备,比如当天渗透了,甲方服务日报也不会误会是黑客入侵。 3.可接受测试底线 是否支持ddos,是否可以拖数据,支持爆破。 4.信息搜集 服务器信息,web信息,资产信息。 5.漏洞发现 进一步去查找漏洞。 6.漏洞利用 验证漏洞,并体现出漏洞价值。 7.后渗透测试 内网渗透,权限维持,提权,横向扩展。 8.文档编写 编写渗透测试报告,参与人员,时间,系统
渗透测试流程——渗透测试的9个步骤(转)
热门推荐
橘子女侠
05-09 2万+
渗透测试流程: 1.明确目标 2.分析风险,获得授权 3.信息收集 4.漏洞探测(手动&自动) 5.漏洞验证 6.信息分析 7.利用漏洞,获取数据 8.信息整理 9.形成报告 1.明确目标 1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块; 2)确定规则:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权... 目标系统介绍、重...
深度解析渗透测试流程图及其应用
资源摘要信息:"渗透测试流程图" 渗透测试是一种安全测试方法,它涉及模拟攻击者的角色来发现计算机系统、网络或Web应用中的安全漏洞。渗透测试的目的是评估目标系统的安全措施和防御能力,并确定潜在的安全威胁和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值