因为合规的业务越来越多,公司的漏扫渗透测试工程师已经忙不过来了。
我这种团队意识薄弱的人,就会想,干脆我自己学习一下漏扫渗透算了。
漏扫和渗透陆陆续续也不是没有自学过,但毕竟不是熟练工,也没有正儿八经拿这个本事赚过工钱,所以心里有点怯,手里也没啥余粮(工具)。
但这些都是纸老虎。
其实,我觉得对于能及格的漏扫和渗透,就是工具和方法论的问题。
工具用得够精够熟,方法论覆盖面广,这些都不是事儿啊。
今天就来分享一下通保中漏扫的方法,再把摸索的渗透简单说说。
一、漏扫
通报的漏扫我觉得可以参考等保的要求。要把目标系统的网络设备、安全设备、服务器等都覆盖到。我理解就是有IP地址的都要扫(工作在透明模式下,没有IP地址的,就想其他办法)。
那云上的比如阿里云,不会让你去他们机房扫私网IP地址。挂VPN去扫也不太现实(当然,听说有的云是可以这样操作)。那么就我们可以用阿里云上现成的漏扫服务自己去扫了。
云安全中心支持周期性自动扫描漏洞和执行手动扫描漏洞。
控制台上点击左边三道杠杠,找到云安全中心,然后点击漏洞管理。漏扫是需要付费的,不然只能扫应急漏洞。
除了云安全中心的漏扫外,我们可以直接用阿里云服务器的公网IP去扫,不过需要让客户在VPC、防火墙和waf等安全防护处给你的出口IP加白名单,这样才能模拟内网扫描。
扫描的时候可以用Nessus。具体不表了。
接着我们还要扫应用,一般我用AWVS,不用账号密码直接扫。
二、渗透****
渗透我觉得并不神秘,无非是在漏扫工具和其他信息收集工具给你充分的数据后,你来做一些渗透思路的尝试。
我呢,也没啥思路,经验太少了,只做过靶机,然后手测过几次XSS而已。
所以,我做了一个清单,根据这个系统的特点,在清单上划拉出重点,然后用poc和工具去测试,90%我还是靠工具。
所以,也就是类似一个深入的手工版的漏扫了。
找客户要到高权限账号和低权限账号就可以开始了。
工具清单如下:
序号
工具名称
工具简介
1
KALI Linux v2023.2
渗透测试系统
2
Metasploit v6.3.28
安全漏洞检测工具
3
Nmap v7.94
网络资产发现软件
4
Burp Suite Community Edition v2023.7.2
HTTP协议包分析工具
5
Yakit v1.2.3-sp3
集成化安全能力平台
6
Xray v1.9.11
网站安全评估工具
7
Goby v2.6.1
Attack surface mapping
8
Sqlmap v1.7.8
数据库检测分析工具
9
antSword v2.1.15
系统权限管理工具
10
dirsearch v0.4.3
目录资源探测工具
11
testssl v3.0.8
TLS协议检查工具
12
wafw00f v2.2
应用防火墙检测工具
13
jwt_tool v2.2.6
Json Web Token检查工具
14
Wapplyzer v6.10.63
应用指纹探测工具
15
NSlookup
Windows系统组件功能
16
dig v9.10.6
Linux系统组件功能
17
Dsniff v2.4
网络嗅探分析工具
18
Vulmap v0.9
漏洞扫描验证工具
19
ffuf v2.0.0
模糊测试工具
20
ysoserial v0.0.6
JAVA反序列化工具
测试类
控制点
测试项
物理环境渗透
物理通道攻击
HID攻击
PC物理访问控制(自定义启动CD/USB)
门禁系统测试
无线攻击
无线AP口令破解
WIFI热点钓鱼
RFID攻击
频谱采集及分析
网络通信层渗透
拒绝服务攻击
SYN Flood
IP欺骗攻击
UDP洪水攻击
Ping洪流攻击
teardrop攻击
Land攻击
Smurf攻击
Fraggle攻击
网络检测机制绕过测试
FW绕过
WAF绕过
IDS绕过
IPS绕过
DLP绕过
中间人攻击
DNS欺骗
会话劫持攻击
ARP欺骗
SSL劫持
HTTPS欺骗
电子邮件劫持
路由协议测试
CDP
HSRP
VSRP
DTP
STP
OSPF
RIP
VLAN互访测试
网络及安全设备攻击
防火墙安全测试
VPN测试
WAF安全测试
EDR设备安全测试
路由器测试
主机系统层渗透
通用主机漏洞测试
基于端口漏洞测试
基于服务漏洞测试
基于操作系统漏洞测试
虚拟化安全测试
虚拟机逃逸测试
主机防御机制绕过
杀毒软件绕过
DEP绕过
ASLR绕过
应用层渗透
通用Web漏洞测试
敏感信息挖掘
传输过程测试
应用配置测试
目录枚举测试
SQL注入测试
跨站脚本测试
跨站请求伪造测试
文件上传测试
组件漏洞测试
反序列化测试
应用授权测试
业务逻辑层渗透
接口安全测试
API未授权访问
应用权限测试
水平越权测试
垂直越权测试
用户操作测试(登录、注册、验证、
忘记密码等)
社会工程学渗透
社会工程测试
社会工程攻击
钓鱼邮件测试
钓鱼邮件攻击
即时通讯软件测试
即时通讯软件攻击
差不多就是这些,后面如果想真的用起来,还是需要一个点一个点的多尝试,多使用工具,多总结经验和陌生的技能的。
THE END