我的web渗透学习心得(一)

好久没写博客了,上次写博客还是在上学期.而且以前写博客都是写写一周做了些什么.这次分享一些自己学web渗透的一些心得吧(仅作个人心得,谨慎参照,有大佬路过还望指点一下~).此前一直在学Java web.这次趁着五一假期好好钻研了下web渗透.其实我一直觉得每个学计算机的人都有黑客梦,炫酷吊炸天啊......其实很早我就想学web安全.上学期在工作室学了一个学期的前端打了下基础.看了很多web安全的路线啊,入门书籍啊,视频啊,大佬经验啊.寒假的时候看道哥的《白帽子讲web安全》前面还好，勉强看的懂，越看越觉得自己还要学好多前置知识点。就放下了。个人觉得不太适合入门。有一定基础后再回头品味会比较好。其实我一直挺后悔自己学的太晚了，别人在我这个年龄都组队去打CTF了(我的目标就是作为一只web狗去参赛啊~) 。后来我从网上找了网易云的web安全微专业视频课程，说实话，看目录觉得课程很成体系。但每一节都很短，比如XSS，CSRF......都只是讲了原理，好吧其实也有实例，看完后好像理解了却难以加以运用。再后来，我看cracer的渗透测试视频,很详细,嗯,很详细手把手教学.可是不适合我,一方面是感觉他有点过时,很多案例我自己去试就实现不了.另一方面是觉得他讲的主要是工具方面的使用.其实我是比较喜欢原理的,比如SQL注入很多都是工具实现不了的,需要手工注入.其实我刚开始学渗透的时候是很受挫败的,找不到网站去测试,测试也大多失败.不过,说实话我的热情从没降低过,学渗透时候的那种感觉是难以言喻的快感.然后我发现了一个平台实验吧用虚拟机构建了攻防环境.真的玩的爽啊.其实类似的平台有很多i春秋啊什么的.

下面整理下我这周的学习笔记:

kaliLinux部分工具:

Mitmproxy

中间人代理工具
拦截http请求,在请求过程中修改数据
保存整个http请求的数据
延迟客户端的请求和响应
反向代理功能
透明代理功能
使用Python做修改
支持https请求的中间代理功能

Owasp-zap

OWASP Zed Attack Proxy Project攻击代理(简称ZAP)是一款查找网页应用程序漏洞的综合类渗透测试工具.它包含了拦截代理,自动处理,被动处理,暴力破解,端口扫描以及蜘蛛搜索等功能
OWASP ZAP为会话类调试工具,调试功能对网站不会发起大量请求,对服务器影响较小

Paros

paros proxy 是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于java的web代理程序,可以评估web应用程序的漏洞,它支持动态的编辑查看 HTTP/HTTPS 从而改变cookies和表单字段等项目.它包括一个web通信记录程序,web圈套程序(Spider),hash计算器,还有一个可以测试常见的web应用程序攻击(如sql注入式攻击,跨站脚本攻击)的扫描器,该工具检查漏洞形式包括:SQL注入,跨站点脚本攻击,目录遍历等

Burp Suite

是用于攻击web应用程序的集成平台

代理Burp Suit带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包

web会话安全分析工具proxystrike

在Web应用中，客户端发出一次请求，服务器响应一次。这构成一个完整的会话。通过分析请求和响应的数据，可以发现Web应用存在的漏洞。Kali Linux提供一款专用工具ProxyStrike。该工具提供HTTP代理功能，可以跟踪HTTP会话信息，并进行分析统计。同时，该工具也提供拦截功能，安全人员可以对每个会话进行分析和修改，以获取服务器的不同响应。

该工具还通过插件模式，提供安全扫描功能。该工具默认集成SQL注入和XSS两个插件。在捕获会话的同时，该工具会自动进行安全检测，以发现目标服务器存在的漏洞。安全人员也可以使用该工具对目标网站进行爬取，以搜集更多的网站资源，并同时进行安全检测。

WebScarab

一款代理软件,包括HTTP代理,网络爬行,网络蜘蛛,会话id分析,自动脚本接口,模糊测试工具,web格式的编码/解码,web服务描述语言和soap解析器等功能模块,webscarab基于GNU协议,使用java编写,是WebGoat中所使用的工具之一

两个基本案例

以SQL注入入手,目标为熟悉基本的思路,关注细节信息

基本步骤:

1.通过Google hack寻找测试目标

inurl:asp?id=

2.一个asp站点的SQL注入

http://www.lightingchina.com/member/oldhy/index.asp?unitid=23555

测试数字型注入点
SQLmap拆解数据库和表名
dump表数据
登录后台

3.一个PHP战舰的SQL注入以及管理后台的寻找过程

http://www.xindadong.com/about/index.php?id=3

URL跳转

定义:借助未验证的url跳转,将应用程序引导到不安全的第三方区域,从而导致安全问题.

实现方式:

Header头跳转,

JavaScript跳转,

META标签跳转

SQL 注入:

万能密码->SQL注入原理 ->利用和危害

SQL Injection

是一种常见的web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库进行攻击

用户输入用户名和密码点击submit后,服务器会把用户名和加密后的密码拼接到SQL语句中

select name from teacher where name="admin" and passwd="s2g13s1s33d5f1351sdf" limit 1

sql注入的必备条件

1.可以控制输入的数据

2.服务器要执行的代码拼接了控制的数据

SQL注入的本质

数据代码未分离,即数据当做了代码来执行

SQL注入

手工注入

1.理解万能密码的使用

2.PHP+MySQL环境下的SQL注入

SQL注入在渗透测试过程中的作用

绕过登录验证

使用万能密码登录网站后台

获取敏感数据信息

获取网站管理员账号,密码等

文件系统操作'

列目录,读取,写入文件等

注册表操作

读取,写入,删除注册表等

执行系统命令

远程执行命令

哪些地方存在注入漏洞

参数名,参数值,Cookie,目录名,文件名...

使用漏洞扫描器寻找注入点

常用的Web漏洞扫描工具:

啊D注入工具
WebCruiser
AWVS
Netsparker

Sql注入的分类

按数据类型

数字型
字符型

按返回结果

显错注入
盲注

命令注入:

什么是命令-->命令可以做什么-->命令注入解析

复合命令:

命令拼接&,依次执行拼接的命令

管道符|,前面命令的输出作为后面命令的输入

WebShell

Web入侵的脚本攻击工具,简单的说,webshell就是一个ASP或者PHP木马后门,黑客在入侵了一个网站之后,常常会将这些ASP或者PHP木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起,然后黑客就可以用web的方式通过ASP,PHP木马后门控制网站服务器,包括上传下载文件,查看数据库,执行任意程序命令等.使用方法就是把ASP 或PHP木马放到对方的web目录中然后在浏览器中输入www.wxx.com/muma/muma.asp 这样的相对路径来使用你安排好的木马

提权

提权就是通过获得低权限用户在通过漏洞获得最高权限的过程

入侵思路:

SQL注入拿到网站后台-->进入网站后台上传webshell-->拿到服务器

shell---取得对服务器某种程度上操作的权限

WebShell的特点

Webshell大多是以动态脚本的形式出现,也可称为网站的后门工具
Webshell就是一个ASP或PHP木马后门
Webshell可以穿越服务器防火墙,由于被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截
Webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员很难看出入侵痕迹
黑客将这些ASP或PHP木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起,黑客可以利用web的方式通过ASP或PHP木马后门控制网站服务器,包括上传下载文件,查看数据库,执行任意程序命令等.

webshell主要功能:

环境探针
资源管理器
文件编辑器
执行os命令
读取注册表
创建socket
调用系统组件
........

Webshell扩展功能

权限提升:从网站到系统
DDoS:替代传统僵尸网络
网页挂马:篡改网页
"黑帽"SEO:流量劫持
代理服务器:请求转发
端口扫描:隐蔽身份
内网探测:充分利用信息

Webshell分类

全功能型:什么都做

文件管理:基本文件管理

命令执行:执行系统命令

上传型:负责上传"大马"

一句话型:及其精简