0x01 前言

第一次做渗透测试，结果虽然不太满意，但是还是收获了许多。下面总结一下在本次渗透测试中的流程和套路。

0x02 流程

        在渗透测试中，信息收集是十分重要的，特别的重要！！由于是黑盒测试，我们对目标网站一无所知，所以收集信息是第一个阶段。而且搜集的信息多少也决定着后面进行渗透的顺利与否。
        在看见一个网站中，我们首先要对目标网站的域名进行一个whois查询，推荐:whoisz站长之家，云悉指纹等工具。纪录域名注册人的信息，有时可以对其进行社会工程学，在爆破后台密码中也会有一些帮助。
        之后，我们需要对目标网站的端口进行扫描，查看有什么开放的端口可以进行攻击。这里我们使用nmap中的 nmap xxx.xxx.xxx.xxx -Pn查询哪些端口是开放的。nmap -A xxx.xxx.xxx.xxx --version-trace 探测端口开放服务的版本，有助于漏洞的查询。下面给出各个端口的漏洞（简要概括）

端口号 端口说明    攻击技巧
21/22/69    ftp/tftp：文件传输协议 爆破\嗅探\溢出\后门
22  ssh：远程连接    爆破OpenSSH；28个退格
23  telnet：远程连接 爆破\嗅探
25  smtp：邮件服务   邮件伪造
53  DNS：域名系统    DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
67/68   dhcp    劫持\欺骗
110 pop3    爆破
139 samba   爆破\未授权访问\远程代码执行
143 imap    爆破
161 snmp    爆破(弱口令 public)  进行主机信息的读取
389 ldap    注入攻击\未授权访问
512/513/514 linux r 直接使用rlogin
873 rsync   未授权访问
1080    socket  爆破：进行内网渗透
1352    lotus   爆破：弱口令\信息泄漏：源代码
1433    mssql   爆破：使用系统用户登录\注入攻击
1521    oracle  爆破：TNS\注入攻击
2049    nfs 配置不当
2181    zookeeper   未授权访问
3306    mysql   爆破\拒绝服务\注入
3389    rdp 爆破\Shift后门
4848    glassfish   爆破：控制台弱口令\认证绕过
5000    sybase/DB2  爆破\注入
5432    postgresql  缓冲区溢出\注入攻击\爆破：弱口令
5632    pcanywhere  拒绝服务\代码执行
5900    vnc 爆破：弱口令\认证绕过
6379    redis   未授权访问\爆破：弱口令
7001    weblogic    Java反序列化\控制台弱口令\控制台部署webshell
80/443/8080 web 常见web攻击\控制台爆破\对应服务器版本漏洞
8069    zabbix  远程命令执行
9090    websphere控制台    爆破：控制台弱口令\Java反序列
9200/9300   elasticsearch   远程代码执行
11211   memcacache  未授权访问
27017   mongodb 爆破\未授权访问

除了利用端口漏洞，我们也可以寻找web方面的漏洞，如今流行的jboss、tomcat、weblogic、Discuz！、strus等等流行的web服务和web应用框架都存在着许多漏洞，如果没有及时打补丁，直接可以利用漏洞获取权限。除此之外还可以自己寻找漏洞，可以利用的工具：awvs，nessus，appscan等对全站进行扫描自动化获取漏洞信息。比较有危险的漏洞：文件上传，sql注入，存储型xss，缓冲区溢出等。除了这些经典的漏洞之外，还有一个比较致命的威胁－－弱口令。在渗透测试中，弱口令的存在大大的危害了目标网站，攻击方可以直接利用弱口令获取权限，在后台寻找文件上传点，上传webshell得到整个服务器的控制权限。
如果主站的防护比较好，几乎没有认可有价值的漏洞可以利用，这个时候我们就需要进行c段渗透（利用nmap -sV xxx.xxx.xxx.0/24 -PT -PI进行c段扫描）或者旁站注入(webscan)，从其他的服务器或者本服务器的其他网站进行漏洞的挖掘。有时旁站的web应用的防御并不是特别的坚固，例如，登陆框防爆破手段不足，sql注入语句过滤不足等等，就会让攻击方获取到主站所在服务器的数据库信息，从而登陆主站获取权限。利用c段其他服务器则可以进行横向渗透，从网段内部对同一网段的服务器发起攻击，获取目标网站服务器的权限。