本帖最后由 七点技术 于 2025-4-17 16:19 编辑
渗透测试的本质是通过模拟攻击者的视角,发现目标系统的安全漏洞。如何高效寻找突破口,是渗透工程师的核心能力。本文基于实战经验,系统梳理20个关键思路及配套实践方法,覆盖信息收集、漏洞挖掘、权限提升等全流程,为安全从业者提供可落地的技术框架。
一、信息收集阶段的突破口1. 子域名枚举与隐藏资产挖掘 - • 原理:目标主站防护严密时,子域名或未公开的测试环境可能成为薄弱点。
- • 实践工具:Sublist3r(基于搜索引擎)、Amass(DNS爆破)、Censys(证书透明度日志查询)。
- • 案例:某企业官网主站无漏洞,但通过子域名dev.xxx.com发现未授权测试环境,直连内部数据库。
2. 端口扫描与服务指纹识别 - • 原理:非常用端口可能运行老旧服务(如Redis未授权访问)。
- • 工具实践:Nmap脚本-sV识别服务版本,结合Metasploit的auxiliary/scanner模块检测已知漏洞。
- • 关键点:重点关注22/SSH、6379/Redis、5984/CouchDB等高危端口。
3. 目录遍历与敏感文件泄露 - • 经典漏洞:/admin、/backup目录未授权访问,或.git源码泄露。
- • 自动化工具:Dirsearch、Gobuster配置字典爆破,GitHacker恢复.git仓库。
- • 案例:某电商平台因.env文件泄露数据库凭证,导致用户数据被拖取。
4. GitHub信息泄露监控 - • 方法:搜索目标关联代码仓库中的关键词(如password、AK/SK)。
- • 工具链:GitHub高级搜索语法(filename:.env org:xxx),GitGuardian实时监控。
- • 防御建议:强制代码仓库设置.gitignore并开启敏感信息扫描。
5. C段存活主机探测 - • 场景:同一IP段内其他主机可能属于目标资产(如运维管理后台)。
- • 工具:Masscan快速扫描C段,结合Nmap二次验证服务。
- • 风险:云服务器共享IP段时,可能误触其他企业资产,需注意授权范围。
二、漏洞利用的关键路径6. 第三方服务集成漏洞 - • 典型漏洞:
- • Jira未授权漏洞(CVE-2019-11581):直接访问/secure/QueryComponent!Default.jspa获取系统权限。
- • Confluence OGNL注入(CVE-2022-26134):构造恶意URI执行命令。
- • 防御:定期更新第三方组件,关闭非必要功能。
7. CMS指纹识别与历史漏洞利用 - • 工具:Wappalyzer识别CMS类型(如WordPress、Drupal)。
- • 漏洞库:Exploit-DB、CVE Details匹配历史漏洞EXP。
- • 案例:某政府网站使用ThinkPHP 5.0.23,利用/index.php?s=/Index/\think\app/invokefunction触发RCE。
8. API接口未授权访问与参数篡改 - • 检测方法:
- • 抓取App/Web端API请求,测试越权访问(如修改user_id参数)。
- • 使用Postman构造JSON参数,尝试注入SQL或命令。
- • 案例:某社交平台API未校验JWT令牌,通过篡改role字段提升至管理员权限。
9. 员工信息收集与钓鱼入口 10. 历史漏洞库快速匹配 - • 资源:
- • Vulhub:一键搭建漏洞复现环境。
- • Nuclei:基于YAML模板的批量漏洞检测。
- • 案例:通过Shodan搜索暴露的Jenkins服务,利用CVE-2018-1000861执行远程代码。
三、高级渗透技术11. 供应链攻击:依赖包投毒 - • 方法:分析目标系统使用的第三方库(如PyPI、npm包),上传含后门的同名组件。
- • 检测工具:Dependency-Check、Snyk扫描依赖链风险。
- • 知名事件:2021年Codecov Bash脚本被篡改,窃取用户环境变量。
12. 移动应用逆向与API密钥提取 - • 工具链:
- • Android:Apktool反编译APK,Frida Hook敏感函数。
- • iOS:iOS SSL Kill Switch绕过证书绑定,Charles抓取API请求。
- • 案例:某银行App硬编码加密密钥,导致传输数据可被解密。
13. 云服务配置错误利用 - • 常见漏洞:
- • AWS S3存储桶权限设置为Public。
- • Kubernetes Dashboard未启用认证,直接执行容器命令。
- • 工具:CloudScraper扫描云资产,PACU自动化攻击AWS环境。
14. 旁站攻击:利用同服务器其他网站 - • 条件:目标与其他网站共享服务器,存在目录权限交叉。
- • 利用方式:通过旁站上传WebShell,遍历目录访问目标数据。
- • 防御:严格隔离不同网站的服务器权限,禁用PHP的open_basedir。
15. 物理渗透测试:办公区域突破 - • 场景:
- • 伪造访客身份进入办公区,插入恶意USB设备(如Rubber Ducky)。
- • 扫描内部WiFi(如SSID包含公司名),破解弱密码(WPA2-PSK)。
- • 防御:启用802.1X认证,部署网络准入控制(NAC)。
四、权限提升与横向移动16. Windows本地提权漏洞利用 - • 经典漏洞:
- • Print Spooler漏洞(CVE-2021-1675):通过RpcAddPrinterDriver提权。
- • AlwaysInstallElevated策略:绕过UAC安装恶意MSI包。
- • 工具:PowerUp.ps1检测错误配置,Metasploit的getsystem模块。
17. Linux内核漏洞提权 - • 漏洞检测:
- • 使用Linux Exploit Suggester检查内核版本匹配的EXP。
- • Dirty Cow(CVE-2016-5195)、Polkit(CVE-2021-3560)等高危漏洞。
- • 限制:需根据发行版(Ubuntu/CentOS)选择对应利用代码。
18. 数据库漏洞与逃逸技术 - • MySQL UDF提权:上传自定义DLL文件执行系统命令。
- • PostgreSQL COPY FROM PROGRAM:利用COPY命令执行Shell指令。
- • 防御:数据库账户降权,禁用高危函数。
19. 横向移动:Pass-the-Hash与票据传递 - • 工具:Mimikatz提取NTLM哈希,Impacket的psexec.py横向扩散。
- • 检测:监控Event ID 4624(登录类型3)异常登录行为。
20. 日志清除与痕迹隐藏 - • Windows:使用wevtutil清除指定日志(wevtutil cl Security)。
- • Linux:替换/var/log/auth.log,删除当前用户历史命令(history -c)。
- • 防御:日志实时同步至SIEM系统,防止本地篡改。
| 
发表于 2025-4-17 16:17:25
楼主