概述

渗透测试的目的可以是单个主机，，，，，，也可以是整个内网。。。。。。。。在实战中，，，，，，好比最近如火如荼的HW行动，，，，，，更多的是对一个目的的内网举行渗透，，，，，，争取获得所有有价值的资产。。。。。。。。完整的内网渗透涉及的办法如下图所示。。。。。。。。我们总是先通过对外提供服务的，，，，，，防守最薄弱的主机打进去，，，，，，然后搭建隧道，，，，，，通过该主时机见内部的其他主机。。。。。。。。？？？？？？焖俸嵯蛞贫降侥谕械慕沟阕什，，，，，，获取焦点敏感数据和权限，，，，，，完成一次疼痛的攻击。。。。。。。。

Step 1 信息网络

完成界线突破的第一步是目的工具资产的信息网络。。。。。。。。差别于内网渗透环节中信息网络（后渗透），，，，，，此部分信息网络的主要针对工具为目的服务器系统、数据库系统、中心件系统、应用程序系统、以及界线信息等。。。。。。。。须要时间还要针对系统治理员举行信息网络。。。。。。。。这些着实是为了找到懦弱资产举行攻击，，，，，，事实“柿子挑软的捏”。。。。。。。。

1.1 域名及子域名

OneForAll

从域名找IP以及子域名爆破还没有履历过，，，，，，之后履历了再更新。。。。。。。。

https://github.com/shmilylty/OneForAll

1.2 主机、端口和协议

主机存活 -> 操作系统 , 端口开放 -> 通讯协议

whois + ip 确定IP网段

Nmap

审查端口开放及其上通讯协议：

namp -sS -sU target_ip -p 100-27018

-sS 为TCP SYN扫描具有更强隐藏性，，，，，，不建设毗连;

-sU 激活UDP扫描，，，，，，检测端口上开启的UDP服务；；；；；；；；

-p 指定扫描的端口规模，，，，，，但会越发耗时；；；；；；；；

以上这两个下令在没有防火墙的时间较量管用。。。。。。。。若是需要绕墙的话，，，，，，需要选择其他战略如碎片扫描，，，，，，距离扫描等，，，，，，之后遇到了再整理。。。。。。。。可是思绪就是视察对方的响应包然后实时替换战略或者组合战略。。。。。。。。

sudo nmap -A --version-intensity 9 target_ip -p target_port

-A 同时翻开操作系统探测和版本探测，，，，，，其中操作系统探测需要sudo权限；；；；；；；；

--version-intensity 确定版本扫描的强度；；；；；；；；

target_port 是上述下令执行之后获得的开启的端口

masscan 高速 无状态扫描

通过masscan也可以快速扫描获得C段和旁站。。。。。。。。其中旁站是指统一台服务器上的其他网站，，，，，，C段是指统一内网网段中的其他服务器

FOFA Zoomeye 等网络资产空间测绘引擎

若是为了隐藏，，，，，，也可以直接使用被动信息搜集如fofa直接去搜IP。。。。。。。。

1.3 端口服务及其上框架CMS或组件

Wapoalyzer

关于网站而言，，，，，，可以使用chrome的插件Wappalyzer去剖析包括前端框架，，，，，，后端框架、服务器类型、插件、编程语言等等版本信息。。。。。。。。

手工剖析

可是一定不可依赖于一个插件搞定一切，，，，，，大大都情形下需要对网站举行手工识别，，，，，，如HTTP的响应头，，，，，，HTML的body、title、meta、class命名，，，，，，网站的目录结构以及报错信息等。。。。。。。。

Github

在获得详细框架之后可以实验在github上搜一下，，，，，，可能会有网站的源码，，，，，，或者许多有用的信息。。。。。。。。

云悉平台

别的，，，，，，云悉资产探测平台很好用，，，，，，可是需要约请码。。。。。。。。这部分主要的内容不过是确定框架和组件，，，，，，尚有版本信息。。。。。。。。有了版本信息就可以去找一些没有修复的误差攻进去。。。。。。。。

1.4 Waf识别

wafw00f

wafw00f是一个Web应用防火墙（WAF）指纹识别的工具。。。。。。。。

下载地点：https://github.com/EnableSecurity/wafw00f

1.5 目录爆破

但凡涉及到爆破，，，，，，一定是需要合适的字典的。。。。。。。。若是可以确定网站的框架，，，，，，那么可以通过寻找其网站框架或者系统的源码可以获得可能保存的路径，，，，，，大大镌汰爆破次数。。。。。。。。别的，，，，，，通过Google Hacking也可能有意想不到的收获。。。。。。。。最好是已知跟路径之后再去扫路径下可以会见到的文件，，，，，，这样可以极大地提高爆破效率。。。。。。。。

dirsearch

https://github.com/maurosoria/dirsearch

Google Hacking

Google Hacking的功效有很是多，，，，，，借助于Google搜索引擎，，，，，，它可以资助我们做到如子域名获取、C段和旁站扫描、敏感路径扫描、敏感内容盘问等等。。。。。。。。

可以参考这篇博客 https://www.cnblogs.com/H4ck3R-XiX/p/12489218.html

Step 2 误差扫描

关于误差扫描，，，，，，我的明确是当清晰你资产上运行的服务、框架或者组件的名称和版本的时间，，，，，，直接搜索引擎去找1day就就可以。。。。。。。。现在网站基本都是二次开发，，，，，，一定已经被人研究过了。。。。。。。。以是这应该是最先实验的，，，，，，而不是直接上工具。。。。。。。。

接下来，，，，，，可以使用Xray、MSF或者特定框架的误差扫描器通过POC去确认网站是否含有该误差。。。。。。。。不要直接使用Xray去自动扫描网站，，，，，，试图通过探测所有web接口去找误差，，，，，，效率很低。。。。。。。。

2.1 Xray

Xray是一款很是优异的Web扫描器，，，，，，它设计的初志是很好的，，，，，，并且支持自界说POC。。。。。。。。可是若是目的使用了已经宣布的系统或者框架，，，，，，我们就没有须要自己去测试了，，，，，，直接把别人的研究效果拿来用就好了。。。。。。。。

2.2 弱密码爆破

若是找到任何登录界面，，，，，，想到的第一件事就应该是弱密码登录。。。。。。。。

可是，，，，，，还要去确认网站有没有使用验证码。。。。。。。。；；；；；；；蛘哐橹ぢ氲氖遣皇强梢匀乒，，，，，，好比实战中遇到的一个网站的验证码就是通过用户的Cookie中的id天生的，，，，，，也就是说当用户Cookie和验证码的绑定稳固时，，，，，，后台验证永远是准确的。。。。。。。。

若是没有验证码或者验证码可以绕过，，，，，，则可以使用Burp Suite中的Intruder模？？？？？？榫傩斜。。。。。。。。别的，，，，，，需要注重的是爆破的字典一定要去搜集下，，，，，，自带字典着实是不得行。。。。。。。。

Step 3 误差使用

3.1 蚁剑

蚁剑是中国优异的Web Shell网站'治理'软件。。。。。。。。

蚁剑的原理都是在获取网站文件修改或者下令执行的权限之后，，，，，，在网站的后台的代码中插入这样一句木马。。。。。。。。然后再去请求这样插入一句话木马的文件，，，，，，在其中使用POST请求字段插入待执行的指令，，，，，，然后再响应包中获取下令执行效果。。。。。。。。着实，，，，，，所谓的密码'jfe'，，，，，，就是请求的POST字段名，，，，，，以是这句话的意思就是在数据包中POST字段名为'jfe'的字段值取出来然后执行。。。。。。。。虽然，，，，，，其他的隐藏和绕过要领都是在这个原理之上的，，，，，，好比替换其他函数，，，，，，混淆编码，，，，，，重新誊写代码等。。。。。。。。

<?php eval(@$_POST['jfe']); ?>

默认情形下，，，，，，蚁剑的流量是特殊显着的，，，，，，不过也可以使用插件或者署理对流量加密，，，，，，无非就是在原有基础上增添加密解密的办法。。。。。。。。

我自己以为一个较量好的方法是把一句话木马或者木马代码段加载到一个偏僻的页面代码里，，，，，，然后在正常请求基础上再添加POST字段带上要执行的指令。。。。。。。。这样在他的Web目录里并不会有一个文件落地，，，，，，并且请求的url也是正常的，，，，，，不会引起网站治理员的注重。。。。。。。。如下所示，，，，，，蚁剑支持添加正常请求时数据报文的头部和请求体，，，，，，以最洪流平上伪装成正常流量。。。。。。。。

蚁剑通过Web Shell的方法完成与目的机的隐藏通讯，，，，，，以是较量稳固。。。。。。。。并且蚁剑拥有图形化界面并且功效很是多，，，，，，包括Web Shell、文件治理、数据操作（数据库审查）等等。。。。。。。。

3.2 Metasploit (MSF)

MSF作为一个渗透测试框架可以完成误差扫描、误差使用、天生攻击载荷或木马或shellcode、监听等使命。。。。。。。。

接下来以攻击一台XP作为示例，，，，，，使用msf的基本的流程如下：

msf6 > search smb type:exploit platform:windows # 针对目的使用exp

msf6 > use 0 # 选择一个exp

msf6 > show options # 审查该exp的选项

msf6 > show payloads # 选择用于坚持毗连的payload

msf6 > set RHOST 10.10.10.10 # 设置一系列exp的选项

msf6 > exploit

最终乐成拿到metepreter的shell。。。。。。。。meterpreter拥有极多的功效，，，，，，可以完成后续的信息搜集和提权等，，，，，，是很是强盛的后渗透工具。。。。。。。。

我们拿下一个目的的方法的拿到该目的的shell，，，，，，即控制通道，，，，，，可是获取shell的方法有许多种并且拿到的也是差别的shell。。。。。。。。我们可以比照一下蚁剑、冰蝎的webshell，，，，，，msf的metepreter以及CS的beacon，，，，，，思索他们是怎样完成以下三点的：

木马客户端在目的机上的隐藏

指令在目的机上运行以及执行效果回显

木马客户端和服务器端的通讯

这个部分可以参考长亭的这篇博客[https://zhuanlan.zhihu.com/p/371444680]，，，，，，由于我自己还没有时间去读他们实现的源码，，，，，，可能之后会单独写一篇文章，，，，，，谈一谈自己的明确。。。。。。。。

Viper 是msf的图形化界面的版本，，，，，，虽然尚有许多需要完善的，，，，，，可是图形化界面永远是更利便直观的。。。。。。。。

项目地点：https://github.com/FunnyWolf/Viper

3.3 Cobalt Strike

Cobalt Strike在海内收到了更多的吹捧，，，，，，可是自己在现实模拟渗透测试中照旧使用MSF更多一些。。。。。。。。我现在的明确是Cobalt Strike更专注于后渗透测试，，，，，，拥有越发稳固的控制通道，，，，，，并且支持多人同时作战。。。。。。。。更专注于后渗透测试的意思是，，，，，，CS主要认真天生种种形式的payload，，，，，，也就是用于通讯的后门，，，，，，可是怎样使用误差将payload在目的机上运行，，，，，，使目的上线，，，，，，就不是其主要关注点了。。。。。。。。它主要认真目的上线之后的后续操作。。。。。。。。

Cobalt Strike的控制通道叫做Beacon，，，，，，在隐藏信道上为我们提供服务，，，，，，用于恒久控制受熏染主机。。。。。。。。与MSF中的payload完成的是统一件事。。。。。。。。Beacon支持通过HTTP(S)、DNS、SMB、TCP四种举行通讯，，，，，，适用于更多的实战场景，，，，，，并且相比于MSF的meterpreter越发稳固。。。。。。。。

Cobalt Strike的后渗透测试模？？？？？？榭梢孕覆馐灾霸本傩行畔⑼纭⑷ㄏ尢嵘⒍丝谏琛⒍丝谧ⅰ⒑嵯蛞贫⒊て诨炔僮。。。。。。。。这些功效可以通过添加插件来完成。。。。。。。。

值得一提的是，，，，，，CS具有一键克隆垂纶网站的功效，，，，，，配合情形和话术，，，，，，目的很容易中计。。。。。。。。

文章泉源：jackfromeast.site

作者：jackfromeast

若有侵权，，，，，，请联系删除