本文中�,only_guest分享了他個(gè)人整理的滲透測(cè)試方法和流程,文章中穿插了不少實(shí)戰(zhàn)經(jīng)驗(yàn)和實(shí)例�,足見功力,相信大家一定能學(xué)到不少東西�。
分析目標(biāo)網(wǎng)站內(nèi)容及功能
一、首先確定網(wǎng)站采用何種語言編寫.或者是否有混用的情況.此處可以通過查看網(wǎng)站源文件,觀察網(wǎng)站鏈接,捕獲提交請(qǐng)求等方式獲取.
二����、爬行網(wǎng)站目錄,使用工具對(duì)網(wǎng)站目錄進(jìn)行爬行,可以輔助上一步讓結(jié)果更加精準(zhǔn).將爬行結(jié)果存檔,如果可以,此處應(yīng)分析出網(wǎng)站是否使用通用程序,如果是,記錄下來.進(jìn)行下一步.
三、根據(jù)上一步的爬行結(jié)果,對(duì)網(wǎng)站根目錄或者關(guān)鍵目錄進(jìn)行暴力目錄探測(cè),如果網(wǎng)站為通用程序,判讀是否有過二次開發(fā),如非通用程序,在探測(cè)到的目錄中尋找關(guān)鍵目錄及文件.
此步驟詳細(xì)測(cè)試方法:
1.輸入并訪問一些不可能存在的文件或目錄名,再輸入并訪問一些通過目錄爬行已知存在的目錄及文件名,從而得知服務(wù)器如何處理無效資源.
2.使用網(wǎng)站爬行到的結(jié)果作為此步驟暴力目錄探測(cè)的依據(jù),掃描關(guān)鍵目錄或全部.
3.確定服務(wù)器如何處理文件無法找到的回應(yīng),并使用關(guān)鍵字技術(shù)來處理這些回應(yīng).從而判斷有效資源及無效資源.
4.收集此步驟暴力掃描得到的結(jié)果,并手工檢測(cè)探測(cè)到目錄的有效性.
5.重復(fù)以上步驟,得到更多更關(guān)鍵的目錄及文件.
四���、 通過上面步驟,得到一個(gè)完整的網(wǎng)站目錄結(jié)構(gòu),以及枚舉到的所有目錄名稱,文件名稱及文件擴(kuò)展名.了解網(wǎng)站開發(fā)人員的命名思路,確定其命名規(guī)則,推測(cè)出更多的目錄及文件名.
此步驟詳細(xì)測(cè)試方法:
1.檢查整個(gè)列表中的文件命名規(guī)則,判讀其命名依據(jù),如發(fā)現(xiàn)幾個(gè)部分內(nèi)容相同的文件名,addnews.php,viewnews.php,那么我們就可以嘗試是否存在editnews.php,delnews.php,通常只要查看幾個(gè)文件名,就可以推測(cè)出網(wǎng)站開發(fā)人員的命名習(xí)慣,根據(jù)其個(gè)人風(fēng)格,開發(fā)者可能采用各種命名方法,如冗長(zhǎng)式(addnewuser.php),簡(jiǎn)潔式(adduser.php),縮寫式(addusr.php),或者更加模糊的命名方式(addu.php).了解開發(fā)者使用的命名習(xí)慣有助于推測(cè)出尚未確定內(nèi)容的準(zhǔn)確名稱.
2.有些不同內(nèi)容的命名方案使用數(shù)字和日期作為標(biāo)識(shí)符,通過他們可以輕易推測(cè)出隱藏的內(nèi)容.靜態(tài)頁面經(jīng)常采用這種命名方式.
例如PKAV.NET 的團(tuán)隊(duì)博客中,文章里所展示的圖片的文件名沒有被重新定義,采用了日期加數(shù)字遞增的命名方案,如2012年12月12號(hào)發(fā)布的文章中的圖片分別為 1.jpg,2.jpg,3.jpg.那么這些圖片的路徑就是/2012-12-12/1.jpg, /2012-12-12/2.jpg, /2012-12-12/3.jpg , 此時(shí)我們?cè)诓┛蜕习l(fā)布了一篇內(nèi)容加密的文章,只有團(tuán)隊(duì)成員才知道密碼,但是黑客們根據(jù)博客以往發(fā)布文章的命名規(guī)則推測(cè)出了這些圖片的準(zhǔn)確地址,從而通過圖片內(nèi)容泄漏了文章的大致概念.
3.檢查所有客戶端代碼,如HTML及JS代碼,尋找任何隱藏了服務(wù)器端的線索,以及隱藏的表單元素等.認(rèn)證檢查注釋內(nèi)容,往往能帶給我們驚喜,如部分通用程序會(huì)在網(wǎng)站首頁放置一個(gè)通向網(wǎng)站管理后臺(tái)的鏈接,但網(wǎng)站管理人員不希望這個(gè)鏈接被正常訪問者所得知,于是將內(nèi)容注釋,我們可以通過查看HTML 代碼得知此具體地址,還有大多數(shù)的管理后臺(tái)中所調(diào)用的JS 中常常會(huì)存儲(chǔ)著后臺(tái)所有功能模塊的鏈接地址,但在判斷了當(dāng)前用戶權(quán)限后將其隱藏起來,我們也可以通過直接查看JS代碼的方式得知具體的內(nèi)容,還有一些開發(fā)者會(huì)在注釋內(nèi)容中記錄一些敏感信息,我多次從注釋信息中得到數(shù)據(jù)庫的名稱,甚至可以得到數(shù)據(jù)庫的具體連接信息,SQL 查詢語句等.
4.把我們通過推測(cè)枚舉出來的內(nèi)容放在其他地方進(jìn)行嘗試����。
如文件a.php 在/111/這個(gè)目錄下存在,那么我們可以嘗試在/222/這個(gè)目錄下嘗試是否存在相同文件,把所有枚舉出來的文件名使用一些常規(guī)后綴來嘗試訪問,如 index.php 這個(gè)文件已知存在,我們可以使用txt,bak,src,inc,tmp 等后綴進(jìn)行嘗試,如嘗試index.txt,index.bak 或者添加在原有后綴基礎(chǔ)上,index.php.bak 等.這樣可以幫助我們獲取這些文件的未編譯版本,開發(fā)版本或者備份文件,還可以通過網(wǎng)站使用的語言來推測(cè),如java 使用的.cs 后綴等.
5.搜索開發(fā)者使用的開發(fā)工具或者文本編輯器創(chuàng)建的臨時(shí)文件�����。如SVN的.svn/entries,又或者Ultraedit這類文本編輯器的自動(dòng)備份功能創(chuàng)建的.bak文件,被大量使用的.tmp后綴,以及index.php~1 這樣的遺留文件,這些都是可能會(huì)發(fā)現(xiàn)重要線索的細(xì)節(jié),測(cè)試中一定不要遺漏這些步驟.
6.將上述的步驟自動(dòng)化,提取所有存在的文件名以及目錄,后綴的詞干信息,在所有目錄下進(jìn)行自動(dòng)化批量探測(cè).
7.如果通過以上步驟已經(jīng)確定一種統(tǒng)一的命名方案,那么就可以使用此命名規(guī)則在整個(gè)站點(diǎn)下進(jìn)行測(cè)試.
8.不斷重復(fù)以上步驟,獲取更多的關(guān)鍵信息,根據(jù)時(shí)間及個(gè)人想象力盡情發(fā)揮!
五、利用公共信息,如搜索引擎,站點(diǎn)快照信息,以及其網(wǎng)站所使用的程序開發(fā)商公布的一些使用文檔等信息近一步獲取目標(biāo)站點(diǎn)更多信息.
1.使用幾種不同的搜索引擎和網(wǎng)站快照來獲取目標(biāo)站點(diǎn)的索引和歷史內(nèi)容記錄.
2.使用搞基搜索技巧如:
site:www.hao123.com (返回此目標(biāo)站點(diǎn)被搜索引擎抓取收錄的所有內(nèi)容)
site:www.hao123.com 關(guān)鍵詞 (返回此目標(biāo)站點(diǎn)被搜索引擎抓取收錄的包含此關(guān)鍵詞的所有頁面.此處我們可以將關(guān)鍵詞設(shè)定為,網(wǎng)站后臺(tái),管理后臺(tái),密碼修改,密碼找回等.)
site:www.hao123.com inurl:admin.php (返回目標(biāo)站點(diǎn)的地址中包含admin.php的所有頁面,可以使用admin.php,manage.php或者其他關(guān)鍵詞來尋找關(guān)鍵功能頁面)
link:www.hao123.com (返回所有包含目標(biāo)站點(diǎn)鏈接的頁面,其中包括其開發(fā)人員的個(gè)人博客,開發(fā)日志,或者開放這個(gè)站點(diǎn)的第三方公司,合作伙伴等)
related:www.hao123.com (返回所有與目標(biāo)站點(diǎn)”相似”的頁面,可能會(huì)包含一些通用程序的信息等.)
3.在搜索時(shí)不要只使用網(wǎng)頁的搜索功能,可以嘗試如圖片,新聞等功能來定位具體信息.
4.從搜索引擎的快照中尋找一些關(guān)鍵信息,如程序報(bào)錯(cuò)信息可以會(huì)泄漏網(wǎng)站具體路徑,或者一些快照中會(huì)保存一些測(cè)試用的測(cè)試信息,比如說某個(gè)網(wǎng)站在開發(fā)了后臺(tái)功能模塊的時(shí)候,還沒給所有頁面增加權(quán)限鑒別,此時(shí)被搜索引擎抓取了快照,即使后來網(wǎng)站增加了權(quán)限鑒別,但搜索引擎的快照中仍會(huì)保留這些信息.
5通過搜索引擎獲取目標(biāo)站點(diǎn)的子域名,得到更多的功能,如有些網(wǎng)站經(jīng)常使用admin 這個(gè)子域名作為其管理后臺(tái),如admin.hao123.com等.
六���、收集網(wǎng)站開發(fā)者信息,如網(wǎng)站的開發(fā)人員,管理維護(hù)人員等在互聯(lián)網(wǎng)上的一些信息.
1.列出網(wǎng)站中得到的所有開發(fā)及維護(hù)人員的姓名和郵件地址及其他聯(lián)系方式,其中包含從網(wǎng)站聯(lián)系功能中獲取到的,從HTML或JS中的注釋信息中得到的,已經(jīng)內(nèi)容頁面上獲取到的��。
2.使用上面介紹的一些高級(jí)搜索技巧,查找這些人在互聯(lián)網(wǎng)上發(fā)布的與目標(biāo)站點(diǎn)有關(guān)的一切信息,分析并發(fā)現(xiàn)有用的信息,如我曾經(jīng)在用這個(gè)方法獲取某國(guó)內(nèi)大型網(wǎng)站的開發(fā)人員的信息時(shí),竟發(fā)現(xiàn)他把他開發(fā)過的所有功能頁面的源代碼都放在一個(gè)公開的網(wǎng)站中,可以隨意下載,包含了這個(gè)網(wǎng)站的數(shù)據(jù)庫鏈接信息等關(guān)鍵內(nèi)容,從而導(dǎo)致我輕松獲取到這個(gè)大型網(wǎng)站的權(quán)限����。
