web渗透培训

Web渗透测试基础培训讲师：李良培训课程安排-第1天时间安排：3天21课时内容安排：培训课程安排-第2天培训课程安排-第3天Web渗透测试基础培训内容•1、渗透测试相关名词解释•2、渗透测试流程•3、基本技能•4、渗透测试工具使用•5、第三方风险利用•6、攻防实战演练Web渗透测试名词解释什么是渗透测试？渗透测试(penetrationtest)：通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。两个显著特点是：渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试，通常不采用DDOS，SYN等破坏性的攻击手段。Web渗透测试名词解释什么是ATP攻击？APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。APT攻击样式：智能手机、恶意邮件、防火墙及系统漏洞。Web渗透测试名词解释渗透测试必须征求客户同意并授权不具有破坏性具有合法性时间比较短目的为查找应用漏洞并修补APT攻击强调隐蔽性，潜伏可能会利用病毒感染等窃取情报及资料，不合法潜伏性，时间长至数年窃取商业机密及军事情报Web渗透测试名词解释据国外Web应用安全联盟（WASC）统计，针对web的攻击及威胁共有49种，其中攻击分类为34个，弱点分类为15个。Web渗透测试名词解释注入攻击：SQL注入、SSI注入、XML注入、命令注入XSS攻击CSRF攻击、CRLF攻击暴力破解、LFI攻击、RFI攻击路径遍历、目录索引（浏览）SQL注入攻击•什么是SQL注入网站程序在使用SQL语句执行数据库操作时，没有对用户提交的内容做出正确的处理，导致用户提交的内容破坏了程序原先的SQL语句结构，使得网站程序对数据库操作出错或改变预定的数据库操作行为，我们把网站程序的这种问题称为SQL注入漏洞。SQL攻击实质：利用web漏洞，实现数据库查询。SQL注入攻击•SQL注入的危害1、窃取信息(管理员用户名和密码)2、篡改数据(update数据)3、进行挂马(update挂马)4、绕过口令验证（万能密码）SSI注入攻击•什么是SSI注入SSI注入(server-side-include)，服务端包含，它允许攻击者在web应用中注入攻击代码，然后此代码会在服务器执行，并将结果返回给攻击者。常见的攻击是利用shtml文档来实现。pre!--#includefile=sql.asp--/prepre!--#execcmd=“dir/b”--/pre(IIS7禁用)://注入攻击XML注入攻击•什么是XML注入Xml注入是通过改写xml的数据内容来实现。XML通常用于存储数据，如果用户提供的数据是以XML的方式进行存储，那么对攻击者来说，注入额外的、攻击者可能不能正常控制的XML是有可能的。三种最常见的XML注入攻击是：XML数据注入、可扩展样式表语言转换（ExtensibleStylesheetLanguageTransformation，XSLT）注入和XPath/XQuery注入。注入攻击常见的xpath注入攻击：updatexml,extractvalue函数=1andupdatexml(1,concat(0x7e,(SELECTdistinctconcat(0x7e,username,0x3a,password,0x7e)FROMadminlimit0,1),0x7e),1)=1andextractvalue(1,concat(0x7e,(SELECTdistinctconcat(0x7e,username,0x3a,password,0x7e)FROMadminlimit0,1)))命令注入攻击•什么是命令注入CommandInjection，即命令注入攻击，是指由于Web应用程序对用户提交的数据过滤不严格，导致黑客可以通过构造特殊命令字符串的方式，将数据提交至Web应用程序中，并利用该方式执行外部程序或系统命令实施攻击，非法获取数据或者网络资源等。PHP命令注入攻击存在的主要原因是Web应用程序员在应用PHP语言中一些具有命令执行功能的函数时，对用户提交的数据内容没有进行严格的过滤就带入函数中执行而造成的。命令注入攻击•php命令注入XSS攻击•什么是XSS攻击网站程序在接受用户提交的内容后，没有对在HTML文件中有特殊含义的字符和关键字进行过滤，并将其直接显示在网页上，导致用户提交的内容改变了网页原有的结构。我们把网站程序的这类问题称为跨站脚本漏洞。XSS攻击发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。CSRF攻击•什么是CSRF攻击CSRF（Cross-siterequestforgery跨站请求伪造，也被称为“oneclickattack”或者“sessionriding”通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS区别：XSS在客户端执行脚本，CSRF则是在WEB应用中执行操作。CRLF攻击•什么是CRLF攻击CRLF注入攻击并没有像其它类型的攻击那样著名。但是，当对有安全漏洞的应用程序实施CRLF注入攻击时，这种攻击对于攻击者同样有效，并且对用户造成极大的破坏。CRLF是一种广义的攻击，用在HTTP响应里，就是HTTPResponseSplitting，CRLF代表回车换行。CRLF攻击演示平台：WebGoatV5.3••用户名及密码：guest/guest•测试代码：•cn%0D%0AContent-Length%3A%200%0D%0A%0D%0AHTTP%2F1.1%20200%20OK%0D%0AContent-Type%3A%20text%2Fhtml%0D%0AContent-Length%3A%2039%0D%0A%0D%0A%3Chtml%3EHacked%20BY%20暴力破解攻击LFI攻击•什么是LFI攻击本地文件包含（LocalFileInclude）是php脚本的一大特色，程序员们为了开发的方便，常常会用到包含。比如把一系列功能函数都写进fuction.php中，之后当某个文件需要调用的时候就直接在文件头中写上一句?phpincludefuction.php?就可以调用内部定义的函数。本地包含漏洞是PHP中一种典型的高危漏洞。由于程序员未对用户可控的变量进行输入检查，导致用户可以控制被包含的文件，成功利用时可以使webserver会将特定文件当成php执行，从而导致用户可获取一定的服务器权限。LFI攻击RFI攻击•什么是RFI攻击远程文件包含（RemoteFileInclusion），简称RFI，与其对应的是本地文件包含（LocalFileInclusion，LFI），它们都是通过PHP的包含函数即：require(),require_once(),include()和include_once()来使用。通常情况下，LFI攻击威胁不大，因为本地服务器上的文件是比较确定的，攻击者想要上传带有攻击性代码的文件也不是件容易的事。RFI攻击才是我们需要防范的事。RFI攻击•RFI攻击必备的三个条件allow_url_fopen=On（默认开启）allow_url_include=On（默认关闭）被包含的变量前没有目录的限制目录遍历漏洞•什么是目录遍历目录遍历(或路径遍历)(directorytraversal/pathtraversal)是由于Web服务器或Web应用程序对用户输入文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过HTTP请求和利用一些特殊字符就可以绕过服务器的安全限制，访问任意受限的文件(可以是Web根目录以外的文件)，甚至执行系统命令。目录遍历漏洞目录浏览漏洞•什么是目录浏览漏洞由于WEB服务器的不当配置，服务器允许访问者查看网站目录的文件列表。•目录浏览漏洞危害攻击者可以通过浏览网站目录了解网站结构，发现网站内部资料，导致敏感信息泄露。攻击者也有可能通过泄密文件获取网站的某些管理权限，或者籍此发现更多网站安全漏洞。目录浏览漏洞Web渗透测试名词解释OWASP：开放式Web应用程序安全项目（OWASP，OpenWebApplicationSecurityProject）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。目前有130个分会近万名会员。Web渗透测试名词解释Web渗透测试流程Web渗透测基本技能黑站三字经进谷歌没注入没旁注没0day拿不下爆账户传小马拿权限放暗链三字经找注入就旁注用0day猜目录去自杀找后台放大马挂页面清数据三字经Web渗透测基本技能-找后台找后台的方法总结：网站内部链接Google搜索(intitle:后台|管理员|登录)SQL注入列目录下载网站源代码(robots.txt)暴力破解社工找后台域传送利用Web渗透测基本技能-找后台①网站内部链接案例：渗透测基本技能-找后台案例：://zwc.usx.edu.cn/Web渗透测基本技能-找后台②利用Google查找后台搜索关键字：site:usx.edu.cnintitle:登录|后台|管理员Web渗透测基本技能-找后台搜索关键字：site:usx.edu.cninurl:loginWeb渗透测基本技能-找后台③利用SQL注入列目录找后台使用工具：阿D注入工具或者pangolinWeb渗透测基本技能-找后台④下载网站源代码中国机械工业集团有限公司渗透测基本技能-找后台中国诚通渗透测基本技能-找后台⑤暴力破解案例：渗透测基本技能-找后台⑥社工找后台利用某类CMS或者管理员习惯来查找后台。海马科技海马科技渗透测基本技能-找后台⑦利用域传送漏洞案例：中华人民共和国民政部渗透测基本技能-