黑盒渗透测试简介2

admin管理员组

文章数量:1574959

渗透攻击

攻击类型

SQL注入攻击

直接拼装恶意SQL，把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串等URL中，欺骗服务器执行恶意的SQL命令。SQL注入式攻击的主要形式有两种：

• 直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。
• 将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中，以执行一些恶意的SQL代码。注入过程的工作方式是提前终止文本字符串，然后追加一个新的命令。

SQL注入利用工具sqlmap。sqlMap是一个开放源码的渗透测试工具，它可以自动探测和利用 SQL注入漏洞来接管数据库服务器。它配备了一个强大的探测引擎， 为最终渗透测试人员提供很多猥琐的功能，包括获取数据库中存储的数据，访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

安装burpsuite插件sqlmap4burp++，并使用插件进行SQL注入攻击。

内存数据注入

Cheat Engine简称ce修改器是一款内存修改器，能够对内存数值进行搜索和修改。
常被作为游戏修改器和外挂生成使用。使用过程中，首先找到计算机中相应进程，点击Open按钮，进行注入。这里以一个游戏作为演示。

比如游戏中有100枚金币，于是在CE中搜索100；搜索完成后，系统显示存在12120个结果，所有内存中寄存器中存储数值位100的地址都被查询出来。
操作角色花费30金币新建了一个建筑物，这时金币数量变为70。在CE中搜索框填写70，点击Next Scan按钮，搜索结果中只剩下一处，这个地址就是游戏内存中金币数值存储的地址，也是我们需要修改的地址。

双击金币地址保存在待修改的对话框中。
双击数值70，打开修改对话框。
在修改对话框中修改70数值变为2000，点击OK按钮完成修改。完成修改后的金币数值变为2000。

在待修改对话框中，右键地址，选择Browse this memory region选项，编辑内存。
内存查看窗口分两部分，上面是游戏的汇编代码，下面是操作内存寄存器数据，这里之前修改的数值为2000，地址23A0B37E628处显示D0 07，因为寄存器中地址是反的，所以数值应为07 D0，此处为十六进制，转换为十进制为2000。
游戏中角色除了金币，还有木头、石头等资源也需要修改。经验中一般类型相同的数值初始化位置相近，所以编译后寄存器地址位置应相差不多，向上查看地址23A0B37E618数值为14 00，转换为十进制为20，恰好是木头资源的数值。
将地址23A0B37E618数值修改为32 00 00 00，所有资源数值都变为50了。

无线WIFI攻击

无线WiFi攻击是指黑客使用无线网络技术进行攻击的行为，例如通过WEP、WPA或WPA2密码的破解，绕过MAC地址过滤器，均可以实现攻击。
无线WiFi攻击在黑客攻击中扮演重要的角色，因为它们可以让攻击者利用无线网络可以轻松地访问目标网络，并窃取敏感信息。常见的无线Wi-Fi攻击类型包括无线密码破解、钓鱼攻击、中间人攻击及无线网络窃取攻击等。为了保护无线网络安全，人们应该采取一些有效的措施，例如使用强密码、加密和认证机制以及WiFi安全分析工具等。

精准打击

针对某些特定业务进行精准的逻辑漏洞利用。
随着电商的发展，各种优惠活丰富多彩，丰富多彩的背后是复杂的优惠券计算逻辑算法，逻辑是人脑的产物，最容易出现逻辑混乱导致错误和漏洞，这次xx大促销的第一天某商铺就出现了这种逻辑错误。
这次活动是天猫满300减30，各种店铺有各种优惠折扣，一个是平台优惠，一个是商铺优惠。这两个优惠的计算方法不同、顺序不同将会导致折扣计算结果不同。
这里举个例子有个服装店铺。正常情况下一折，买一件20990.1=209.9元。构造触发异常的订单3件，平台系统满减按照300减30，6297减600，店铺折扣3件1折，原价20993计算1折629.7，按照这种计算209930.1-600=29.7元。

拒绝服务攻击

HTTP慢速攻击也叫slow http attack，是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话，因此如果中间件对会话超时时间设置不合理，并且HTTP在发送请求的时候采用慢速发HTTP请求，就会导致占用一个HTTP连接会话。如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。
Slow Attack大致可分为以下几种：

• Slow headers(也称slowloris)：每个 HTTP 请求都是以空行结尾，即以两个（\r\n）结尾。若将空行去掉，即以 一个（\r\n）结尾，则服务器会一直等待直到超时。在等待过程中占用线程（连接数），服务器线程数量达到极限，则无法处理新的合法的 HTTP请求，达到DOS目的。
• Slow read(也称Slow Read attack)：向Web服务器发送正常合法的read请求，请求一个很大的文件，并将 TCP 滑动窗口 size 设置很小如 1 或 2，服务器就会以非常缓慢的速度发送文件，文件将长期滞留在服务器内存中，消耗资源，造成DOS。
• Slow body(也称Slow HTTP POST)：攻击者向服务器发送 POST 请求，告诉服务器它将要 POST 的数据为 n，服务器将分配长度为 n 的空间来等待接收数据。当 n 足够大，POST 的请求足够多的时候，这种攻击会占用服务器的大量内存，从而降低服务器性能，甚至导致瘫痪。

后渗透攻击

主动Shell

已经拿下主机的一个webshell,我们想获取一个可以直接操作主机的虚拟终端，此时我们首先想到的是开启一个shell监听，攻击者主动发送命令到目标主机。

反弹式Shell

已经拿下主机的一个webshell，我们想获取一个可以直接操作主机的虚拟终端，此时我们首先想到的是开启一个shell监听。

渗透测试报告

报告整体内容

具体漏洞描述

扫描工具生成报告

自定义报告

系统安全风险情况说明

渗透示例

shiro反序列化漏洞

shiro 1.2.4反序列化漏洞。Shiro是apache下一个权限控制模块，业内很有名，首先搭建被测环境，这里使用spring boot，shiro1.2.4

• 情报收集：代码中重写doGetAuthenticationInfo方法，增加一个固定的用户名及密码，
  作为身份校验使用，admin/vulhub，使用浏览器打开登陆界面勾选Remember me并填写
  正确的用户名及密码，系统返回Set-Cookie：rememberMe内容再次打开首页，系统使用
  Cookie中的rememberMe直接登陆系统不用密码。
  
• 漏洞验证：基于反序列化算法和密钥进行攻击实验，首先使用一个包含可执行代码的序列化文件myFile1.txt文件，对这个文件使用AesCipherService中的encrypty中进行加密，得到rememberMe中进行攻击密文。
  
• 将rememberMe整段内容复制到Cookie中对被测url进行post发送，后台虽然出发异常，但是被包含包含shell命令的代码已经被执行，成功开了计算器程序。
  
• 漏洞利用，前面都是在模拟环境中打开一个计算器，对漏洞进行验证，现在开始对漏洞进行利用，通过ysoserial的JRMPListener模块对被测主机进行远程控制。
• 报告分析：Shiro的deserialize函数对用户输入序列化字符串进行反序列化操作，这里使用
  了readObject读取序列化的内容。与上面的例子相同。

Tomcat AJP漏洞

• 情报收集：
  Nmap侦察扫描
  nmap -sV --script vulners 192.168.43.95
  
• 漏洞分析与渗透攻击，通过python利用脚本读取敏感配置文件
  
• 通过远程登陆服务器，查看是否读取敏感配置文件。
  

本文标签： 测试简介