渗透思路全方面总结

一、针对网站程序，不考虑服务器。

1、查找注入，注意数据库用户权限和站库是否同服。

2、查找XSS，最近盲打很流行，不管怎样我们的目的是进入后台。

3、查找上传，一些能上传的页面，比如申请友链、会员头像、和一些敏感页面等等，注意查看验证方式是否能绕过，注意结合服务器的解析特性，比如典型的IIS6.0、阿帕奇等。

4、查找编辑器，比较典型的ewebeditor、fckeditor等等。

5、查找phpmyadmin等管理程序，可以尝试弱口令，或者寻找其漏洞。

6、百度、谷歌搜索程序公开漏洞。

7、猜解文件，如知道某文件为admin_login.php,我们可尝试admin_add.php、admin_upload.php文件是否 存在，也可以谷歌搜索site:exehack.net inurl:edit等等，很多时候可以找到一些敏感文件，接着看是否验证权限或能否绕过验证。

8、会员注册、修改、删除、评论等一切需要操作数据库的地方记得加单引号之类查看是否存在insert、update等类型注入。

9、会员或低权限管理登陆后可抓包分析，尝试修改超级管理员密码，权限提升。

10、通常有下载功能的站我们可以尝试修改下URL文件名，看能否下载站点敏感文件，如数据库配置文件等，数据库不可外连情况下可以尝试数据库密码登陆后台，也可下载上传、登陆验证等文件进行代码审计。

11、备份文件和后门，某些主站子目录存在分站，我们可以尝试压缩文件是否存在，可能就是子站的源码。也有一些站通常老站会比较容易拿。还有就是数据库备份、前人的后门等，具体这些目录上的东西就要看你的字典了。

12、0day漏洞，不管是别人给你的，还是自己挖的，总之好使就行。

二、针对服务器

1、通常先扫下服务器开放的端口，再考虑对策。

2、比较常见的解析漏洞，比如IIS6.0、阿帕奇、nginx/IIS7.0(php-fpm)解析漏洞等，还有就是cer、asa之类的解析，.htaccess文件解析配置等。

3、弱口令和everyone权限，先扫描服务器开放的端口，比如21对应的FTP、1433对应的MSSQL、3306对应的MYSQL、 3389对应的远程桌面、1521对应的Oracle等等，平时可以多搜集下字典，有时候效果也是不错的(通常在cain嗅探的时候，经常能嗅到别人不停 的扫…很蛋疼)。

4、溢出，这点要看系统补丁和服务器使用的软件等等，比如FTP等工具，这里不详解。

5、针对一些服务器管理程序，比如tomcat、jboss等等，这种比较常见于大中型的站点服务器。

6、IIS、apache等各种漏洞，这个要平时多关注。

7、目录浏览，服务器配置不当，可直接浏览目录。

三、针对人，社工

社工在渗透中通常能起到惊人的效果，主要还是利用人的弱点，博大精深，这里不详细讨论，注意平时多看一些社工文章，学习一些思路、技巧。

四、迂回战术，旁注和C段

1、旁注，针对旁站，我们可以运用到上面说到的方法，这里不多说。

2、C段，基本想到C段就会想到cain，针对C段的站点和服务器，结合上面说的针对目标站、服务器、人、旁站的思路，一个道理，当然如果你的目的仅仅是黑站的话，不妨试试NetFuke之类。
五、提权常用手段

1、使用系统溢出提权EXP，这类在提权中最常用，使用的方法大都一致，比如比较常见的巴西烤肉、pr等等，溢出提权通常在Linux上也利用的比较多，注意多收集EXP。

2、第三方软件提权，主要还是利用服务器上安装的第三方软件拥有比较高的权限，或者软件的溢出漏洞，比如典型的mssql、mysql、serv-u等等，还有各种远程控制软件，比如pcanywhere、Radmin这类。

3、劫持提权，说到这个，想必肯定会想到lpk.dll这类工具，有时候在蛋疼怎么都加不上账户的时候，可以试试劫持shift、添加开机启动等等思路。

4、弱口令技巧，我们可以看看有木有什么hack、或者隐藏账户之类的，一般这种用户密码都比较简单，可以尝试下弱口令，还有之前说过的各种数据库、远程控制软件、FTP软件的弱口令，没办法的时候就去扫扫碰碰运气吧。

5、信息收集，注意翻下硬盘各种文档，说不定各种密码就在里面。在内网渗透时，信息收集是非常重要的，记得拿下服务器了GET一下明文密码，德国那个mimikatz不错，还有就是域、ARP……

暂时总结到这里，渗透博大精深，不是这么几段字就能说清楚的，具体还是要看具体情形，随机应变。

一定要养成在渗透过程中信息收集的好习惯，特别是针对大中型站点，注意收集子站域名、目录、密码等等敏感信息，这对于我们后面的渗透非常有用，内网经常弱口令，同密码比较多。很多时候，或许一个主站就死在子站的一个小漏洞上。

本文始发于微信公众号（飓风网络安全）：渗透思路全方面总结