一、信息收集阶段的突破口
1. 子域名枚举与隐藏资产挖掘
-
• 原理:目标主站防护严密时,子域名或未公开的测试环境可能成为薄弱点。 -
• 实践工具:Sublist3r(基于搜索引擎)、Amass(DNS爆破)、Censys(证书透明度日志查询)。 -
• 案例:某企业官网主站无漏洞,但通过子域名 dev.xxx.com
发现未授权测试环境,直连内部数据库。
2. 端口扫描与服务指纹识别
-
• 原理:非常用端口可能运行老旧服务(如Redis未授权访问)。 -
• 工具实践:Nmap脚本 -sV
识别服务版本,结合Metasploit的auxiliary/scanner
模块检测已知漏洞。 -
• 关键点:重点关注22/SSH、6379/Redis、5984/CouchDB等高危端口。
3. 目录遍历与敏感文件泄露
-
• 经典漏洞: /admin
、/backup
目录未授权访问,或.git
源码泄露。 -
• 自动化工具:Dirsearch、Gobuster配置字典爆破,GitHacker恢复.git仓库。 -
• 案例:某电商平台因 .env
文件泄露数据库凭证,导致用户数据被拖取。
4. GitHub信息泄露监控
-
• 方法:搜索目标关联代码仓库中的关键词(如 password
、AK/SK
)。 -
• 工具链:GitHub高级搜索语法( filename:.env org:xxx
),GitGuardian实时监控。 -
• 防御建议:强制代码仓库设置 .gitignore
并开启敏感信息扫描。
5. C段存活主机探测
-
• 场景:同一IP段内其他主机可能属于目标资产(如运维管理后台)。 -
• 工具:Masscan快速扫描C段,结合Nmap二次验证服务。 -
• 风险:云服务器共享IP段时,可能误触其他企业资产,需注意授权范围。
二、漏洞利用的关键路径
6. 第三方服务集成漏洞
-
• 典型漏洞: -
• Jira未授权漏洞(CVE-2019-11581):直接访问 /secure/QueryComponent!Default.jspa
获取系统权限。 -
• Confluence OGNL注入(CVE-2022-26134):构造恶意URI执行命令。
-
-
• 防御:定期更新第三方组件,关闭非必要功能。
7. CMS指纹识别与历史漏洞利用
-
• 工具:Wappalyzer识别CMS类型(如WordPress、Drupal)。 -
• 漏洞库:Exploit-DB、CVE Details匹配历史漏洞EXP。 -
• 案例:某政府网站使用ThinkPHP 5.0.23,利用 /index.php?s=/Index/thinkapp/invokefunction
触发RCE。
8. API接口未授权访问与参数篡改
-
• 检测方法: -
• 抓取App/Web端API请求,测试越权访问(如修改 user_id
参数)。 -
• 使用Postman构造JSON参数,尝试注入SQL或命令。
-
-
• 案例:某社交平台API未校验JWT令牌,通过篡改 role
字段提升至管理员权限。
9. 员工信息收集与钓鱼入口
-
• 数据源:LinkedIn、企业通讯录、邮箱规则(如 [email protected]
)。 -
• 社工手段:伪造HR发送“薪资调整”钓鱼邮件,诱导点击恶意链接。 -
• 防御建议:全员安全意识培训,部署邮件网关过滤恶意附件。
10. 历史漏洞库快速匹配
-
• 资源: -
• Vulhub:一键搭建漏洞复现环境。 -
• Nuclei:基于YAML模板的批量漏洞检测。
-
-
• 案例:通过Shodan搜索暴露的Jenkins服务,利用CVE-2018-1000861执行远程代码。
三、高级渗透技术
11. 供应链攻击:依赖包投毒
-
• 方法:分析目标系统使用的第三方库(如PyPI、npm包),上传含后门的同名组件。 -
• 检测工具:Dependency-Check、Snyk扫描依赖链风险。 -
• 知名事件:2021年Codecov Bash脚本被篡改,窃取用户环境变量。
12. 移动应用逆向与API密钥提取
-
• 工具链: -
• Android:Apktool反编译APK,Frida Hook敏感函数。 -
• iOS:iOS SSL Kill Switch绕过证书绑定,Charles抓取API请求。
-
-
• 案例:某银行App硬编码加密密钥,导致传输数据可被解密。
13. 云服务配置错误利用
-
• 常见漏洞: -
• AWS S3存储桶权限设置为 Public
。 -
• Kubernetes Dashboard未启用认证,直接执行容器命令。
-
-
• 工具:CloudScraper扫描云资产,PACU自动化攻击AWS环境。
14. 旁站攻击:利用同服务器其他网站
-
• 条件:目标与其他网站共享服务器,存在目录权限交叉。 -
• 利用方式:通过旁站上传WebShell,遍历目录访问目标数据。 -
• 防御:严格隔离不同网站的服务器权限,禁用PHP的 open_basedir
。
15. 物理渗透测试:办公区域突破
-
• 场景: -
• 伪造访客身份进入办公区,插入恶意USB设备(如Rubber Ducky)。 -
• 扫描内部WiFi(如SSID包含公司名),破解弱密码(WPA2-PSK)。
-
-
• 防御:启用802.1X认证,部署网络准入控制(NAC)。
四、权限提升与横向移动
16. Windows本地提权漏洞利用
-
• 经典漏洞: -
• Print Spooler漏洞(CVE-2021-1675):通过 RpcAddPrinterDriver
提权。 -
• AlwaysInstallElevated策略:绕过UAC安装恶意MSI包。
-
-
• 工具:PowerUp.ps1检测错误配置,Metasploit的 getsystem
模块。
17. Linux内核漏洞提权
-
• 漏洞检测: -
• 使用Linux Exploit Suggester检查内核版本匹配的EXP。 -
• Dirty Cow(CVE-2016-5195)、Polkit(CVE-2021-3560)等高危漏洞。
-
-
• 限制:需根据发行版(Ubuntu/CentOS)选择对应利用代码。
18. 数据库漏洞与逃逸技术
-
• MySQL UDF提权:上传自定义DLL文件执行系统命令。 -
• PostgreSQL COPY FROM PROGRAM:利用 COPY
命令执行Shell指令。 -
• 防御:数据库账户降权,禁用高危函数。
19. 横向移动:Pass-the-Hash与票据传递
-
• 工具:Mimikatz提取NTLM哈希,Impacket的 psexec.py
横向扩散。 -
• 检测:监控Event ID 4624(登录类型3)异常登录行为。
20. 日志清除与痕迹隐藏
-
• Windows:使用wevtutil清除指定日志( wevtutil cl Security
)。 -
• Linux:替换 /var/log/auth.log
,删除当前用户历史命令(history -c
)。 -
• 防御:日志实时同步至SIEM系统,防止本地篡改。
渗透测试的突破口往往存在于细节中,需结合系统化思维与自动化工具。本文列举的20个思路既可独立使用,亦可组合形成攻击链。防御方应定期进行红蓝对抗演练,修补暴露面,构建纵深防御体系。
原文始发于微信公众号(HACK之道):20个渗透测试关键突破口 方法绝了!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论