chanong 4.内容管理系统(B/S)
CMS:内容管理系统(CMS),我们这里一般采用B/S架构,即采用浏览器访问的方式。 还有一种C/S架构,是通过应用程序来访问的。
5.MD5
MD5:MD5消息摘要算法(英语:MD5-),一种广泛使用的密码学散列函数,可以产生128位(16字节)的散列值(散列值),以保证信息传输的完整性一致。 在渗透测试中解码通用密码所需。
6.其他概念
:被黑客入侵并永久驻扎的计算机或服务器
抓鸡:利用频繁使用的程序中的漏洞并使用自动化方法来获取肉鸡的行为
:用于Web入侵的脚本工具,可以在一定程度上控制网站服务。
漏洞:硬件、软件、协议等可利用的安全缺陷,可能被攻击者利用来篡改、控制等数据。
一句话木马:一种通过向服务器提交一段短代码来配合本地客户端实现功能的木马。
例子:
其中(“pass”)接收客户端提交的数据,pass是执行命令的参数值。
eval/,该函数执行客户端命令的内容
又如:PHP一句话木马
下面的代码可以使用POST提交PHP语句。 利用PHP脚本的各种功能,可以实现执行系统命令、修改数据库、增删改查等各种功能。
权限提升:操作系统中权限较低的帐户将自己提升为管理员权限的一种方法。
后门:黑客为了获得对主机的长期控制而在机器上留下的程序或“入口”。
跳板:利用肉鸡IP攻击其他目标,更好地隐藏你的身份。
副站点:在同一台物理服务器上构建的多个网站。 例如:服务器下有A、B、C三个网站。 B和C是A的侧位点。
旁站入侵:即同一服务器下某个URL的入侵。 入侵后,可以通过跨目录提权等手段获取目标URL的权限。 常见的侧站查询工具有:、遇间、明小子和web在线查询等。
C网段入侵:与C网段下的服务器入侵相同。 例如,如果目标IP是192.168.1.253,则入侵192.168.1.*处的任意机器,然后使用一些黑客工具来嗅探并获取互联网上传输的各种信息。常用的工具包括:Cain()、(UNIX )、史努比等
渗透测试
黑盒测试:在未经授权的情况下,模拟黑客的攻击方式和思维方式,评估计算机网络系统可能存在的安全风险。 黑盒测试测试综合能力(操作系统、代码、想法和社会工程)。
白盒测试:从内部发起,偏向于代码审计
APT攻击:高级可持续攻击是指组织(特别是政府)或小团体利用先进的攻击手段,针对特定目标进行长期、持续的网络攻击的一种攻击形式。 它具有以下特点:
1、隐蔽性极佳
2、潜伏期长、持久性强
3、目标导向性强
渗透测试的特点
充满挑战和兴奋;
想法和经验的积累往往决定成败;
渗透测试流程
渗透测试:更全面地识别服务器问题,更倾向于防护
明确目标——信息收集——漏洞检测——漏洞验证——信息分析——获取所需——信息整理——形成报告
明确目标:范围、规则、要求
信息采集:基础、系统、应用、版本(版本漏洞)、服务、人员(密码破解)、防护
漏洞检测:系统漏洞、Web应用漏洞、其他端口服务漏洞、通信安全
漏洞验证:自动验证、人工验证、实验验证、登录猜测、业务漏洞验证、公共资源利用
信息分析:精准打击、绕过防御机制、定制攻击路径、绕过检测机制、绕过代码
获得您所需要的:进行攻击、获取内部信息、进一步渗透、持续*、清理痕迹
信息整理:整理渗透工具、整理收集信息、整理
形成报告:按需整理、补充介绍、修复建议
如果可以的话请帮忙点击下面的广告为菜鸟小白众筹一些电费,谢谢~
微信扫一扫打赏
支付宝扫一扫打赏
