接下來我會講滲透和入侵的初級入門,結合第一章的基礎,從情報資訊收集到如何入侵,都會講解到,等大綱框架講完之後 會有細分領域的,針對某個網、app、web,等的某個入侵,漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
成長;新事物的敏感性;保持好奇心;不要侷限在自己的圈子,適當跨界吸收靈感;訂閱國內外優秀部落格/資源,;選擇性參與一些必要的會議,聽必要的主題,討論必要的話題
關於知識;對知識的渴望程度決定了前進動力的大小;當知識很廉價地擺在你面前,你反而不會珍惜;對知識保持敬畏之心;不要讓自己成為矯情/浮誇的人;和比你厲害的人在一起,和一流的人工作;指點往往是精華。
具體舉例來說,比如在Intel Pentium晶片中存在的邏輯錯誤,在Sendmail早期版本中的程式設計錯誤,在NFS協議中認證方式上的弱點,在Unix系統管理員設定匿名Ftp服務時配置不當的問題都可能被攻擊者使用,威脅到系統的安全。提權 sql的基礎注入等,如果你想提前瞭解,那麼你可以看看書學習駭客的第一本書《網路黑白》。
如何利用漏洞來滲透入侵目標網站呢?
首先查詢目標系統的相關漏洞
踩點
踩點可以瞭解目標主機和網路的一些基本的安全資訊,主要有;
1、管理員聯絡資訊,電話號,傳真號;
2、IP地址範圍;
3、DNS伺服器;
4、郵件伺服器。
可以使用工具掃描或者是手工測試(工具使用起來方便一點)
碰到需求場景,要自己挖掘相符的漏洞(例如xss漏洞,sql注入等)
還可以旁註,旁註顧名思義就是從旁註入,也就是利用主機上面的一個虛擬站點進行滲透。
得到我們所要得到一個重要關節webshell之後,再利用主機的開放的程式以及一些非安全設定進行的跨站式入侵方法。
旁註也是要有思路的,比如你要入侵A網站,但是在A網站上找不到漏洞!你可以選擇和A網站同一伺服器下的B網站,C網站尋找漏洞。
上傳漏洞也好,SQL注入也好,拿到webshell後提升許可權,在伺服器上找到A網站的目錄。
旁註是一種思想,一種考慮到管理員的設定和程式的功能缺陷而產生的,不是一種單純的路線入侵方法,不要整天看著文章去照著路子入侵,這是沒有作用的,只是徒勞無功。
利用漏洞拿到了shell,接下來就該提升自己的許可權,獲得更高級別的訪問系統和網路的許可權;獲取其他使用者的賬戶資訊;使用提升過的許可權來訪問其他系統;記錄發現的資訊。
