思路流程
信息收集
1. 服务器的相关信息(真实 ip,系统类型,版本,开放端口,WAF 等)
2. 网站指纹识别(包括,cms,cdn,证书等),dns 记录
3. whois 信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
4. 子域名收集,旁站,C 段等
5. google hacking 针对化搜索,pdf 文件,中间件版本,弱口令扫描等
6. 扫描网站目录结构,爆后台,网站 banner,测试文件,备份等敏感文件泄漏等
7. 传输协议,通用漏洞,exp,github 源码等
漏洞挖掘
1. 浏览网站,看看网站规模,功能,特点等
2. 端口,弱口令,目录等扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,ftp,ssh 弱口
令等。
3. XSS,SQL 注入,上传,命令注入,CSRF,cookie 安全检测,敏感信息,通信数据传输,暴力破
解,任意文件上传,越权访问,未授权访问,目录遍历,文件 包含,重放攻击(短信轰炸),服务
器漏洞检测,最后使用漏扫工具等
漏洞利用&权限提升
• mysql 提权,serv-u 提权,oracle 提权
• windows 溢出提权
• linux 脏牛,内核漏洞提权 e
清除测试数据&输出报告
日志、测试数据的清理
总结,输出渗透测试报告,附修复方案
复测
验证并发现是否有新漏洞,输出报告,归档
剩余35页未读,继续阅读
资源评论
zhao-lucy
- 粉丝: 19
- 资源: 436
最新资源
- 考研冲刺的实用经验与技巧.pptx
- golang语法和学习笔记
- YOLO 格式的带标签的口罩/不戴口罩的面部和人群图像
- 全国2000+个气象站点日尺度资料-【1961-2022年】-平均气温+最高气温+最低气温+降水
- 带有边界框的农作物和杂草检测数据 带有 YOLO 和 Pascal 标签的芝麻作物和不同杂草的农业数据
- 练习 JavaScript 的禅宗练习.zip
- 大学生Java二级课程考试
- Nvidia GeForce GT 1030-GeForce Game Ready For Win10&Win11(Win10&Win11 GeForce GT 1030显卡驱动)
- IEC61850仿真模拟器sim860
- 纯 Python Java 解析器和工具.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
