1、扫描工具Zenmap(Nmap)
  一是探测一组主机是否在线;二是扫描主机端口,嗅探所提供的网络服务;三是可以推断主机所用的操作系统
2、当我们知道了数据库类型并有了账号密码,但不到后台的时候,可以尝试下这几种搜索组合,如:“intitle:管理员登陆,inurl:login,inurl:admin,intext:用户名 密码等说不定就到管理员目录了;如果我们要对指定网站进行搜索,就应该加上site:网站,搜索语法为“site:xx intitle:管理员登陆”,想到上传页面文件,如:“inurl:upfile.asp,intitle:文件上传,inurl:upload.asp”
3、扫描IPC$漏洞主机
  打开流光,在辅助主机下的IPC$主机,让流光搜索开放了IPC$共享的主机,确定扫描的种类为
信息收集
1.1试探主机目标是否活动,ping ip
若主机不是活动状态,证明主机已装防火墙或是不在线,比较难攻击
1.2使用ping命令探测操作系统
不同操作系统对于ping的TTL返回值是不同的
操作系统
默认返回的TTL值
Unix
255
WindowsNT/2000/2003
128
但对于入侵者的这种信息收集手段,网管可以采取的措施通过修改注册表来改变默认的TTL值姚芊羽老公
1.3由域名得到网站ip地址
使用命令ping 域名
1、 漏洞类型
不完善的身份验证措施
不完善的访问控制措施
SOL注入
跨站点脚本
信息泄露
2、 渗透测试步骤
1、 检查用户测试结果。枚举出所有子目录名称、文件词干和文件 列表
2、 检查这些列表,确定应用程序使用的所有命名方案,猜测出尚未确定的内容的准确名称,如adddocument.jsp、deletedocument.jsp等
3、 有时不同内容的命名方案使用数字和日期作为标识符,通过他们可轻易推测出隐藏的内容,如annualreport2012、annualreport2013等
4、 检查所有客户端代码,确定任何与隐藏服务器内容有关的线索
5、 把已经枚举出的内容添加到其他根据这些列表推测出的名称中,并将文件扩展名列表添加到常用扩展名中,他们也许能够披露现有页面备份版本的来源以及与所使用的开发语言有关的扩展名。
6、 搜索开发者工具很文件编辑器不经意建立的临时文件
7、 进一步执行自动操作,结合目录、文件词干和文件扩展名列表请求大量潜在的资源
8、 针对新手写一点渗透的小思路、小技巧,主要讲的是思路,所有不会太详细。
9、 经常逛一些好的博客或者门户站,坚持下来,每天学一点思路,你会积累到很多东西,记住:技术需要时间沉淀。
(一)针对网站程序,不考虑服务器。
一、查注入,注意数据库用户权限和站库是否同服。
10、 二、查XSS,最近盲打很流行,不管怎样我们的目的是进入后台。
11、 富媒体广告联盟三、查上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,注意查看验证方式是否能绕过,注意结合服务器的解析特性,比如典型的IIS6.0、阿帕奇等。
12、 四、查编辑器,比较典型的ewebeditor、fckeditor等等。
13、 五、查phpmyadmin等管理程序,可以尝试弱口令,或者寻其漏洞
14、 六、百度、谷歌搜索程序公开漏洞。
15、 七、猜解文件,如知道某文件为admin_login.php,我们可尝试admin_add.php、admin_upload.php文件是否存在,也可以谷歌搜索site:exehack inurl:edit等等,很多时候可以到一些敏感文件,接着看是否验证权限或能否绕过验证。
16、 八、会员注册、修改、删除、评论等一切需要操作数据库的地方记得加单引号之类查看是否存在insert、update等类型注入。
17、  
18、 九、会员或低权限管理登陆后可抓包分析,尝试修改超级管理员密码,权限提升。
19、  
20、 十、通常有下载功能的站我们可以尝试修改下URL文件名,看能否下载站点敏感文件,如数据库配置文件等,数据库不可外连情况下可以尝试数据库密码登陆后台,也可下载上传、登陆验证等文件进行代码审计。
21、 十一、备份文件和后门,某些主站子目录存在分站,比如www.2cto/software,我们可以尝试www.2cto/software.zip/zip等压缩文件是否存在,可能就是子站的源码。也有一些站类似这样www.2cto/old/,一般都是以前的老站,通常老站会比较容易拿。
22、 还有就是数据库备份、前人的后门等,具体这些目录上的东西就要看你的字典了。
23、 十二、0day漏洞,不管是别人给你的,还是自己挖的,总之好使就行。
24、 十三、。。。
25、 (二)针对服务器
26、 一、通常先扫下服务器开放的端口,再考虑对策。
27、 二、比较常见的解析漏洞,比如IIS6.0、阿帕奇、nginx/IIS7.0(php-fpm)解析漏洞等,还有就是cer、asa之类的解析,.htaccess文件解析配置等。
28、 三、弱口令和everyone权限,先扫描服务器开放的端口,比如21对应的FTP、1433对应的MSSQL、3306对应的MYSQL、3389对应的远程桌面、1521对应的Oracle等等,平时可以多搜集下字典,有时候效果也是不错的(通常在cain嗅探的时候,经常能嗅到别人不停的扫…很蛋疼)。
29、 四、溢出,这点要看系统补丁和服务器使用的软件等等,比如FTP等工具,这里不详解。
比较伤感的歌30、 五、针对一些服务器管理程序,比如tomcat、jboss等等,这种比较常见于大中型的站点服务器。
31、  
32、 六、IIS、apache等各种漏洞,这个要平时多关注。
33、 七、目录浏览,服务器配置不当,可直接浏览目录。
34、 八、共享…
泰国女星九、。。。
35、  
36、 (三)针对人,社工
37、 社工在渗透中通常能起到惊人的效果,主要还是利用人的弱点,博大精深,这里不详细讨论,注意平时多看一些社工文章,学习一些思路、技巧。
38、 (四)迂回战术,旁注和C段容祖儿杨受成
39、 一、旁注,针对旁站,我们可以运用到上面说到的方法,这里不多说。
40、 二、C段,基本想到C段就会想到cain,针对C段的站点和服务器,结合上面说的针对
目标站、服务器、人、旁站的思路,一个道理,当然如果你的目的仅仅是黑站的话,不妨试试NetFuke之类。
41、 三、…
(五)提权常用手段
42、 一、使用系统溢出提权EXP,这类在提权中最常用,使用的方法大都一致,比如比较常见的巴西烤肉、pr等等,溢出提权通常在Linux上也利用的比较多,注意多收集EXP。
43、 二、第三方软件提权,主要还是利用服务器上安装的第三方软件拥有比较高的权限,或者软件的溢出漏洞,比如典型的mssqlmysql、serv-u等等,还有各种远程控制软件,比如pcanywhere、Radmin这类。
44、  
45、 三、劫持提权,说到这个,想必肯定会想到lpk.dll这类工具,有时候在蛋疼怎么都加不上账户的时候,可以试试劫持shift、添加开机启动等等思路。
46、  
47、 四、弱口令技巧,我们可以看看有木有什么hack、或者隐藏账户之类的,一般这种用户密码都比较简单,可以尝试下弱口令,还有之前说过的各种数据库、远程控制软件、FTP软件的弱口令,没办法的时候就去扫扫碰碰运气吧。
48、 五、信息收集,注意翻下硬盘各种文档,说不定各种密码就在里面。在内网渗透时,信息收集是非常重要的,记得拿下服务器了GET一下明文密码,德国那个mimikatz不错,还有就是域、ARP。。。貌似扯多跑题了。
49、 六、社工…不多说。
50、 暂时总结到这里,渗透博大精深,不是这么几段字就能说清楚的,具体还是要看具体情形,随机应变。
51、 一定要养成在渗透过程中信息收集的好习惯,特别是针对大中型站点,注意收集子站域名、目录、密码等等敏感信息,这对于我们后面的渗透非常有用,内网经常弱口令,同密码比较多。很多时候,或许一个主站就死在子站的一个小漏洞上。