以前看了不少這種總結之類的,雖然知其然但是並不是知其所以然,到現在也沒有做過一次完整的滲透測試,那麼從今天開
始就持續寫整個滲透測試的流程了。
今天先從巨集觀上去敘述整個流程,之後的博文會介紹在每個流程中自己學到的知識。
一:資訊收集(這個過程佔據的時間佔整個流程的約百分之50)
三:漏洞利用(這個階段的目的通常是為了獲得管理員控制許可權,即完全控制權)
四:許可權維持(根據伺服器型別進行提權)
五:植入後門(方便我們後期進行控制)
六:清楚痕跡(清楚各種暴露自己痕跡的日誌)
七:書寫報告(乙份優秀的報告是必不可少的)
滲透測試流程
1 資訊收集 a.伺服器的相關資訊 真實ip,系統型別,版本,開放埠,waf等 b.指紋識別 包括,cms,cdn,證書等 dns記錄 c.whois資訊,姓名,備案,郵箱,反查 郵箱丟社工庫,社工準備等 d.子網域名稱收集,旁站查詢 有授權可滲透 c段等 e.google hacking針對化搜尋...
滲透測試流程
滲透測試 更全面地找出伺服器的問題,更傾向於保護。入侵 不擇手段 甚至是具有破壞性的 拿到許可權。確定範圍 確定規則 確定需求。基礎資訊 系統資訊 應用資訊 版本資訊 服務資訊 人員資訊 防護資訊 系統漏洞 webserver漏洞 web應用漏洞 其他埠服務漏洞 自動化驗證 手工驗證 試驗驗證 登入...
滲透測試流程
在前期互動階段,滲透測試工程師要確定滲透測試預期達到的目標,並確定測試的範圍。滲透測試工程師將在這個階段與客戶展開討論,確定本次滲透測試的所有業務與細節。作為滲透測試的第乙個步驟,前期互動階段將確定客戶的滲透測試的關鍵細節。在這個階段,滲透測試工程師要與客戶進行充分的交流,以便客戶對即將開展的滲透測...