相关术语

SRC

SRC(Security Response Center)的全称为“安全应急响应中心“

补天漏洞响应平台，是专注于漏洞响应的第三方公益平台，网址：https://www.butian.net/

业务模式：

• 公益SRC
• 专属SRC
• 补天众测

公益SRC

是厂商自行注册申请成为补天公益SRC企业用户。注册成功后，可通过补天平台享受白帽子系统漏洞测试服务，白帽子随机发现漏洞，提交补天平台，补天平台对漏洞审核后通知企业认领，白帽子的鼓励由补天平台承担，厂商系统漏洞信息（不含漏洞细节，只有标题描述）将会在补天平台展示，所有注册人员均可查看漏洞标题以及漏洞类型。公益SRC企业用户服务不收取企业任何费用

专属SRC

是帮助企业建立专属自己厂商的SRC业务，企业可在线自主发布安全测试计划，自主定义漏洞级别及相应奖励，计划可面向平台上所有的白帽子公开征集漏洞，享受白帽子专家7*24小时人工安全检测服务。补天平台注册认证的4万余名白帽子采用“奖励优先发现漏洞者”的竞争检测规则，多人力、多角度、多方位、高效积极地发现和报告漏洞，专属SRC所有漏洞信息均不公开

补天众测

• 补天众测是基于互联网安全众包创新模式的渗透测试协作业务。依托平台上技术优异、声誉良好的精英白帽，在实名认证、双因子认证、网络监管等多重管控下，为企业提供定向的安全渗透测试与漏洞发现服务。众测是为白帽子提供一个合理合法并可获得高收益的业务平台
• 注册成为补天白帽子即可向公益SRC、专属SRC提交漏洞
• 众测参与要求 : 参与众测的白帽子需是补天排名前300白帽子成员或其他平台/SRC排名前30的精英白帽子

CNVD

• 国家信息安全漏洞共享平台（China National Vulnerability Database)
• 由国家计算机网络应急技术处理协调中心（中文简称国家互联应急中心，英文简称CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库
• 官网：https://www.cnvd.org.cn/

CNNVD

• 国家信息安全漏洞库，英文名称"China National Vulnerability Database of Information Security "简称"CNNVD"，于2009年10月18日正式成立，是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，面向国家、行业和公众提供灵活多样的信息安全数据服务，为我国信息安全保障提供基础服务
• 官网：http://www.cnnvd.org.cn/

CVE

• CVE (Common Vulnerabilities and Exposures 公共漏洞展示)
• 创立原因：最初不同安全工具和数据库对同一个漏洞采用各自的命名规则，导致不同安全工具之间交互十分困难；CVE旨在为同一漏洞提供一个统一而权威的编号以消除命名混乱带来的困难
• 官网：https://cve.mitre.org/

CWE

• CWE (Common Weakness Enumeration 通用缺陷列表)
• CVE是对具体漏洞的编号，不同漏洞他们所属的漏洞类型可能是一样的，比如都是缓冲区溢出。CWE正是对漏洞类型的编号，CWE当前共收录了716类安全缺隐。CWE旨在按类型向用户介绍安全缺陷，并提供该缺陷类型的处理方法。漏洞分类最出名的大概是OWASP Top 10，但OWASP首先是针对Web的然后是Top 10所以它是不全的；CWE是更全面细致的划分
• 官网：https://cwe.mitre.org/

CVSS

• CVSS (Common Vulnerability Scoring System 通用漏洞评分系统)
• CVSS是由NIAC(National Infrastructure Advisory Council)开发，FIRST(Forum of Incident Response and Security Teams)维护的一套漏洞评分系统，旨在给人们提供一种漏洞严重性量化方法
• 可直接使用评分计算器：https://www.first.org/cvss/calculator/3.1

黑盒测试

在未授权的情况下，模拟黑客的攻击方法和思维方式，来评估计算机网络系统可能存在的安全风险。 黑盒测试不同于黑客入侵，并不等于黑站。黑盒测试考验的是综合的能力（OS、Database、Script、code、思路、社工），思路与经验积累往往决定成败。

白盒测试

相对黑盒测试，白盒测试基本是从内部发起。白盒测试与黑盒测试恰恰相反，测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其它程序的代码片断，也能够与单位的其它员工（销售、程序员、管理者……）进行面对面的沟通

WEB指纹

Web指纹也叫web应用指纹。由于所使用的工具、技术、实现方式等因素的影响，每个web网站都形成了一些独有的特点，我们把这样的特点叫做web应用指纹

例如：

• 百度百科网站使用了Apache web服务器
• 网易网站使用了Nginx web服务器
• 补天平台使用了ThinkPHP框架
• 以上内容都属于web指纹

APT攻击

• Advanced Persistent Threat，高级可持续性攻击，是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式
• 极强的隐蔽性
• 潜伏期长，持续性强
• 目标性强

C段入侵

即同C段下服务器入侵，如目标ip为192.168.180.253 入侵192.168.180.*的任意一台机器，然后利用一些黑客工具嗅探获取在网络上传输的各种信息

旁站入侵

即同服务器下的网站入侵，入侵之后可以通过提权跨目录等手段拿到目标网站的权限

渗透测试

渗透测试与入侵的最大区别：

• 渗透测试：出于保护系统的目的，更全面地找出测试对象的安全隐患
• 入侵：不择手段地（甚至是具有破坏性的）拿到系统权限

渗透测试流程

PTES 渗透测试执行标准：http://www.pentest-standard.org/index.php/Main_Page

前期互动

• 确定范围：测试目标的范围，ip，域名，内外网 ，只能对已授权的资产进行测试，未授权的资产不能进行任何测试
• 确定规则：可以渗透到什么程度，时间，能否修改上传，能否提权等
• 确定需求：web应用的漏洞(新上线程序)，业务逻辑漏洞（针对业务的），人员权限管理漏洞（针对人员、权限）等等
• 确定周期：起始和终止时间，根据测试内容，评估所需要花的时间

信息收集

• 尽可能多的收集渗透对象的信息（网络拓扑、系统配置、安全防御措施等），在此阶段收集的信息越多，后续阶段可使用的攻击矢量就越多。因为情报搜集可以确定目标环境的各种入口点（物理、网络、人），每多发现一个入口点，都能提高渗透成功的几率
• 和传统渗透不同的是，安全服务有时候仅仅只是针对一个功能进行测试，所以不一定每次都需要收集目标的信息，或者只需要收集一部分信息；但如果是对一个系统进行渗透，还是要尽可能多的收集目标的信息

威胁建模

• 识别潜在的安全威胁和漏洞，量化每个威胁的严重性
• 针对获取的信息进行威胁建模与攻击规划，从大量的信息情报中理清思路，确定出最可行的攻击方式

威胁模型包含：

• 按风险严重程度排序的资产
• 按可能性排序的威胁
• 最有可能会发生的攻击
• 当前可能成功或失败的对策
• 减轻威胁的补救措施

漏洞分析

• 漏洞分析是一个发现系统和应用程序中的漏洞的过程，这些漏洞可能包括主机和服务配置错误，或者不安全的应用程序设计
• 在进行任何类型的漏洞分析时，测试人员应适当地确定适用深度和广度的测试范围，以满足所需结果的目标和要求
• 传统的渗透是能通过一个漏洞拿到服务器最高权限就行，因此其重点是发现一个可利用的漏洞。但安全服务要求我们尽可能多的发现目标存在的漏洞，以此来保证系统的安全，而且很多时候只要证明漏洞存在即可，不需要再进行漏洞利用
• 有些漏洞的验证，我们可以通过抓包改包很轻易的实现，但有些漏洞，验证的步骤很繁琐，则需要编写特定的概念验证（POC）来验证漏洞，这就要求测试人员有一定的开发能力

漏洞利用

• 漏洞利用阶段侧重于通过绕过安全限制来建立对系统或资源的访问，实现精准打击，确定目标的主要切入点和高价值目标资产
• 为实现系统安全，系统往往都会采用诸多技术来进行防御，如反病毒（IPS、IDS、WAF、......）、编码、加密、白名单等，在渗透期间，则需要混淆有效载荷来绕过这些安全限制，以达到成功攻击的目的
• 互联网上有很多公开的漏洞利用，可直接拿来使用，但对于一些特殊情况，则需要我们根据实际情况来量身定制有效载荷(payload)和漏洞利用(exploit)

后渗透攻击

• 漏洞利用成功后的攻击，即拿到系统权限后的后续操作。后渗透攻击阶段的操作，可分为两种：权限维持和内网渗透
• 权限维持：提升权限及保持对系统的访问，如果漏洞利用阶段得到的权限不是系统最高权限，我们应该继续寻找并利用漏洞进行提权。同时为了保持对系统的访问权限，我们应该留下后门（木马文件等）并隐藏自己（清除日志、隐藏文件等）
• 内网渗透：利用获取到的服务器对其所在的内网环境进行渗透，我们可以利用获取到的服务器进一步获取目标组织的敏感信息

输出报告

• 整理渗透工具：整理渗透过程中用到的代码，poc，exp等
• 整理收集信息：整理渗透过程中收集到的一切信息
• 整理漏洞信息：整理渗透过程中遇到的各种漏洞，各种脆弱位置信息
• 按需整理：按照之前第一步跟客户确定好的范围，需求来整理资料，并将资料形成报告
• 补充介绍：要对漏洞成因，验证过程和带来危害进行分析
• 修补建议：当然要对所有产生的问题提出合理高效安全的解决办法

渗透测试报告编写

• 封皮
• 明确重点和要求
• 给谁看？不同职位的人关注的侧重点不一样
• 内容提要
• 漏洞列表（一页纸内）
• 过程清晰准确
• 工具（版本和功能）
• 渗透测试团队成员【及联系方式】
• 修复建议

信息收集

域名信息

• Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）。通过域名Whois服务器查询，可以查询域名归属者联系方式，以及注册和到期时间
• 目前国内提供WHOIS查询服务的在线网站有万网、站长之家的等

whois信息：

• 站长之家：http://whois.chinaz.com/
• 爱站网：https://whois.aizhan.com/
• 万网：https://wanwang.aliyun.com/
• IANA WHOIS Service：https://www.iana.org/whois/

法人姓名查询：

• 爱站网SEO：https://www.aizhan.com/cha/

公司负责人邮箱电话查询：

• 天眼查：https://www.tianyancha.com/

子域名信息

在线查询：

• 谷歌/百度等语法搜索：site: baidu.com
• 站长之家：http://tool.chinaz.com/subdomain/
• 在线二级域名子域名查询：http://tools.bugscaner.com/subdomain/?domain
• 在线子域名查询-接口光速版：http://sbd.ximcx.cn/
• 网址：https://dnsdb.io/zh-cn/

子域名信息

工具：

• 子域名挖掘机
• sublist3r

指纹信息

• WEB指纹：Web指纹也叫web应用指纹。由于所使用的工具、技术、实现方式等因素的影响，每个web网站都形成了一些独有的特点，我们把这样的特点叫做web应用指纹
• Wappalyzer火狐浏览器插件
• AWVS中的指纹识别
• Finger-P指纹识别：https://fp.shuziguanxing.com/#/
• 云悉指纹识别：https://www.yunsee.cn/

whatweb在线网站

• 网址：http://whatweb.bugscaner.com/look/
• whatweb工具识别站点指纹信息
• whatweb -h
• whatweb url
• 例如：whatweb http://www.trustfar.cn/

端口信息

Nmap

• 在计算机世界里，端口信息，对应的就是服务信息，看看对应的有哪些服务对外提供，知道服务，根据服务存在的漏洞或者账户可爆破
• Nmap 被设计用来快速扫描大型网络，包括主机探测与发现、开放的端口情况、操作系统与应用服务指纹识别、WAF识别及常见安全漏洞
• 图形化界面——Zenmap
• 官网下载地址：https://nmap.org/download.html

Masscan

• masscan最大的优点就是扫描速度快
• masscan与目标主机不建立完整的TCP连接，扫描者主机先向目标主机发送一个SYN请求连接数据包，目标主机会向扫描者主机回复一个SYN/ACK确认连接数据包，当扫描者主机收到目标主机发送回来的SYN/ACK确认连接数据包之后，扫描者主机向目标主机发送RST结束连接
• 使用方式：masscan IP地址 -p 端口号
• 例如：masscan 192.168.0.155 -p 1-100

CDN和真实IP

• ping域名
• nslookup
• 站长之家等：http://ip.tool.chinaz.com/

CDN

CDN：全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术

在线网站查询：

• 如站长之家PING测试：http://ping.chinaz.com/

• 查询历史DNS解析记录：https://site.ip138.com/

• 查询子域名：毕竟 CDN 还是不便宜的，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP

• 使用国外主机名解析域名：国内很多 CDN 厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的主机直接访问可能就能获取到真实IP

• 网站邮件订阅查找：RSS邮件订阅，很多网站都自带 sendmail，会发邮件给我们，此时查看邮件源码里面就会包含服务器的真实 IP 了。或者通过网站注册等功能接收网站确认邮件

• 手机APP端抓包：手机端的数据包抓到的可能是服务器真实IP

• 利用社工等其他方式获取：如拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP

站点目录扫描

• AWVS 的 AWVS 具有站点爬取功能
• BURP 的 Target 的 Site map 模块
• 御剑
• DirBuster 是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具

google语法

搜索上传页面：inurl:upload site:17173.com
搜索后台/登录页面：intitle:后台 site:tflamps.com inurl:admin site:tflamps.com
搜索可能存在的注入的页面：inurl:?id= site:wd-bearings.com
搜索可能存在文件包含的页面：inurl:?file= site:hkjc.com

robots文件

robots协议也叫robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的漫游器获取的，哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的，所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下
robots协议并不是一个规范，而只是约定俗成的，所以并不能保证网站的隐私
robots中往往会有一些有用的信息，需要留意
举例：http://www.trustfar.cn/robots.txt

旁站

旁站是和目标网站在同一台服务器上的其它的网站

• 站长之家查询：http://stool.chinaz.com/same
• webscan在线查询：https://webscan.cc/

Fofa

官网：https://fofa.so/

搜索实例

domain="17173.com"
domain="17173.com" && body="username"
app="Nginx-Web服务器" && country="CN"
title="东塔"
port="3306" && country="JP"
domain="17173.com" && status_code="200"
protocol="ssh"
server="Apache/2.4"
&&
||
!=

Shodan

• Shodan是一个搜素互联网链接设备的搜索引擎，不同于Google、Baidu这些搜素引擎。用户可以在Shodan上使用Shodan搜索语法查找链接到互联网的摄像头、路由器、服务器等设备信息，在渗透测试中是个非常非常不错的神器
• 网址：https://www.shodan.io/

搜索实例

查找位于合肥的 Apache 服务器：
apache city:"Hefei"
查找位于国内的 Nginx 服务器：
nginx country:"CN"
查找指定网段的华为设备：
huawei net:"61.191.146.0/24"