一、前期侦查
为了减少和目标系统的交互(防止触发报警),建议将目标站点镜像一份到本地
httrack(镜像网站到本地) ====> 根据引导填入相关信息即可,使用非常简单
二、扫描
扫描分两种:一种是主动扫描,一种是截断代理
三、扫描工具
* Nikto(弱点扫描,输出结果全部为弱点项)
perl语言开发的开源web安全扫描器
扫描软件版本
搜索存在安全隐患的文件(比如系统管理员将后台代码打包备份后忘了删留在web目录下的打包文件等可能泄露隐私的文件)
服务器配置漏洞
WEB Application层面的安全隐患
避免404误判原理:Nikto会先随机向目标请求若干类型的随机肯定不存在的文件,来获取不同扩展名的文件404的真实返回内容,这样在扫描时收到404后会和收集到的真实404库进行对比,能匹配到则为真404,否则为假404
(注意:很多服务器不遵守RFC标准,对于不存在的对象也会返回200,)(可以使用 -no404 参数关闭该功能)
使用说明:
nikto -host https://www.baidu.com ====> 常规扫描方法
nikto -host https://www.google.com -useproxy http://localhost:1080 ====> 代理扫描方法
在扫描的时候可以输入以下值来与Nikto交互:
空格 =返回当前扫描状态
v -显示扫描过程的详细信息
d -显示扫描过程的巨详细信息
e -显示错误信息
p -显示进程信息
r -显示重定向信息
c -显示cookie信息
a -显示认证信息
q -退出
N -下一台主机
P -暂停
Nikto默认不支持自动输入用户名密码登录,想要扫描登录后的页面可以使用cookie的方式。 修改配置文件里的'#STATIC-COOKIE='可以实现带cookie扫描
例: STATIC-COOKIE="PHPSESSID"="3804689b6bbfe8729681b0b8d547b1d0";"security"="low"
配置文件路径:
/etc/nikto.conf
* Vega
JAVA编写的开源web扫描器
支持主动扫描和截断代理
支持爬站、处理表单、注入测试
支持SSL:http://vega/ca.crt
。
。
。
* Skipfish(经测试此工具极其牛逼,才300多K可以做到这个程度,google就是牛逼)
C语言编写
google开发的实验性的主动web安全评估工具
递归爬网
基于字典的探测
速度较快
多线程扫描
启发式自动内容识别
误报率低
用法:
Usage: skipfish [ options ... ] -W wordlist -o output_dir start_url [ start_url2 ... ]
例:
skipfish -o result http://172.20.163.44/dvwa/ ====>注意:默认无论指什么路径skipfish都会从根路径开始扫
-I:只检查包含'string'的URL
-X:不检查包含'string'的URL
-K:不对指定参数进行Fuzz测试
-D:跨站点爬另外一个域 ====>如果被扫描目标没有链接链到另外一个域名则不会主动去扫,默认爬到不是目标的域名不扫
-l:每秒最大请求数
-m:每个IP最大并发连接数
--config:指定配置文件
skipfish -o result @存储URL文件 ====> 可以通过@方式读取存放有待扫描URL文件来实现同时扫描多个目标
skipfish -o result -S complet.wl -W a.wl http://172.20.163.44 ====> 默认只扫描超链接能连接到的地方,可以通过-W的方式加字典来爬取隐藏的目录及文件
(可以通过'dpkg -L skipfish | grep wl'查看wl字典文件路径) (-W可以自动补充字典,当碰到字典里没有的会写入这个文件,供下次扫描使用)
身份认证:
1、提交表单
skipfish -o result --auth-form '需要密码的URL' --auth-user '用户名' --auth-pass '密码' --auth-verify-url '登陆成功后的URL'
(注意:如果程序不能自动找到用户名填写位置则需手工添加'--auth-form-target 表单名称'告诉程序具体是哪个表单,
以及手工添加'--auth-user-field 表单中的位置'/'--auth-pass-fields 表单中的位置'告诉程序应该填在该表单的哪个位置里,
表单名称以及表单位置通过F12后点击表单位置即可在源代码中看到)
举例:
skipfish -o result112 --auth-form http://172.20.163.44/dvwa/login.php --auth-form-target http://172.20.163.44/dvwa/login.php
--auth-user-field username --auth-user admin --auth-pass-field password --auth-pass password --auth-verify-url http://172.20.163.44/dvwa/index.php -I dvwa http://172.20.163.44/dvwa/
(注意:不知为啥表单名称和登陆URL一样,表单名称提取自"<form action='login.php' method='post'>==$0"中的'login.php',姑且认为表单名就是路径+action的值吧)
2、cookie登陆
skipfish -C 'cookie' -o test http://172.20.163.44 ===> cookie有多个值时要用多个'-C'来填充
举例:
skipfish -o bb -I dvwa -C "PHPSESSID=3804689b6bbfe8729681b0b8d547b1d0" -C "security=low" http://172.20.163.44/dvwa/
* Arachni(支持分布式扫描,感觉非常产品化的一个东西,特别适合企业使用)
特点:可以向其他主机安装agent,实现统一管理、分布式扫描,安装简单
安装:
http://www.arachni-scanner.com/download/
解压出来后在该文件夹下的bin目录里执行arachni_web即可开启web端口
agent运行命令: ./arachni_rpcd --address=服务器IP --port=本地监听端口 --nickname=test1
agent分组运行命令: ./arachni_rpcd --address=服务器IP --neighour=你要和谁在一组就写谁的IP:PORT,第一个agent肯定是以单个形式注册的,剩余的才是和第一个建组 --nickname=test2
小技巧:php因为是服务端脚本语言,所以它的代码不会在浏览器被执行,要想打印出php脚本代码,只需在路径后加上'?-s'即可
例:http://172.20.163.44/dvwa/login.php?-s