網站滲透測試中的(of)注意事項

工作(do)中的(of)所有操作(do)都在(exist)虛拟機中完成。虛拟機不(No)登錄QQ、微信、網絡磁盤、CSDN等個(indivual)人(people)賬戶。滲透條件、開發環境和(and)調試條件需要(want)分離，從目标服務器下載的(of)程序需要(want)在(exist)單獨的(of)條件中測試和(and)運行。滲透虛拟機應用(use)代理IP上網。

物理機需要(want)安裝安全防護軟件，安裝最新的(of)補丁，卸載與公司有關的(of)特定軟件。fofa、cmd5、天眼查等第三方平台軟件平台賬戶密碼不(No)可以(by)與公司有關，雲合作(do)平台相同。RAT應用(use)CDN保護的(of)域名在(exist)線。盡可能不(No)要(want)應用(use)公司的(of)網絡出(out)口，能夠 應用(use)移動4G網卡，然後虛拟機再次代理。項目結束後，虛拟機恢複快照，不(No)再重新測量以(by)前的(of)目标和(and)以(by)前沒有成功利用(use)的(of)脆弱性。

滲透軟件。WebShell不(No)可以(by)應用(use)普通的(of)木馬，連接端應用(use)加密數據流量，推薦 應用(use)蟻劍。不(No)應用(use)默認的(of)冰蠍子，需要(want)修改爲(for)硬密碼鑰。内網滲透時(hour)盡可能應用(use)socks代理，在(exist)本地(land)操作(do)。上傳程序到(arrive)目标服務器時(hour)，需要(want)修改文件名稱，如svchost等，盡可能不(No)上傳内部自我(I)研究軟件。透明化軟件需要(want)去掉sqlmap、masscan、Beacon證明書等特征指紋。軟件需要(want)設定線程或浏覽頻率。比如，sqlmap的(of)-delay、網絡掃描時(hour)的(of)線程在(exist)5以(by)下。CobaltStrike上線後，設定clock.sleep600秒。手機郵件的(of)認證代碼需要(want)應用(use)z-sms.com等在(exist)線平台。socks代理通道需要(want)應用(use)SSL加密。禁止在(exist)CS服務器上打開網絡服務，尤其是(yes)home目錄。小範圍傳播的(of)軟件推薦 各大(big)微信群透明化，以(by)免上傳後意外跟蹤，你正好是(yes)參加團隊。

重點。攻防演習成功的(of)關鍵是(yes)團隊合作(do)，互相幫助學習和(and)進步，不(No)要(want)在(exist)意鬥角個(indivual)團隊的(of)成功都需要(want)紅花和(and)綠葉，外部網絡的(of)點與内部網絡的(of)滲透同等重要(want)。在(exist)滲透環節中，記住上傳的(of)webshell、木馬等地(land)址，服務器增加的(of)賬号，項目完成後，在(exist)報告中删除或描述，避免不(No)必要(want)的(of)麻煩。登錄3389不(No)建議增加用(use)戶，并嘗試激活guest。如果您需要(want)增加帳戶，賬戶名稱與目标有關，請勿應用(use)qax、qaxNB等同行關鍵詞。清理日志時(hour)，需要(want)用(use)文件覆蓋的(of)方法删除文件，防止數據恢複，或者隻删除指定ID的(of)日志。