【原创】渗透小知识之Web渗透入侵流程思路（三）

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

如何利用漏洞来渗透入侵目标网站呢?

首先查找目标系统的相关漏洞

可以使用工具扫描或者是手工测试(工具使用起来方便一点)

碰到需求场景，要自己挖掘相符的漏洞(例如xss漏洞，sql注入等)

还可以旁注，旁注顾名思义就是从旁注入，也就是利用主机上面的一个虚拟站点进行渗透。

得到我们所要得到一个重要关节webshell之后，再利用主机的开放的程序以及一些非安全设置进行的跨站式入侵方法。

旁注也是要有思路的，比如你要入侵A网站，但是在A网站上找不到漏洞!你可以选择和A网站同一服务器下的B网站，C网站寻找漏洞。

上传漏洞也好，SQL注入也好，拿到webshell后提升权限，在服务器上找到A网站的目录。

旁注是一种思想，一种考虑到管理员的设置和程序的功能缺陷而产生的，不是一种单纯的路线入侵方法，不要整天看着文章去照着路子入侵，这是没有作用的，只是徒劳无功。

利用漏洞拿到了shell，接下来就该提升自己的权限，获得更高级别的访问系统和网络的权限;获取其他用户的账户信息;使用提升过的权限来访问其他系统;记录发现的信息。