本发明专利技术提供了一种渗透测试的信令控制方法及装置、存储介质、电子装置,其中,该方法包括:采集渗透目标的相关信息,其中,所述渗透目标为通过网络连接的网络系统;使用所述相关信息探测所述渗透目标的对外漏洞;利用所述对外漏洞向所述网络系统发送加密信令,其中,所述加密信令仅执行在所述网络系统的运行内存中,且禁止在所述网络系统的本地落地文件。通过本发明专利技术,解决了相关技术中由于未对渗透信令加密而导致信令被屏蔽的技术问题,提高了渗透测试的渗透成功率。
Signaling control method and device, storage medium and electronic device of penetration test
【技术实现步骤摘要】
渗透测试的信令控制方法及装置、存储介质、电子装置
本专利技术涉及网络安全领域,具体而言,涉及一种渗透测试的信令控制方法及装置、存储介质、电子装置。
技术介绍
网络攻击是黑客或者病毒木马等对电子设备发起的攻击,通过窃取文件等给用户带来了巨大损失,而渗透测试正是模拟网络攻击的过程,以提前发现问题,及时弥补,有备无患。相关技术在进行渗透测试时,如果已经发现了漏洞,为了减少数据传输量,缩短渗透时间,选择直接发送渗透指令,不对传输数据进行加密,申请人发现,在有些渗透过程中,即使发现了漏洞,也有可能被内网的流量分析设备发现并屏蔽。针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
技术实现思路
本专利技术实施例提供了一种渗透测试的信令控制方法及装置、存储介质、电子装置。根据本专利技术的一个实施例,提供了一种渗透测试的信令控制方法,包括:采集渗透目标的相关信息,其中,所述渗透目标为通过网络连接的网络系统;使用所述相关信息探测所述渗透目标的对外漏洞;利用所述对外漏洞向所述网络系统发送加密信令,其中,所述加密信令仅执行在所述网络系统的运行内存中,且禁止在所述网络系统的本地落地文件。可选的,利用所述对外漏洞向所述网络系统发送加密信令包括:采用数据加密标准DES加密算法对渗透指令进行加密,得到加密信令;利用所述对外漏洞向所述网络系统发送所述加密信令。可选的,利用所述对外漏洞向所述网络系统发送加密信令包括以下至少之一:利用所述对外漏洞向所述网络系统发送加密后的文件管理指令;利用所述对外漏洞向所述网络系统发送加密后的命令执行指令;利用所述对外漏洞向所述网络系统发送加密后的数据库管理指令;利用所述对外漏洞向所述网络系统发送加密后的反弹Shell指令;利用所述对外漏洞向所述网络系统发送加密后的文件上传指令;利用所述对外漏洞向所述网络系统发送加密后的远程文件下载指令。可选的,利用所述对外漏洞向所述网络系统发送加密信令包括:利用所述对外漏洞向所述网络系统发送指定加密信令,其中,所述指定加密信令携带:控制信令、内存马信令,所述内存马信令用于限制所述控制信令仅运行在所述网络系统的运行内存中,且禁止在所述网络系统的本地落地文件。可选的,利用所述对外漏洞向所述网络系统发送加密信令包括:激活预设在所述网络系统的运行内存中的webshell客户端,其中,所述webshell客户端用于执行内存马信令,所述内存马信令用于限制所述加密信令仅运行在所述运行内存中,且禁止在所述网络系统的本地落地文件;利用所述对外漏洞向所述网络系统发送所述加密信令。可选的,利用所述对外漏洞向所述网络系统发送加密信令包括:对渗透指令进行以下操作至少之一:代码混淆、代码变形、代码转换,得到加密信令;利用所述对外漏洞向所述网络系统发送所述加密信令。可选的,利用所述对外漏洞向所述网络系统发送加密信令包括:利用所述对外漏洞获取所述渗透目标的操作权限;使用所述操作权限向所述网络系统发送用于指示渗透操作的加密信令。根据本专利技术的另一个实施例,提供了一种渗透测试的信令控制装置,包括:采集模块,用于采集渗透目标的相关信息,其中,所述渗透目标为通过网络连接的网络系统;探测模块,用于使用所述相关信息探测所述渗透目标的对外漏洞;发送模块,用于利用所述对外漏洞向所述网络系统发送加密信令,其中,所述加密信令仅执行在所述网络系统的运行内存中,且禁止在所述网络系统的本地落地文件。可选的,所述发送模块包括:加密单元,用于采用数据加密标准DES加密算法对渗透指令进行加密,得到加密信令;第一发送单元,用于利用所述对外漏洞向所述网络系统发送所述加密信令。可选的,所述发送模块用于以下至少之一:利用所述对外漏洞向所述网络系统发送加密后的文件管理指令;利用所述对外漏洞向所述网络系统发送加密后的命令执行指令;利用所述对外漏洞向所述网络系统发送加密后的数据库管理指令;利用所述对外漏洞向所述网络系统发送加密后的反弹Shell指令;利用所述对外漏洞向所述网络系统发送加密后的文件上传指令;利用所述对外漏洞向所述网络系统发送加密后的远程文件下载指令。可选的,所述发送模块包括:第二发送单元,用于利用所述对外漏洞向所述网络系统发送指定加密信令,其中,所述指定加密信令携带:控制信令、内存马信令,所述内存马信令用于限制所述控制信令仅运行在所述网络系统的运行内存中,且禁止在所述网络系统的本地落地文件。可选的,所述发送模块包括:激活单元,用于激活预设在所述网络系统的运行内存中的webshell客户端,其中,所述webshell客户端用于执行内存马信令,所述内存马信令用于限制所述加密信令仅运行在所述运行内存中,且禁止在所述网络系统的本地落地文件;第三发送单元,用于利用所述对外漏洞向所述网络系统发送所述加密信令。可选的,所述发送模块包括:处理单元,用于对渗透指令进行以下操作至少之一:代码混淆、代码变形、代码转换,得到加密信令;第四发送单元,用于利用所述对外漏洞向所述网络系统发送所述加密信令。可选的,所述发送模块包括:获取单元,用于利用所述对外漏洞获取所述渗透目标的操作权限;第五发送单元,用于使用所述操作权限向所述网络系统发送用于指示渗透操作的加密信令。根据本专利技术的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。根据本专利技术的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。通过本专利技术,采集渗透目标的相关信息,使用相关信息探测渗透目标的对外漏洞,利用对外漏洞向网络系统发送加密信令,通过对传输至网络系统的信令进行加密,保证渗透过程中的数据不会被屏蔽,解决了相关技术中由于未对渗透信令加密而导致信令被屏蔽的技术问题,提高了渗透测试的渗透成功率。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是本专利技术实施例的一种渗透测试的信令控制服务器的硬件结构框图;图2是根据本专利技术实施例的一种渗透测试的信令控制方法的流程图;图3是本专利技术实施例发送加密信令的流程示意图;图4是本专利技术实施例任务节点针对渗透目标的攻击线路图;图5是根据本专利技术实施例的渗透测试的信令控制装置的结构框图。具体实施方式为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相本文档来自技高网...
【技术保护点】
1.一种渗透测试的信令控制方法,其特征在于,包括:/n采集渗透目标的相关信息,其中,所述渗透目标为通过网络连接的网络系统;/n使用所述相关信息探测所述渗透目标的对外漏洞;/n利用所述对外漏洞向所述网络系统发送加密信令,其中,所述加密信令仅执行在所述网络系统的运行内存中,且禁止在所述网络系统的本地落地文件。/n
【技术特征摘要】
1.一种渗透测试的信令控制方法,其特征在于,包括:
采集渗透目标的相关信息,其中,所述渗透目标为通过网络连接的网络系统;
使用所述相关信息探测所述渗透目标的对外漏洞;
利用所述对外漏洞向所述网络系统发送加密信令,其中,所述加密信令仅执行在所述网络系统的运行内存中,且禁止在所述网络系统的本地落地文件。
2.根据权利要求1述的方法,其特征在于,利用所述对外漏洞向所述网络系统发送加密信令包括:
采用数据加密标准DES加密算法对渗透指令进行加密,得到加密信令;
利用所述对外漏洞向所述网络系统发送所述加密信令。
3.根据权利要求1述的方法,其特征在于,利用所述对外漏洞向所述网络系统发送加密信令包括:
利用所述对外漏洞向所述网络系统发送加密后的以下至少之一:文件管理指令、命令执行指令、数据库管理指令、反弹Shell指令、文件上传指令、远程文件下载指令。
4.根据权利要求1述的方法,其特征在于,利用所述对外漏洞向所述网络系统发送加密信令包括:
利用所述对外漏洞向所述网络系统发送指定加密信令,其中,所述指定加密信令携带:控制信令、内存马信令,所述内存马信令用于限制所述控制信令仅运行在所述网络系统的运行内存中,且禁止在所述网络系统的本地落地文件。
5.根据权利要求1述的方法,其特征在于,利用所述对外漏洞向所述网络系统发送加密信令包括:
激活预设在所述网络系统的运行内存中的webshell客户端,其中,所述webshell客户端用于执行内...
【专利技术属性】
技术研发人员:田跃,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。