本申请提供了一种渗透测试方法、装置以及测试设备,用于保障基于webshell可以正常地完成目标待测试服务器的渗透测试,保障稳定的渗透测试效果。方法包括:测试设备在目标待测试服务器上配置Webshell相关的配置文件,配置文件为反序列化特性的执行文件;测试设备获取当前渗透测试任务相关的初始控制指令;测试设备将初始控制指令转化为可以触发配置文件执行反序列化操作的目标控制指令;测试设备将目标控制指令发送至配置文件,使得目标待测试服务器通过Webshell对目标控制指令执行反序列化操作,以执行初始控制指令来推进渗透测试任务的执行;测试设备根据目标待测试服务器的响应,生成渗透测试任务的渗透测试结果。生成渗透测试任务的渗透测试结果。生成渗透测试任务的渗透测试结果。
【技术实现步骤摘要】
一种渗透测试方法、装置以及测试设备
[0001]本申请涉及测试领域,具体涉及一种渗透测试方法、装置以及测试设备。
技术介绍
[0002]Webshell,对于本领域技术人员而言,其为以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,部分情况下作为一个途径,被用于向目标服务器进行网络攻击。在该情况下,服务器的渗透测试工作,也可以通过Webshell来实现。
[0003]然而webshell既然作为熟悉的、可用于进行网络攻击的途径,那现有技术中也开发了相应的webshell异常分析方案,以识别出试图通过webshel来进行网络攻击的情况。
[0004]从而,基于webshell进行渗透测试的工作中,由于服务器上配置的webshell异常分析策略,难以展开具体的渗透工作,从而存在着渗透测试效果较差的问题。
技术实现思路
[0005]本申请提供了一种渗透测试方法、装置以及测试设备,用于保障基于webshell可以正常地完成目标待测试服务器的渗透测试,保障稳定的渗透测试效果。
[0006]第一方面,本申请提供了一种渗透测试方法,方法包括:
[0007]测试设备在目标待测试服务器上配置Webshell相关的配置文件,其中,目标待测试服务器是指在未来时间段接受渗透测试的服务器对象,配置文件为反序列化特性的执行文件;
[0008]测试设备获取当前渗透测试任务相关的初始控制指令,其中,初始控制指令为渗透测试行为相关的指令;
[0009]测试设备将初始控制指令转化为可以触发配置文件执行反序列化操作的目标控制指令;
[0010]测试设备将目标控制指令发送至配置文件,使得目标待测试服务器通过Webshell对目标控制指令执行反序列化操作,以执行初始控制指令来推进渗透测试任务的执行;
[0011]测试设备根据目标待测试服务器的响应,生成渗透测试任务的渗透测试结果。
[0012]结合本申请第一方面,在本申请第一方面第一种可能的实现方式中,配置文件具体为Webshell文件,测试设备在目标待测试服务器上配置Webshell相关的配置文件,包括:
[0013]测试设备在目标待测试服务器的Web根目录中,放置Webshell文件,其中,Webshell文件基于开发语言对应的魔术函数构建得到,Webshell文件用于获取请求中的预设参数并解码,进行反序列化。
[0014]结合本申请第一方面第一种可能的实现方式,在本申请第一方面第二种可能的实现方式中,Webshell文件具体用于获取POST请求、GET请求或者PUT请求中的预设参数并解码,进行反序列化。
[0015]结合本申请第一方面,在本申请第一方面第三种可能的实现方式中,测试设备将初始控制指令转化为可以触发配置文件执行反序列化操作的目标控制指令,包括:
[0016]测试设备对初始控制指令进行语句整合得到目标控制指令。
[0017]结合本申请第一方面第三种可能的实现方式,在本申请第一方面第四种可能的实现方式中,测试设备对初始控制指令进行语句整合得到目标控制指令,包括:
[0018]测试设备对初始控制指令进行语句整合后,通过加密编码处理得到目标控制指令,其中,目标待测试服务器配置有加密编码处理对应的解码处理。
[0019]结合本申请第一方面,在本申请第一方面第五种可能的实现方式中,加密编码处理具体采用base64、HEX、AES或者DES的加密方式。
[0020]结合本申请第一方面,在本申请第一方面第六种可能的实现方式中,方法还包括:
[0021]测试设备在目标待测试服务器上配置交互式Webshell管理端。
[0022]第二方面,本申请提供了一种渗透测试装置,装置包括:
[0023]配置单元,用于在目标待测试服务器上配置Webshell相关的配置文件,其中,目标待测试服务器是指在未来时间段接受渗透测试的服务器对象,配置文件为反序列化特性的执行文件;
[0024]获取单元,用于获取当前渗透测试任务相关的初始控制指令,其中,初始控制指令为渗透测试行为相关的指令;
[0025]转化单元,用于将初始控制指令转化为可以触发配置文件执行反序列化操作的目标控制指令;
[0026]执行单元,用于将目标控制指令发送至配置文件,使得目标待测试服务器通过Webshell对目标控制指令执行反序列化操作,以执行初始控制指令来推进渗透测试任务的执行;
[0027]生成单元,用于根据目标待测试服务器的响应,生成渗透测试任务的渗透测试结果。
[0028]结合本申请第二方面,在本申请第二方面第一种可能的实现方式中,配置文件具体为Webshell文件,配置单元,具体用于:
[0029]在目标待测试服务器的Web根目录中,放置Webshell文件,其中,Webshell文件基于开发语言对应的魔术函数构建得到,Webshell文件用于获取请求中的预设参数并解码,进行反序列化。
[0030]结合本申请第二方面第一种可能的实现方式,在本申请第二方面第二种可能的实现方式中,Webshell文件具体用于获取POST请求、GET请求或者PUT请求中的预设参数并解码,进行反序列化。
[0031]结合本申请第二方面,在本申请第二方面第三种可能的实现方式中,转化单元,具体用于:
[0032]对初始控制指令进行语句整合得到目标控制指令。
[0033]结合本申请第二方面第三种可能的实现方式,在本申请第二方面第四种可能的实现方式中,转化单元,具体用于:
[0034]对初始控制指令进行语句整合后,通过加密编码处理得到目标控制指令,其中,目标待测试服务器配置有加密编码处理对应的解码处理。
[0035]结合本申请第二方面,在本申请第二方面第五种可能的实现方式中,加密编码处理具体采用base64、HEX、AES或者DES的加密方式。
[0036]结合本申请第二方面,在本申请第二方面第六种可能的实现方式中,配置单元,还用于:
[0037]在目标待测试服务器上配置交互式Webshell管理端。
[0038]第三方面,本申请提供了一种测试设备,包括处理器和存储器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
[0039]第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
[0040]从以上内容可得出,本申请具有以下的有益效果:
[0041]针对于目标待测试服务器的渗透测试需求,本申请由测试设备先在目标待测试服务器上配置Webshell相关的配置文件,该配置文件具体为反序列化特性的执行文件,在获取到当前渗透测试任务相关的初始控制指令后,将该初始控制指令转化为可以触发配置文本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种渗透测试方法,其特征在于,所述方法包括:测试设备在目标待测试服务器上配置Webshell相关的配置文件,其中,所述目标待测试服务器是指在未来时间段接受渗透测试的服务器对象,所述配置文件为反序列化特性的执行文件;所述测试设备获取当前渗透测试任务相关的初始控制指令,其中,所述初始控制指令为渗透测试行为相关的指令;所述测试设备将所述初始控制指令转化为可以触发所述配置文件执行反序列化操作的目标控制指令;所述测试设备将所述目标控制指令发送至所述配置文件,使得所述目标待测试服务器通过Webshell对所述目标控制指令执行反序列化操作,以执行所述初始控制指令来推进所述渗透测试任务的执行;所述测试设备根据所述目标待测试服务器的响应,生成所述渗透测试任务的渗透测试结果。2.根据权利要求1所述的方法,其特征在于,所述配置文件具体为Webshell文件,所述测试设备在目标待测试服务器上配置Webshell相关的配置文件,包括:所述测试设备在所述目标待测试服务器的Web根目录中,放置所述Webshell文件,其中,所述Webshell文件基于开发语言对应的魔术函数构建得到,所述Webshell文件用于获取请求中的预设参数并解码,进行反序列化。3.根据权利要求2所述的方法,其特征在于,所述Webshell文件具体用于获取POST请求、GET请求或者PUT请求中的预设参数并解码,进行反序列化。4.根据权利要求1所述的方法,其特征在于,所述测试设备将所述初始控制指令转化为可以触发所述配置文件执行反序列化操作的目标控制指令,包括:所述测试设备对所述初始控制指令进行语句整合得到所述目标控制指令。5.根据权利要求4所述的方法,其特征在于,所述测试设备对所述初...
【专利技术属性】
技术研发人员:严文涛,
申请(专利权)人:上海安博通信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。