渗透学习整理稿
来源:互联网 发布:淘宝网免费开店注册 编辑:程序博客网 时间:2024/04/29 08:02
0x00 信息收集
0x001 服务器
服务器IP收集:ping命令实现
访问 http://www.ip138.com 来查询
0x002 域名信息
利用 http://www.nihao.net 来查询关于域名的各种公开信息
0x003 网站信息
0x0031 判断操作系统
方法一:大小写转换,把 .html 中的 l 变成大写的 L
windows对大小写不敏感不会出错,如果是 *nix 的则会显示错误
方法二:访问不存在的页面看返回的错误信息
返回的信息就可以判断出网站部署在哪种服务器上
如果是 windows 的一定会看到 IIS 的提示页面
如果是 asp 或者 aspx 则基本一定是 windows 上的
方法三:显示banner
netcat 使用 nc 命令嗅探信息
各种端口号:21(ftp),22(ssh),23(telnet),25(smtp)
80(http),110(pop3),3389(只能用MSTSC连接)
0x01 扫描器
0x011 各种扫描器
supperscan 是功能强大的端口扫描工具
nmap 也是非常优秀的扫描器,windows 下的就叫 zenmap
zenmap 是有GUI(图形用户界面)的开源扫描器
X-scan 是国内的一个扫描器
0x012 DNS反查nslookup 可以监测一个网络中DNS解析服务器能否实现正常域名解析
whois 查询可以利用旁注
各个网站的查询结果并不相同,有些甚至错误,最好 ping 或 nslookup 自己验证
0x013 整站程序
以前有 seeknot.com 可以快速定位网站源码
0x02 常见弱点
注入一直是最常用的手法,无需验证的管理程序(如phpmyadmin)路径很容易被猜到,后台验证未过滤特殊字符以致被绕过,上传文件类型在客户端验证或是没考虑0x00截断文件名的问题,上传页面缺乏对使用者的验证,php远程文件包含,网站打包文件存放在网站目录,网站安装文件(setup.asp/aspx/php/jsp,install.asp/aspx/php/jsp)没删除,测试的网站程序随便放在web目录里,cookie欺骗,目录权限设置错误(如:web开启了写权限,或是能遍历目录),以及web服务软件自身问题(如:暴露jsp源码、IIS把以.asp结尾的文件夹内的文件解析为asp脚本,apache将文件名以形如“.php.rar”结尾的文件解析为php脚本,apache的远程溢出,早期的unicode漏洞
0x021 注入点
可以用winsock expert一类的sniffer抓一下它的http数据包,看看它用post方式提交了哪几个参数
如果该脚本不接受get方式提交的参数,那你也可以用minibrowser一类的工具采用post方式提交参数
弹出的一些小窗口是不显示URL的,采用全屏的F11,地址栏就显示出来了
任何一个参数都是可以注入的,并非只有最后一个参数才可以进行注入
0x022 传统注入工具
啊d、明小子、穿山甲、管中窥豹、Wscan
即使注入得到了后台口令,如果没有登录页面也是于事无补
admin.txt 是网站后台文件
0x023 google
针对动易,就可以搜索editor_tableprops.asp,这是动易根目录下的Editor目录里的一个文件,大家找到这个目录存在遍历的网站,只要将Editor目录改为database目录就能看到数据库了。
搜索共同关键字:“转到父目录”、“index of”或是“To Parent Directory”
robots.txt 是放置在一个站点的根目录下的纯文本
直接寻找缺少验证的上传页面是个不错的主意,一旦上传成功就能直接得到webshell
你可以搜索“inurl:upload.php filetype:php”、“inurl:uploadfile.php filetype:php”、“inurl:upfile.php filetype:php”
还可以搜索寻找别人留下的webshell,我们要找的当然是那种无需验证、功能简陋的小马
发现phpmyadmin的页面的标题栏总是包括“phpmyadmin”,而内容一般都包括一句“running on localhost as root@localhost”,当然它不一定都是用root连接数据库的。那我就搜索intitle:phpmyadmin intext:running on localhost as root@localhost
挖掘鸡可以根据指定的限制条件去删选可能存在漏洞的目标
0x024 cookie欺骗
cookie存于C:\Documents and Settings\你的用户名\Cookies
cookie欺骗用明小子的DOMAIN就能实现
0x025 上传漏洞
null byte就是十六进制的0x00,它在windows里是一个字符串结尾的标识,与此相对,asp脚本是允许文件名里出现0x00的,那么如果我上传muma.asp0x00.jpg呢,asp会当作它是一个jpg文件而允许上传,而当它被传到目录里的时候,windows以为文件名在0x00那里就结束了,所以文件名就成了muma.asp,上传漏洞就形成了
0x03 网络硬件入侵
扫描路由器的弱口令
ADSL密码终结者
路由输入的密码变形隐藏可以通过查看源文件进行查看
0x04 windows提权
server-u平时打开43958端口作为管理端口,运行ServUAdmin.exe对server-u进行管理的时候就是连接的这个端口,用户名和密码是LocalAdministrator和#l@$ak#.lk;0@P,在版本6之前这个密码是不能改的,其实这就是象征性地验证一下,根本没什么意义。可能是server-u的设计者以为没人会注意到这个小细节,但是黑客们不但注意到了,而且想出了利用它提权的方法。那就是用一个低权限运行的程序来模拟管理软件连接43958端口,用默认口令登陆,新建一个ftp的域,再在这个域里建一个ftp的系统管理员的帐户,然后用这个帐户登陆,使用site exec执行系统命令,这个命令的权限是继承server-u的系统服务的权限,是系统的最高权限了,最后一步再删除这个域,不留痕迹。
0x041 用winhex 防止提权
修改后的口令是以密文的形式存在ServUDaemon.ini里的LocalSetupPassword
0x042 pcanywhere提权
pcanywhere的密码存放在“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中的cif文件里。而webshell是有权限访问这个文件夹的
0x043 radmin提权
radmin是一个流行的远控工具,默认端口是4899
加密后的哈希值放在:HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\Paramete
0x044 SQL server提权
找到conn.asp 从中得到 SA 密码,用工具远程链接1433端口,xp_cmdshell 存储扩展利用此相关提权命令
0x045 内网渗透
用 cain 进行arp sniff
进行ARP欺骗,伪造IP和MAC地址来防止反侦察
0x046 DNS欺骗
通过种种手段使DNS服务器返回攻击者指定的IP而不是查询域名所对应的IP
0x047 远程溢出
webdav 溢出、rpc 远程溢出、BIND 远程溢出、ms0867溢出
0x05 清理日志及制作跳板
logkiller 会清除本机的所有日志
Skserver、ccproxy 制作跳板
“自动启动”前面的那个勾千万不要选,选了的话,ccproxy就会加载在注册表启动项,管理员登陆的时候ccproxy就会出现。我们需要选的是“NT服务”,这样ccproxy就会加载在系统服务上,在系统启动时不知不觉的运行ccproxy。然后就是设置代理端口,建议不要用默认端口。进入“高级”—“日志”,把里面那几个勾去掉,因为跳板是不需要日志的。在“帐户管理”,你可以将ccproxy设置为需要用户验证,然后创建一个你自己的帐户,这样即使别人发现了这个代理也没法使用。
装个rootkit,隐藏进程、服务和端口
0x06 webshell 的查杀
雷克图asp站长安全助手
- 渗透学习整理稿
- 渗透思路整理
- 渗透资源大全-整理
- sqlmap渗透测试整理
- wifi渗透流程整理笔记
- kali----渗透学习一
- 渗透工具学习
- Metasploit渗透学习日记
- 渗透测试学习笔记
- 渗透工具sqlmap学习
- 渗透学习路线方法
- 渗透学习分支图
- Web渗透学习路线
- web渗透学习路线
- 内网渗透一些命令收集整理
- 内网渗透一些命令收集整理
- 内网渗透一些命令收集整理
- 内网渗透一些命令收集整理
- JSTL低版本if判断和字符串相等解决方案
- 机器学习中的数学(2)-线性回归,偏差、方差权衡
- strlen()”死循环“
- Android APK反编译详解(附图)
- 黑马程序员_C#基础篇总结4
- 渗透学习整理稿
- 用 soapUI 测试 REST 服务
- 虚析构函数的作用
- Ibatis 基础入门 增删改查
- ubuntu采用apt-get安装软件出现依赖问题的解决方案
- 动态规划之背包问题
- github学习(Pro Git)---第一章
- ZOJ 3790 Consecutive Blocks
- 终于解决了PADS,Altium,ORCAD的相互转换问题