渗透学习整理稿

0x00 信息收集

0x001 服务器

服务器IP收集：ping命令实现

访问 http://www.ip138.com 来查询

0x002 域名信息

利用 http://www.nihao.net 来查询关于域名的各种公开信息

0x003 网站信息

0x0031 判断操作系统

方法一：大小写转换，把 .html 中的 l 变成大写的 L

windows对大小写不敏感不会出错，如果是 *nix 的则会显示错误

方法二：访问不存在的页面看返回的错误信息

返回的信息就可以判断出网站部署在哪种服务器上

如果是 windows 的一定会看到 IIS 的提示页面

如果是 asp 或者 aspx 则基本一定是 windows 上的

方法三：显示banner

netcat 使用 nc 命令嗅探信息

各种端口号：21（ftp），22（ssh），23（telnet），25（smtp）

80（http），110（pop3），3389（只能用ＭSTSC连接）

0x01 扫描器

0x011 各种扫描器

supperscan 是功能强大的端口扫描工具

nmap 也是非常优秀的扫描器，windows 下的就叫 zenmap

zenmap 是有GUI（图形用户界面）的开源扫描器

X-scan 是国内的一个扫描器

0x012 DNS反查

nslookup 可以监测一个网络中DNS解析服务器能否实现正常域名解析

whois 查询可以利用旁注

各个网站的查询结果并不相同，有些甚至错误，最好 ping 或 nslookup 自己验证

0x013 整站程序

以前有 seeknot.com 可以快速定位网站源码

0x02 常见弱点

注入一直是最常用的手法，无需验证的管理程序（如phpmyadmin）路径很容易被猜到，后台验证未过滤特殊字符以致被绕过，上传文件类型在客户端验证或是没考虑0x00截断文件名的问题，上传页面缺乏对使用者的验证，php远程文件包含，网站打包文件存放在网站目录，网站安装文件（setup.asp/aspx/php/jsp，install.asp/aspx/php/jsp）没删除，测试的网站程序随便放在web目录里，cookie欺骗，目录权限设置错误（如：web开启了写权限，或是能遍历目录），以及web服务软件自身问题（如：暴露jsp源码、IIS把以.asp结尾的文件夹内的文件解析为asp脚本，apache将文件名以形如“.php.rar”结尾的文件解析为php脚本，apache的远程溢出，早期的unicode漏洞

0x021 注入点

可以用winsock expert一类的sniffer抓一下它的http数据包，看看它用post方式提交了哪几个参数

如果该脚本不接受get方式提交的参数，那你也可以用minibrowser一类的工具采用post方式提交参数

弹出的一些小窗口是不显示URL的，采用全屏的F11，地址栏就显示出来了

任何一个参数都是可以注入的，并非只有最后一个参数才可以进行注入

0x022 传统注入工具

啊d、明小子、穿山甲、管中窥豹、Wscan

即使注入得到了后台口令，如果没有登录页面也是于事无补

admin.txt 是网站后台文件

0x023 google

针对动易，就可以搜索editor_tableprops.asp，这是动易根目录下的Editor目录里的一个文件，大家找到这个目录存在遍历的网站，只要将Editor目录改为database目录就能看到数据库了。

搜索共同关键字：“转到父目录”、“index of”或是“To Parent Directory”

robots.txt 是放置在一个站点的根目录下的纯文本

直接寻找缺少验证的上传页面是个不错的主意，一旦上传成功就能直接得到webshell

你可以搜索“inurl:upload.php filetype:php”、“inurl:uploadfile.php filetype:php”、“inurl:upfile.php filetype:php”

还可以搜索寻找别人留下的webshell，我们要找的当然是那种无需验证、功能简陋的小马

发现phpmyadmin的页面的标题栏总是包括“phpmyadmin”，而内容一般都包括一句“running on localhost as root@localhost”，当然它不一定都是用root连接数据库的。那我就搜索intitle:phpmyadmin intext:running on localhost as root@localhost

挖掘鸡可以根据指定的限制条件去删选可能存在漏洞的目标

0x024 cookie欺骗

cookie存于C:\Documents and Settings\你的用户名\Cookies

cookie欺骗用明小子的DOMAIN就能实现

0x025 上传漏洞

null byte就是十六进制的0x00，它在windows里是一个字符串结尾的标识，与此相对，asp脚本是允许文件名里出现0x00的，那么如果我上传muma.asp0x00.jpg呢，asp会当作它是一个jpg文件而允许上传，而当它被传到目录里的时候，windows以为文件名在0x00那里就结束了，所以文件名就成了muma.asp，上传漏洞就形成了

0x03 网络硬件入侵

扫描路由器的弱口令

ADSL密码终结者

路由输入的密码变形隐藏可以通过查看源文件进行查看

0x04 windows提权

server-u平时打开43958端口作为管理端口，运行ServUAdmin.exe对server-u进行管理的时候就是连接的这个端口，用户名和密码是LocalAdministrator和#l@$ak#.lk;0@P，在版本6之前这个密码是不能改的，其实这就是象征性地验证一下，根本没什么意义。可能是server-u的设计者以为没人会注意到这个小细节，但是黑客们不但注意到了，而且想出了利用它提权的方法。那就是用一个低权限运行的程序来模拟管理软件连接43958端口，用默认口令登陆，新建一个ftp的域，再在这个域里建一个ftp的系统管理员的帐户，然后用这个帐户登陆，使用site exec执行系统命令，这个命令的权限是继承server-u的系统服务的权限，是系统的最高权限了，最后一步再删除这个域，不留痕迹。

0x041 用winhex 防止提权

修改后的口令是以密文的形式存在ServUDaemon.ini里的LocalSetupPassword

0x042 pcanywhere提权

pcanywhere的密码存放在“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中的cif文件里。而webshell是有权限访问这个文件夹的

0x043 radmin提权

radmin是一个流行的远控工具，默认端口是4899

加密后的哈希值放在:HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\Paramete

0x044 SQL server提权

找到conn.asp 从中得到 SA 密码，用工具远程链接1433端口，xp_cmdshell 存储扩展利用此相关提权命令

0x045 内网渗透

用 cain 进行arp sniff

进行ARP欺骗，伪造IP和MAC地址来防止反侦察

0x046 DNS欺骗

通过种种手段使DNS服务器返回攻击者指定的IP而不是查询域名所对应的IP

0x047 远程溢出

webdav 溢出、rpc 远程溢出、BIND 远程溢出、ms0867溢出

0x05 清理日志及制作跳板

logkiller 会清除本机的所有日志

Skserver、ccproxy 制作跳板

“自动启动”前面的那个勾千万不要选，选了的话，ccproxy就会加载在注册表启动项，管理员登陆的时候ccproxy就会出现。我们需要选的是“NT服务”，这样ccproxy就会加载在系统服务上，在系统启动时不知不觉的运行ccproxy。然后就是设置代理端口，建议不要用默认端口。进入“高级”—“日志”，把里面那几个勾去掉，因为跳板是不需要日志的。在“帐户管理”，你可以将ccproxy设置为需要用户验证，然后创建一个你自己的帐户，这样即使别人发现了这个代理也没法使用。

装个rootkit，隐藏进程、服务和端口

0x06 webshell 的查杀

雷克图asp站长安全助手