渗透学习整理稿
0x00 信息收集
0x001 服務器
服務器IP收集:ping命令實現
訪問?http://www.ip138.com 來查詢
0x002 域名信息
利用 http://www.nihao.net 來查詢關于域名的各種公開信息
0x003 網站信息
0x0031 判斷操作系統
方法一:大小寫轉換,把 .html 中的 l 變成大寫的 L
windows對大小寫不敏感不會出錯,如果是 *nix 的則會顯示錯誤
方法二:訪問不存在的頁面看返回的錯誤信息
返回的信息就可以判斷出網站部署在哪種服務器上
如果是 windows 的一定會看到 IIS 的提示頁面
如果是 asp 或者 aspx 則基本一定是 windows 上的
方法三:顯示banner
netcat 使用 nc 命令嗅探信息
各種端口號:21(ftp),22(ssh),23(telnet),25(smtp)
80(http),110(pop3),3389(只能用MSTSC連接)
0x01 掃描器
0x011 各種掃描器
supperscan 是功能強大的端口掃描工具
nmap 也是非常優秀的掃描器,windows 下的就叫 zenmap
zenmap 是有GUI(圖形用戶界面)的開源掃描器
X-scan 是國內的一個掃描器
0x012 DNS反查nslookup 可以監測一個網絡中DNS解析服務器能否實現正常域名解析
whois 查詢可以利用旁注
各個網站的查詢結果并不相同,有些甚至錯誤,最好 ping 或 nslookup 自己驗證
0x013 整站程序
以前有 seeknot.com 可以快速定位網站源碼
0x02 常見弱點
注入一直是最常用的手法,無需驗證的管理程序(如phpmyadmin)路徑很容易被猜到,后臺驗證未過濾特殊字符以致被繞過,上傳文件類型在客戶端驗證或是沒考慮0x00截斷文件名的問題,上傳頁面缺乏對使用者的驗證,php遠程文件包含,網站打包文件存放在網站目錄,網站安裝文件(setup.asp/aspx/php/jsp,install.asp/aspx/php/jsp)沒刪除,測試的網站程序隨便放在web目錄里,cookie欺騙,目錄權限設置錯誤(如:web開啟了寫權限,或是能遍歷目錄),以及web服務軟件自身問題(如:暴露jsp源碼、IIS把以.asp結尾的文件夾內的文件解析為asp腳本,apache將文件名以形如“.php.rar”結尾的文件解析為php腳本,apache的遠程溢出,早期的unicode漏洞
0x021 注入點
可以用winsock expert一類的sniffer抓一下它的http數據包,看看它用post方式提交了哪幾個參數
如果該腳本不接受get方式提交的參數,那你也可以用minibrowser一類的工具采用post方式提交參數
彈出的一些小窗口是不顯示URL的,采用全屏的F11,地址欄就顯示出來了
任何一個參數都是可以注入的,并非只有最后一個參數才可以進行注入
0x022 傳統注入工具
啊d、明小子、穿山甲、管中窺豹、Wscan
即使注入得到了后臺口令,如果沒有登錄頁面也是于事無補
admin.txt 是網站后臺文件
0x023 google
針對動易,就可以搜索editor_tableprops.asp,這是動易根目錄下的Editor目錄里的一個文件,大家找到這個目錄存在遍歷的網站,只要將Editor目錄改為database目錄就能看到數據庫了。
搜索共同關鍵字:“轉到父目錄”、“index of”或是“To Parent Directory”
robots.txt 是放置在一個站點的根目錄下的純文本
直接尋找缺少驗證的上傳頁面是個不錯的主意,一旦上傳成功就能直接得到webshell
你可以搜索“inurl:upload.php filetype:php”、“inurl:uploadfile.php filetype:php”、“inurl:upfile.php filetype:php”
還可以搜索尋找別人留下的webshell,我們要找的當然是那種無需驗證、功能簡陋的小馬
發現phpmyadmin的頁面的標題欄總是包括“phpmyadmin”,而內容一般都包括一句“running on localhost as root@localhost”,當然它不一定都是用root連接數據庫的。那我就搜索intitle:phpmyadmin intext:running on localhost as root@localhost
挖掘雞可以根據指定的限制條件去刪選可能存在漏洞的目標
0x024 cookie欺騙
cookie存于C:\Documents and Settings\你的用戶名\Cookies
cookie欺騙用明小子的DOMAIN就能實現
0x025 上傳漏洞
null byte就是十六進制的0x00,它在windows里是一個字符串結尾的標識,與此相對,asp腳本是允許文件名里出現0x00的,那么如果我上傳muma.asp0x00.jpg呢,asp會當作它是一個jpg文件而允許上傳,而當它被傳到目錄里的時候,windows以為文件名在0x00那里就結束了,所以文件名就成了muma.asp,上傳漏洞就形成了
0x03 網絡硬件入侵
掃描路由器的弱口令
ADSL密碼終結者
路由輸入的密碼變形隱藏可以通過查看源文件進行查看
0x04 windows提權
server-u平時打開43958端口作為管理端口,運行ServUAdmin.exe對server-u進行管理的時候就是連接的這個端口,用戶名和密碼是LocalAdministrator和#l@$ak#.lk;0@P,在版本6之前這個密碼是不能改的,其實這就是象征性地驗證一下,根本沒什么意義。可能是server-u的設計者以為沒人會注意到這個小細節,但是黑客們不但注意到了,而且想出了利用它提權的方法。那就是用一個低權限運行的程序來模擬管理軟件連接43958端口,用默認口令登陸,新建一個ftp的域,再在這個域里建一個ftp的系統管理員的帳戶,然后用這個帳戶登陸,使用site exec執行系統命令,這個命令的權限是繼承server-u的系統服務的權限,是系統的最高權限了,最后一步再刪除這個域,不留痕跡。
0x041 用winhex 防止提權
修改后的口令是以密文的形式存在ServUDaemon.ini里的LocalSetupPassword
0x042 pcanywhere提權
pcanywhere的密碼存放在“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中的cif文件里。而webshell是有權限訪問這個文件夾的
0x043 radmin提權
radmin是一個流行的遠控工具,默認端口是4899
加密后的哈希值放在:HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\Paramete
0x044 SQL server提權
找到conn.asp 從中得到 SA 密碼,用工具遠程鏈接1433端口,xp_cmdshell 存儲擴展利用此相關提權命令
0x045 內網滲透
用 cain 進行arp sniff
進行ARP欺騙,偽造IP和MAC地址來防止反偵察
0x046 DNS欺騙
通過種種手段使DNS服務器返回攻擊者指定的IP而不是查詢域名所對應的IP
0x047 遠程溢出
webdav 溢出、rpc 遠程溢出、BIND 遠程溢出、ms0867溢出
0x05 清理日志及制作跳板
logkiller 會清除本機的所有日志
Skserver、ccproxy 制作跳板
“自動啟動”前面的那個勾千萬不要選,選了的話,ccproxy就會加載在注冊表啟動項,管理員登陸的時候ccproxy就會出現。我們需要選的是“NT服務”,這樣ccproxy就會加載在系統服務上,在系統啟動時不知不覺的運行ccproxy。然后就是設置代理端口,建議不要用默認端口。進入“高級”—“日志”,把里面那幾個勾去掉,因為跳板是不需要日志的。在“帳戶管理”,你可以將ccproxy設置為需要用戶驗證,然后創建一個你自己的帳戶,這樣即使別人發現了這個代理也沒法使用。
裝個rootkit,隱藏進程、服務和端口
0x06 webshell 的查殺
雷克圖asp站長安全助手
總結
- 上一篇: 关于VisualStudio2019登陆
- 下一篇: win8英雄联盟连接不上服务器未响应,W