漏洞挖掘

身份认证安全 1.暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本 描述 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB，其他协议不属于业务安全的范畴) 2.session & cookie类 会话固定攻击：利用服务器的session不变机制，借他人之手获得认证和授权，冒充他人。案例：WooYun: 新浪广东美食后台验证逻辑漏洞，直接登录后台，566764名用户资料暴露！ Cookie仿冒：修改cookie中的某个参数可以登录其他用户。 案例：益云广告平台任意帐号登录WooYun: 益云广告平台任意帐号登录 3.弱加密 未使用https，是功能测试点，不好利用。 前端加密，用密文去后台校验，并利用smart decode可解 业务一致性安全 1.手机号篡改 抓包修改手机号码参数为其他号码尝试，例如在办理查询页面，输入自己的号码然后抓包，修改手机号码参数为其他人号码，查看是否能查询其他人的业务。 2.邮箱或者用户篡改

前记 对于“渗透测试”这个事，我也时常纠结，尤其在“度”的方面上，毕竟自己还很年轻。个人感觉，渗透是在不影响单位正常运营的前提下的一场完整攻击，目标是一个面不是一个点。但是，大家都懂得2333。 入坑以来，跟着网上师傅们分享的各种好文章划来划去，终于肚子里有点墨水挤出来了，水了一篇基于隐秘测试的黑盒渗透测试的小文分享一下。本文主要分享下一些姿势和个人总结，文章涉及的工具可能比较多，就不一一举例用法了，毕竟不想搞成一个工具使用说明文*（相关工具用法搜索一下就有了）*，也不提供下载链接了，毕竟我是好公民。 LOVE 互联网的分享精神，LOVE 师傅们的好文章。—— FoxRoot 个人准备 搜集整理一套可靠的VPN或国外代理池或Tor或肉鸡或…… 准备一套新win+lin虚拟机并安装常用工具，不要使用实体机。 白天好好睡觉，晚上干活，万一对服务造成伤害还可以降低影响。 信息搜集 主动/被动搜集 信息搜集分为主动信息搜集和被动信息搜集。 主动信息搜集就是通过直接访问和扫描信息的方式进行收集信息，缺点是会记录自己的操作信息；被动信息搜集就是通过第三方服务进行信息搜集，缺点是收集信息有限。信息搜集是很重要的一部分，信息越全面对后面的攻击越有帮助，可以先尽最大努力的使用被动信息搜集方式最大效果的搜集信息，再使用主动信息搜集的方式搜集非被动搜集不到的信息。 常用套路 1. 搜集网站单位信息。

Defcon CTF： 侧重于计算机底层与系统安全核心能力 竞赛环境趋向多CPU指令架构集，多操作系统，多编程语言 逆向分析，漏洞挖掘，漏洞利用，漏洞修补加固，网络流量分析，系统安全运维，面向安全的编程调试 团队合作： 团队分工详解： 题目类型： 未来： 人工智能，机器人对手 CGC：机器人CTF赛 不忘初心，方得始终 CTFTIME 文章来源: CTF

漏洞介绍：跨目录读取敏感文件。 ../ ..%2F %2e%2e%2f /%c0%ae/ /%c0%ae%c0%ae/ 构造/../../../../../../etc/passwd,这是为了防止程序过滤或丢失最左侧的/符号，让起始目录变成脚本当前所在的目录。攻击者使用多个..符号，不断向上跳转，最终到达根/，而根/的父目录就是自己，因此使用再多的..都一样，最终停留在根/的位置，便可通过绝对路径去读取任意文件。 漏洞挖掘： 漏洞利用代码： 　　　 一些读取敏感文件： Windows： C:\boot.ini //查看系统版本 C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件 C:\Windows\repair\sam //存储系统初次安装的密码 C:\Program Files\mysql\my.ini //Mysql配置 C:\Program Files\mysql\data\mysql\user.MYD //Mysql root C:\Windows\php.ini //php配置信息 C:\Windows\my.ini //Mysql配置信息 ... Linux： /root/.ssh/authorized_keys /root/.ssh/id_rsa /root/.ssh/id_ras.keystore /root/

扫描器开发之前要确定自己的目标，我的目标更偏向于指纹识别、RCE类漏洞扫描。因为渗透测试的过程资产收集得越多，那么渗透成功的可能性也就越高，远程执行类漏洞简单粗暴。 学习过程中总是受到各种不可抗拒外力的中断，无法专注精力长时间学习一样事物，内心过于焦躁，全世界的安全技巧不可能全都学完，基础学科才是值得牢记的知识点。把基础知识与套路联动在一起才能突破瓶颈。为了把学习内容不间断的留存在脑子里，之选择了做笔记的方式记录下来。是因为反正也没有什么人看博客，童鞋们焦虑得很。 【通过展示高收益操作来获取人群的认同,这是无数金融家的梦想。】 硬件&OS： 1、 高等数学 2、 计算机组成原理 - 总线/存储器 - 运算器 - Cpu处理器 - 输入输出外设 离散数学基础 概率论与数理统计 3、 操作系统 - 启动/调用 - 进程/线程 - 内存管理 - 文件系统 计算机网络 线性代数 4、 计算机系统结构 - CPU结构 - 指令集 - 寻址方式 近世代数 网络： TCP/IP详解-卷1 应用： 看视频接受度是最高的。熟悉PHP、Python、Java 数据库： SQL - MySQL - MSSQL - Oracle - PostgreSQL NoSQL - MongoDB 内存 - Redis - Memcache 重新理解安全技术 注入漏洞 - SQL注入 - 命令注入 - 表达式

版权声明：署名，允许他人基于本文进行创作，且必须基于与原先许可协议相同的许可协议分发本文 （ Creative Commons ） 想在国内找一些路由渗透的纪实，但还是木有什么结果，就是今晚给国内某路由厂商提交一些漏洞时，还被人家鄙视了，哎。什么狗屁心态。不管了，留给我未来的 儿子玩吧。说不定可以搞出什么东西。呵呵，扯远了，今晚就结合国外的一些科普文做一些讲解吧。大牛别喷我，我也只是自己写写笔记意淫意淫….别喷！ ++++++我是淫荡的分割线++++++++ 一，为什么要定义单独的路由安全？ （1）对于渗透湿而言： 如今，更多的渗透湿都是重在于web层的渗透，总是通过各种大杀器拿下内网机器权限，然后各种嗅探，但半天才发现，坑！内网划分了vlan 。（tip：VLAN（Virtual Local Area Network）的中文名为”虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术 主要应用于交换机和路由器中，但主流应用还是在交换机之中。）对于到这一层，很多人都是放弃了，或者去换了别的奇技淫巧，更是APT.但往往我们的收获却 是很少很少，对于那些白帽做内网的授权渗透时，web服务器的数量更是越来越少，但由于公司对员工的管理以及安全部署，更是划分了各种vlan保护数据的 安全和员工的限制。有些对数据敏感的公司

metasploitable2基于ubantu的渗透演练环境。Rapid7官方长时间未更新，导致跟不上当前的节奏。metasploitable3出世。 metasploitable2配合metasploit的模块进行使用，速度很快。 metasploitable3更加难被攻破，有些漏洞在metasploit中没有漏洞利用模块，需要测试人员自己挖掘。 一台metasploitable是不够用的，真实攻击中都会牵连到很多服务器和计算机，它可以扩展，将metasploitable3安装到多台终端内，建立相关节点。 以下部分是渗透例子之一：从用nmap发现靶机存在多少端口，然后利用kali自带的DAVtest检测是否存在上传漏洞，到生成payload，到打开msf，加载exploit/multi/handler模块，设置好本地的端口与地址 https://github.com/rapid7/metasploitable3/wiki/Vulnerabilities 微软IIS 6.0以上的windows server 2008 R2/2012/2012 R2以及windows 7/8/8.1系统都会受到这个漏洞影响 set TARGETURI /caidao.asp 其他参考资料 http://www.youtube.com/watch?v=jDqmEY_3zY&t=1625s&index

0x00 APT的历史起源背景 APT通常是指一个组织，甚至可能一个政府支持下的组织，因为APT团体是一个既有能力也有意向持续而有效地进行攻击的实体。所以APT通常用来指网络威胁，特别是使用互联网进行间谍活动，利用各种情报搜集技术来获取敏感信息，但同样适用于诸如传统间谍活动或攻击等其他威胁。其他公认的攻击媒介包括受感染的媒体，供应链和社会工程。这些攻击的目的是将自定义的恶意代码放在一台或多台计算机上执行特定的任务，并在最长的时间内不被发现。了解攻击者文件（如文件名称）可帮助专业人员进行全网搜索，以收集所有受影响的系统。个人，如个人黑客，通常不被称为APT，因为即使他们意图获得或攻击特定目标，他们也很少拥有先进和持久的资源。 0x01 APT攻击定义 APT攻击（Advanced Persistent Threat，高级持续性威胁）是指组织(特别是政府)或者小团体利用当下先进的攻击手法对特定目标进行长期持续性的网络攻击。APT攻击的高级体现在于精确的信息收集、高度的隐蔽性、以及使用各种复杂的网络基础设施、应用程序漏洞对对目标进行的精准打击。攻击人员的攻击形式更为高级和先进，称为网络空间领域最高级别的安全对抗。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为。 APT(高级长期威胁)包含三个要素：高级、长期、威胁

php核心配置 register_globals 全局变量注册开关 设置为on时，把GET/POST的变量注册成全局变量 PHP 5.4.0中移除 allow_url_include 包含远程文件 设置为on时，可包含远程文件 PHP 5.2后默认为off allow_url_fopen　 打开远程文件 magic_quotes_gpc 魔术引号自动过滤 设置为on时，自动在GET/POST/COOKIE变量中',",\,NULL的前面加上\ PHP5不会过滤$_SERVER变量，PHP5.4以后移除 magic_quotes_runtime 魔术引号自动过滤 与mq_gpc的区别：mq_runtime只过滤从数据库/文件中获取的数据 PHP5.4以后移除 magic_quotes_sybase 魔术引号自动过滤 会覆盖掉_gpc；仅仅转义NULL和把'替换成" PHP5.4以后移除 safe_mode 安全模式 联动配置指令有很多；...... PHP5.4以后移除 open_basedir PHP可访问目录 用;分割多个目录，且以前缀而非目录划分 PHP5.2.3以后范围时PHP_INI_ALL disable_functions 禁用函数 如果使用此指令，切记把dl()函数也加入到禁用列表 display_errors/error_reporting 错误显示 d

提取固件的几种方法 1 从厂商网站下载 2 代理或镜像设备更新时的流量 通过MITM提取出下载URL，或许还需要设置UA 3 直接从设备转储固件 固件一般烧录在FlashROM上，通过以下几个方法获取 1 用编程器+烧录夹读取 2 用TTL小板连UART串口从bootloader中提取或者直接进shell 3 把FlashROM 切下来，再用编程器+烧录底座读取 4 Google搜索 固件中提取文件系统 1 binwalk binwalk -e binwalk -E 进行熵分析，判断是否有加密 文件系统分析方法 1 查看配置文件，Web 目录， 口令文件，查找后门等 find . -name "*.conf" 2 使用firmwalker 3 对二进制文件进行分析 动态分析 1 基于固件仿真的自动化脚本 Firmware Analysis Toolkit（Firmadyne的自动化脚本） Firmadyne 2 手工下载目标架构的debian镜像，chroot运行web服务器或其他需要测试的组件 3 有真机的情况 先root设备，再把gdb扔上去，在shell里面用gdb附加目标漏洞进程 4 qemu 路由器的构造 CPU FlashRom RAM 其他（网卡，天线，调试接口，各种元器件等） 挖洞主要关注FlashROM（可能需要真机提取固件） UART串口