渗透测试

WEP 无线网络破解 WEP（无线等效协议）于 1999 年诞生，并且是用于无线网络的最古老的安全标准。在 2003 年，WEP 被 WPA 以及之后被 WPA2 取代。由于可以使用更加安全的协议，WEP 加密很少 使用了。接下来我会使用 AirCrack 套件来破解 WEP 密码。AirCrack 套件（或 AirCrackNG）是 WEP 和 WPA 密码破解程序，它会抓取无线网络封包，分析它们，使用这些 数据来破解 WEP 密码。 准备使用 AirCrack 来破解WEP 加密的网络会话。 1. 打开终端窗口，并产生无线网络接口的列表： airmon-ng 2. 在 interface 列下，选择你的接口之一。这里，使用 wlan0 。如果你的接口不同， 例如 mon0 ，请将每个提到 wlan0 的地方都换成它。 3. 下面，需要停止 wlan0 接口，并把它关闭，便于接下来修改 MAC 地址。 airmon-ng stop ifconfig wlan0 down 4. 下面，需要修改我们接口的 MAC 地址。由于机器的 MAC 地址会在任何网络上标识 你的存在，修改机器的标识允许隐藏真正的 MAC 地址。这里，用 00:11:22:33:44:55 。 macchanger --mac 00:11:22:33:44:55 wlan0 5. 现在需要重启 airmon-ng

端口 服务 入侵方式 21 ftp/tftp/vsftpd文件传输协议 爆破/嗅探/溢出/后门 22 ssh远程连接 爆破/openssh漏洞 23 Telnet远程连接 爆破/嗅探/弱口令 25 SMTP邮件服务 邮件伪造 53 DNS域名解析系统 域传送/劫持/缓存投毒/欺骗 67/68 dhcp服务 劫持/欺骗 110 pop3 爆破/嗅探 139 Samba服务 爆破/未授权访问/远程命令执行 143 Imap协议 爆破 161 SNMP协议 爆破/搜集目标内网信息 389 Ldap目录访问协议 注入/未授权访问/弱口令 445 smb ms17-010/端口溢出 512/513/514 Linux Rexec服务 爆破/Rlogin登陆 873 Rsync服务 文件上传/未授权访问 1080 socket 爆破 1352 Lotus domino邮件服务 爆破/信息泄漏 1433 mssql 爆破/注入/SA弱口令 1521 oracle 爆破/注入/TNS爆破/反弹shell 2049 Nfs服务 配置不当 2181 zookeeper服务 未授权访问 2375 docker remote api 未授权访问 3306 mysql 爆破/注入 3389 Rdp远程桌面链接 爆破/shift后门 4848 GlassFish控制台 爆破/认证绕过 5000 sybase

通过sqlmap检测sql注入漏洞 21.1 安装SQLmap漏洞查看工具 21.2 安装渗透测试演练系统DVWA 21.3 使用SQLmap进行sql注入并获得后台管理员adnim帐号和密码 安装SQLmap：Rich七哥64.cn IP：192.168.1.64 渗透测试演练系统DVWA：Rich七哥63.cn IP：192.168.1.63 21.1.1 sql注入概述： 所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 它是利用现有应用程序，可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击 例：12306.cn 帐号和密码泄露。 21.1.2 什么是SQLmap？ SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具，有一个非常棒的特性，即对检测与利用的自动化处理（数据库指纹、访问底层文件系统、执行命令）。 官方网站下载http://sqlmap.org/ 21.1.3 Rich七哥64上安装sqlmap 1、安装Python 环境 我系统中已经安装过了，没有的可以使用下面这条命令安装 [root@Rich七哥64 ~]# yum

前记 对于“渗透测试”这个事，我也时常纠结，尤其在“度”的方面上，毕竟自己还很年轻。个人感觉，渗透是在不影响单位正常运营的前提下的一场完整攻击，目标是一个面不是一个点。但是，大家都懂得2333。 入坑以来，跟着网上师傅们分享的各种好文章划来划去，终于肚子里有点墨水挤出来了，水了一篇基于隐秘测试的黑盒渗透测试的小文分享一下。本文主要分享下一些姿势和个人总结，文章涉及的工具可能比较多，就不一一举例用法了，毕竟不想搞成一个工具使用说明文*（相关工具用法搜索一下就有了）*，也不提供下载链接了，毕竟我是好公民。 LOVE 互联网的分享精神，LOVE 师傅们的好文章。—— FoxRoot 个人准备 搜集整理一套可靠的VPN或国外代理池或Tor或肉鸡或…… 准备一套新win+lin虚拟机并安装常用工具，不要使用实体机。 白天好好睡觉，晚上干活，万一对服务造成伤害还可以降低影响。 信息搜集 主动/被动搜集 信息搜集分为主动信息搜集和被动信息搜集。 主动信息搜集就是通过直接访问和扫描信息的方式进行收集信息，缺点是会记录自己的操作信息；被动信息搜集就是通过第三方服务进行信息搜集，缺点是收集信息有限。信息搜集是很重要的一部分，信息越全面对后面的攻击越有帮助，可以先尽最大努力的使用被动信息搜集方式最大效果的搜集信息，再使用主动信息搜集的方式搜集非被动搜集不到的信息。 常用套路 1. 搜集网站单位信息。

写在前面 渗透测试是门技术，也是一门艺术。 这门技术（艺术）一开始也不是每个人都会的，正所谓没有人一出生就会走路，从不懂到入门到深谙，一步步慢慢来，每个人都是这样；但是在这个过程中，思路无疑是最重要的，没有做不到只有想不到，就跟咱们高中解题时有了思路就迎刃而解一样，手里拿着铲子（技巧知识）但不是道从何挖起岂不是悲哀。 下面会分享一些我自己总结的常规渗透思路。 分享的思路就像一本书的索引一样，并不是每个点都有详细的技巧和各种原理分析，而是咱们如何下手如何一步步深入，在每个点上咱们知道了思路可以在每个点上查阅资料来攻破，继续前进。好比武功的招式套路，在总体套路不变的前提的下招招精进，也可以重组创新。 0×01 野球拳：外围 招式解释 野球拳：最基础但练得好最后也非常厉害 1． 主要由于服务器配置等原因造成的信息泄露 常用google ,bing等搜索工具，轻量级的搜索出一些遗留后门，不想被发现的后台入口，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配置密码filetype:lst password，php远程文件包含漏洞等重要信息。 包括Robots.txt不想让百度知道的，可能没有设置forbidden访问权限，让我们知道了路径可以进入哦。 2． 端口探测——服务 该项也是针对服务器的配置来说的

（本文仅为平时学习记录，若有错误请大佬指出，如果本文能帮到你那我也是很开心啦） 一、介绍 1.SQL注入工具： 明小子、啊D、罗卜头、穿山甲、SQLMAP等等 2.SQLMAP： 使用python开发，开源自动化注入利用工具，支持12种数据库 ，在/plugins/dbms中可以看到支持的数据库种类，在所有注入利用工具中它是最好用的！！！ 3.支持的注入类型： bool、time、报错、union、堆查询、内联 4.功能： 可以获取用户名、密码、权限、角色、数据库（表、字段、内容） 可以爆破识别密文数据 getshell（反弹shell） 命令执行 脱库或删库 二、SQLMAP的目录介绍： 目录 介绍 doc 介绍文档 extra sqlmap额外的功能，运行cmd、执行命令 lib sqlmap 的核心功能代码 plugins 包含12种数据库的识别程序 data 存放一些攻击过程种使用的工具或者命令 /data/procs 包含了mssql、mysql、oracle、postgresql这四种数据库的触发程序 /data/shell 远程命令、后门 /data/txt 表名、列名、UA字典 /data/udf 存放攻击载荷（payload） /data/XML 存放检测脚本（payload） tamper 包含各种绕过WAF的处理脚本 thirdparty 包含第三方插件

（本文仅为平时学习记录，若有错误请大佬指出，如果本文能帮到你那我也是很开心啦） 该复现参考网络中的文章，该漏洞复现仅仅是为了学习交流，严禁非法使用！！！ 一、介绍 CVE-2019-11043： 远程代码执行漏洞，使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞，可允许攻击者远程执行代码， 向Nginx + PHP-FPM的服务器 URL发送 %0a 时，服务器返回异常 该漏洞需要在nginx.conf中进行特定配置才能触发，具体配置如下 1 location ~ [^/]\.php(/|$) { 2 ... 3 fastcgi_split_path_info ^(.+?\.php)(/.*)$; 4 fastcgi_param PATH_INFO $fastcgi_path_info; 5 fastcgi_pass php:9000; 6 ... 7 } 攻击者可以使用换行符（％0a）来破坏fastcgi_split_path_info 指令中的Regexp，Regexp被损坏导致PATH_INFO为空，从而触发该漏洞 影响范围：PHP5.6-7.x （介绍源于 http://blog.leanote.com/post/snowming/9da184ef24bd 十分详细，感谢！！！） 二、漏洞复现过程 1.环境准备

编码方式过waf url编码，针对特殊情况可以两次URL编码 十六进制编码，针对某些数据，如特殊字符，特殊字符串等 unicode编码，使用两个字节编码一个字符，高位不足使用0填充 单引号：%u0027、%u02b9、%u02bc、%u02c8、%u2032、%uff07、%c0%27、%c0%a7、%e0%80%a7 空格：%u0020、%uff00、%c0%20、%c0%a0、%e0%80%a0 左括号：%u0028、%uff08、%c0%28、%c0%a8、%e0%80%a8 右括号：%u0029、%uff09、%c0%29、%c0%a9、%e0%80%a9 二进制编码，八进制编码 注释符号, select * from users where id='1' and 1=1;--'; 等价函数 hex() bin() ascii() sleep() benchmark() user() @@user 等价符号 and && or || 特殊符号 `version`() +，用户字符串链接 - .，用于连接，可以用于逃过空格和关键词的过滤 @，自定义变量， @aaa:=1; @@，系统变量 ~，！，%，（），[]，%00 mysql特性绕过 :=赋值，select @xxx:=user() 换行 %0a 隐式类型转换 当操作符与不同类型的操作数一起使用时

等价字符 空格：%20，+，（），%0a，%09，%a0，%0b，%0c，%0d，/**/等 =：like,regexp,liker,<>,! =等 and:&& or:xor &,^,||(and或or可以相互替换，只有两边条件不同) 逗号：盲注中from 1 for 1,联合查询中A join B mysql特性 =，：=，@ mysql中“=”为等于的意思，只有在update set时为赋值的意思 “：=”为复制的意思 在mysql中变量不需要定义，利用@变量名就直接调用 注释符 在mysql中可以使用的注释符有： /**/用于多行注释 -- (空格)，# mysql中独有的一个特性，注释符中叹号后边的内容就还可以解析，比如/*!and*/,并且叹号后边的数据小于或等于mysql版本号的话同样会解析 换行在mysql中换行后还是会执行 mysql的隐式类型装换 当操作符与不同类型的操作数一起使用时，会发生类型转换以使操作数兼容。则会发生转换隐式 来源： https://www.cnblogs.com/sym945/p/11785329.html

四、注入WEB脚本语言 ·1.动态执行漏洞 1.1 PHP中的动态执行 PHP函数eval可用于动态执行在运行时传送给该函数的代码。下面以一个搜索功能为例，该功能允许用户保存搜索，然后在用户界面上以链接的形式动态生成这些搜索。如果用户访问该搜索功能，他们使用下面的URL：https://wahh-app.com/search.php?storedsearch=\$mysearch%3dwahh 服务器端应用程序通过动态生成变量来执行这项功能，生成的变量包含在storedsearch参数中指定的名称/值对；在当前情况下，它创建值为wahh的变量mysearch。 $Storedsearch = $_GET['storedsearch']; eval(·$storedsearch;"); 这时就可以提交专门设计的输入，由eval函数动态执行，从而在服务器端应用程序中注入任意PHP命令。分号字符可用于在单独一个参数中将几个命令链接在一起。例如，要获取文件/etc/password的内容，可以使用file_get_contents或system命令： https://wahh-app.com/search.php?storedsearch=\$mysearch%3dwahh; %20echo%20file_get_contents('\etc\passwd') https://wahh