• 1. 服务器渗透
  • 2. 信息收集 网站常见弱点 网络硬件入侵 WINDOWS提权 内网渗透 清理日志及做跳板 WEBSHELL查杀主要内容
  • 3. 信息收集
  • 4. 1.服务器信息 2.域名信息 3.网站信息
  • 5. 使用ping命令知道目标服务器的ip地址。 访问http://www.ip138.com 查询目标ip。
  • 6. Ping www.baidu.com-->61.152.171.171
  • 7. (本页无文本内容)
  • 8. (本页无文本内容)
  • 9. 域名信息查询 通过访问 http://www.nihao.net 1.查询域名注册人 2.查询域名注册时间 3.查询域名注册电话 4.查询域名注册E-mail
  • 10. (本页无文本内容)
  • 11. 判断操作系统方法一:用大小写转换: http://www.sina.com.cn/news.htmL 把其中L为大写,WINDOWS对大小写不敏感,而且*NIX敏感 如显示正常为WINDOWS,如显示错误则为*NIX的
  • 12. (本页无文本内容)
  • 13. 方法二 访问一个不存在页面看返回的错误信息 http://www.mop.com/asd Not Found The requested URL /asd was not found on this server. -------------------------------------------------------------------------------- Apache/2.0.55 (Unix) Server at www.mop.com Port 8
  • 14. 方法三:显示BANNER 前面的两个方法都是404出错页面,只能用在默认服务器上. 用nc www.microsoft.com 80 然后随便输入任何也可以提到相关提示
  • 15. (本页无文本内容)
  • 16. (本页无文本内容)
  • 17. 21(ftp),22(ssh),23(telnet),25(smtp),80(http),110(pop3),3389(只能用MSTSC连接)
  • 18. 扫描器
  • 19. 世界级优秀扫描器nmap最早为*NIX,后来移植到WINDOWS平台上。 Zenmap为GUI
  • 20. (本页无文本内容)
  • 21. (本页无文本内容)
  • 22. 命令行的功能更强Nmap –sS ;采用syn扫描,这种扫描通过发送一个SYN包(是TCP协议中的第一个包)开始一次SYN的扫描。任何开放的端口都将有一个SYN|ACK响应。然而,攻击者发送一个RST替代ACK,连接中止。三次握手得不到实现,也就很少有站点能记录这样的探测。假如是关闭的端口,对最初的SYN信号的响应也会是RST,让nmap知道该端口不在监听。这种扫描的优点是不建立TCP连接,不会在服务器日志里留下记录,而且速度快。
  • 23. Nmap –sT:要用建立TCP连接的扫描方式,就使用-sT选项,虽然这样会在防火墙日志里留下记录而且较慢,但是比较可靠。因为某些防火墙能检测SYN扫描,这时我们用SYN方式就什么也扫不出来了。
  • 24. Nmap –sU:发送空的UDP报头到每个目标端口来探测UDP协议的端口。
  • 25. nmap -P0 -O -sS 192.168.157.1,-P0的意思就是说不先ping直接扫描,-O就是探测对方系统版本
  • 26. 要扫描所有端口,就执行:nmap -sS 192.168.157.1 -p 1-65535
  • 27. 国内XSCAN
  • 28. (本页无文本内容)
  • 29. DNS反向查询http://www.myipneighbors.com,http://www.domaintools.com/reverse-ip,http://whois.webhosting.info Nslookup
  • 30. www.sina.com.cn
  • 31. 整站程序源码的判断如果能拿到网站的源码,那就能进行有针对性的入侵了,网站的默认后台口令、后台地址、上传页面等等都是宝贵的信息,甚至你还可以找找源码里的漏洞或是搜索一下该整站程序之前出过什么漏洞。根据我的经验,一些中小型网站如果看上去界面设计的十分华丽、功能也很强大,那十有八九是现成的整站程序,因为它们不具备自己开发的能力。
  • 32. (本页无文本内容)
  • 33. 判断整站程序工具:http://www.seeknot.com 了结网 需要找一个生僻的文件名:如imglist.aspx
  • 34. 网站常见弱点
  • 35. 注入点某些网站是采用post方式对脚本提交参数的,所以我们在IE地址栏中看不到参数,只有一个脚本文件的地址,如果你发现某个网站上的很多新闻链接,在被点击之后跳转到了同一个脚本文件,而且该脚本在不加参数的情况下显示出了不同新闻,那就说明是这种情况。这种方法并不能隐藏注入点,如果你熟悉html语言的话,可以在网页源文件里找到提交给脚本的参数,或者你还可以用winsock expert一类的sniffer抓一下它的http数据包,看看它用post方式提交了哪几个参数。知道了提交的参数,你就可以在IE地址栏里填写完整的URL,用get方式提交试试,一般是和post现实的结果一样的,如果该脚本不接受get方式提交的参数,那你也可以用minibrowser一类的工具采用post方式提交参数,其实很多注入工具都可以设置成post方式,不过他们当初这样设计的初衷是想避免在日志中留下痕迹。解决了参数的问题,之后的注入方法与普通的注入无异
  • 36. 还有一些网站,在点击链接之后会跳出较小的IE窗口,比如一些通知、投票结果的查看等等。这些小窗口是没有地址栏的,无法直接看到它的网址,遇到这种情况只需按F11就能实现窗口变大,地址栏也就显示出来了,再按一下F11又恢复成之前的大小
  • 37. 可能很多新手有个误区,认为只有最后一个参数才能注入,实际上任何一个参数都可能注入。比如:www.xxx.com/1.asp?x=10&y=abc&z=p,可以看到提交了3个参数x、y、z,它们之间用“&”隔开,如果你要看x是否存在注入,可以提交: www.xxx.com/1.asp?x=10 and 1=1&y=abc&z=p www.xxx.com/1.asp?x=10 and 1=2&y=abc&z=p
  • 38. 传统注入工具的使用明小子注入工具3.5 啊d注入工具 穿山甲注入工具 管中窥豹注入工具
  • 39. 明小子3.5
  • 40. 啊D注入工具
  • 41. 穿山甲
  • 42. 管中窥豹
  • 43. WSCANscan是国内高手cooldiyer的作品,它全面地收集了常见的敏感路径,能够扫描目标网站根目录下的敏感页面,比如:备份文件夹、后台、上传页面、数据库、常见漏洞等,语法如下: usage: wscan <-v> <-h Host> <-r RulesFile> <-p Port> <-m MaxThread> <-t Timeout> <-l LogFile>
  • 44. (本页无文本内容)
  • 45. (本页无文本内容)
  • 46. Dscan
  • 47. (本页无文本内容)
  • 48. google hack搜索遍历目录:DVBBS中pay_boardlimited.asp 百度搜索的可能会更多一些
  • 49. (本页无文本内容)
  • 50. 针对动易,就可以搜索editor_tableprops.asp,这是动易根目录下的Editor目录里的一个文件,大家找到这个目录存在遍历的网站,只要将Editor目录改为database目录就能看到数据库了。另外我发现改变不同的生僻文件名,所得到的结果也不同,所以大家要自己动脑确定关键字才会有更多发现。
  • 51. 搜索这些遍历目录的共同关键字 “转到父目录”、“index of”或是“To Parent Directory”
  • 52. google hack也可用来查找指定网站的后台地址,当你无法用类似于wscan的工具扫描到网站后台时,不妨在google里搜索:“admin site:www.xxx.com”、“manege site:www.xxx.com”、“后台 site:www.xxx.com”、“管理 site:www.xxx.com”、“密码 site:www.xxx.com”、“登陆 site:www.xxx.com”、“inurl:admin site:www.xxx.com”、“inurl:manege site:www.xxx.com”……,可能会有意外发现,因为搜索引擎机器人总能找到一些隐藏很深的页面
  • 53. robots.txt放置在一个站点的根目录下的纯文本文件 网站管理者可以声明该网站中不想被搜索引擎机器人访问的部分,或者指定搜索引擎只收录指定的内容。但是这却起到了欲盖弥彰的作用,就像是此地无银三百
  • 54. http://www.ibm.com/robots.txt
  • 55. 直接寻找缺少验证的上传页面是个不错的主意,一旦上传成功就能直接得到webshell。你可以搜索“inurl:upload.php filetype:php”、“inurl:uploadfile.php filetype:php”、“inurl:upfile.php filetype:php”,
  • 56. 用google hack寻找别人留下的webshell,我们要找的当然是那种无需验证、功能简陋的小马。首先我注意到了国外比较常见的webadmin.php这个phpshell,它的标题就是webadmin.php,我于是查询关键字intitle:webadmin.php filetype:php,在前几页就找到了世界各地的10几个webadmin.php
  • 57. (本页无文本内容)
  • 58. 国外大名鼎鼎的C99Shell,这个功能强大的phpshell没有验证,直接访问就能使用。它的常见版本在一开头都有这么一句“C99Shell v. 1.0 pre-release build”,然后是某某数字,那我们就搜索关键字C99Shell v. 1.0 pre-release build filetype:php,这次搜索出了更多的外国webshell,连阿拉伯的网站都有,轻轻松松就拿了很多webshell,等于让别人帮我们入侵,如图6-15。当然也有的搜索结果打开是404未找到,说明我们来晚了,webshell被管理员删了
  • 59. (本页无文本内容)
  • 60. 管理员的好助手phpmyadmin,发现phpmyadmin的页面的标题栏总是包括“phpmyadmin”,而内容一般都包括一句“running on localhost as root@localhost”,当然它不一定都是用root连接数据库的。那我就搜索intitle:phpmyadmin intext:running on localhost as root@localhost,就这样,全世界没有藏好的phpmyadmin又都出现在我面前。点开这样的搜索结果最好将php脚本的参数都去掉,因为搜索引擎提供的是各个页面的phpmyadmin。
  • 61. 国产的jsp小马,根据页面最下方的作者联系邮箱构造关键字:cqq1978@Gmail.com filetype:jsp
  • 62. (本页无文本内容)
  • 63. 挖掘鸡
  • 64. (本页无文本内容)
  • 65. 可以用挖掘鸡寻找别人留下的webshell,因为一般是不会有超级链接指向webshell的,所以只有用挖掘鸡才能发现这种不可告人的网址。对于用过asp一句话木马留下的采飞扬网站小助手,它的默认文件名是help.asp,常常出现的路径,我随便想了几个:/,/up/,/upload/,/uploadfile/,/upfile/,/admin/,/manage/,/data/,/database/,我就用help.asp上的一句话作为特征字串“本文件绝对的路径”。关键词用inurl:asp就行了,搜出来的都是asp的网站。不一会就找到一个,双击搜索结果还能在右边打开它
  • 66. (本页无文本内容)
  • 67. cookie欺骗cookie是被网络服务器发送出来以存储在浏览器上的一个文件,从而下次这位访客又回到该网络服务器时,可从该浏览器读回此cookie,以供网站作出相应措施。cookie存于C:\Documents and Settings\你的用户名\Cookies,很多网站只需你登陆一次,以后再访问就无需登陆了,这里采用的就是cookie验证。
  • 68. 网站是认cookie不认人的,冒名顶替就有可能发生,这就叫cookie欺骗
  • 69. 凡人网络购物系统V8.0 看ad_chk.asp中的代码: <% if Request.Cookies("venshop")("admin_name")="" or Request.Cookies("venshop")("admin_pass")="" or Request.Cookies("venshop")("admin_class")="" then Response.Cookies("venshop")("admin_name")="" Response.Cookies("venshop")("admin_pass")="" Response.Cookies("venshop")("admin_class")="" response.redirect "ad_login.asp" response.end end if %>
  • 70. 当admin_name、admin_pass和admin_class有一个为空时,就跳转到ad_login.asp这个登陆界面。而ad_admin.asp里有这么一句:
  • 71. 就是说admin_class为0,就判断此用户是总管理员。 满足下面3个条件就能冒充总管理员了: 1. admin_class为0。 2. admin_name非空。 3. admin_pass非空。
  • 72. (本页无文本内容)
  • 73. Cookie欺骗在XSS会有特别重要的作用
  • 74. 后台拿WEBSHELL顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。   webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。
  • 75. 动网 6.0 备份数据库拿shell登陆前台上传asp木马
  • 76. 动网 6.0 备份数据库拿shell登陆后台
  • 77. 备份数据库
  • 78. 数据库合并备份法利用后台备份
  • 79. (本页无文本内容)
  • 80. (本页无文本内容)
  • 81. (本页无文本内容)
  • 82. 将asp木马和数据库合并上传 上传一个写入一句话木马的数据库,再进行备份
  • 83. 将网站上的脚本文件备份为其它扩展名的文件而使其暴露源码,比如关键的conn.asp
  • 84. 上传漏洞后台直接允许上传,不限制扩展名 检测上传扩展名,一般用JAVASCRIPT等脚本在浏览器端检测代码,可以在INTERNET的安全选项中禁用这些脚本的执行即可 或将上传页面另存为HTM文件,去掉其中的检测代码,修改正确的提交地址也可.
  • 85. NULL BYTE服务器端检测也不一定就安全,因为有可能存在null byte上传漏洞 所谓null byte就是十六进制的0x00,它在windows里是一个字符串结尾的标识,与此相对,asp脚本是允许文件名里出现0x00的,那么如果我上传muma.asp0x00.jpg呢,asp会当作它是一个jpg文件而允许上传,而当它被传到目录里的时候,windows以为文件名在0x00那里就结束了,所以文件名就成了muma.asp,上传漏洞就形成了
  • 86. (本页无文本内容)
  • 87. 网络硬件入侵
  • 88. 扫描路由器的弱口令 ADSL密码终结者
  • 89. (本页无文本内容)
  • 90. (本页无文本内容)
  • 91. IP地址和口令都在上面显示,赶紧登陆web管理去看看,可以看到很多配置信息。有些人上网是用路由器拨号的,所以拨号帐户会保存在路由器里,密码框那里会将密码显示为点,不要紧,打开网页源文件看看,密码就藏在那里面,如图6-28
  • 92. (本页无文本内容)
  • 93. telnet
  • 94. ftp
  • 95. windows提权
  • 96. 拿到WEBSHELL后提权 NET START 看PROGRAME FIKES\ NETSTAT –ANO 主要是依靠第三方软件提权
  • 97. server-u提权利用工具,但好多不能免杀 http://www.xfocus.net/tools/200409/818.html下载该工具的源码,用vc++编译 利用SU.EXE 来执行命令 如:su “net user hyq /add”
  • 98. server-u在版本6之后提供了修改本地管理密码功能,允许管理员修改默认口令#l@$ak#.lk;0@P 修改之后的口令可能会被存储在ServUDaemon.exe serv-u提权综合工具 可以直接读出
  • 99. 利用winhex防止提权
  • 100. 修改后的口令是以密文的形式存在ServUDaemon.ini里的LocalSetupPassword
  • 101. 避免提权只要建立对server-u设置访问管理密码,就能彻底解决提权问题
  • 102. (本页无文本内容)
  • 103. pcanywhere提权默认端口:5631 pcanywhere的密码存放在“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中的cif文件里。而webshell是有权限访问这个文件夹的,先将其下载
  • 104. (本页无文本内容)
  • 105. 用在线工具解密 http://www.cha88.cn/safe/online_pcAnywhere.php
  • 106. (本页无文本内容)
  • 107. 只对12版本以前有效 webshell对“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”是有写权限的,所以就可以先在本地装好pcanywhere,再建立一个帐户,找到本地的“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”文件夹,将这个新建帐户对应的cif文件上传到服务器的“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”文件夹,这样就等于给服务器增加一个了新帐户,我们同样能用这个帐户登陆到服务器上。
  • 108. radmin提权radmin是一款很流行的远程控制工具,非常受大家欢迎,它是以屏幕传输速度快而著称的,默认端口是4899
  • 109. 加密后的哈希值放在:HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\Paramete 修改客户端:去掉输入的密码加密的步骤,直接用哈希值登录
  • 110. 也可以用海阳顶端来读:
  • 111. 可以执行regedit命令得到注册表的内容,用webshell执行: regedit /e C:\Inetpub\wwwroot\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters
  • 112. For win2003 reg export HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\ C:\Inetpub\wwwroot\1.reg
  • 113. (本页无文本内容)
  • 114. sql server提权找到CONN.ASP 从中得到SA密码 用工具远程连接1433端口 xp_cmdshell存储扩展 利用此相关提权命令
  • 115. 本地溢出很少 而且会蓝屏 net user 111 /add & net localgroup administrators 111 /add
  • 116. 替换系统服务 本提权漏洞存在于Panda Antivirus 2008中,在默认安装下,C:\Program Files\Panda Security\Panda Antivirus 2008\这个目录被设为everyone可以完全控制,也就是说无论哪个帐户都能修改其中的文件。这个目录里的PAVSRV51.exe是被服务启动的,我们只要用webshell将其重命名为PAVSRV51.bak或其它名字,再将能加管理员帐户的程序存为此目录下的PAVSRV51.exe,当服务器重启的时候就成功提权了
  • 117. FTP客户端密码文件的解密cuteFTP、leapFTP和flashFXP ftp客户端都提供了记忆IP、用户名和密码的功能 用webshell将这些文件下载下来,并在本地也安装同样ftp客户端,用服务器上的配置文件覆盖本地的配置文件
  • 118. uteFTP的配置文件位于“C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP Pro\x.0\sm.dat
  • 119. (本页无文本内容)
  • 120. leapFTP的配置文件就是leapFTP安装目录下的SITES.INI user=后的就是用户名,pass=后的乱码就是密码的密文
  • 121. (本页无文本内容)
  • 122. flashFXP的配置文件就是其安装目录下的stats.dat ,quick.dat
  • 123. 远程桌面的开启Terminal Services 启动
  • 124. win2000echo Windows Registry Editor Version 5.00 >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg echo "Enabled"="0" >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>3389.reg echo "ShutdownWithoutLogon"="0" >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>3389.reg echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg echo "TSEnabled"=dword:00000001 >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg echo "Start"=dword:00000002 >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>3389.reg echo "Start"=dword:00000002 >>3389.reg echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg echo "Hotkey"="1" >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg echo "PortNumber"=dword:00000D3D >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg echo "PortNumber"=dword:00000D3D >>3389.reg
  • 125. win2003echo Windows Registry Editor Version 5.00>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg echo "fDenyTSConnections"=dword:00000000>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg echo "PortNumber"=dword:00000d3d>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg echo "PortNumber"=dword:00000d3d>>3389.reg
  • 126. 内网渗透利用TCP/IP协议弱点 社会工程学
  • 127. 用cain进行arp sniff
  • 128. (本页无文本内容)
  • 129. (本页无文本内容)
  • 130. (本页无文本内容)
  • 131. (本页无文本内容)
  • 132. (本页无文本内容)
  • 133. (本页无文本内容)
  • 134. (本页无文本内容)
  • 135. DNS欺骗所谓DNS欺骗,就是通过种种手段使DNS服务器返回攻击者指定的IP而不是查询域名所对应的IP
  • 136. 利用CAIN
  • 137. 远程溢出webdav溢出、rpc远程溢出、BIND远程溢出.ms0867溢出 在网吧也会有,因为有还原卡
  • 138. (本页无文本内容)
  • 139. 清理日志及制作跳板
  • 140. 主要是清除证据 在追中需要了黑客的攻击的IP,时间等信息
  • 141. 删除日志的工具——logkiller 把本机的所有日志都删除,包括应用程序日志、安全日志和系统日志。IIS的FTP服务日志、SMTP服务日志和HTTP服务日志,以及计划任务日志等
  • 142. (本页无文本内容)
  • 143. 制作跳板所谓跳板就是攻击者和受害者之间的代理,它可以帮助攻击者隐藏自己的IP,受害者上的日志只会显示出跳板的IP,而真正的幕后黑手则无从查起
  • 144. Skserver ccproxy
  • 145. (本页无文本内容)
  • 146. webshell的查杀
  • 147. 雷客图ASP站长安全助手
  • 148. 计算哈希值
  • 149. Q&A