渗透测试
文章平均质量分 67
aFa攻防实验室
专注于代码审计、WEB渗透、网络攻防、红蓝对抗等技术
展开
-
验证码识别Burp reCAPTCHA插件使用
介绍Burp的reCAPTCHA也可用来识别验证码,github地址:https://github.com/bit4woo/reCAPTCHA,下载相应的jar包添加到burp中,位置在extender-extensions-add下,添加成功后burp模块栏会多出reCAPTCHA一栏,如下图。使用拦截相应的验证码数据包,这里注意的是,不是登录数据包,二是验证码请求数据包,...原创 2019-12-11 21:29:46 · 4741 阅读 · 5 评论 -
Pkav HTTP Fuzzer识别验证码爆破
介绍Pkav HTTP Fuzzer这个可以识别验证码,用来进行web方面的爆破,现在看的话基本用的很少,因为我试的时候只能识别没有干扰元素的验证码,带干扰元素的就不行了,现在就连干扰元素的验证码也不多了,小站可能还有,大部分的验证码都是图片转正、图片拖到合适的位置、点相应的字、选择相应的物件等等。但这里还是记录下pkav http fuzzer的使用,简单的了解下。使用打开pkav ...原创 2019-12-11 21:29:31 · 6036 阅读 · 1 评论 -
端口扫描 - nmap - 全链接扫描
0x00:简介nmap 之前的隐蔽扫描方式主要是通过 sS 参数只像目标服务器发送 SYN 包根据返回结果来判断端口是否开放。全链接扫描参数是 sT,T 既代表 tcp 全链接,使用方法和隐蔽扫描无异,只不过由 sS 换成了 sT。0x01:nmap 全链接扫描端口方式还是范围方式,逗号方式,- 全端口方式,以及不写端口默认常用 1000 个端口的方式。以范围方式为例,如下图:...原创 2018-11-18 22:23:10 · 4703 阅读 · 0 评论 -
SNMP 扫描
0x00:简介snmp 即简单网络管理协议,snmap 会搜集其他设备的信息然后反馈给管理员,方便管理员进行管理。客户端发送这些信息用的是 162 端口,服务器接收用的是 161 端口。信息搜集中,如果目标服务器的 snmp 协议配置不安全,则可以通过扫描 snmp 来获取大量的服务器信息。以 windows2003 为例,安装 snmap。首先打开控制面板的添加删除程序,找到管理和监视工...原创 2018-11-26 22:36:09 · 4022 阅读 · 0 评论 -
Nikto 扫描
0x00:简介nikto 是一款用来发现 web 应用程序漏洞的一个工具,扫描的内容大概包括服务器软件的版本,比较版本是否为最新,现版本和最新版的差以及这个版本可能存在的漏洞。会搜索一些存在隐患的文件,例如测试文件,或者是网站备份文件等。也会去扫描服务器的配置漏洞,有没有默认配置,或配置不当的问题。然后就是网站上的一些常见的漏洞了,例如 top10 那种。0x01:nikto 基本使用...原创 2018-12-02 17:43:02 · 6218 阅读 · 1 评论 -
默认安装的 phpMyAdmin 会存在哪些安全隐患
0x00:简介phpMyAdmin 大家很熟悉了,很多服务器都会默认安全,用来管理数据库。默认安装的情况下会存在一些安全隐患。0x01:隐患首先是默认的 setup 目录,phpMyAdmin 安装后的 setup 目录可以直接访问,这个目录可以执行一些操作,暴露一些隐私信息,如下图:其次是,可以通过 phpMyAdmin 来修改 php 的 ini 配置文件,这意味着可以配置...原创 2018-12-20 23:50:38 · 2010 阅读 · 0 评论 -
登录可能存在哪些问题
登录可能存在哪些问题:01:登录没有做次数限制,可被暴力破解。02:登录不安全的提示,可猜测用户名和密码是否合法。03:登录验证码失效,可被暴力破解。04:登录验证码过于清晰,可被识别。05:手机短信登录,验证码可被爆破。06:手机短信登录,服务器验证码回显。07:手机短信登录,验证码可重复使用。08:手机短信登录有次数限制,末尾加任意字符,未做提纯可爆破。09:登录忘记密码短...原创 2018-12-28 22:33:32 · 1922 阅读 · 0 评论 -
metasploit 辅助模块简单使用
0x00:简介metasploit 的 auxitiary 模块也就是辅助模块,可用来进行主机发现、端口扫描、服务发现、服务检测等。0x01:使用metasploit 包含了多个模块,每个模块下都有很多相应的脚本,这些脚本在使用的时候可以通过 search 命令来进行模糊搜索,如果需要全局的看和学习,可以到 metasploit 下的 module 文件夹下查看。也可以根据需求...原创 2019-01-04 00:18:32 · 1705 阅读 · 0 评论 -
metasploit漏洞利用模块的简单使用
0x00:简介exploits 是漏洞利用模块,漏洞利用是攻击者利用服务器的漏洞进行攻击的一种行为,其中包含了主流漏洞的攻击代码。0x01:使用以 metasploitable2 为例,刚开始,可以通过 nmap 来查看下靶机的一些信息,信息搜集端口以及端口的服务和各版本是很重要的信息,nmap 的 sV 参数来获取系统及服务版本信息如下:可以看到给出的端口结果以及端口后面跑的...原创 2019-01-05 00:41:38 · 3477 阅读 · 3 评论 -
msf 提权和清除日志
0x00:介绍在获取目标系统 shell 后,如果遇到了普通的 user 账户,则在后渗透阶段会有一些局限性,例如获取 hash,修改注册表,装软件等,所以会涉及到接下来的提权操作,由 guest 到 user,最后到 administrator 级别。0x01:提权首先查看一下获取 shell 后的权限,进入 meterpreter 后输入 shell 进入目标系统的 cmd,然后输...原创 2019-01-17 22:06:53 · 1570 阅读 · 0 评论 -
防火墙识别
0x00:端口识别在检测防火墙是否对一个端口过滤还是关闭,可通过发送两个类型的数据包来判断,第一个是 syn 包,第二个是 ack 包。分别根据这两个包的返回来进行确认。正常的请求过程是发 syn,回 syn/ack,发 ack,回 fin/ack。两个发两个回,所以可以通过两回来确认。这里分为四种情况。第一种是最简单的,端口是开放状态,走的是正常的流程,所以 syn 应回 syn/ack...原创 2018-11-29 23:35:33 · 2265 阅读 · 0 评论 -
SMB/CIFS 扫描
0x00:SMB 简介SMB 是 Server Message Block 的缩写,现在改名为 CIFS,是 Common internet File System 的缩写。主要用于网络上的计算机共享文件,打印机,串行端口和通讯等。使用端口主要为 139 和 445,smb 不同版本对应了不同的操作系统,对应如下:139 和 445 都是 smb 的端口,其区别在于 139 端口是基于...原创 2018-11-28 22:47:32 · 3020 阅读 · 0 评论 -
端口扫描 - Scapy - 隐蔽扫描
0x00:简介端口扫描可分为三种,分别是隐蔽扫描、全链接扫描、僵尸扫描。隐蔽扫描:像服务器发起的请求不会经历完整的三次握手,首先会向目标服务器进行第一次握手,发送一个 SYN 包,然后根据服务器返回的 flags 来判断目标端口是否开放,flags 如果返回了 SA(SYN/ACK)则代表端口开放,SA 这个是正常的第二次握手,如果返回的是 RA(RSTS/ACK),则代表端口不开放,RA...原创 2018-11-14 22:47:48 · 2990 阅读 · 0 评论 -
端口扫描 - hping3 - 隐蔽扫描
0x00:简介hping3 通过 syn 包来进行端口扫描,设计的参数有:--scan 和 - S,scan 代表开始扫描模式,S 代表 syn 包检测。0x01:hping3 synhping3 端口书写格式和 nmap 几乎一样,首先是单个端口,格式是 hping3 1.1.1.1 --scan 53 -S,检测如下:第二种是多个多个不连续的端口需要用逗号分隔,格式是 hp...原创 2018-11-16 23:03:50 · 3154 阅读 · 0 评论 -
如何利用僵尸扫描来发现服务器的开放端口
0x00:简介渗透测试信息搜集阶段,在发现目标服务器所开放端口时,扫描方式可分为三种,分别是:隐蔽扫描,全链接扫描和僵尸扫描。全链接扫描:即正常的请求,过程包含了三次握手,判断端口开放的依据是第三次握手返回的信息是否为 FIN/ACK。隐蔽扫描:即只发送第一次握手的 SYN 包,判断端口开放的依据是返回的信息是否为 SYN/ACK,如果为 SYN/ACK 则端口开放,否则为未开...原创 2018-11-23 23:04:05 · 1009 阅读 · 0 评论 -
端口扫描 - nc - 全链接扫描
0x00:简介nc 在众多强大的功能中,也有端口扫描,主要的参数有以下几个:其中 n 参数作用是跟 ip 地址,不做 dns 域名解析,可以加快速度。v 参数是显示详细信息。z 参数就是扫描模式,默认就是 tcp 全链接扫描。w 参数是设置超时时间。nc 使用全链接方式扫描端口命令格式如下:nc -nvz 1.1.1.1 1-100。0x01:nc 全链接扫描端口首先执行其命令...原创 2018-11-19 21:22:18 · 6314 阅读 · 0 评论 -
端口扫描 - scapy - 全链接扫描
0x00:介绍端口扫描分为隐蔽扫描、全链接扫描、僵尸扫描。全链接扫描:隐蔽扫描是直接发的 syn 包,只进行第一次握手,通过返回的信息判断端口是否开放。全链接扫描顾名思义,像正常的请求一样去访问目标服务器,也就是要进行三次握手。有时候会受一些防火墙的影像,直接发送 syn 导致没有信息返回,判断不准确的情况,这时候可以用全链接方式进行扫描。弊端在于大量的全链接请求,而请求后又没有进行后...原创 2018-11-17 22:41:11 · 1815 阅读 · 0 评论 -
服务扫描获取 banner 信息的方法有哪些
0x00:简介banner 信息来表示欢迎语,其中会包含一些敏感信息,所以获取 banner 也属于信息搜集的范畴。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。在 banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。banner 信息获取的基础是在和目标建立链接后的,只有...原创 2018-11-24 12:06:56 · 15074 阅读 · 0 评论 -
目标操作系统识别
0x00:简介操作系统识别判断有两种形式,一种是简单的根据 ttl 的值来做判断,一种是根据服务器的通信特征然后和已有的特征库做对比,最后做判断。在识别的过程中也分两种形式,一种是主动探测,一种是被动探测。主动探测是主动向目标发送请求做的判断,被动是拦截通信的数据包,然后根据数据包的特征来做判断。主动方面可以使用 scapy 和 nmap,被动可以使用 p0f。0x01:ttl最简...原创 2018-11-25 18:06:26 · 1353 阅读 · 0 评论 -
服务扫描之服务识别
0x00:简介在服务扫描中,主要就是去发现端口上跑的是哪个服务。探测目标端口开放,并不能确定其服务,有时候 21 并非 ftp,80 也并非 web。他们只是默认端口,但不代表不可以更改。如果一些服务开放的端口不是默认的话,信息搜集便会受到很大的局限性。服务扫描分了两块,一个是 banner 信息获取,一个是服务识别,之前总结的 banner 信息获取中,banner 也存在不确定性,只能...原创 2018-11-24 18:56:48 · 3462 阅读 · 0 评论 -
metasploit 简介
0x00:简介metasploit 是一个开源框架,这个框架用来做渗透测试,其 msf 是由多个不同的模块组成的,在使用方面的话,可以在 kali 中直接使用,命令行 msfconsole 即可。metasploit 会经常更新其中的一些模块和内容,若在 kali 中使用,建议经常更新,命令一般是 apt-get update,apt-get upgrade,apt-get dist-up...原创 2019-01-03 00:02:33 · 2994 阅读 · 0 评论 -
msf 使用 hashdump 和 wce 提取 hash
0x00:介绍msf 在获取 shell 后为了更方便的进行渗透测试,可获取主机的 hash 以及域的 hash,即用户的密码,存在于 c 盘下的 windos 下的 system32 下的 config 下的 sam 文件中,以 hash 加密的方式存储,而系统开机后,hash 密码会以明文存在于内存中,获取 hash 的工具和方法有很多,这一节记录下 hashdump 和 wce 的使用。...原创 2019-01-21 17:41:30 · 11986 阅读 · 0 评论 -
暴力破解定义和预防
0x00:定义暴力破解可分为两种,一种是针对性的密码爆破,另外一种是扩展性的密码喷洒。密码爆破:密码爆破一般很熟悉,即针对单个账号或用户,用密码字典来不断的尝试,直到试出正确的密码,破解出来的时间和密码的复杂度及长度及破解设备有一定的关系。密码喷洒:密码喷洒和密码爆破相反,也可以叫反向密码爆破,即用指定的一个密码来批量的试取用户,在信息搜集阶段获取了大量的账号信息或者系统的用户,然后以...原创 2019-03-24 15:30:13 · 9503 阅读 · 0 评论 -
XFS框架脚本漏洞介绍
※ 介绍※XFS即Cross-FrameScripting跨框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。<!DOCTYPE html><html><head><meta charset="utf-8"><title></title><script&g...原创 2019-09-18 23:43:04 · 1061 阅读 · 0 评论 -
XPath注入
0x00:介绍我们都知道数据库,以表的形式来存储数据。除了数据库还有一种方式即以文件形式存储,例如 xml 文件 txt 文件等。当然像文件存储数据一般很少用,文件存储有弊端,数据过多时,读写都很慢没有索引。一些配置性的东西可能会存到 xml 文件中。xml 存数据结构和 html 有点像,比如根结点、子节点、属性节点、文本等。<?xml version="1.0" encodin...原创 2019-06-29 23:20:24 · 2780 阅读 · 0 评论 -
SSI注入
0x00:介绍SSI 是 Server Side Includes 的缩写,即服务端包含。我们都知道像后台语言 php、asp 等都有文件包含的函数 include,包含一些公共的函数库等。那么 html 也有这种包含的机制,我们可以把它叫做 SSI。SSI 还有一些使用情况例如,页面需要动态加入一些内容,这些内容常见的比如自己的 ip 地址,自己的位置信息等。SSI 默认的文件类型是 sht...原创 2019-06-28 21:14:12 · 917 阅读 · 0 评论 -
IMAP/SMTP 注入
0x00:介绍IMAP 就是 Internet Mail Access Protocol 的缩写翻译来就是邮件访问协议,也就是用来收邮件的(和它类似的还有个 POP3,也是用来收邮件的)。SMTP 就是 Simple Mail Transfer Protocol 的缩写翻译来就是邮件传输协议,也就是用来发邮件的。IMAP/SMTP 注入也就是收邮件发邮件的注入,有很多类似于这样的功能,例如...原创 2019-07-01 15:57:55 · 3866 阅读 · 0 评论 -
XML 注入
0x00:简介首先先简单的说一下 xml,看一下它的全名称,叫 Xtensible Markup Language,即可扩展的标记语言,可直接理解为内容可自定义扩展,标签可自定义扩展。其实就是一个文本格式的文件,以 xml 结尾,里面的标签内容可以自定义。它具有很清晰的层次结构,便于阅读,经常被用来做配置文件和存储数据。web 中用 xml 格式来传输数据和处理的功能也有很多。而后端没有对 x...原创 2019-06-15 17:15:20 · 8006 阅读 · 0 评论 -
ORM 注入
0x00:介绍ORM 注入是 Object Relational Mapping 的缩写,翻译过来就是对象关系映射。ORM 是写程序时的一种写法,以前写程序查数据库的时候都是代码加 sql 语句写到一起,程序庞大后就很难管理,很难维护。后来就把程序和 sql 语句分开了。同时 ORM 把 sql 的写法进行了封装,程序调用更为方便,能让程序员真正的去关注逻辑层代码,去面向对象编程。0x01...原创 2019-06-06 15:07:53 · 3255 阅读 · 0 评论 -
LDAP 注入与防御
0x00:介绍LDAP 全英文:Lightweight Directory Access Protocol,翻译过来就是轻量级的目录访问协议。其实就是访问目录,浏览目录。有很多企业存储一些数据信息,例如部门信息,部门里成员的信息,公司的可用设备信息等,这些信息单独放在类似于网站的那种数据库中的话,会显的有点大材小用,而把它们放在目录中,文本中最合适。好比在文档中搜索指定的内容,在目录中搜索指定...原创 2019-05-28 17:06:59 · 2615 阅读 · 0 评论 -
A3 跨站脚本攻击 XSS
0x00:审计介绍对于跨站问题也就是我们常说的存储、反射和 DOM 三种,在挖掘 XSS 上我们一般的思路是查找可能在页面上进行输出的变量,并检查这些变量是否可控,然后跟踪传递过程,查看后端处理是否对接收的内容进行过滤或编码,在前端显示时是否被 htmlencode 之类的函数做过处理。对于很多系统,不建议过滤特殊字符,一个体验不佳再一个有些系统是有需求可以输入特殊符号的,这时后台可以进行...原创 2019-04-19 01:29:28 · 534 阅读 · 0 评论 -
A2 失效的身份认证和会话管理
0x00:身份认证介绍我们先来介绍失效的身份认证,对于身份认证大家已经再熟悉不过了,其用来控制一些文件、数据、网页等访问的控制,例如最常见的账号和密码,各种登录功能等。除了账号和密码外,常见的还有一个是客户端证书,例如银行登录需要 U 盾或者一些证书插到物理机等。再一个生物识别,例如指纹和虹膜等。再一个基于设备的一次性密码,例如设备每分钟都会更改其访问密码,常见的例如银行字符 U 盾的随机 6...原创 2019-04-14 18:47:56 · 1446 阅读 · 1 评论 -
XSS 的绕过和防御
0x00:简介最近在整理 TOP10 的审计点,上篇文章介绍了 A3XSS 问题,这里的 TOP10 是以 2013 的来记录的,对于 XSS 因为篇幅原因上篇只记录了一些示例代码,这篇顺便补充一下 XSS 的绕过和防御。0x01:绕过XSS 绕过方法很多,涉及到的面也非常广泛,我们这里只记录常见的一些绕过方式。1,最基本的就是利用 <> 来写入 html 和 js 代...原创 2019-04-21 02:00:17 · 1322 阅读 · 1 评论 -
SSRF 漏洞记录
0x00:漏洞原理SSRF(Server-Side Request Forgery)也属于应用层上的一个漏洞类型,用一个最简单的例子来理解这个漏洞:比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来进行显示,而如果程序写法不严谨或者过滤不严格,则加载图片地址的...原创 2019-04-02 23:10:11 · 9998 阅读 · 0 评论 -
Burp Collaborator 使用总结
0x00:使用原因我们在做渗透测试的时候,经常会遇到这种情况,测试跨站可能有些功能插入恶意脚本后无法立即触发,例如提交反馈表单,需要等管理员打开查看提交信息时才会触发,或者是盲注跨站,盲打 XSS 这种。再例如 SSRF,如果程序不进行回显任何信息,而只提示你输入的是否合法,那么也无法直接判断程序存在 SSRF 漏洞,我们可以叫盲 SSRF。再例如 XXE,引入外部文件时,如果程序也不返回任何...原创 2019-04-07 19:26:16 · 14236 阅读 · 3 评论 -
粘滞键后门详述
0x00:介绍首先介绍一下粘滞键,粘滞键很多人都知道,windows 系统下连续按 5 次 shift 可调出其程序,但使用可能有一部分人不太了解,毕竟这个功能一般我们都用不到,粘滞键是为了那些按钮有困难的人设计的,也可理解为残疾,就是按键困难,一次只能按一个键的这种需求,那么如果用 ctrl+c,ctrl+v 这种快捷键或者其他需要组合的键时,就会有困难,不具备一次按两个或多个键的能力,那么...原创 2019-03-07 19:21:27 · 8650 阅读 · 2 评论 -
empire用法笔记
0x00:简介empire 是一个针对内网针对域控的一个渗透测试框架,和 msf 类似。其中集成了很多内网的一些工具以及命令,使用方便,且 empire 生成的木马文件基于 powershell,所以在 windows 平台上有很好的免杀效果。结合 msf 使用更是如虎添翼。empire 安装下载命令如下:git clone https://github.com/EmpireProjec...原创 2019-02-28 11:39:30 · 4479 阅读 · 4 评论 -
msf 端口扫描
0x00:介绍msf 端口扫描可以通过两个方式实现,一个是调用 nmap 来扫描目标机的开放端口,一个是利用自带的端口扫描模块来进行扫描。nmap 扫描方式直接在 msf 中输入相应的 nmap 命令即可,msf 模块扫描方式需要调用 auxiliary 下的 scanner 下的 portscan 下的脚本。0x01:msf 调用 nmap以 kali 为例,命令行输入 msfcon...原创 2019-02-12 15:22:04 · 6163 阅读 · 0 评论 -
渗透测试之信息搜集
现在很多测试者,不论是在公司测试项目,还是身为白帽子挖洞,大部分都是拿到就开始直接测,其实信息搜集作为渗透测试的第一个阶段,其重要性还是毋庸置疑的,我把之前关于信息搜集的内容整理了一下,录制了个视频,感兴趣可以看下。 公众号推荐:aFa攻防实验室...原创 2019-01-29 11:13:40 · 314 阅读 · 0 评论 -
linux 系统使用 cymothoa 添加后门
0x00:介绍cymothoa 是一个后门工具,利用代码 shellcode 会被注入到进程中,只要进程存在,后门就会有效,所以一般选择一些自其服务的进程来注入,例如 web 服务 mysql,apache 等。其后门所拥有的权限和注入的进程权限是相同的。当拿下目标 shell 后就可以使用 cymothoa 添加后门了。0x01:使用首先已经有了一个机器的 shell,我这里是 me...原创 2019-01-27 13:40:39 · 2880 阅读 · 0 评论