笔记

owasp top 10 2017
注入

B：Boolean-based blind（布尔型注入） 
E：Error-based（报错型注入）
U：Union query-based（可联合查询注入）
S：Stacked queries（可多语句查询注入）
T：Time-based blind（基于时间延迟注入）
Q：Inline queries（嵌套查询注入）

–dns-domain
失效的身份认证
敏感数据泄露
xxe （blind xxe）ftp协议
失效的访问控制
安全配置错误
跨站脚本攻击 反射xss 存储xss domxss
不安全的反序列化 java反序列化
Apache Commons Collections

这是开源小组Apache研发的一个Collections收集器框架，提供诸如list、set、queue等功能对象。这个框架中有一个接口，其中有一个实现该接口的类可以通过调用java的反射机制来调用任意函数，这个接口类是InvokerTransformer。这个架构的广泛使用，也导致了java反序列化漏洞的大面积流行

序列化和反序列化的原理已经有很多文章了,这里就不赘述了。PHP的类有很多的 ‘魔术方法’ ,比如:

__construct(), __destruct()
__call(), __callStatic()
__get(), __set()
__isset(), __unset()
__sleep(), __wakeup()
__toString()
__invoke()
__set_state()
__clone()
__debugInfo()

这么多的魔术方法中我们所需要关注的方法也就是__destruct() 和 __wakeup() 方法.这两个方法中前者是在对象被销毁时程序会自动调用,后者是在类对象被反序列化时被调用.所以这两个方法是在 对象反序列化一直到程序执行完毕这整个过程中,必定会被调用的方法,如果在这两个函数中有一些危险的动作,并且能够被我们所利用,那么漏洞并出现了。

使用已知漏洞组件
不足的记录和监控漏洞

owasp top 2013
注入
失效的身份认证和会话管理
跨站脚本攻击
不安全的直接对象引用
安全配置错误
跨站请求伪造
未验证的重定向和端口转发
使用已知漏洞组件
敏感信息泄露

2017 OWASP Top10威胁解读
A1：2017-Injection（注入漏洞）
A2：2017-BrokenAuthentication（中断身份认证）
A3：2017-Sensitive DataExposure（敏感数据泄露）
A4：2017-XML ExternalEntities（XXE）XML外部处理器漏洞
A5：2017-Broken AccessControl（中断访问控制）
A6：2017-SecurityMisconfiguration（安全配置错误）
A7：2017-Cross-SiteScripting（XSS）跨站脚本攻击
A8：2017-InsecureDeserialization（不安全的反序列化）
A9：2017-UsingComponents with Known Vulnerabilities（使用含有已知漏洞的组件）
A10：2017-InsufficientLogging & Monitoring（不足的记录和监控漏洞）

sql注入防御

1)对用户输入的特殊字符进行严格过滤，如’、”、<、>、/、*、;、+、-、&、|、(、)、and、or、select、union。
2)使用参数化查询（PreparedStatement），避免将未经过滤的输入直接拼接到SQL查询语句中。
xss和csrf区别？

CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统，类似于钓鱼。如用户当前已经登录了邮箱，或bbs，同时用户又在使用另外一个，已经被你控制的站点，我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你，你去点击一下，此时可能就会触发一个js的点击事件，构造一个bbs发帖的请求，去往你的bbs发帖，由于当前你的浏览器状态已经是登陆状态，所以session登陆cookie信息都会跟正常的请求一样，纯天然的利用当前的登陆状态，让用户在不知情的情况下，帮你发帖或干其他事情。

预防措施，请求中加入随机数，让钓鱼网站无法正常伪造请求。

XSS攻击的主要目的则是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的生份登陆，做一些破坏。

预防措施，防止下发界面显示html标签，把</>等符号转义

apt攻击手法：
水坑
鱼叉式网络钓鱼
u盘
web攻击途径
其他（内网文件共享，内网主动攻击）

快速获得域权限：
ms14068 KB3011780
gpp Get-GPPPassword.ps1 GPP中管理员给域成员添加的账号信息存在xml，可以直接破解拿到账号密码。https://blog.csdn.net/nzjdsds/article/details/94361554
sql server 弱口令和silver ticket spn攻击
本机账户通杀adminitrator incognito
domaincache破解
管理员配置错误
kerberos TGS服务凭证离线爆破(kerberoast)https://www.freebuf.com/articles/system/196434.html Kerberos协议探索系列之扫描与爆破篇

dc 定位

nltest dclist:xx.xx

net time /domain

systeminfo 中的 domain

ipconfig /all 中的 DNS Suffix Search List

扫描53端口，找 dns 位置

set log

net group "domain controllers" /domain

PowerView Get-NetDomainController

维持域权限：
金钥匙 这就是我说的金之钥匙【"golden ticket(s)"黄金票据】，利用这个的条件是你在原来搞定域控的时候，已经导出过域用户的HASH，尤其是krbtgt 这个用户的。但是在你在内网干其他事情的时候，活儿不细，被人家发现了，你拥有的域管理员权限掉了，你现在还有一个普通的域用户权限，管理员做加固的时候又忘记修改krbtgt密码了
dump 所有hash
边界服务器留webshell
bdf插pe
evilpassfilter
盯住管理员邮箱和聊天软件
vpn入口

psexec
wmi
如Metasploit的psexec psexec_psh，Impacket psexec，pth-winexe，Empire Invoke-Psexec
在win下要想执行命令有几种方法:

IPC上传at&schtasks远程执行

PSEXEC 这也是用的最多，但是会留下痕迹

WMI 最安全方法，没有任何知觉，所有window系统启用服务，但防火墙开启将会无法连接

PsRemoting posershel远程执行命令

常见的WMI攻击工具有这些:
PTH-WMIS (最早wmi攻击的工具，单条命令执行，无回显，需要pth-smbget配合读取结果)
impackets wmiexec(Linux跨window经常用)
wmiexec.vbs (国人制造 为了回显会写文件)
Invoke-WmiCommand&Invoke-PowerShellWmi

wmi
powershell wmi
winrm
powershell remoting
https://user.qzone.qq.com/4087605/blog/1499016051 如何优雅的在内网执行命令

无凭证 responder.py LLMNR 和NETBIOS net-NTLM-hash用hashcat破解后，得到明文后 横向移动 机器信息搜集 LaZagne
ms17-010 weblogic jboss st2漏洞

代理 lcx
reGeorg+Proxifier/proxychains
frp
ew
隧道
http
dns通道
smb

1.SYSVOL和组策略首选项中的密码
2.在未打补丁的域控上使用MS14-068关于Kerberos的漏洞进行攻击
3.kerberos TGS服务凭证离线爆破(kerberoast)
4.爆破
5.hash传递攻击到凭证传递攻击
6.获取活动目录中的数据库文件访问权限(ntds.dit)
ntdsutil
vssadmin
vssown
vshadow
dcsync获取域散列值
https://www.freebuf.com/articles/network/165392.html在你的内网中获得域管理员权限的五种方法
https://www.freebuf.com/articles/system/174967.html技术讨论 | 一次详细的Kerberoast攻击演示

https://www.cnblogs.com/backlion/p/7159296.html
Active Directory中获取域管理员权限的攻击方法
app安全—
运行环境安全
网络安全
数据安全
组件安全
应用安全
业务安全

jeb apk改之理
app抓包
情况1，客户端不存在证书校验，服务器也不存在证书校验。checkClientTrusted/checkServerTrusted
情况2，客户端存在校验服务端证书，服务器也不存在证书校验，单项校验。

反编译apk，找到校验证书方法，将校验部分删除，从而变成情况1，成功抓取数据包
JustTrustMe.apk 是一个用来禁用、绕过 SSL 证书检查的基于 Xposed 模块。JustTrustMe 是将 APK 中所有用于校验 SSL 证书的 API 都进行了 Hook，从而绕过证书检查。xposed的54的可以运行，高版本没有测试，可以自行测试。

Frida进行绕过(具体细节看参考1)，Frida安装教程参考，可以下载这里脚本。其中application.py脚本，我修改了一下:。
情况3、客户端存在证书校验，服务器也存在证书校验，双向校验。

下载JustTrustMe的源代码，进行编译，增加对这两个函数的hook，绕过拦截请求。重新编译绕过的JustTrustMe1.apk
首先我们尝试使用 JustTrustMe.apk进行绕过，如果发现绕过不了，可能客户端还存在其他校验，这里发现一个还使用了，如下
这里客户端可尝试frida hook进行绕过那个两个网络拦截方法，可自己尝试。

https双向认证
服务端
服务器认证，是因为服务端存有客户端的公钥，客户端自己用私钥进行签名，服务端用公钥进行验证。
要使用证书库，我们还需要找到证书库的密码，jeb反编译apk，搜索字符串证书名字字符串

ssl证书锁定 sslunpinning

app检测手机是否挂代理，微信 支付宝 抖音 proxifier+夜神+burp
app检测 绕过代理
1.fiddler+burp
2.wifi共享+proxifier+burp
3.使用virualxposed+justtrustme+burp
4。使用virualxposed+justtrustme+httpcanary

安卓手机绕过SSL Pinning

android Xposed+JustTrustMe ssl证书绑定

ios手机绕过SSL Pinning

SSL Kill Switch