分享学习网络的点点滴滴

● 从内存dump中恢复文档图片，支raw、dd、iso、vmem等格式。● 分析iTunes生成的iPhone手机备份文件，并非电话。● Open Evidence #红色标识已经删除的文件。● 远程桌面、画图工具、Virtualbox虚拟机。● 适用于ext3、ext4文件系统的反删除工具。● 使用kali光盘启动计算机创建硬盘镜像文件。● 发现恢复已经删除和隐藏的文件。● 留足存储镜像文件的存储空间。● 非常流行的硬盘镜像分析工具。● 其他文字处理程序也 适用。● 计算机取证技术参考数据集。

法医的、用于法庭的、辩论学、法医学为了侦破案件还原事实真相，收集法庭证据的一系列科学方法参考本地区法律要求实践操作通用规则。

● Metasploit发现两个远程代码执行漏洞○ 问题都出在WEB组件方面○ MSF不受影响● 安全面前任何软件都是平等的○ 没有绝对安全的软件。

● 作者自称是众多不会使用metasploit的安全专家之一（命令行）● MSF基于命令行，缺少直观的GUI图形用户接口。

○ 利用漏洞取得的meterpreter shell运行于内存中，重启失效○ 重复exploit漏洞可能造成服务崩溃○ 持久后门保证漏洞修复后仍可远程控制。

【代码】Msf后渗透测试阶段_POST模块。

● 已经获得目标系统控制权后扩大战果○ 提权○ 信息收集○ 渗透内网○ 永久后门● 基于已有session扩大战果。

● 构造PDF文件仅支持8.1.2软件版本和XP系统；● 构造恶意网站● 之后可以通过Meterpreter进行下一步操作。

● 根据信息收集结果搜索漏洞利用模块● 结合外部漏洞扫描系统对大IP地址段进行批量扫描● 误判率、漏判率。

○ TCP 1433 (动态端口) / UDP 1434 （查询TCP端口号）● 支持POP3、imap、ftp、HTTP GET协议。● 扫描命名管道，判断SMB服务类型（账号、密码）● 扫描通过SMB管道可以访问的RCERPC服务。● 支持从pcap抓包文件中提取密码。● SMB共享枚举（账号、密码）● SMB用户枚举（账号、密码）● SID枚举（账号、密码）● Windows缺少的补丁。● 功能类似于dsniff。● Mssql扫描端口。● 爆破mssql密码。

● 基于meterpreter上下文利用更多楼哦对那个发起攻击● 后渗透测试阶段一站式操作界面。

【代码】生成payload。

执行成功然后进入会话就能连接到shell。

首先启动msfdb。

● Msfconsole使用接口○ 最流行的用户接口○ 几乎可以使用全部MSF功能○ 控制台命令支持TAB自动补全○ 支持外部命令的执行（系统命令等）○ 点击鼠标启动 / msfconsole -h -q -r -v / exit○ help /？

■ 三种Payload：/usr/share/metasploit-framework/modules/payloads/○ Auxiliary：执行信息收集、枚举、指纹探测、扫描等功能的辅助模块（没有payload的exploit模块）○ Exploits：利用系统漏洞进行攻击的动作，此模块对应每一个具体漏洞的攻击方法（主动、被动）■ Shellcode是payload的一种，由于其建立正向/反向shell而得名。■ Stages：利用stager建立的连接下载的后续payload。

● MSF默认集成与kali linux之中● 使用postgresql数据库存储数据○ 早期版本需要先启动数据库再启动msf。

● 被HD More称之为当时最好的Metasploit教材（2011/2012）● 新出现的漏洞PoC/EXP有不同的运行环境要求，准备工作繁琐。● 基于Metasploit进行渗透测试和漏洞饭呢西的流程和方法。● 大部分时间都在学习不同工具的使用习惯，如果能同意就好了。● 目前最流行、最强大、最具扩展性的渗透测试平台软件。○ 一定程度上统一了渗透测试和漏洞研究的工作环境。○ 目前分化为四个版本，社区版本仍然十分活跃。● Pro版是企业级全功能的高级渗透测试平台。○ 新的攻击代码可以比较容易的加入框架。

● 基于流量劫持动态注入shellcode（ARP spoof、DNS spoof、Fake AP）● 全站HTTPS防注入（微软每个补丁都带马）● Bdfproxy代理注入代码。● Mana创建Fack AP。● Msf侦听反弹shell。● PE文件证书签名可被清除。○ BDF默认清除数字签名。

● 通过替换EXE、DLL、注册表等方法修复系统漏洞或问题的方法● BDF：向二进制文件中增加或者删除代码内容○ 某些受保护的二进制程序无法patch○ 存在一定概率文件会被patch坏掉● 适用于windows PE x32/x64和Linux ELF x32/x64(OSX)● 支持msf payload、自定义payload● 将shellcode代码patch进模板文件，躲避AV检查● Python语言编写● 覆盖程序入口● 创建新的线程执行shellcode并跳回原程序入口● 增加代

● 集成veil-evasion生成免杀payload或自定义payload● 使用Impacket上传二进制payload文件● 使用passing-the-hash出发执行payload。

● 属于Veil-framework框架的一部分● 由Python语言编写● 用于自动生成免杀payload○ 集成msf payload，支持自定义payload○ 集成各种注入技术○ 集成各种第三方工具○ 继承各种开发打包运行环境。

● 编码后的程序会降低一定的检测率，但由于加密程序过于有名，所以效果不明显● 利用模板隐藏shell● 利用模板隐藏进行加密● 软件开发商为保护版权，采用混淆和加密软件避免盗版逆向● 常被恶意软件用于免杀目的● Crypter / Container（解密器+PE Loader）这样生成的程序，会进一步降低被杀概率Linux shell说明是可用的● 而且是免杀的，无法被检测出来

● 病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序● 在用户非资源的情况下执行安装● 出于某种恶意的目的：控制、窃取、勒索、偷窥、推送、攻击。。。。。

● 正常的HTTP请求，非正常的HTTP请求式DDoS。● 随机攻击向量，keep-alive，避免缓存命中。● 支持协议：TCP/HTTP/UDP/ICMP。● 随机产生大量唯一的地址请求，避免缓存命中。● 7层拒绝服务工具（模拟多个僵尸机）● 以上DoS工具不隐藏真实IP地址。● http/https拒绝服务工具。● 安全研究为目的Python工具。● 招募志愿者发发放以上工具。● 随机端口的TCP连接洪水。● 基于TCP连接的攻击。● 应用层DDoS攻击。● Python脚本。

● 慢速应用层HTTP POST攻击，与slowhttptest原理相同● 每次只传输一个字节的数据● 美剧“黑客军团”中曾提到此攻击手段● 攻击又表单WEB页面，攻击时需指定攻击的参数名称从上面的网站进行下载，解压即可● 如上图，修改一下rudeadyet.conf修改一个你要攻击的URL，attack_parameter后面跟着你要攻击的表单名DVWA无法访问。

● 服务代码存在漏洞，遇异常提交数据时程序崩溃● 应用处理大量并发请求能力有限，被拒绝的是应用或OS● 向目标函数随机提交数据，特定情况下数据覆盖临近寄存器或内存● 影响：远程代码执行、DoS● 利用模糊测试方法发现缓冲区溢出漏洞Ms12-020远程桌面协议DoS漏洞● 低带宽应用层慢速DoS攻击（相对于CC等快速攻击而言的慢速）● 最早由Python编写，跨平台支持（Linux、win、Cygwin、OSX）● 尤其擅长攻击apache、tomcat● Slowloris、Slow HT

○ 升级到ntpd 4.2.7p26及以上的版本（默认关闭monlist查询）● NTP服务提供monlist（MON_GETLIST）查询功能。● 客户端查询时，NTP服务器返回最后同步时间的600个客户端IP。○ 每6个IP一个数据包，最多100个数据包（方法约100倍）● 电子设备互相干扰导致时钟差异越来越大。● 影响应用正常运行，日志审计不可信。○ 手动关闭monlist查询功能。·○ 监控NTP服务器的状况。● 服务端口UDP 123。● 保证网络设备时间同步。

○ 管理信息数据库（MIB）是一个信息存储库，包含管理代理中的有关配置和性能的数据，按照不同分类，包含分属不同组的多个数据对象。定义SNMPbulk，修改下面两个，看第一张图片修改即可，100的意思就是这个包重复100遍。○ 每一个节点都有一个对象标识符（OID）的唯一的标识。○ IETF定义标准的MIB库 / 厂家自定义MIB库。○ 服务端口 UDP 161 / 162。○ 请求流量小，查询结果返回流量大。SNMP只需要更改团体名即可。○ 定义community。● 安装SNMP服务。

单机的带宽优势巨大单机数量形成的流量汇聚利用协议特性实现方法效果的流量。

● 针对Android、IOS系统得攻击（teardrop_android_ios.py）● 针对早期windows系统SMB协议得攻击（teardrop_smb.py）○ 近些年有人发现对2.x版本的Android系统，6.1的IOS系统攻击有效。○ 使用IP分段偏移值实现分段覆盖，接收端处理分段覆盖时可被拒绝服务。● 主要针对早期微软操作系统（95、98、3.x、nt）● 攻击向量并不确定，要具体协议进行分析。○ 被攻击者蓝屏、重启、卡死。

世界上最古老的DDoS攻击技术向广播地址发送伪造源地址的ICMP echo Request（ping）包LAN所有计算机向伪造源地址返回响应包对现代操作系统已经失效（不响应目标为广播的ping）Scapy。

常伴随IP欺骗。

现在：最强大最危险的攻击，攻击方式众多（专业化的要求勒索）以前：欠缺技术能力的无赖，我ping死你（最难缠的无赖）通常表现为操作系统运行正常，网络流量不大，但服务停止响应。多对一的工具汇聚资源能力，重点在于量大，属于资源耗尽型。最终的办法就是拼资源，投资抗D，或者乖乖交费。针对应用软件和操作系统漏洞发起的拒绝服务攻击。亦正亦邪，攻击恐怖组织也攻击政府宗教机构。可以是一击毙命的，也可以是耗尽目标资源的。应用：处理请求能力，对OS资源的使用权。一对一的攻击完全拼各自的资源，效果差。

无需修改原代码的情况下将TCP流量封装于SSL通道内适用于本身不支持加密传输的应用支持openssl安全特性跨平台性能优。

根据客户端第一个包检测协议类型根据协议检测结果将流量转发给不同目标支持HTTP，HTTPS，SSH，OpenVPN，tinc，XMPP和其他可基于正则表达式判断的任何协议类型适用于防火墙允许443端口入站访问流量的环境。

通过标准的HTTP / HTTPS代理创建隧道的工具通过HTTP CONNECT方法封装信息适用于内网使用代理并且防火墙只允许代理服务器上网的场景无法创建DNS隧道和ICMP隧道。

通过ICMP echo（ping requests）和reply（ping reply）实现隧道。ptunnel直到目前的最新版仍存在拒绝服务漏洞，最新版本为0.72。适用于防火墙只允许ping出站流量的环境。支持多并发连接，性能优。

被称为NC ++（增强版的nc）双向数据流通道工具连接端口。

基于DNS查询的隧道工具与同类工具相比的优点对下行数据不进行编码，因此性能优支持多平台：LINUX\BSD\MAC OS\WINDOWS最大16个并发连接强制密码支持支持同网段隧道IP（不同于服务器，客户端网段）支持多种DNS记录类型丰富的隧道质量检测措施隧道网络接口不基于资源的通用隧道，如同本网段内两台相邻的主机服务器端和客户端分别生成隧道网络接口dns0隧道两端接口的IP地址应不同于客户端和服务端网段基于此隧道可嵌套其他隧道技术。