🎐清风.

# rinetd 这个工具可以在本机建立监听，使用攻击机进行转发，这样可以使原本不出网的机器访问至外网！ # ssh 隧道 通过 ssh 协议将端口进行转发 ssh -N -L 0.0.0.0:445:192.168.1.110:445 [email protected] 这样就通过 ssh 服务，穿透 10.11.0.128 这个机器，将其背后的 192.168.1.110:445 映射到本地的 445 了。 这是正向转发，除此之外还有反向转发，将本地端口映射回攻击机上。 反伤穿透的命令和顺序要进行更改： ssh -N -R 10.11.0.4:2221:127.0.0.1:3306...

重点在哈希破解上 标准密码列表 cewl 可以从博客上抓取可能的密码 john the ripper，可以用来会用规则生成字典和破解哈希 crunch 用来生成制定规则的密码字典 SSH 通常使用 Hydra ，当然这个工具也支持很多协议，比如 http 等，需要给他提供一个 post 表单进行，通过占位符 ^PASS^ 进行站位。 HTTP 用 medusa ，通过 -d 查看说明 RDP 用 crowbar 使用 hashid 查看 hash 的类型 mimikatz 读取 NTLM 的 hash，需要高权限 pth-winexe 进行哈希传递攻击，能拿到一个 shell 使用...

# 查看用户信息 windows 通过 whoami 和 net user 查看用户基本信息 linux 下通过 id 进行查看，还可以查看 passwd 文件查看用户列表 # 查看服务器信息 通过 hostname 查看机器名 windows 下通过 systeminfo 查看目标机器的信息 linux 下使用 uname -a 或者 lsb_release -a 显示系统信息 # 查看进程信息 windows 下使用 tasklist /SVC 查看进程 linux 下使用 ps aux 查看进程 # 查看路由表 ipconfig、ifconfig 查看网络信息 windows 下...

# 杀软原理 最常用的方法就是基于特征的检测、启发式检测、基于行为的检测 通过关键检测，字节序列检测的方式，和已知的恶意软件进行校对，拥有恶意字节序列的程序将被标记成有害。往往通过混淆的方式进行免杀。 启发式检测通过逐步执行二进制文件的指令集，甚至尝试反编译进行源码分析。寻找各种模式和程序调用。 基于行为的检测，基本上就是沙箱，看软件点开后有哪些行文，通过行为特征判断是否恶意。 # 绕过方法 # 磁盘规避 packers obfuscators crypters software protectors # 内存规避 远程注入 reflective dll...

这个环节围绕文件上传删除等操作进行多个必要操作。主要是上传现在，持续控制，权限提升和痕迹清除。 假如通过 ftp 进行文件的上传下载，那么就一定会涉及一个问题。ftp 客户端需要持续性访问，因此需要一个交互式 shell，否则一旦在非交互 shell 进行 ftp 交互会直接卡死。这是因为非交互 shell 并没有将三个标准输入输出进行绑定，所以会导致不得不 Ctrl + C 退出 shell 这一种结果。 因此需要进行 shelll 提升，可以使用 python 的 pty 进行交互式 shell 提升。 在 linux 上进行文件上传下载通常比较简单，但是在 windows...

往往需要修改的都是些路径一类的，web 层面的 payload 可能需要修改 URI、端口。而缓冲区溢出攻击可能需要修改地址，这也是比较麻烦的。 创建一大块缓冲区触发溢出 控制栈内数据覆盖掉 EIP 将 shellcode 包含在缓冲区中 选择一个返回地址重定向 execution flow 为了保证 exp 的安全性，可能还要通过逆向工程的手段进行检查，防止出现恶意 reverse shell 或者其他的破坏性代码。 有些 exp 需要进行编译，而编译环境可能需要再 windows 环境下进行。而多数情况下，我们只能访问单一的攻击环境，因此我们可能需要使用 mingw64...

exp 可能具有破坏性，在执行前需要仔细阅读和理解代码，确保没有负面影响。 遇到肉眼难看出来的 shellcode，可以使用 python 进行处理，print 一下，也许能进行解码。 # 在线 exp 下载 www.exploit-db.com www.securityfocus.com packetstormsecurity.com Google 搜索，使用 Google 语法进行搜索 # 离线 exp 资源 searchsploit Nmap NSE 脚本 BeEF Metaploit # 小结 感觉很水，但是还是比较有必要，因为确实有些 exp...

隐蔽性非常好 需要枚举目标机器上的客户端列表，了解目标上运行了哪些服务和程序。 # 被动信息收集 通过浏览目标网站，获取员工的邮箱等个人信息，一步步通过社交账号掌握更多的信息。 又或者是通过网络空间搜索引擎，搜索 IP 地址，可能搜索到目标使用的浏览器版本、操作系统信息以及浏览器插件等信息。 # 主动信息收集 准备社工话术、邮件钓鱼等方式进行信息收集。 预估需要哪些信息，准备话术进行获取。 fingerprintjs2，起一个 web 服务，访问这个源代码能获取到指纹信息。 whatismybrowser.com 能够将指纹转换成具体的信息。 访问记录会发送到 js.php...

# DEP、ASLR、Canaries 机制 定义 作用 DEP (Data Execution Prevention) 一种硬件和操作系统级别的安全特性，用于防止恶意软件执行攻击。通过阻止将数据区域用作代码执行区域来保护系统免受缓冲区溢出等攻击的影响。 防止恶意代码在数据区域执行，提高系统安全性。 ASLR (Address Space Layout...

没有源代码的情况下找到代码中的漏洞 找到一种方法修改输入 操作内存获得控制 # 发现漏洞 代码审计 逆向 FUZZ # fuzz 例子 使用 wireshark 监听流量，看一下登录请求 然后使用 python 编写一个脚本，发送登录请求包，并不断增长用户名的名称 attach 一个 debugger 在 web 服务器上，之前的 immunity debugger 无法 attach 到演示的 web 程序上，于是使用了 Microsoft tcpview 查看了一下进程，确定启动了之后，使用管理员权限运行 debugger 当输入的用户名达到 800 字节时，debugger...