大河之犬的博客

Redis 是一个开源的高性能键值对（Key-Value）存储系统，主要运行在内存中，也支持持久化到磁盘。它常用于缓存、消息队列、排行榜、会话管理等场景。

LDAP（Lightweight Directory Access Protocol，轻量目录访问协议）是一种访问和管理目录服务的应用层协议，常用于存储和查询用户、组织、设备等信息LDAP 就像一个电话簿系统，你可以通过它来查询”某个用户的邮箱”、“某个部门下有哪些员工”等等。而这个电话簿不是存在一个文件里，而是以结构化方式存储在服务器中，并可以被程序调用和管理默认端口：389和636（ldaps）。全局目录（ActiveDirectory 中的 LDAP）默认在端口3268。

SMTP Smuggling 是一种通过构造特殊换行符组合（如\n.而非标准的\r\n.）来诱骗出站 SMTP 服务器和入站 SMTP 服务器对邮件边界的识别产生不同步，从而实现在一封邮件中夹带多封“走私”邮件的攻击方式DATA...正文内容...\r\n.\r\n ← 这是标准的结束标志常见控制字符情况\r\n.标准写法\n.有些旧的服务器会认为这是邮件的结束\n.\r边界情况。

然后，指示 middle-man.com 使用 FTP 协议将文件从 target.com 传输到 attack.com。假设X是 attacker.com 上的用户，并且X想要从 target.com 传输文件。SSH（Secure Shell） 是一个用于远程登录与远程命令执行的网络协议，它提供了强加密和认证机制，用于在不安全的网络中安全地访问远程系统。FTP（File Transfer Protocol，文件传输协议）是一种用于在网络中传输文件的标准协议，主要工作于应用层，通过。

SAP为“System Applications and Products”的简称，是SAP公司的产品——企业管理解决方案的软件名称。SAP系统对于黑客们而言是一个诱人的目标，因为它往往存储和管理着一个组织的关键信息和业务流程的命脉每个SAP实例被划分为多个客户端。每个客户端都有一个用户SAP*，相当于系统的root用户在初始创建时，这个用户SAP*060719992在对SAP系统进行渗透时，可以先尝试使用默认密码看是否可以登陆成功。

3、综上，我们可以恶意模拟一个MySQL服务端的身份认证过程，之后等待客户端发起一个SQL查询，之后响应的时候我们将我们构造的Response TABULAR发送给客户端，也就是我们LOAD DATA INFILE的请求，这样客户端根据响应内容执行上传本机文件的操作，我们也就获得了攻击者的文件信息。在MySQL协议中，客户端本身不存储自身的请求，而是通过服务端的响应来执行操作，也就是说我们如果可以伪造Greeting包和伪造的文件名对应的数据包，我们就可以让攻击者的客户端给我们把我们想要的文件拿过来。

SOCKS5是SOCKS协议的更高级版本，它支持IPv4和IPv6地址，并提供了更多的功能。它使用客户端-服务器模型，其中VNC服务器在远程计算机上运行，而VNC客户端则在本地计算机上运行。签名用于验证令牌的完整性和真实性。MQTT（Message Queuing Telemetry Transport）是一种轻量级的消息传输协议，通常用于物联网设备之间的通信。在渗透测试中，使用暴力破解是一种常见的攻击方法，用于尝试破解Mongo数据库的凭据。它是在安全评估期间使用的多种类型的列表的集合，收集在一个位置。

DS_Store文件是苹果操作系统（如Mac OS）中的隐藏文件，它保存了文件夹的自定义属性、图标布局和其他元数据信息。通常，这些文件用于记录文件夹中的视图选项和布局设置。就文件本身而言，.DS_Store文件并不会对系统安全造成任何风险。它只是存储了文件夹的一些视觉和布局设置，并且只对苹果操作系统的用户可见。但是如果存储敏感信息的文件夹中的.DS_Store文件被泄漏，攻击者可能会利用这些文件夹的视觉和布局设置来了解文件夹的内容和结构。这可能会威胁到您的隐私和安全。

polkit是一个授权管理器，其系统架构由授权和身份验证代理组成，pkexec是其中polkit的其中一个工具，他的作用有点类似于sudo，允许用户以另一个用户身份执行命令。

应该是连接VPN走的端口，既然我们是在中国，还是选择UDP这种无连接的协议比较好。然后就可以下载VPN配置文件了。接下来，这里有欧洲和美国两个地区，每个地区只有一个服务节点，选择自己的VPN对应的节点。

通俗的说就是我有个已注册的域名a.com，我在域名代理商那里将域名设置对应的ip 1.1.1.1 上，这样当我向dns服务器发起a.com的解析请求时，DNSlog中会记录下他给a.com解析，解析值为1.1.1.1，而我们这个解析的记录的值就是我们要利用的地方。DNSlog就是存储在DNS服务器上的域名信息，它记录着用户对域名www.baidu.com等的访问信息，类似日志文件。打开新网页并粘贴在url上，访问这个三级域名。ceye使用方法类似。

POC（Proof of Concept），直译为“概念证明”（漏洞证明）它可能仅仅只是一小段代码，功能也比较简单，只要能够用来验证某一个或者一类漏洞真实存在即可大家都很清楚，如果想要验证一个漏洞，我们需要针对这个漏洞进行一系列的探索和研究。漏洞的研究报告漏洞的 PoC（概念性验证）：可以简单理解为一段可以验证一个目标是否存在这个漏洞的程序/代码/脚本漏洞的利用方式：对这个漏洞造成危害的利用和实践为了解决速度问题，可以尝试在漏洞检测之前编写简单的指纹识别，筛除一些不合理的目标POC框架？

也就是说当在http://store.company.com/dir/page.html这个网站中向https://store.company.com、http://store.company.com:81和http://news.company.com三个地址发起AJAX请求都会失败并且会报跨域的错误。这就是浏览器的同源策略，只能访问同源的数据。Sandbox的设计目的一般是为了让不可信任的代码运行在一定的环境中，限制不可信任的代码访问隔离区之外的资源。

SSRF 是在服务器端查询未验证用户提供的 URL 的情况下开发的。在存在可疑行为和事件的情况下缺乏跟踪可能会扩大不受监控的时间间隔，从而使安全漏洞被忽视的时间比使用更好的日志记录的时间更长。如果应用程序允许自动攻击，例如凭证填充（当攻击者可以访问真实用户和密码列表）或预定义的、较弱的和常见的密码（例如“Password1”或“admin/admin”），这些可能是身份验证缺陷的迹象。一般的安全设置问题，就像配置错误的访问控制一样，通过为攻击者提供对关键数据和站点区域的快速和轻松的访问而造成重大危险。

这个文件中包含了18575个常见的WordPress插件的名称，脚本http-wordpress-plugins就是利用这个文件来对采用WordPress建站的服务器进行暴力穷举攻击。这个数据文件中包含了956个HTTP中常见的目录名，被脚本http-iis-webdav-vuln所调用，用来检测IIS 5.1/6.0类型服务器上的漏洞。这个文件是一个Lua table形式保存的数据文件，在这个文件中包含了一些常见Web应用的信息，这些信息包括这些应用中关键文件所在的位置。

许多现代网站都采用自动颁发和续订 TLS 证书，在设置 TLS 证书部署的方式上存在缺陷。它允许任何人发现同一服务器使用的所有域名证书透明度 （CT） 是一种 Internet 安全标准，用于监视和审核 TLS 证书的颁发。它创建了一个公共日志系统，该系统旨在记录由公开信任的证书颁发机构 （CA） 颁发的所有证书要搜索 CT 日志，通常使用 Crt.sh 或 Censys 服务crt.shcensys。

指客户端主动向远程主机发送信息，远程主机一般要对这些信息做出反应，回复一些信息，发送者对这些返回的信息进行分析，就有可能得知远程主机的操作系统类型。：并不向目标系统发送任何数据包，而是通过各种抓包工具来收集流经网络的数据报文，再从这些报文中得到目标计算机的操作系统信息。Nmap并不使用被动式的方法。Nmap中的主动式方法采用多达15个探针的操作系统指纹扫描包。数据库中的内容进行比较，如果与其中的某一项匹配成功，就可以确认目标端口运行的具体服务。Nmap提供了更精确的服务及版本检测选项，可通过添加选项。

在生活中有这样一个默认的约定，当听到有人敲门的时候，屋子里的人会做出相应的回应，可能会询问，也可能会开门。有些时候一些居心不良的人就利用了这一点进行所谓的“踩点”如果想知道网络中的某台主机是否处于活跃状态，同样可以采用这种“敲门”的方式，只不过需要使用发送数据包的形式来代替现实生活中的“敲门”动作，也就是说活跃主机发现技术其实就是向目标计算机发送数据包，如果对方主机收到了这些数据包，并给出了回应，就可以判断这台主机是活跃主机。

实际过程中，我们可以尽可能的把收集到疑似网络管理员、运维人员、安全部门的人员提取出来，这些人单独写邮件或者不发，因为这些人安全意识相对较高，容易打草惊蛇，我们需要对一些非技术员工安全意识薄弱的人下手，挑软柿子捏。如果我们在信息收集或者测试的过程中，发现一些私人邮箱或者手机号等，那么就可以去SGK查一下，因为这个账号可能是开发人员的账号，通过账号和查到的一些敏感信息，可能就登录到系统中了。wayback会记录网站版本更迭，可以获取到之前版本的网站，可能会找到一些后来删除的敏感资产信息，或者一些漏洞。

目前最常见的解决方式是IP黑名单的方式，首先访问一个随机的并不存在的域，通过返回的结果判断是否存在泛解析，确定存在泛解析后，不断的生成随机域名并发送请求，将每次返回的IP和TTL记录下来，直到大部分的IP出现次数都大于两次，则IP黑名单收集完成。找到某个子域名的IP地址，可以尝试通过在OSINT来源中查找IP中的域名或通过暴力破解虚拟主机域名来找到该IP中的其他子域名。可以通过暴力破解 DNS 服务器来查找新的子域名，常见的子域名字典见上，还需要一些准备好的 DNS 解析器的 IP。

这一栏表明了 php.ini 这个 php 配置文件的位置，在有文件读取的情况下可以进行读取。系统要看System参数 ，这在我们后期命令执行的时候或者是 bypass。这个同样在文件包含、反序列化还有一些关键的 bypass 的时候非常有用。这个在文件包含、反序列化还有一些关键的 bypass 的时候非常有用。用include()函数包函文件时的默认路径。显示该网站的真实的 ip 地址，无视CDN。这个选项设置了文件读取的时候的目录限制。限制命令执行、代码执行的函数。查看是否开启了文件包含。

如果有网站后台入口，我们可以直接登登陆进去。当我们进入到一个网站主页时，想进行对其后台的查找时，我们就可以先随意查看和点击当前网站的页面，浏览下网站的大体页面结构，说不定往往会有很多意想不到的收获哟。当我们尝试不能直接浏览网页找到后台时，我们可以尝试下故意请求不存在的页面，让网页故意显示报错信息，查看网站真实路径，说不定借此作为突破口，可以得到我们想要的后台地址信息。当我们对浏览当前页面后无法直接找到后台地址时，我们应针对它页面后台地址下手，对网站后台地址进行一些猜解和信息收集，进一步去寻找网站后台地址。

Censys搜索引擎能够扫描整个互联网，Censys 每天都会扫描IPv4地址空间，以搜索所有联网设备并收集相关的信息，并返回一份有关资源（如设备、网站和证书）配置和部署信息的总体报告。FOFA是一款非常强大的搜索引擎，FOFA（网络空间资产检索系统）是世界上数据覆盖更完整的IT设备搜索引擎，拥有全球联网IT设备更全的DNA信息。相对于shodan来说FOFA的优点就是更加本土化，拥有更多的域名数据，建立了全球最大的资产规则集，而且现在已经更新了识别蜜罐的功能。钟馗之眼搜索引擎偏向web应用层面的搜索。

在测试的信息收集阶段，可以去Github和码云上搜索与目标有关的信息，或者就有意想不到的收获。(有些开发人员将代码上传到代码库的时候，有可能连一些重要的配置信息甚至密码也上传了)

我们可以在这个文件中指定网站中不想被robot访问的目录。这样，我们网站的部分或全部内容就可以不被搜索引擎收录了，或者让搜索引擎只收录指定的内容。因此我们可以利用robots.txt让Google的机器人访问不了我们网站上的重要文件，GoogleHack的威胁也就不存在了。”参数后面的是禁止robot收录部分的路径，例如我们要让robot禁止收录网站目录下的“data”文件夹，只需要在Disallow参数后面加上。文件编写完成后将其上传到网站的根目录，就可以让网站远离Google Hack了。

Google Hacking 是利用谷歌搜索的强大，来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门，不想被发现的后台入口，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配置密码，php远程文件包含漏洞等重要信息利用Google搜索我们想要的信息，就需要配合谷歌搜索引擎的一些语法。

CDN作用：1、CDN加速可以保证用户在任何地方都能够快速访问服务器资源2、CDN的负载均衡和分布式存储技术，可以加强网站的可靠性3、可以异地备援，当某个服务器发生意外故障时，系统将会调用其他临近的健康服务器节点进行服务。

信息收集对于渗透测试前期来说是非常重要的，因为只有我们掌握了目标网站或目标主机足够多的信息之后，我们才能更好地对其进行漏洞检测。正所谓，知己知彼百战百胜！信息收集的方式可以分为两种：主动和被动。

Base16先获取输入字符串每个字节的二进制值（不足8比特在高位补0），然后将其串联进来，再按照4比特一组进行切分，将每组二进制数分别转换成十进制，在下述表格中找到对应的编码串接起来就是Base16编码。编码每60个将输出为独立的一行（相当于45个输入字节），每行的开头会加上长度字符，除了最后一行之外，长度字符都应该是“M”这个ASCII字符（77=32+45），最后一行的长度字符为32+剩下的字节数目这个ASCII字符。URL编码的原理是将特殊字符转换成%加上其对应的ASCII码的十六进制表示。

安全策略基于安全区域的域间关系来呈现，其内容包括两个组成部分。条件。检查报文的依据，防火墙将报文中携带的信息与条件逐一对比，以此来判断报文是否匹配。动作。对匹配了条件的报文执行的动作，包括允许通过（permit）或拒绝通过（deny），一条策略中只能有一个动作。安全策略之间是存在顺序的，防火墙在两个安全区域之间转发报文时，会按照从上到下的顺序逐条查找域间存在的安全策略。如果报文命中了某一条安全策略，就会执行该安全策略中的动作，或允许通过或拒绝通过，不会再继续向下查找；

我们在接口GE0/0/1下创建两个子接口GE0/0/1.10和GE0/0/1.20，分别对应VLAN 10和VLAN 20，然后将这两个子接口划分到不同的安全区域，而接口GE0/0/1不用加入安全区域，即可实现将PC A和PC B划分到不同安全区域的目的。安全区域的配置主要包括创建安全区域以及将接口加入安全区域，下面给出了创建一个新的安全区域test，然后将接口GE0/0/1加入该安全区域的过程。源安全区域很容易确定，防火墙从哪个接口接收到报文，该接口所属的安全区域就是报文的源安全区域。

检查可疑帐户的原因是当渗透测试人员通过漏洞拿到Windows的执行权限后， 首先会考虑为系统创建后门从而方便再次连接该主机，而后门的其中一种方式就是创建具有管理权限的隐藏或非隐藏帐户，因此及时检查并发现非法系统帐户是很有必要的。打开服务管理器面板-工具-本地安全策略，在安全设置-本地策略-安全选项”中，双击“交互式登录：不显示最后的账户名”，选择“已启用”并单击“确定”。“配置不显示最后的账户名”，该功能可以配置登录登出后，不显示账户名称，从而可以预防账户名泄露的风险。通过上述方式检查是否存在账户名为“

这些作用包括了软、硬件的相关配置和状态信息，比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等，联网计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件部件的描述、状态和属性，性能记录和其他底层的系统状态信息，以及其他数据等。这里主要保存了系统用户的一些信息，而有一些愚蠢的黑客会选择通过新建用户名和密码的方式攻击其他人的计算机，当黑客使用自己创建的账户和密码登录系统时，会迅速在用户文件夹下新建一个账户文件夹，且在网络连接机器入侵的情况下不可删除，这样会被很快溯源到。

1、脚本（asp、php、jsp）3、HTTP协议4、CMS内容管理系统（B/S）5、MD5/加盐（salt）6、肉鸡、抓鸡、DDOS、cc（耗费自己的CPU资源分配代理服务器）7、一句话、小马、大马webshell、提权、后门、跳板、rookit8、源码打包、脱裤、暴库9、嗅探、rookit、社工11、src平台、0day12、事件型漏洞，通用型漏洞13、web服务器、web容器、中间件。

【代码】解决方案：反弹shell之后没法通过上下键调出历史命令