服务器渗透.ppt

1、保密资料，禁止扩散 Haoyongqing 版权所有服务器渗透服务器渗透保密资料，禁止扩散 Haoyongqing 版权所有信息收集信息收集网站常见弱点网站常见弱点网络硬件入侵网络硬件入侵WINDOWS提权提权内网渗透内网渗透清理日志及做跳板清理日志及做跳板WEBSHELL查杀查杀主要内容主要内容保密资料，禁止扩散 Haoyongqing 版权所有信息收集信息收集保密资料，禁止扩散 Haoyongqing 版权所有1.服务器信息服务器信息2.域名信息域名信息3.网站信息网站信息保密资料，禁止扩散 Haoyongqing 版权所有使用ping命令知道目标服务器的ip地址。访问http:/查询目标

2、ip。保密资料，禁止扩散 Haoyongqing 版权所有Ping -61.152.171.171保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有域名信息查询域名信息查询通过访问http:/1.查询域名注册人2.查询域名注册时间3.查询域名注册电话4.查询域名注册E-mail保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有判断操作系统判断操作系统方法一:用大小写转换:http:/ Haoyongqing 版权所有保密资料，禁止扩散

3、Haoyongqing 版权所有方法二 访问一个不存在页面看返回的错误信息http:/ FoundThe requested URL/asd was not found on this server.-Apache/2.0.55(Unix)Server at Port 8 保密资料，禁止扩散 Haoyongqing 版权所有方法三:显示BANNER前面的两个方法都是404出错页面,只能用在默认服务器上.用nc 80 然后随便输入任何也可以提到相关提示保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing

4、 版权所有21（ftp），22（ssh），23（telnet），25（smtp），80（http），110（pop3），3389（只能用STSC连接）保密资料，禁止扩散 Haoyongqing 版权所有扫描器扫描器保密资料，禁止扩散 Haoyongqing 版权所有世界级优秀扫描器世界级优秀扫描器nmap最早为*NIX，后来移植到WINDOWS平台上。Zenmap为GUI保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有命令行的功能更强命令行的功能更强Nmap sS；采用syn扫描，这种扫

5、描通过发送一个SYN包（是TCP协议中的第一个包）开始一次SYN的扫描。任何开放的端口都将有一个SYN|ACK响应。然而，攻击者发送一个RST替代ACK，连接中止。三次握手得不到实现，也就很少有站点能记录这样的探测。假如是关闭的端口，对最初的SYN信号的响应也会是RST，让nmap知道该端口不在监听。这种扫描的优点是不建立TCP连接，不会在服务器日志里留下记录，而且速度快。保密资料，禁止扩散 Haoyongqing 版权所有Nmap sT:要用建立TCP连接的扫描方式，就使用-sT选项，虽然这样会在防火墙日志里留下记录而且较慢，但是比较可靠。因为某些防火墙能检测SYN扫描，这时我们用SYN方式

6、就什么也扫不出来了。保密资料，禁止扩散 Haoyongqing 版权所有Nmap sU:发送空的UDP报头到每个目标端口来探测UDP协议的端口。保密资料，禁止扩散 Haoyongqing 版权所有nmap-P0-O-sS 192.168.157.1，-P0的意思就是说不先ping直接扫描，-O就是探测对方系统版本保密资料，禁止扩散 Haoyongqing 版权所有要扫描所有端口，就执行：nmap-sS 192.168.157.1-p 1-65535 保密资料，禁止扩散 Haoyongqing 版权所有国内国内XSCAN保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Ha

7、oyongqing 版权所有DNS反向查询反向查询http:/，http:/ Nslookup 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有整站程序源码的判断整站程序源码的判断如果能拿到网站的源码，那就能进行有针对性的入侵了，网站的默认后台口令、后台地址、上传页面等等都是宝贵的信息，甚至你还可以找找源码里的漏洞或是搜索一下该整站程序之前出过什么漏洞。根据我的经验，一些中小型网站如果看上去界面设计的十分华丽、功能也很强大，那十有八九是现成的整站程序，因为它们不具备自己开发的能力。保密资料，禁止扩散 Haoyongqing 版权所有保密资

8、料，禁止扩散 Haoyongqing 版权所有判断整站程序判断整站程序工具：http:/ 了结网需要找一个生僻的文件名：如imglist.aspx保密资料，禁止扩散 Haoyongqing 版权所有网站常见弱点网站常见弱点保密资料，禁止扩散 Haoyongqing 版权所有注入点注入点某些网站是采用post方式对脚本提交参数的，所以我们在IE地址栏中看不到参数，只有一个脚本文件的地址，如果你发现某个网站上的很多新闻链接，在被点击之后跳转到了同一个脚本文件，而且该脚本在不加参数的情况下显示出了不同新闻，那就说明是这种情况。这种方法并不能隐藏注入点，如果你熟悉html语言的话，可以在网页源文件里找

9、到提交给脚本的参数，或者你还可以用winsock expert一类的sniffer抓一下它的http数据包，看看它用post方式提交了哪几个参数。知道了提交的参数，你就可以在IE地址栏里填写完整的URL，用get方式提交试试，一般是和post现实的结果一样的，如果该脚本不接受get方式提交的参数，那你也可以用minibrowser一类的工具采用post方式提交参数，其实很多注入工具都可以设置成post方式，不过他们当初这样设计的初衷是想避免在日志中留下痕迹。解决了参数的问题，之后的注入方法与普通的注入无异 保密资料，禁止扩散 Haoyongqing 版权所有还有一些网站，在点击链接之后会跳出较

10、小的IE窗口，比如一些通知、投票结果的查看等等。这些小窗口是没有地址栏的，无法直接看到它的网址，遇到这种情况只需按F11就能实现窗口变大，地址栏也就显示出来了，再按一下F11又恢复成之前的大小 保密资料，禁止扩散 Haoyongqing 版权所有可能很多新手有个误区，认为只有最后一个参数才能注入，实际上任何一个参数都可能注入。比如： and 1=1&y=abc&z= and 1=2&y=abc&z=p保密资料，禁止扩散 Haoyongqing 版权所有传统注入工具的使用传统注入工具的使用明小子注入工具3.5啊d注入工具穿山甲注入工具管中窥豹注入工具保密资料，禁止扩散 Haoyongqing 版

11、权所有明小子明小子3.5保密资料，禁止扩散 Haoyongqing 版权所有啊啊D注入工具注入工具保密资料，禁止扩散 Haoyongqing 版权所有穿山甲穿山甲保密资料，禁止扩散 Haoyongqing 版权所有管中窥豹管中窥豹保密资料，禁止扩散 Haoyongqing 版权所有WSCANscan是国内高手cooldiyer的作品，它全面地收集了常见的敏感路径，能够扫描目标网站根目录下的敏感页面，比如：备份文件夹、后台、上传页面、数据库、常见漏洞等，语法如下：usage:wscan 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资

12、料，禁止扩散 Haoyongqing 版权所有Dscan保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有google hack搜索遍历目录：DVBBS中pay_boardlimited.asp百度搜索的可能会更多一些保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有针对动易，就可以搜索editor_tableprops.asp，这是动易根目录下的Editor目录里的一个文件，大家找到这个目录存在遍历的网站，只要将Editor目录改为database目录就能看到数据库了。另外我发现改变不

13、同的生僻文件名，所得到的结果也不同，所以大家要自己动脑确定关键字才会有更多发现。保密资料，禁止扩散 Haoyongqing 版权所有搜索这些遍历目录的共同关键字搜索这些遍历目录的共同关键字“转到父目录”、“index of”或是“To Parent Directory”保密资料，禁止扩散 Haoyongqing 版权所有google hack也可用来查找指定网站的后台地址，当你无法用类似于wscan的工具扫描到网站后台时，不妨在google里搜索：“admin site:”、“manege site:”、“后台 site:”、“管理 site:”、“密码 site:”、“登陆 site:”、“

14、inurl:admin site:”、“inurl:manege site:”，可能会有意外发现，因为搜索引擎机器人总能找到一些隐藏很深的页面 保密资料，禁止扩散 Haoyongqing 版权所有robots.txt放置在一个站点的根目录下的纯文本文件 网站管理者可以声明该网站中不想被搜索引擎机器人访问的部分，或者指定搜索引擎只收录指定的内容。但是这却起到了欲盖弥彰的作用，就像是此地无银三百 保密资料，禁止扩散 Haoyongqing 版权所有http:/ 保密资料，禁止扩散 Haoyongqing 版权所有直接寻找缺少验证的上传页面是个不错的主意，一旦上传成功就能直接得到webshell。你

15、可以搜索“inurl:upload.php filetype:php”、“inurl:uploadfile.php filetype:php”、“inurl:upfile.php filetype:php”，保密资料，禁止扩散 Haoyongqing 版权所有用google hack寻找别人留下的webshell，我们要找的当然是那种无需验证、功能简陋的小马。首先我注意到了国外比较常见的webadmin.php这个phpshell，它的标题就是webadmin.php，我于是查询关键字intitle:webadmin.php filetype:php，在前几页就找到了世界各地的10几个weba

16、dmin.php保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有国外大名鼎鼎的C99Shell，这个功能强大的phpshell没有验证，直接访问就能使用。它的常见版本在一开头都有这么一句“C99Shell v.1.0 pre-release build”，然后是某某数字，那我们就搜索关键字C99Shell v.1.0 pre-release build filetype:php，这次搜索出了更多的外国webshell，连阿拉伯的网站都有，轻轻松松就拿了很多webshell，等于让别人帮我们入侵，如图6-15。当然也有的搜索结果打开是404未找到，说明我们来晚了，webshell被管理员删了 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有管理员的好助手phpmyadmin，发现phpmyadmin的页面的标题栏总是包括“phpmyadmin”，而内容一般都包括一句“running on localhost as rootlocalhost”，当然它不一定都是用root连接数据