web安全知识从基础术语、windows/linux基础到安全漏洞/病毒木马挖掘与分析利用(持续更新)
专业术语
1.脚本 (asp、php、jsp、phython)动态网站编程语言
2.html (css、 js、html)
3.HTTP协议
4.CMS(B/S) 动态网站内容管理系统
5.MD5
Honcker:北约轰炸驻南大使馆后的中国特色“红客”
肉鸡:被黑客入侵并长期驻扎的计算机或服务器
抓鸡:利用 使用量大的程序的漏洞,使用自动化方式获取肉鸡的行为。
Webshell:通过web入侵的一种脚本工具,可以以此对网站服务进行一定程度的控制。
漏洞:硬件软件协议等可利用的安全缺陷,可能被攻击者利用以对数据篡改、控制。
一句话木马:通过向服务器端提交一句简短的代码,配合本地客户端实现weshell功能的木马。常用客户端”中国菜刀“
提权:操作系统低权限的账户将自己提升为管理员权限
后门:黑客为了对主机进行长期控制留的入口
跳板:使用肉鸡IP来实攻击其他目标,以便更好的隐藏自己的信息。
旁站入侵:同一服务器下的网站入侵,后可通过提权跨目录等手段拿到目标网站权限。常见旁站查询工具有:WebRobot、御剑、明小子和web在线查询等。
C段入侵:(C类网段)同C段下服务器入侵。如目标为192.168.1.222,入侵192.168.1.x的任意一台服务器,然后利用一些黑客工具嗅探获取在网络上传输的各种信息。常用工具有:windows下的Cain,unix下的Sniffit、Snoop、Tcpdump、Dsniff等。
C段入侵技巧:1.扫描1-255全部网段的网站CMS情况。选择自己擅长入侵的CMS。
2.扫描1-255全部网段的端口开放情况。选擅长提权的端口的网站来入侵,通过端口提权。
3.工具:椰树、阿D网络工具包。
渗透测试:1.黑盒测试:未授权的情况下,模拟黑客的攻击方法和思维方式来评估计算机网络系统可能存在的安全风险。
2.白盒测试:相比黑盒来说基本是从内部出发的
3.灰盒测试:基于黑盒白盒之间
web环境搭建
windows基础
服务:是为用户提供功能的一种应用程序。打开服务指令:win+R后运行Services.msc
常见服务 | 端口号1~65535 |
---|---|
http代理服务器 | 80/8080/3128/8081/9080 |
Web | 80 |
Dns | 53 |
Dhcp | 67、68 |
邮件 | 25传送、110接收 |
Telnet | 23 |
Ssh\scp\端口重定向 | 22/tcp |
Ftp | 21 |
TFTP | 69/udp |
Smb | 445 |
SMTP | 25/tcp (木马Antigen、Email Password Sender |
SMTP | Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpv都开放此端口 ) |
POP3 | 110/tcp |
Tomcat | 8080 |
Win2003远程登陆 | 3389 |
Oracle数据库 | 1521 |
My SQL*SERVER | 1433/tcp 1433/udp |
1080/udp |
特别注意:MS08-067 :smb的漏洞。附攻击实践MS08_067漏洞渗透攻击实践
根据端口信息可查看是否被入侵
1.win+R、Cmd后查看协议:netstat -an
2.如果每次开机都有远程连接的ip为端口号8000/8000+,那就是中木马了,停止此服务就行。
注册表(Registry,REG,繁体名字为登陆档)是Microsoft Windows中的数据库,用以存储系统和应用程序的设置信息。指令:regedit
注册表结构:
HKEY_CLASSES_ROOT:管理文件系统。
HKEY_CURRENT_USER:管理系统当前用户信息。
HKEY_LOCAL_MACHINE:常用。管理当前系统硬件配置。
HKEY_USERS:管理系统的用户信息。
HKEY_CURRENT_CONFIG:管理当前用户的系统配置。
打开系统配置:运行msconfig
病毒常修改的键值:
利用注册表防病毒:
1.阻止通过网页形式启动
打开注册表编辑窗口查看注册表分支选项,看其下的启动键值是否包含.html或.htm或.vbs的后缀,有就选中 右键编辑–删除。
2.阻止通过后门形式启动
一些病毒会创建“System32”的启动键值并将其参数设为“regedit -s D:\windows”, 其中“-s”是系统注册表的后门参数,能在windows系统的安装目录中自动产生vbs格式的文件。一经发现要删除。
3.阻止通过文件形式启动
“win.ini”文件常位于系统的windows安装目录中,可进入资源管理器打开文件,在其编辑域中检查“run=” “load=”等选项后面是否包含来历不明的内容,检查文件名和路径,删除后再到系统的system文件中删除相应病毒。
入侵中常用的注册表:
黑客常用的dos命令:
指令 | 意义 |
---|---|
Color /? | 改变dos窗口颜色 |
Ping -t -l 65550 ip | 死亡之ping,不断加大数据包。(防火墙可拦) |
Ipconfig | 查看ip |
Ipconfig /renew | 重新获得ip |
Ipconfig/ release | 释放ip |
Systeminfo | 查看系统信息(主看补丁) |
Arp -a /ip | 查看高速缓存中的所有项目/对应ip的项目 |
Net view | 查看局域网内其他计算机名称 |
shutdown -s | 关机 |
shutdown -r | 重启 |
shutdown -t | 指定时间(秒) |
shutdown -c " " | 字符 |
Shutdown -s -t 180 -c “你被黑了!” | 综合运用 |
shutdown -a | 停止注销 |
Dir | 查看目录 |
Cd | 切换目录 |
start 程序 文件 域名 | 打开运行 |
Start www.hibiscus.com | 打开网页 |
Start /notepad 123.txt | 打开文件 |
Copy con c:\123.txt 内容 Ctrl+z 回车 | 创建有内容的文件 |
Md目录名 | 创建目录 |
Rd 文件名 | 删除文件夹 |
Ren 原文件 新文件 | 重命名文件 |
Del文件 | 删除文件 |
copy | 复制文件 |
move | 移动文件 |
tree | 树形列出文件夹结构 |
telnet | 远程连接 |
net use k:\192.168.1.1\c$ | 映射盘 |
net use k:\192.168.1.1\c$/del | 删除此映射盘 |
net start 服务名 | 开启服务 |
net stop服务名 | 关闭服务 |
net local Group administrators 用户名 /add | 将用户添加到管理员中使其具有管理员权限 |
net password密码 | 更改系统登录密码 |
net share | 查看本地开启的共享 |
net share ipc$ | 开启ipc$共享 |
net share ipc$/del | 删除ipc$共享 |
net share c$ /del | 删除c$共享 |
附录知识:
系统 | ping返回的ttl值(经过一路由减一) |
---|---|
win 7 08 、linux | 一般是64 |
win xp、03 | 128 |