Echo战队培训系列

AWD 西安交大的大佬给我们队现阶段打AWD的建议：别怕，很多人也没打过，在大家实力都差不多的时候，就是拼前期准备和**速度** 加固阶段防御 修改密码 1.改linux用户密码： passwd 如果有权限就删除用户： userdel -r [用户名] 2.改mysql密码： update mysql.user set password=password('密码') where user='root'; 删除匿名用户： delete from mysql.user where user=' '; 刷新配置： flush privileges; 3.改网站后台密码 登录mysql： mysql -u root -p show databases；use test; show tables; updata 表名 set 字段名 = ‘值’： updata admin set user pass=’123456’; 刷新配置： flush privileges; dump源码 1.备份原代码 使用ssh工具保留源码，复制两份，用d盾去扫一份 注意：如果使用tar命令打包文件夹，.index.php（隐藏类型文件）将不会被打包，因此最好用ls -a检查一遍 或者使用scp命令 先将网站目录打包成tar tar -cvf [打包后的文件名.tar] [要打包的文件名] 用ssh或ftp将打包文件拉到本地 ssh法: scp 用户名@IP地址:要下载的文件路径 存放路径 如：scp root@192.168.16.8:/root/flag.txt /root/ ftp法： ftp [IP地址] get [文件名] 或者用ftp登入软件下载 2.备份数据库 mysqldump -u db_user -p db_passwd db_name > 1.sql //备份指定数据库 cd /var/lib/mysqlmysqldump -u db_user -p db_passwd > 1.sql //先进入数据库目录再备份 mysqldump —all-databases > 1.sql //备份所有数据库 3.数据库还原 mysql -u db_user -p db_passwd db_name < 1.sql //还原指定数据库 cd /var/lib/mysqlmysql -u db_user db_passwd < 1.sql //先进入数据库目录再还原 防御部署 先进行服务器检查： ...

实战是各个方向的结合，甚至没有明确的方向区分。下面将展示实战思路和Lampiao靶机渗透 实战思路 上面是我整理的一份实战思路和总结，看不清楚可以点这里 Lampiao靶机渗透 什么是Lampiao靶机？知道Lampiao前得先介绍一下什么是vulnhub vulnhub是一个提供漏洞靶机的经典靶场，其中不乏一些高频漏洞，例如Log4j，Dirty cow，常见CMS漏洞等，非常适合萌新黑客练手。并且，vulnhub提供的靶机使用的是VMware镜像，和在线靶场所使用的docker靶机不一样，渗透环境更加真实。Lampiao是vulnhub中的一个非常经典的Dirty cow漏洞复现靶机。 接下来我们直接开始模拟一次真实的渗透过程 渗透环境 攻击者：kali（ip: 192.168.2.6） 受害者：一台服务器，其他信息全部未知，只知道和这台服务器在同一个内网 渗透过程 第一步：信息收集 我们已经知道需要入侵内网中一台服务器，可是服务器在哪？要怎么入侵它？一切都是未知的，既然这样，第一步当然就是信息收集 我们可以使用nmap -PS 192.168.2.1-225对同一C段的内网进行存活主机扫描。-PS是使用ping发包探测主机是否在线，同时可以粗略地检测端口。 经过扫描可以看到这台机子上开放了一个80端口和一个22端口，根据上面的总结不难看出这大概率是一台服务器，因为80端口通常就是用来提供http服务的 我们可以直接输入ip地址尝试访问 为了进一步验证猜想，可以用nmap -O 192.168.2.13来探测这台设备的操作系统，结果如下 可以看到nmap推断其大概率运行的是Linux 3.X或4.X内核的系统 为了获得更具体的系统版本，可以通过各个端口服务的对应版本来推断。什么意思呢？就是我们需要扫描一下80端口和22端口提供服务的软件版本分别是什么，是提供给哪一个linux发行版的 可以使用-sV参数再次进行扫描 通过扫描可以看到，22端口的ssh服务由openSSH提供，同时可以看到出这是个ubuntu版本，因此可以知道这台机器运行的系统是ubuntu，具体版本未知 接下来我们继续使用-A参数来扫描有关这台机器的所有详细信息（刚刚不这么做是因为进行粗扫描能够更快断定一些有关信息，便于后面渗透方向判断），这里我们还需要设置一下全端口扫描，你可以使用-p 1-65535或-p-参数来设置。扫描结果如下 可以看到，在设置了全端口扫描后还发现了一个刚刚没扫出来的1898端口，并且是一个Apache的httpd服务，意味着我们同样可以使用http协议访问 尝试访问结果如下 可以发现这是一个后端登录界面，乱点看了一圈后发现没用什么有价值的信息，但页面最下面的一句Powered by [Drupal](https://www.drupal.org/)引起了我的注意，搜索后发现这是个前端框架，并且发现了一个可利用的CVE漏洞 第二步：Getshell 经过上面信息搜集并了解这个CVE漏洞后， 知道CVE-2018-7600 根本原因出在 Drupal 对表单的渲染，发现可以直接使用MSF自带的攻击模块进行利用。先对msf自带的drupal模块进行搜索 根据Description内容，选中第4个模块，并设置options show options用来查看这个模块需要设置的内容。这里根据required一列可以看到还差RHOST这一项。在MSF所有攻击模块中，RHOST需要填上的是被攻击对象。 需要注意的是，在这个攻击模块中RPORT默认是80，需要修改成1898 执行run就能成功拿到Shell 不过这个没有交互式Shell前缀的界面看着不太舒服，我们可以利用这台服务器上自带的python服务自己构造一个”伪Shell“，代码如下 python -c 'import pty;pty.spawn("/bin/bash")' 有兴趣可以去看一下pty这个包是什么 执行后就能得到一个类似正常交互式Shell的前缀，就能直观地看到当前所在目录和用户名了 第三步：权限提升 只拿到shell依然不能满足我们很多操作，例如我们没法看到一些存放在root文件里的东西，也没法执行一些需要更高权限指令。因此提权就十分重要。 到这里，还记得我们在信息搜集步骤时留下的一个问题吗？我们还不知道这个系统的具体版本是什么。但现在我们已经拿到了shell，查看版本就很简单了，只需要执行以下uname -a就能知道 ...

一、 环境准备 1 一台Windows电脑 （可以使用虚拟机代替） 2 Metasploit任意平台 可以是Windows版，可以是kali自带版 二、 CVE-2017-0144 介绍 1.何为CVE-2017-0144？ ​ CVE-2017-0144 既 永恒之蓝最早爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日， 不法分子通过改造“永恒之蓝”制作了勒索病毒，使全世界大范围内遭受了勒索病毒，甚至波及到学校、大型企业、政府等机构，只能通过支付高额的赎金才能恢复出文件。 2.什么是SMB协议？ SMB是一个协议服务器信息块，它是一种客户机/服务器、请求/响应协议，通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源，电脑上的网上邻居就是靠SMB实现的；SMB协议工作在应用层和会话层，可以用在TCP/IP协议之上，SMB使用TCP139端口和TCP445端口。 3.SMB工作原理是什么？ （1）：首先客户端发送一个SMB negport 请求数据报，，并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求，并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH，结束通信。 （2）：协议确定后，客户端进程向服务器发起一个用户或共享的认证，这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器，然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。 （3）：当客户端和服务器完成了磋商和认证之后，它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称，之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。 （4）：连接到相应资源后，SMB客户端就能够通过open SMB打开一个文件，通过read SMB读取文件，通过write SMB写入文件，通过close SMB关闭文件。 三、原理 永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞，这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。 四、CVE-2017-0144 利用方法 1 启动Metasploit 终端里输入 msfconsole 2 查询利用模块 终端里输入 search ms17_010 a 3 使用探测模块 终端内输入 use auxiliary/scanner/smb/smb_ms17_010 4 设置探测范围 终端内输入 show options 上图中我们可以看到是需要配置一个RHOSTS 终端内输入 set rhosts 192.168.3.0/24 （设置扫描当前网段 可以通过 在终端内输入ip a 查看） 也可以设置范围 set rhosts 192.168.3.1-192.168.3.10 ...

众所周知，一个完整博客网站的组成离不开必要的三件套 1.网站基本框架 2.运行网站的服务器 3.一个自己喜欢的域名 可以说是缺一不可 下面就带大家看看完整的博客网站是如何被搭建起来的 准备工作 1.网站框架——Typecho Typecho 是国内开发者开发的一款开源免费的动态博客程序，可以运行在基于 PHP 环境的各种平台上。 官网：Typecho Official Site GitHub：typecho: A PHP Blogging Platform. 相比于同为动态博客并且广为人知的 WordPress 来说，Typecho 的一大特点就是 “精简”。全部文件不足 500KB，但却也实现了完整的主题和插件支持。博客程序很轻量，资源占用也很低，原生支持 Markdown 语法。属于省心并且简洁的博客类型。 2.服务器购买 这里我推荐桔子数据的香港云，关键是价格便宜（不是广告！） 这里是传送门 个人建议买这个 配置随意，但是系统记得选择Ubuntu 20 等待机器初始化完成后再点开安全组 用ssh为名字添加一组新的策略，再点击应用即可 3.域名购买 域名推荐在 Namesilo 购买，价格便宜，同时赠送永久免费的隐私保护。 官网：Namesilo 首先 注册账户。注册信息建议使用美国生成信息，国家选择美国（United States），并勾选 “Keep my information private” 默认使用隐私保护。 然后 搜索想要注册的域名，进行购买。 设置域名续费规则、注册时长等。在 “Have a Coupon……” 处输入优惠码 okoff 或者 go2think ，点击 “Submit” 应用，优惠一美元。 完成后点击 “CONTINUE” 付款，支持支付宝和 Paypal 之后进行域名解析。先进行登录 进到个人主页后点击 ...

CDN原理 我们先来看一下正常上网的拓补图 图中是一个正常的网站请求，这个应该不难理解 但不知道你有没有注意到一个问题，如果这个网站是一个被架设在大洋彼岸的网站，那么网站的内容要想从地球的另一端来到你的电脑，得有多费劲？ 所以聪明的人类就发明出了一种十分暴力但却有效的方法来解决这一世纪难题，也就是将网站的内容先缓存到一台离你的电脑比较近的服务器上存起来，等你要用的时候直接调用这台服务器上的内容就行。而这种技术，就被叫做CDN存储技术（Content Delivery Network） 这样的方法看着简单，但却十分有效。不过也有一个致命硬伤，就是你没法保证你所访问内容的时效性。因为听名字就知道，缓存，就是暂时存储的意思，那就必然会有时间差的存在。而这个时间差的大小也就取决于网站管理者，不过一般来说这个时间差和网站访问速度是成反比的 不过对于科学上网而言，内容储存并不是我们关注的重点。重点是CDN服务所提供的域名。对于一个可以高速裸奔的科学上网的节点，其最大的痛处想必就是稳定性没法得到保证。因此，想办法提升稳定性就变成了非安全节点的关键。而一个节点之所以会被长城防火墙干趴，本质上就是节点ip或域名被拉了黑名单。 而CDN的存在就误打误撞地解决了这个问题。 当防火墙在探测你的节点ip时，碰到的确实CDN的域名。而CDN本身只起到了挡箭牌的作用，就算一个CDN域名被拉黑了，再把你的节点服务器重新再部署一个就行了。而且整个过程都是免费的（如使用cloudlare），这对科学上网来说简直就算一大神器。 但CDN也不是完全没有缺点。CDN确实能够保障你的节点安全，但速度却大打折扣。从上面的原理图里应该可以看出CDN服务器其实本身就是一个挂在墙外的东西，即便你的节点本身速度够快，但被CDN这么一折腾，也还是会有很大程度上的降速。因此，给你的节点套CDN作为一个备选方案，才算是一个不错的选择 ARP欺骗 ARP（Address Resolution Protocol），中文解释为地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。 ARP大致工作流程如下： 主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址。 收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存（重点来了，我们要利用的就是这个点！） 攻击者可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。 那么 我们如何利用ARP协议来进行断网攻击呢？大致思路如下： 首先，ARP是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷： ARP地址转换表（ARP缓存）是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。这就是所谓的APR欺骗攻击。 ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患，这里我们是使目标主机通信失败，之后的教程会介绍重定向的方法。 ARP攻击大致流程如下： 第一步：假设主机A访问某网站，那么要告知某网站我的IP和MAC地址，但这是以广播的方式告知的。 第二步，由于是广播方式告知，猥琐的B主机也知道了A的IP和Mac地址，于是猥琐的B主机把自己伪装成某网站，给A发送回复，A误以为B就是某网站，因此更新了自己本机的ARP缓存。 第三步，两者建立连接，A不断将自己的请求发给B，可怜的某网站被挂在一遍了。如果B转发A的请求给某网站，再转发给A，那相当于A的流量都从B经过，这就是步骤4，因此可以会话劫持；如果B给A的是一个假地址，那么可怜的A永远上不了网了。