码迷,mamicode.com
首页 > 其他好文 > 详细

第一周周报

时间:2020-01-13 01:03:17      阅读:180      评论:0      收藏:0      [点我收藏+]

标签:计算机   file   基本   设置   步骤   let   枚举   标题   键盘   

2020年一月12日
作者:寒江独钓人

周报

一周所学知识

  1. 环境配置(jdk,python共存,虚拟机,markdown)
  2. 漏洞复现(使用msfvenom自动生成木马,制作免杀)
  3. 信息收集(横向信息收集,纵向信息收集)
  4. 计算机网络基础(osi七层模型,计算机网络)

一、环境配置

俗话说,磨刀不误砍柴工,要想网安搞的好,环境配置跟工具安装少不了。使用多的环境包括:jdk,jre,python2,python3.
使用多的工具包括:markdown语法,FOFA,zoomeye,burp,御剑,菜刀等。

ps:我们需要在学习使用过程中不段积累整理,形成自己的工具包。
技术图片

二、漏洞复现

我们学过的漏洞有:ms08-067,ms10-046,ms17-010.
漏洞基本步骤:
技术图片

大家是否在拿到一台机器的shell时不知道干嘛,其实在通过漏洞打进去之后,还有一个步骤特别重要——后渗透利用。
通过后渗透利用可以收集到机器的一些基本信息,比如:拍照,远程打开摄像头,远程登录,监听键盘等。

我还自己利用Shellter免杀工具制作了一个.exe木马免杀。原理为生成木马文件,然后将生成的木马文件与shellter免杀工具捆绑,然后设置监听,将捆绑后的文件拷贝到WinXP系统中,双击后,攻击成功。具体操作步骤可以参考0107日报

后渗透攻击:https://blog.csdn.net/qq_41880069/article/details/82908293#4_114
msfvenom常用生成payload命令:https://www.kanxue.com/book-38-445.htm

三、信息收集

信息收集时渗透测试非常重要的一个阶段,收集的信息越多,渗透测试就越成功。
资产就是对网络设备的描述,识别或者网络设备本身就是资产,url是资产,IP是资产,子域名是资产,他的各种协议是资产,还有摄像头,开放端口,数据库都是资产。通过多种方式途径收集目标的资产,资产越多,可以攻击的点就越多。

  • whois收集注册商、注册人、邮件、DNS解析服务器、注册人联系电话信息
  • subDomainsBrute-master工具爆破枚举目标的二级域名
  • FAFO,zeemeye,shadon搜索网络摄像头
  • Google hacking语法可以搜索到具有弱口令的后台,常用语法:
    intext:(仅针对google)——搜索正文内容
    intitle:——搜索标题内容
    cache:——搜索搜索引擎缓存内容
    filetype:——搜索指定文件格式
    inurl:——搜索特定URL。
    site——制定搜索特定的站点
  • 大型漏洞扫描器(Nessus,Acunetix)

信息收集:https://www.freebuf.com/articles/database/195169.html

四、计算机网络基础

什么是计算机网络?
在不同地方,多台独立设备,通过通信链路,用相同的协议链接起来,实现资源共享等功能。

osi七层参考模型:物理层,数据链路层,网络层,传输层,会话层,表示层,应用层。

五、一周总结

学习一周之后,回头整理总结自己的东西,发现很多东西可以合在一起使用。我在脑袋里想着自己要渗透一个网站,先使用whois,Google hacking语法等收集他的信息,之后用大型漏扫扫描目标漏洞,如果存在ms17-010漏洞,在利用自己所学的知识打进去获得一个shell,之后在利用自己所学的后渗透,收集到他的一些账户密码等信息,在通过搜索引擎扫描他的后台,利用弱口令或者收集的信息进入后台,进不去还可以社工之后生成密码本,再使用burp爆破。这样想着自己学会渗透测试了,但是我知道每个步骤不是说起来这么简单。总的来说,第一周的学习给我打下一个良好的基础,有了好的习惯,再之后的学习中不断学习积累,超越自我。

第一周周报

标签:计算机   file   基本   设置   步骤   let   枚举   标题   键盘   

原文地址:https://www.cnblogs.com/bink1/p/12185292.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!