python 速成笔记 [基础语法一]

2016-04-19 python basic

0x01 理解机器码,字节码的基本概念:

1 2	低级语言: 汇编 C => 机器码 [直接可以丢给cpu去执行]

1
2
3

高级语言:  
Java ruby python c# php[应用场景非常局限,只限于web开发] C++ ...
=> 字节码 [通常是个二进制文件(python中是.pyc文件),也叫中间代码,还需要对应的各类语言的解释器进一步转换成机器码才能直接被cpu执行]

0x02 了解 python 的一些常见种类:

C    python	c语言版 python	默认大家所说的python一般都是指C python
J    python	java版  python
iron python	C#版 	python
...

0x03 不同python版本号间的一些区别:

1
2
3

python 2.6  属于过度版本
python 2.7  也属于过度版本,2020年后将不再被支持
python 3.5  属于重大改进后的版本

0x04 不同版本间的语法区别样例

1
2
3

部分函数名称变更,底层执行效率提升,如下,简单的事例
print "hello python2.7"  2.x 的输出写法
print("hello python3.x") 3.x 的输出写法

0x05 python 解释器自身的工作细节:

1	读取并执行文件中的python代码 -> 转换成对应的字节码 -> 再转换成机器码 -> 到cpu上执行

0x06 执行python代码的两种方式:

直接通过代码文件执行:

1
2

python 源代码文件通常以.py结尾的,但这并不是必须的
指定python解释器位置,指定要执行的python代码文件位置 如,c:\python36\python.exe d:\demo.py 语法没有错误的前提下,即可被成功执行

进入python解释器下执行python代码:

C:\Program Files\Python36>python.exe
Python 3.6.0 (v3.6.0:41df79263a11, Dec 23 2016, 08:06:12) [MSC v.1900 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> print("hello python3.6")
>>> exit()

0x07 最基础的计算机编码常识:

1 2	ascii码,这也是最开始的字符表示方式只需占1个字节,即8位,2的8次方等于256,完全可以把键盘上所有的英文字母和数字,特殊字符都表示完

1 2	汉语字符集的大致发展历程 GB2312 -> GBK -> GB18030 -> unicode

了解 unicode 编码 [ 万国码 ]
统一占两个字节,一上来就占16位
另外,我们知道在unicode编码中一个汉字要占三个字节,也就是说还多出一个字节的空间被浪费了
同样,像字母这种不足16位的,也是按16位的大小来存,缺点已经显而易见了,浪费空间,所以后来就优化出了utf-8编码

1
2
3

utf-8编码
属基于unicode优化后的编码,对于英文,字母和特殊字符,全部用8位表示,中文则用24位
针对不同的字符给不同的大小,实现自动变长,合理利用资源,基本支持全球大部分国家的语言

0x08 不同的python版本对编码的处理:

1 2	python 2.x 默认使用ascii编码,如果有中文,则需要事先手工指定编码 python 3.x 默认unicode编码,所以基本无需太关注编码问题

比如,在 python 2.x 代码中使用中文就必须事先代码文件头部,指定好字符集,如下:

1	# -- coding:utf-8 --

在python2.7中手工处理win cmd输出中文乱码

1 2	utf-8 到 gbk unicode[万国码]相当于中间人先把utf-8解码成unicode,再把unicode编码成gbk,下面就是具体的代码编码和解码流程

#!/usr/bin/python2.7
# --*-- coding:utf-8 --*--
stri = 'python 的创始人是吉多·范罗苏姆'
dec_stri = stri.decode('utf-8')
in_stri = dec_stri.encode('gbk')
print in_stri

如果是在python 3.x中,win cmd是不用手工编码再解码的,在python 3.x内部就已经帮我们把编码处理好了

1
2
3

#!/usr/bin/python3.5
stri = 'python的创始人为吉多·范罗苏姆'                                                                            
print(stri)

0x09 python 中的注释:

单行注释 # 要注释的内容
多行注释,单双引号均可,在python中单双引号作用完全相同,不存在强弱引用之别,跟其它语言稍有差别
'''
   要注释内容...
'''
""" 
   要注释内容...
"""
python 语句结束不需要分号,代码块对应关系全部以缩进来区分,格式要求很严格,非常规整

0x10 到底什么叫声明变量:

1	就是一段存在指定内存地址上的数据,根据变量名可以快速找到这段数据,仅此而已

0x11 在python中声明变量及变量命名规则须知 [和其它语言并无差别]:

变量名必须由大小写字母,下划线,数字组成,但不能以数字开头,另外,禁止使用python各种内置关键字作为变量名,如下,

username = "klion"
password = "admin"
username_new = username 支持变量直接再赋给变量 
del username 		手动销毁变量,其实python内部也会自动回收没有指向的内存空间,又名垃圾回收机制

0x12 熟练掌握 python中的一些基本数据类型,因为python本身是纯面向对象的,所以每种数据类型对应的其实就是一个类,把某个值赋给某个变量的过程其实就相当于根据这个数据类型所对应的类创建一个对象:

1] 数字类型,关键字 int , 注意,在python3.x中对于数字型并没有长度限制,python2.x 有长度限制

熟练使用数字类型的一些常用方法:

int()
把一个字符串强制转换成一个数字,前提是要转换的这个字符串必须全部是由纯数字组成
 
num = int("1234")
print(type(num))

int(num,base=2)
把num字符串按照指定的进制数转换成十进制,2表示二进制,8表示八进制,16表示16进制,默认是转10进制的
num = "0011"
res = int(num,base=2)
print(res)

bit_length 输出指定数字所占的有效二进制位数,
num = int("3")
res = num.bit_length()
print(res)

__add__ 比较简单,就是将两个数相加
num = int("3")
num1 = 34
res = num.__add__(num1)
print(res)

2] 字符串类型,关键字 str

定义一个字符串:
单引号 'str'
双引号 "str"
三引号 """ str """ 跟注释的区别就在于有没有变量接收,没有接收就是注释,有接收就是字符串变量
字符串连接符 ' + '

熟练使用字符串的一些常用内置方法:

1
2
3

len() 	统计字符串或者列表[以逗号分割]长度
str_info = "Hello klIon ^_^! hEllo KittY"
print(len(str_info))

通过字符串索引取值,切片

str_info = "Hello klIon ^_^! hEllo KittY"
print(str_info[0])		取第一个字符
print(str_info[2:6])		取第三个到第7个字符,大于等于2小于6
print(str_info[9:-1])		取第10个到倒数第一个之间的所有字符
print(str_info[12:-2])		取第13个到倒数第二个之间的所有字符

循环取出字符串中所有的字符及其对应的索引

str_info = "Hello klIon ^_^! hEllo KittY"
print(len(str_info))
iterm = 0
while iterm < len(str_info):
	print(iterm,"=>",str_info[iterm])
	iterm += 1
for iterm in str_info:
	print(iterm)

"分隔符".join(要拆分拼接的字符串)    
将指定的字符串按照指定的分割符进行拼接,返回一个新字符串
str_info = "hello linux"
print("*".join(str_info))

split('分隔符',分割次数)  
按照指定字符和分割次数进行分割,默认是从左到右分割,分割后返回一个的新列表,注意,分隔符本身并不包含在内
str_info = "this is a test demo code ! thanks "
print(str_info.split('t',2))

rsplit('分隔符',分割次数)  
指定字符分割和分割次数,从右到做开始分割,同样返回一个新列表
str_info = "this is a test demo code ! thanks "
print(str_info.rsplit('t',2))

partition('指定要切割的字符')  
以指定的字符进行切割,不同于split的是,它只切割一次,也就是说当遇到第一个要切割的字符就是开始切割
后面再遇到该字符就不再切割了,返回一个切割后的元祖,默认是从左到右进行切割的
str_info = "hello klion ^_^! hello kitty"
print(str_info.partition('l'))

1	rpartition('指定要切割的字符') 以指定的字符进行分割,从右往左开始

1
2
3

splitlines([False/True])以换行符进行分割,返回一个新列表,如果加上True则保留\n,否则则不保留
str_info = "this is a test \ndemo code ! thanks "
print(str_info.splitlines())

replace('要替换的内容[旧]','要替换成的内容[新]',要替换的次数[默认替换所有]) 
把旧字符串替换成新字符串,默认是从左到右进行替换的,返回一个替换后的新字符串
str_info = "welcome to klion "
print(str_info.replace('klion','linux',1))

find('字符序列',字符串索引起始位置,字符串索引结束位置) 
寻找指定的子序列在目标字符串中是否存在,默认是按照从左往右的顺序查找,查到则返回对应字符序列在目标字符串中的索引位置,查不到则返回-1
str_info = "welcome to klion,klion is a pentester! "
print(str_info.find('sec',0,100))

1	rfind('字符序列',字符串索引起始位置,字符串索引结束位置) 和find不同的是,find默认是从左开始查找的,而rfind是从右开始查找的

strip(指定要剔除的字符[应该是遍历循环剔除的,只要匹配到其中任意一个字符就剔掉])
默认是剔除指定字符串两边的空白符[空格],亦可指定要剔除的指定字符,返回一个新的字符串
str_info = "***welcome to klion,klion is wa pentester!***w"
print(str_info.strip('w**'))

lstrip(指定要剔除的字符)  
默认是剔除指定字符串左侧的空白符,亦可指定要剔除的指定字符,返回一个新的字符串
str_info = "***welcome to klion,klion is wa pentester!***w"
print(str_info.lstrip('w**'))

rstrip(指定要剔除的字符)  
默认是剔除右边的空白符,亦可指定要剔除的指定字符,返回一个新的字符串
str_info = "***welcome to klion,klion is wa pentester!***w"
print(str_info.rstrip('w**'))

upper()  把指定字符串全部转换成大写,返回一个新的字符串
str_info = "***welcome to klion,klion is wa pentester!***w"
print(str_info.upper())

isupper() 判断目标字符串是否全部为大写,全部为大写则返回True,否则返回False
str_info = "***welcome to klion,klion is wa pentester!***w"
print(str_info.isupper())

lower()  把指定字符串全部转换为小写,返回一个新的字符串
str_info = "***welcome to klion,klion is wa pentester!***w"
print(str_info.lower())

islower() 判断目标字符串是否全部为小写,全部为小写则返回True,否则返回False
str_info = "***welcome to klion,klion is wa pentester!***w"
print(str_info.islower())

casefold()将目标字符串全部转换成小写,会返回一个新的字符串,常用
str_info = "Hello klIon ^_^! hEllo Kitty"
print(str_info.casefold())

count('字符序列',目标字符串起始索引位置,目标字符串结束索引位置)
统计某个字符序列在目标字符串中出现的次数,返回总共匹配到次数
str_info = "welcome to klion,klion is a pentester! "
print(str_info.count('klion',0,100))

isdecimal() 检查目标字符串是否为十进制字符[其实就是指整数],是则返回True,反之,则返回False,实际中用的较多
str_info = "3"
print(str_info.isdecimal())

1
2

isnumeric() 检查目标字符串是否为纯数字,用法同上,是则返回True,否则返回False
isalnum() 检查目标字符串是否为纯数字或字母组成,是则返回True,否则返回False

isspace() 检查目标字符串是否为空格,是则返回True,否则返回False
str_info = " "
print(str_info.isspace())

isalpha() 目标字符串是否为纯字母,是则返回True,否则返回False
str_info = "pentester"
print(str_info.isalpha())

isprintable检查目标字符串中是否存在不可见字符,如tab,空格...,是则返回True,否则返回False
str_info = "hello klion ^_^!"
print(str_info.isprintable())

用于接收的变量[pattern] = maketrans('要替换的内容','替换成的内容') 有点儿类似linux中的tee命令,需要配合translate()一起使用
translate(pattern) 
pattern = maketrans('A-XY-Za-xy-z', 'C-ZA-Bc-za-b')
str = "this is a convert....la!!!";
print(str.translate(trantab))

title把目标字符串转换成标题样式,返回一个新的字符串
istitle 判断目标字符串是否为标题格式 [标题的每个单词首字母一般都会大写],是则返回True,否则返回False
str_info = "hello klion ^_^!"
t_res= str_info.title()
print(t_res.istitle())

ljust(要填充到的长度,用来填充的字符)   字符串填充,从右边开始填充
str_info = "hello klion ^_^!"
print(str_info.ljust(30,'#'))

rjust(要填充的长度,用来填充的字符)   字符串填充,从右边开始填充
str_info = "hello klion ^_^!"
print(str_info.rjust(30,'#'))

center(要填充到的长度,"要填充的内容") 
填充居中,返回一个新字符串
str_info = "hello klion ^_^!"
res = str_info.center(30,"#")
print(res)

capitalize()  让整条语句首字母大写
str_info = "hello klion ^_^! hello kitty"
print(str_info.capitalize())

endswith() 判断目标字符串是否以指定字符结尾
str_info = "Hello klIon ^_^! hEllo KittY"
print(str_info.endswith('Y',21))

startswith() 判断目标字符串是否以指定字符开头
str_info = "Hello klIon ^_^! hEllo KittY"
print(str_info.startswith('H',0))

expandtabs(32) 把tab键替换成指定个数的空格,例如,下面可以直接利用此方法输出成表格的形式
str_info = "name:sec\tmail:sec@sec.org\tage:23\nname:sec\tmail:sec@sec.org\tage:23\nname:sec\tmail:sec@sec.org\tage:23\n"
print(str_info.expandtabs(32))

布尔类型,关键字 Bool [务必注意开头要大写]

1 2	True (真),1 False(假),0

为真的情况就不说了,只说为假的情况,如下:

None
""  空字符串
()  空元祖
[]  空列表
{}空字典

3] 列表 list,以’[]’表示,以英文逗号对列表中的每个元素进行分割,列表中的元素可以是任意数据类型,并支持随意的增删改查及in操作,列表是有序的

1
2
3

li = list()  创建空列表
list_info = ['klion','25','sec@sec. org','hello ','5324213','num','pentester','kali']
list_tmp  = ['num',23]

依然是通过索引,切片取值,跟字符串用法基本是一样的,切完以后会返回一个新列表

1	print(list_info[3:-1])

for循环取出列表中的所有元素

1
2
3

print(len(list_info))# len() 方法用来统计列表元素个数
for iterm in list_info:
	print(iterm)

1 2	index('目标列表中的某个元素值',起始索引位置,结束索引位置)返回某个元素在目标列表中的索引数值 print(list_info.index('pentester'))

insert(指定要插入到的索引位置,'要插入的内容')往原有列表中插入新数据,会直接改变原有列表
res = list_info.insert(5,'security')
print(list_info)
print(res)

append(要追加的元素) 往现有的列表里面里面追加一个新的列表项,把参数的整体作为一个列表元素
res = list_info.append(list_tmp)
print(list_info)
print(res)

extend(另一个列表)  通常用于将两个列表合并成一个列表,例如:字符串,列表,元祖,字典
res = list_info.extend(list_tmp)
print(list_info)
print(res)

pop(指定要删除的元素索引值)删除指定的元素,会返回被删除的这个元素的值
res = list_info.pop(3)
print(list_info)
print(res)

remove(直接指定列表中的某个元素) 移除指定的元素,同样会直接改变原有列表
res = list_info.remove('kali')
print(list_info)
print(res)

reverse() 反转列表元素,会直接改变原有列表
res = list_info.reverse()
print(list_info)
print(res)

sort()  对列表中元素进行排序,默认升序
res = list_info.sort()
print(list_info)
print(res)

clear()   清空列表,单单只是清空列表项,并非删除该列表
res = list_info.clear()
print(list_info)
print(res)

1
2
3

copy() 把列表拷贝一份,属于浅拷贝
new_list = list_info.copy()
print(new_list)

count() 统计某个元素在列表中出现的次数
res = list_info.count('num')
print(list_info)
print(res)

把列表批量替换成字符串,如果列表中只有字符串,可以''.join(list) 自动循环拼接,如下,
list_info = ['sec','ok','connect']
str_res = '-'.join(list_info)
print(str_res)

列表中既有字符串又有字符串则需要自己写循环,循环强制str转换成字符串再进行拼接
str_tmp = ''
list_info = ['sec',34,'ok','connect','login','succeed',110]
for iterm in list_info:
	str_tmp += str(iterm)
print(str_tmp)

1
2
3

多层嵌套取值
list_info = ['klion',[1,2,3,4,5,['k','23','this']],'sec@sec. org','hello ','5324213','num','pentester','kali']
print(list_info[1][5][1])

in 及 not in 操作

if 'klion' in list_info:
	print('yeah is inter! ')
else:
	print('Oh No!')

if 'xlion' not in list_info:
	print('yeah is outer! ')
else:
	print('Oh No!')
`

4] 元祖类型,关键字,tuple,用’()’表示,内部一级元素是不可修改的,也就是说对一级元素项不可以增删改查,俗称,’只读列表’,但对于元素项中的子列表是可以修改的,习惯性的在元祖最后多加个逗号,元祖也是有序的

同上,通过索引,切片取值,多层嵌套取值,常用方法,如下:

1 2	count(指定要统计次数的元素) 统计某个 index(指定要获取索引的元素) 获取某个元素的索引位置

tuple_res = ('ok','connect',110,'status','login',110,'succeed',[1,2,3,('yeah','here','linux',[23,5,354,23],),5],)
print(tuple_res)
print(tuple_res[0])
print(tuple_res[3:6])
print(tuple_res[2:5])
print(tuple_res.count(110))
print(tuple_res.index('connect'))
print(tuple_res[7][3][3][2])

1 2	for iterm in range(len(tuple_res)): print(iterm,'=>',tuple_res[iterm])

5] 列表和元祖的一点区别:

1	元祖和列表本质几乎是一模一样的,但元祖中的一级元素是不允许修改的而列表中的元素都是可以被随意修改的

6] 字典类型,关键字 dict,用’{key->value}’表示,里面的value可以是任意类型的数据,key可以是数字,字符串,元祖,但它只有索引,不能切片,字典是无序的,默认for循环只有key,另外,元祖,列表,字典可以相互嵌套,类似php中的’数组’

dict_info = {
	'name':'klion',
	'age' :'26',
	'email':'sec@sec.org',
	'phone':'12334213',
	'list_info' : {
		'a':12,
		'b':13,
		'c':14
	},
	'city':['bj','ne','ko','to']
}

字典是根据键取值的

1 2	print(dict_info['email']) print(dict_info)

字典常用的一些内置方法:

1
2
3

get(指定目标字典的key) 取出字典中的某个key对应的值,如果key不存在返回None
gets = dict_info.get('age')
print(gets)

pop() 删除字典中指定的值
dels = dict_info.pop('phone')
print(dels)
print(dict_info)

1
2
3

keys() 把目标字典中的所有键取出来放到一个新的字典中
keys = dict_info.keys()
print(keys)

1
2
3

values()把目标字典中的所有值取出来放到一个新的字典中
values = dict_info.values()
print(values)

1
2
3

items()把目标字典中的所有键值取出来放到一个新的字典中
items = dict_info.items()
print(items)

1
2
3

clear()清空目标字典,单单只是清空并不是删除
nulls = dict_info.clear()
print(nulls)

update()更新某个键的值
new_age = dict_info.update({'name':'sec','age':'45'})
print(new_age)
print(dict_info)

1
2
3

fromkeys()  根据指定的key生成一个统一值的字典
allkey = dict_info.fromkeys(['name','linces','tmp_num'],18)
print(allkey)

7] 集合类型,关键字 set,由不同元素组成,且必须为不可变类型,即字符,数字,元祖,默认是无序的,另外,内部会自动去重

定义一个集合

1 2	s = {1,2,3,4,5,'klion','sec@sec.org','sec','klion','kali',4,'wow'} p = {3,5,'sec','nuddle','backbox','fedora'}

1
2
3

add() 向集合中添加元素
s.add('linux')
print(s)

1
2
3

copy()  将集合复制一份
new_set = s.copy()
print(new_set)

1
2
3

pop()  随机删除集合中的一个元素
s.pop()
print(s)

1
2
3

clear() 清空集合中所有的元素,并非删除集合本身
s.clear()
print(s)

1
2
3

remove() 删除集合中指定的某个元素,如果没有该元素,会报错
s.remove('klion')
print(s)

1
2
3

discard() 删除集合中指定的元素,如果没有该元素,不会报错,常用
s.discard('xlion')
print(s)

集合中常用的一些内置方法

s_n = set(s)
p_n = set(p)
print(s_n)
print(p_n)

1 2	交集 intersection() 或者 & 取出两个集合中的共同部分 print('交集',s_n&p_n)

1 2	并集 union() 或者 \|把两个集合中的所有元素去重合并 print('并集',s_n\|p_n)

1 2	差集 difference() 或者 - 取出s_n中p_n没有的元素 print('差集',s_n-p_n)

1 2	补集 symmetric_difference() 或者 ^ 把两个集合合并然后抠除共有元素,留下剩余部分 print('补集',s_n^p_n)

0x13 python 基本数据类型小结:

1 2	对于字符串而言,执行一个功能,都会产生一个新的字符串对于list,tuple,dic,执行一个方法,大多都是直接更新自身

0x14 python 常用的一些运算符:

1 2	算数运算符[ 乘除取余优先级高于加减 ] +(加) -(减) (乘以) /(除) //(直接取整,并非四舍五入) %(取余) (x*y 表示x的y次方)

注意:
如果想在2.7中如果想让9/2输出结果为4.5就必须先引入下面的模块
from __future__ import division   
python 2.7 
9/2 = 4
python 3.x
9/2 = 4.5

1 2	赋值运算符 = += -= = /= %= *= //=

1 2	比较运算符(只返回真假) ==(等于) !=(不等于) <>(不等于,相当于!=) >(大于) <(小于) >=(大于或者等于) <=(小于或等于)

逻辑运算符 [ not的优先级最高,平时自己写代码时,最好把逻辑运算都加上括号 ]
and(且) or(或) not(非)
如果有连续多逻辑运算操作且没加括号,则严格按照从左到右一个个计算,总结规律如下 
真 遇到 or 最终结果肯定为真
假 遇到 and 最终结果肯定为假
短路原则
and 前面一个条件为假,后面就不再计算了
or 前面条件如果为假,后面继续计算

成员运算符(专门用来寻找一个字符串是否在另一个字符串里面),返回布尔值
in 
not in
字符 in 字符串  	判断某个字符或字符序列是否在某个字符串中
字符 not in 字符串  判断某个字符或字符序列是否不在某个字符串中

1
2
3

三元运算符
值1[成立] if 条件 else 值2[不成立]
True if id > 1 else False

0x15 python中常用的一些辅助方法:

type() 	查看某个变量的数据类型
id() 	查看变量在内存中的地址
help(type(变量))
dir(变量)
input() 凡是从input中输入的内容默认都是字符串类型的,如果输入的是字符串数字则需要自己手工用int强制转换下

0x16 python 流程控制格式:

条件判断:

单分之判断:
if 条件:
	条件成立,执行此语句
	条件成立,执行此语句 [ 注意缩进必须一一对应 ]
else:
	条件不成立,执行此语句

多分之:

if 条件一:
	条件成立,执行此语句
elif 条件二:
	条件成立,执行此语句
elif 条件三:
	条件成立,执行此语句
else:
	条件不成立,执行此语句[ pass表示什么都不做 ]

循环控制:

1 2	while 条件[每执行完一次回来看下条件是否还满足,如果满足就继续循环,知道不满足退出循环,务必谨记在最后给退出条件]: 要循环的语句

while 条件: 
	....
else: 当上面的条件都不成立时则执行此代码块中语句,只会执行一次
	....

1	break 跳出当前整个循环,且后面的代码不再执行

1	continue 只跳出当前这一次的循环,继续下一次循环

for 变量 in 条件:
	要循环的语句
else:
	上面的循环被正常执行完,也就是中间没有任何break或者continue,才会执行else里面的东西

range(起始值,总数,每次迭代的步长)
可专门用来获取指定范围内的数,默认是0开始的
for iterm in range(0,10,2):
	print(iterm)

enumrate(可迭代的对象,起始位置[默认从0开始]) 会把这个可迭代对象的索引及索引对应的值一一遍历出来,如下,前面是索引,后面是索引对应的值
li = ['redhat','debian','feodra','parrot','backbox','kali','alex','sec']
for iterm,fix in enumerate(li):
	print(iterm,fix)

0x17 在python钟对字符串进行格式化输出:

第一种[百分号]:

1
2
3

%s 代表字符串,但它基本所有类型都能接收,用的最多,一般都用这个
%d 代表数字,也就是说它只能接受整形
%f 只能接收小数,浮点数,默认加6位的精度

common_out = 'Work hard to move yourself %s, work hard to do nothing, you will succeed %d' % ('klion',100)
common_out = 'Work hard to move yourself %(name)s, work hard to do nothing, you will succeed %(num)d' % {'name':'sec','num':33}
common_out = 'Work hard to move yourself %s, work hard to do nothing, you will succeed %.3f' % ('klion',1234.23123123)
common_out = 'Work hard to move yourself %s, work hard to do nothing, you will succeed %d%%' % ('klion',100)
print(common_out)

第二种[format方式]:

:d 整数
:s 字符串
:f 浮点型
:b 二进制输出
*  代表直接传列表
** 代表直接传字典

1
2
3

format_out = 'Work hard to move yourself {name}, work hard to do nothing, you will succeed {num}'.format(name='sec',num=123)
format_out = 'Work hard to move yourself {name}, work hard to do nothing {mail}, you will succeed {num}'.format(**{'name':'security','num':123,'mail':'sec@sec.org'})
print(format_out)

后话:
当你真正熟练掌握了一门脚本语言之后,再去学另一门脚本语言,其实上手用起来是很快的,这些基础语法正常情况下半天就应该搞定了

利用reaver破解目标pin码

2015-04-16 wpa/wpa2 crack

1,说到pin码就不得不提wps,它是一种特殊的无线认证协议,当路由器开启wps功能后,会随机生成一个8位的pin码,通过暴力枚举这个pin码(共11000中可能),就可以达到破解目标wifi的目的,很不错的现象是,现在很多路由器默认就开启了wps功能

关于pin码爆破的具体原理简要分析,如下:
  前4位为第一部分,第5-7位为第二部分,最后1位为第三部分
  第一部分的验证跟第二部分没关联,最后1位的结果是根据第二部分计算得出的校验码
  破解一开始是会先单独对第一部分进行pin码匹配,
  也就是说先破解前4位pin码,而前4位也就是0000-9999共有10000个组合
  当前4位pin码确定后再对第二部分进行pin码匹配,
  再对5-7位进行破解,而5-7位是000-999,共有1000个组合
  当前7位都确定后,最后1位也会自动得出,即破解完成
  根据pin码破解的原理,可以看到只需要枚举11000种情况就会必然破解出pin码,
  从而通过pin得到wifi密码,这么点儿组合对计算机来讲,破解出来是迟早的,不过实际很大程度上还要依赖于目标路由的网络状况和信号强弱
   pin码格式

2,具体的pin码破解流程如下,首先,依然是先开启网卡的监听模式:

1	# airmon-ng start wlan0

开启网卡监听模式

3,而后,开始扫描附近所有开启了wps的无线设备,locked状态为’No’的,都可以作为下手的目标

1	# wash -i wlan0mon --ignore-fcs 这里有时会报fcs错误,加上该选项即可

扫描附近开了wps的无线设备

4,使用reaver工具爆破pin码,关于reaver 一些选项作用如下:
  -i 监听后的网卡接口名称
  -b 指定目标无线ap的mac地址
  -a 自动检测目标AP最佳配置
  -S 使用最小的DH key(提高破解速度)
  -vv 显示详细的破解过程
  -d 即delay每穷举一次的闲置时间预设为1秒
  -t 即timeout每次穷举等待反馈的最长时间,即破解超时时长
  -c 指定频道可以方便找到无线信号,如-c 1 指定1频道

根据无线信号强弱针对性的调整下命令:

# reaver -i wlan0mon -b MAC -a -S -vv -d0 -c 1  		信号非常好
# reaver -i wlan0mon -b MAC -a -S -vv -d2 -t 5 -c 1		信号普通
# reaver -i wlan0mon -b MAC -a -S -vv -d5 -c 1			信号一般
# reaver -i wlan0mon -b MAC -S -N -vv -c 4
# reaver -i wlan0mon -b DC:EE:06:96:B7:B8 -S -N -vv -c 6

开始爆破pin码

最后,当reaver pin完之后会显示出目标的WPS PIN(正确的pin码)码和WPA PSK密码(正确的wifi密码)

5,假如目标的wpa psk密码被修改了,但wps功能却没有关,pin码也没有改,你还是可以直接用reaver再次获取目标wifi密码,如下:

1	# reaver -i mon0 -b mac -p pin码

一点小结:

其实,搞清楚具体的破解原理之后,你会发现其实也并没什么实际性的技术含量,只需要写程序组包跑就是了,可能就是验证的过程有点儿复杂需要多花些时间,但工具(reaver)现在别人都已经为我们写好了,我们所能做的,会用即可,仅此而已,另外,个人并也极不建议一开始破解无线的时候就用这个方法,因为它的速度,大家也可以看到了,影响的因素太多,导致了它非常的慢,尤其是对实地渗透来讲,我们可能根本没有那么长的时间等,所以,能用aircrack搞定的就直接用aircrack来搞定,实在搞不定,再考虑这个也不迟,仅仅是个人建议而已……!

利用wifite脚本全自动获取握手包

2015-04-15 wpa/wpa2 crack

0x01 wifite 脚本仓库地址 [ Kali NetHunter 中可能用的居多 ]:

1	https://github.com/derv82/wifite

0x02 关于使用wifite脚本的好处
你可以不用再像aircrack那样繁琐的手工输入各种命令,而是把一切都交给代码变成一种完全傻瓜式的交互操作,其实,本质上还是在调用的各种外部工具[aircrack]来帮其实现,脚本基于py,关于更多更详细运作细节,请自行看代码,今天的目的主要是教大家怎么快速把它用起来,非常简单,简单到你基本不用懂任何技术就可以随意破解别人的无线密码:

1	# wifite -h 查看wifite的所有帮助选项

下面是破解wpa/wpa2相关的一些选项
破解wpa/wpa2的相关帮助
破解古老的wep(基本已淘汰,反正我是没见过)相关选项
破解wep的相关帮助
关于wps(一种新的认证协议,并非直接使用密码验证而是用pin码,更多内容,请自行谷歌)的一些相关破解选项
破解wps的相关帮助

0x03 关于wifite脚本的具体使用过程,如下,插入事先准备好的无线网卡[同样,务必是aircrack所支持的无线网卡芯片才可以],执行下面的命令:

1	# wifite --wpa --mac --wpadt 20 -aircrack 这里暂以破解wpa2为例,关于wep和wps的破解请自行尝试

运行wifite脚本

ctrl+c 即可停止扫描,选择你要破解的无线,几个栏目的意思分别是
无线编号,无线工作信道,加密类型,信号强弱(值越高信号越强),目标是否启用wps,有无客户端在线(s表示同时有多个客户端在线)
选择要攻击的无线热点

这里还是用我们自己的wifi来进行测试,选择1,至于之后的事情你就不用管了,它会自动帮你获取握手包文件并保存在当前路径下的hs目录中,如下:
自动获取握手包
握手包位置

0x04 具体的hash破解过程
最后,还是跟之前一样,直接处理下丢给hashcat或者aircrack都行,因为这里只是为了测试,所以就直接丢到aircrack中跑了,另外,有个需要注意的地方,如果你还是像之前那样直接用wpaclean处理,然后再丢给hashcat,破解速度会瞬间下降将近两万倍,其实,我也没搞懂这到底是为啥(懒得看代码,也没那个必要),所以,我个人还是推荐直接手工用aircrack相对比较靠谱,毕竟,越自动化的东西,往往对现实环境的适应力就越差,问题也就越多,不靠谱都是很正常的

1	# aircrack-ng --bssid DC:EE:06:96:B7:B8 -w ../pass.txt klionsec_DC-EE-06-96-B7-B8.cap

握手包位置

一点小结:
不可否认的是,脚本一定程度上确实很方便,但它同时显的很呆笨,里面的每个操作并非都是最适合我们的,对于渗透来讲,我们需要知道的往往是更细节的东西,自动化脚本对于还处在学习阶段的我们,并没什么实际的好处,因为它会严重阻碍你自己思考的习惯,总之,个人此脚本并不建议在实战中使用,除了破解时间的问题,实际测试的时候还有一些其它的小问题,还是那句话,建议直接手工aircrack,也许会更灵活点,不过,在kali nethunter中的表现还是不错的

aircrack & hashcat 非字典高速破解目标无线密码

2015-04-14 wpa/wpa2 crack

0x01 挂载好外置无线网卡
把用于抓包的无线网卡挂到kali中,正常情况下,网卡在成功载入系统后,应该是如下的效果,在虚拟机设置中选择’可移动设备’把你的网卡连到虚拟机里
"将网卡载入kali"
如下图可以看到系统已自动识别该网卡,并且已自动搜到附近的无线信号
查看系统是否已经识别该网卡
看看能不能收到附近的无线信号

0x02 检查无线网卡驱动是否能正常工作
紧接着,来看下当前系统中是否已经识别出该无线网卡的驱动,假设当前系统内核中已经有了该种无线网卡的驱动,它就会直接显示出当前无线网卡所使用的芯片组,可以看到,我这里用的是RT2800的芯片组(推荐大家直接去某宝买),如果没有,则可能需要你自己去手工编译安装相应的无线网卡驱动,然后再更新下内核模块即可(在linux中编译安装驱动着实是一件比较麻烦的事情,建议买的时候就直接去买aircrack所支持的网卡型号,起码用的时候不至于这么费劲,要相信万能的某宝),但这并不代表你只要把无线网卡驱动安装好就可以用了,需要搞清楚的是,你所使用的无线网卡芯片组必须要被aircrack所支持才可以,因为用无线网卡的最终目的还是用来捕获握手包

1	# airmon-ng 查看当前系统中的所有可用的无线网卡接口

看看aircrack是否已经识别芯片组

0x03 关于aircrack所支持的网卡芯片组列表,请自行参考aircrack官方说明:

1	https://www.aircrack-ng.org/doku.php?id=compatibility_drivers

0x04 为了保证aircrack套件在运行的时候不被其他进程所干扰,我们需要先执行以下命令

1	# airmon-ng check kill

aircrack启动检查

0x05 可以看到,当前网卡默认还处在管理模式,这时我们需要手动将其变成监听模式,这样才能进行正常的抓包

1	# iwconfig 使用此命令可查看无线网卡的当前工作模式

查看网卡工作模式

1	# airmon-ng start wlan0 把网卡改为监听模式

将网卡切换为监听模式

1	# iwconfig 再次查看无线网卡工作模式是否真的已经改过来了

看看网卡工作模式是否已经切换成功

0x06
另外,你的无线网卡在启动监听模式以后,网卡接口名称就变成了wlan0mon,以后只要是在aircrack套件中需要指定网卡接口名称的,都要用这个名字,在老版本的aircrack中默认名称是mon0,而新版本则统一变成了wlan0mon,恩,一切准备就绪之后,我们开始尝试扫描附近的无线接入点,找个有客户端在线的再单独监听,一定要注意,”目标无线必须要有客户端在线”,否则是抓不到包的,这也是整个无线破解最核心的地方,因为我们要把对方的某个在线客户端蹬掉线,才能截获他的握手包

1	# airodump-ng wlan0mon 开始尝试扫描附近的无线信号,这里就用我们自己的wifi来进行测试,用于测试的wifi的mac和热点名称如下(klionsec)

扫描附近的无线信号

0x07
通过上面的扫描,我们选定了名称为”klionsec”的wpa2无线热点作为我们的攻击目标,这里我们需要先记录下目标无线的工作信道以及对应的mac,(后面单独监听时需要用到这些信息),而后,单独监听目标无线热点,注意这里在监听目标无线的过程中不要断开,直到整个抓包过程完成为止,接下来要做的事情就是等待客户端上线,然后进行抓包,例如,下面就表示有一个客户端在线,其实,抓握手包的原理就是先把这个在线的用户给蹬掉线,然后再截获它的握手包,而这个包里就有我们想要的无线密码

1	# airodump-ng --bssid DC:EE:06:96:B7:B8 -c 6 -w sec wlan0mon 监听目标无线,并把截获到的数据写到指定文件中

单独监听目标无线

0x08
发现客户端在线稳定后,就可以向目标发射’ddos’流量了,直到我们在监听的终端下看到有握手包出现为止,如果第一轮包发完成后,并没看到握手包,别着急,先等个几十秒,或者隔个五六秒再发一次即可,正常情况下,基本一次就能搞定

1	# aireplay-ng --deauth 15 -a DC:EE:06:96:B7:B8 wlan0mon

开始发动ddos攻击

可以看到,这时握手包已被正常抓获,此时监听也就可以断开了,注意观察终端的右上角,那个带有handshake标志的就是握手包的意思
成功获取握手包

0x09
在我们抓获握手包以后,接下来的事情就非常简单了,你可以直接用aircrack加载弱口令字典进行爆破,当然,个人是十分不建议用字典(效率,实用性,太低,过于浪费时间),推荐大家直接把包处理一下丢给hashcat或者某宝去跑就行了,两种方法具体操作如下:

(1)第一种,利用aircrack加载字典进行爆破,反正我自己很少用,基本没用过,先不说速度如何,关键还是看你的字典是否靠谱,实际测试中,个人并不建议用,因为根本没有靠谱性可言,因为这里仅仅是测试,实际渗透中,哪有太多的时间让你去跑[比如,实地渗透]

1	# aircrack-ng --bssid DC:EE:06:96:B7:B8 -w pass.txt sec-01.cap 会有三个文件,但最终的密码在cap文件

破解握手包中的无线密码

(2)第二种,直接利用hashcat跑hash,不过需要你事先稍微整理下数据包

1	# wpaclean wpapass.cap sec-01.cap 可以看到这里已经成功识别出了目标无线id

提取数据包中的hash

1	# aircrack-ng wpapass.cap -J wpahash 把数据包转换成hashcat能认识的hash类型

转换成hashcat认识的hash格式

1	# hashcat -m 2500 -a 3 wpahash.hccap ?u?l?l?l?l?d?d?d 因为我事先已经知道密码,所以直接这样给掩码会跑的更快一些

下面是hashcat的破解结果,可以看到,像wpa这种加密算法,对于hashcat来讲,几乎是瞬间就被秒出来了,因为事先忘记了把wifi改的简单点(汗……),所以这里不得不拿之前的一个测试案例来说明了,因为这次用于测试的wifi密码比较复杂,要是硬破,估计明年也破不出来,所以没必要在这里浪费时间,重要的是把方法告诉大家就好,测试结果并不是最重要的,能把要说明的问题说清楚即可
破解结果

0x10
至此,整个无线密码破解的经典步骤就算完成了,纵观全文,其实,并没多少技术含量在里面,跟着我的文档一步步的来,抓个包,跑个密码基本还是没什么问题的,其实,如果真的特别想关注底层的细节,不妨自己通过wireshark手工完成这一过程,可以明确告诉大家的是,这样是绝对可行的,请自行尝试

一点小结:
在破解无线密码的问题上,大家大可不用太过纠结,破密码的最终目的,也是希望能通过这种方式来在目标上开个口子,仅此而已,如果真的是哪天运气爆棚,直接捅到目标的办公网,自然是求之不得,因为毕竟是在实地,可能留给我们的时间也不会太多,还会有其它诸多的不便,想短时间内把整个内网摸透,可能也来不及,但想办法先在目标内网留个shell稳住入口,回去接着慢慢搞,还是可行的,一般对于从外部打进去非常难的情况下,这也许也是一种切实可行的渗透手段,祝大家好运吧,不过,最后,还是有句话不得不提醒大家,访问未授权的系统本身就是违法的,望大家洁身自好……!

web渗透第一步之信息搜集 [快速抓取目标高质邮箱]

2014-12-22 email collect

0x01 前期简单探测
首先,确定目标自己的邮件服务器所在的真实位置,一上来先别急着搜邮箱,不妨先看看邮件服务器自身有没有什么错误配置,比如,没有禁用VRFY或者EXPN命令导致的用户信息泄露,如果有,我们就可以直接通过这个把目标的邮件用户名都爆出来,如下,或者也可以尝试下弱口令之类的看能不能碰到一些,如果有,这就是最一手的发信邮箱

0x02 搜集目标的各类webmail入口
找目标的各种webmail入口,不一定有,这也是为了后面万一要撞到了密码还可以直接丢过来试试,另外,如果发现目标用的是某种开源web邮件程序,也可以尝试找找对应版本的exp,虽然不一定能成功,但好歹也是条路

0x03 提取whois邮箱
从域名的whois中获取目标域名的注册人,管理员,技术的邮箱,拿到这些邮箱之后,先尝试到各种公开搜索引擎及社交站点上去好好搜搜,说不定能抓到一些旧密码,最后,再到自己的社工库里去撞撞,也说不定真的就运气好呢
https://www.tucowsdomains.com
https://www.domainz.net.nz/whois/

web渗透第一步之信息搜集 [ 端口渗透 ]

2014-12-20 port hacking

0x01 扫描前奏

开始正式的说明之前,我们不妨先来简单了解下telnet,这也是到目前为止,个人认为最靠谱的tcp端口扫描工具,没有之一,如果你只是想快速地探测目标的某几个tcp端口是否开放,直接telnet一下,无疑是极好的,也根本犯不着一上来就搂着专业的端口扫描工具去一通乱扫,这样做可以有效避免因某些工具动静儿过大[如,nmap之流…],而造成一些不必要的麻烦,如,触发对方防护报警[后续再搞很可能就要换ip了,tor暂时也不是想象的那么好用],简单使用实例,如下:

# telnet cc.target.edu.hk 1443
# telnet cc.target.edu.hk 3389
# telnet cc.target.edu.hk 22
...

0x02 关于端口扫描工具
除了用telnet对某单个机器进行快速常规高危端口探测之外,如果我们想短时间内对多个目标进行批量端口扫描,又该怎么办呢,这里就简单介绍下几款经常会用到的公网端口扫描工具,masscan和zmap,同是基于无状态的的端口扫描,这里顺便科普下什么是无状态,简单来说,普通的端口扫描工具,在发出请求包以后还有一个等待数据回应的过程,然后根据回应的数据包头标志(不同系统平台的协议栈对每种标志的数据包响应状态也是不一样的)以此来判断目标的某个端口或者服务是否开放,用的什么操作系统等等……但这样做,无疑会很大程度上拖慢扫描速度,所以,后来大牛们就搞出了无状态扫描,这也就意味着,当请求包发送以后就被不再管了,也不再等待回应,所有的验证都放在数据包本身,这可能也是它快的主要原因,另外,此类工具为了减少触发目标ids的几率,都采用了分组扫描算法[这种东西其实并不算新奇],让扫描的ip随机分布[尽可能规避目标防护],而不是密麻集中在某个点……好了,简单科普就先到这里,过深的东西,也不是我目前的能力所能企及的,关键我们能把工具用起来就行,接着就来分别介绍下两款工具的一些常规用法,实际渗透中,个人还是更推荐masscan…原因我这里不多嘴了,还是留给大家,自行慢慢体会吧

0x03 masscan [扫描速度取决于你的实际带宽,默认只扫描tcp端口,但也可扫udp]:

1	https://github.com/robertdavidgraham/masscan

masscan 常用选项:

-p 		指定要扫描的端口,同时指定多个端口要用逗号隔开
--rate  	指定发包速率,根据你自己的实际带宽来定,我自己是20M的光纤,一般给1000足矣,一两兆的vpn,给100就差不多了,都是粗略估计的,懒的算
--open-only 	仅显示开放的端口 
--banners 	获取banners
-c      	使用自定义的扫描配置文件
--ping  	扫之前是否要先ping下目标
-oL     	把扫描结果存到指定文件中
--excludefile   排除不扫描的ip段

masscan 配置文件格式,如下:

# klion masscan config  '#'表注释
rate =1000.00       	# 指定发包速率,根据自己的实际带宽计算
output-format=list 	# 指定扫描结果保存的文件格式,这里我就用最普通的文本存,当然,它是支持直接输出成xml格式的,后续方便用程序处理
output-filename=/root/Desktop/port_hacking.txt 	# 指定要把扫描的结果文件保存到哪里
output-status=open 	# 只保留开放的端口信息
ports=80,443,8080,U:53  # 指定要扫描的端口,默认tcp,当然,你也可以指定UDP的端口,U即udp 
range=203.174.48.0/24   # 指定要扫描的ip段,可以连续指定多个,中间记得逗号隔开就好了
ping=false              # 扫描的时候要不要先ping下,true表示真,即ping
banners=true		# 获取端口banner信息
excludefile=/etc/zmap/blacklist.conf	# 指定不扫描的ip段,可以把不想扫描的一些ip段都加到这个文件中,如:内网ip段是不需要扫的

masscan 实例用法[支持同时进行tcp及udp扫描]:

1
2

手工指定选项扫描
# masscan --rate=1000 -p21,22,23,25,U:69,110,143,U:161,80,81,82,83,88,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3690,4848,8088,8086,8081,8080,3306,5432,3389,5984,6379,7001,7002,8069,9200,9300,11211,10000,27017,27018,50000,50070,50030 --banners 202.181.132.0/24 103.15.135.0/24 203.174.48.0/24 203.124.10.0/24 202.65.218.0/24 202.181.196.0/24 -oL port_hacking.txt

1 2	直接加载自定义配置文件进行扫描 # masscan -c masscan.conf

一句话快速锁定各类敏感服务特征:

# cat port_hacking.txt | egrep "ProFTPD|vsFTPd|FileZilla Server|Microsoft FTP Service|Pure-FTPd|OpenSSH|Remote Management Console|User Access Verification|Welcome to the server management|imap|smtp|pop|snmp"

0x04 zmap [扫描速度依然是取决于你的实际带宽,不过,在实际测试中准确率要比masscan稍差,同样的目标,masscan能扫出来,zmap却扫不出来,内部具体原因,暂未深究]:

1	其官方站点: https://zmap.io

zmap常用选项 [选项作用其实跟masscan差不太多,只不过zmap默认是tcp模式扫描,如果要用其它的协议扫描就必须自己单独用选项指定]:
[注意:如果你要手工指定扫描选项,就务必先把zmap.conf文件中的所有选项都注释掉,不然会出错,原因暂未知,貌似它默认应该会先读取这个文件,一般我都是直接把它默认的配置文件选项全部注释掉,直接手工指定扫描选项]:
-p  指定要扫描的端口
-b  指定扫描ip黑名单,如,内网ip,我们是不需要扫的
-o  保存扫描结果到指定的文件中
-w  可以把要扫描的ip段事先都放在一个文件中,进行批量扫描,注意格式,一行对应一个ip段
-r  指定扫描发包速率
-B  指定你的实际带宽,比如你带宽10M,实际指定4-6M即可
-C  也可以直接加载自定义配置文件进行扫描
-s  在扫描完成后进行简单汇总
--probe-module=icmp_echoscan   	icmp模式扫描
--probe-module=udp   		udp模式扫描

zmap 扫描配置文件格式说明:

interface "eth0"   		# 指定用于扫描的网卡接口
probe-module tcp_synscan	# 扫描模式,默认是是tcp的syn
target-port 3389		# 要扫描的端口,不知道为什么在配置文件中不能同时指定多个,难道是我格式写错了,回头抽空再好好看看帮助
rate 100			# 设置发包速率
bandwidth 1M			# 设置带宽
blacklist-file "/etc/zmap/blacklist.conf"	# 指定扫描黑名单ip段[如,内网ip,特殊ip,所有你不想扫描的ip...]
output-file "/root/Desktop/port_res.txt"	# 指定扫描结果的存放位置

zmap 常规用法 [ 支持tcp,udp,icmp模式扫描,最好不要挂vpn扫,原因暂未知,即使加上–vpn貌似也不太好使 ]:

# zmap -B 1M  -p [21,22,23,25,110,143,80,81,82,83,88,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3690,4848,8088,8086,8081,8080,3306,5432,3389,5984,6379,7001,7002,8069,9200,9300,11211,10000,27017,27018,50000,50070,50030] -b /etc/zmap/blacklist.conf -r 1000 202.181.132.0/24 -o Desktop/port_res.txt

1	# zmap -C /etc/zmap/zmap.conf 202.181.132.0/24 加载自定配置文件进行扫描

0x05 在用上面两款工具时,有些地方还是需要注意下:

实际使用中,最好先根据你的实际带宽估算下最合适的发包速率,因为你的带宽和发包的速率会直接影响扫描结果的准确性
像这类的工具一般对带宽和速率的控制要求比较高,还有,在扫描之前它会预先提示你要扫描多少台机器,机器的多少也是根据你所给的掩码自动算出来的
扫完以后,先随便telnet几个ip的端口,看看精度如何,务必不要过度的依赖这些工具扫出来的结果
不单单是针对这两款工具,对所有工具都是如此,理解作者的实际编写思路比使用工具本身更重要,因为这是灵活运用的前提
即使你暂时还写不出来很优秀的代码,但总有一天你会写出来的,先把自己的基础打好
假如以后你想在这方面继续深入,这些都是很优秀的学习样板,所以过硬的编码能力在任何时候都跑不掉,贵在坚持嘛

0x06 最后再来看下老旧的 nmap,作为一款家喻户晓的探测工具,想必大家对它早已经非常熟悉 [一直为人诟病的是老版本速度非常慢,可能是发包然后等待验证的过程比较复杂吧,不过,新版本确实已经改进不少],一般在linux目标机器中稍微懂一些的运维都会把这个预先装上,这样反而极大的方便了我们:

1	# nmap -v 192.168.3.240 扫描某单个目标[目标可以是域名,ip后者ip段]

1	# nmap -iL ip.txt 同时扫描多个目标,把目标的ip/ip段事先放在一个文件中,每行对应一个

1	# nmap -Pn 192.168.3.240 扫描前先不要ping

# nmap -sV -v 192.168.3.240  探测远程机器上详细的服务信息,如,详细的名称版本,有banner的可能直接就把banner获取过来了,没banner的可能就慢慢的匹配特征,耗时会相对较长

1	# nmap -O -v 192.168.3.240 探测远程操作系统平台,如内核名称,版本...

1
2
3

扫描自己指定的端口,默认如果你不指定端口,它会自动扫描事先写死在程序中的1000个高危端口
# nmap -p 80,81,82,83,84,1433  192.168.3.189
# nmap -p U:53,111,137,T:21-25,80,139,8080 192.168.3.189

1 2	全面扫描目标主机的所有信息,包括操作系统,端口,服务,相当于-O -sV 的总和…… # nmap -A -v 192.168.3.240

快速扫描整个C段,速度级别从0到5,默认用icmp请求,极易被防火墙阻拦
# nmap -T5 -v 192.168.3.240
# nmap -T5 -v 192.168.3.0/24
# nmap -T5 --open 192.168.3.0/24
# nmap -v  192.168.3.1-10

1	# nmap --packet-trace 192.168.3.0/24 观察扫描时的详细发包过程

1	# nmap -sU 192.168.3.240 所谓隐蔽的UDP扫描,其实并不隐蔽

几种常用的扫描方式,tcp的syn和ack扫描另外还有connect(推荐用这个)
# nmap -sT 192.168.3.240  个人推荐的扫描方式
# nmap -sS 192.168.3.240
# nmap -sA 192.168.3.240

1
2

内网arp扫描,探测内网存活主机还是非常不错的,可轻易bypass掉各种应用层防火墙,既然是arp就没必要扫端口了,所以记得带上 -sn 选项 禁用端口扫描
# nmap -sn -PR 192.168.3.0/24

1
2

最常用的nmap组合,其实关于nmap的这些基本选项用法,不说大家也应该都早用的熟透了,每个选项参数作用在工具帮助里就已经说的非常清楚
# nmap --open -p port -Pn -v -sT -sV --script script_name ip/domain/cidr

0x07 如何快速对目标网站的一些基本情况做简要判断,如,对方用的什么web服务器,后端脚本是啥,数据库是啥,系统平台又是啥等……,下面就来简单熟悉一些常见的web架构:

asp  + access + iis5.0/6.0 + win2003/03r2
aspx + mssql2005/mssql2008 + iis7.0/iis7.5 + win2008/08r2
php[5.2,5.4,5.6]  + mysql[5.1,5.5]/postgresql + apache[2.2,2.4]/iis + linux/win
php/jsp + mysql + ngnix + linux/win
java/jsp  + oracle/mssql + tomcat + linux/win
……

利用httprint 识别web目标服务器指纹 [ 其实是个比较鸡肋的一个小工具,一般看下响应头中的server字段就有了,不过,这里的并不准,很容易被改掉 ]:

1	# httprint -h 144.214.20.118 -s ./Desktop/signature.txt

1 2	web服务器指纹字典下载地址: http://www.net-square.com/signature.txt

常用的几个相对比较实用的firefox插件,自己在配置渗透环境的时候最好都预先装上:

hackbar
tamper data
live http headers
firebug
downthemall
...

使用 whatweb [探测到的信息相对比较全面],返回的结果中大致包括以下内容:

请求返回的状态码
web服务器版本
ip所在国家
操作系统详细的版本信息
脚本语言版本信息
域名解析到的ip
截取并显示网站标题
等等……

如何快速判断目标使用的系统平台:

1
2
3

在url中尝试变化大小写,进行请求,观察页面响应,windows默认对大小写不敏感,linux则严格区分大小写,所以返回的页面肯定是不一样的
观察各种报错信息,看看里面有没有泄露服务器的相关信息
等等……

0x08 一些常见端口渗透用途汇总:

端口号	端口服务/协议简要说明	关于端口可能的一些渗透用途
tcp 20,21	ftp 默认的数据和命令传输端口[可明文亦可加密传输]	允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22	ssh[数据ssl加密传输]	可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输,等等…常用于linux远程管理…
tcp 23	telnet[明文传输]	爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令,也许会有意想不到的收获
tcp 25	smtp[简单邮件传输协议,多数linux发行版可能会默认开启此服务]	邮件伪造,vrfy/expn 查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53	dns[域名解析]	允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
tcp/udp 69	tftp[简单文件传输协议,无认证]	尝试下载目标及其的各类重要配置文件
tcp 80-89,443,8440-8450,8080-8089	web[各种常用的web服务端口]	各种常用web服务端口,可尝试经典的top n,vpn,owa,webmail,目标oa,各类java控制台,各类服务器web管理面板,各类web中间件漏洞利用,各类web框架漏洞利用等等……
tcp 110	[邮局协议,可明文可密文]	可尝试爆破,嗅探
tcp 137,139,445	samba[smb实现windows和linux间文件共享,明文]	可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143	imap[可明文可密文]	可尝试爆破
udp 161	snmp[明文]	爆破默认团队字符串,搜集目标内网信息
tcp 389	ldap[轻量级目录访问协议]	ldap注入,允许匿名访问,弱口令
tcp 512,513,514	linux rexec	可爆破,rlogin登陆
tcp 873	rsync备份服务	匿名访问,文件上传
tcp 1194	openvpn	想办法钓vpn账号,进内网
tcp 1352	Lotus domino邮件服务	弱口令,信息泄漏,爆破
tcp 1433	mssql数据库	注入,提权,sa弱口令,爆破
tcp 1521	oracle数据库	tns爆破,注入,弹shell…
tcp 1500	ispmanager 主机控制面板	弱口令
tcp 1025,111,2049	nfs	权限配置不当
tcp 1723	pptp	爆破,想办法钓vpn账号,进内网
tcp 2082,2083	cpanel主机管理面板登录	弱口令
tcp 2181	zookeeper	未授权访问
tcp 2601,2604	zebra路由	默认密码zerbra
tcp 3128	squid代理服务	弱口令
tcp 3312,3311	kangle主机管理登录	弱口令
tcp 3306	mysql数据库	注入,提权,爆破
tcp 3389	windows rdp远程桌面	shift后门[需要03以下的系统],爆破,ms12-020[蓝屏exp]
tcp 4848	glassfish控制台	弱口令
tcp 4899	radmin远程桌面管理工具,现在已经非常非常少了	抓密码拓展机器
tcp 5000	sybase/DB2数据库	爆破,注入
tcp 5432	postgresql数据库	爆破,注入,弱口令
tcp 5632	pcanywhere远程桌面管理工具	抓密码,代码执行,已经快退出历史舞台了
tcp 5900,5901,5902	vnc远程桌面管理工具	弱口令爆破,如果信息搜集不到位,成功几率很小
tcp 5984	CouchDB	未授权导致的任意指令执行
tcp 6379	redis未授权	可尝试未授权访问,弱口令爆破
tcp 7001,7002	weblogic控制台	java反序列化,弱口令
tcp 7778	kloxo	主机面板登录
tcp 8000	Ajenti主机控制面板	弱口令
tcp 8443	plesk主机控制面板	弱口令
tcp 8069	zabbix	远程执行,sql注入
tcp 8080-8089	Jenkins,jboss	反序列化,控制台弱口令
tcp 9080-9081,9090	websphere控制台	java反序列化/弱口令
tcp 9200,9300	elasticsearch	远程执行
tcp 10000	webmin linux主机web控制面板入口	弱口令
tcp 11211	memcached	未授权访问
tcp 27017,27018	mongodb	爆破,未授权访问
tcp 3690	svn服务	svn泄露,未授权访问
tcp 50000	SAP Management Console	远程执行
tcp 50070,50030	hadoop	默认端口未授权访问

0x09 说了这么多,想必大家应该很清楚这些端口具体该怎么利用了

0x10 最后,在介绍个小脚本,whatportis 专门用来查询某个端口具体作用的

0x11 如果你有兴趣,想针对某个国家网段进行大规模扫描也可以把它写成这样,当然,我这里是随便写的,你要想实际用肯定是远远不够的,单单只是提供个小demo,能自动化的事情还有很多,写个shell还是比较简单的,还是留给大家根据自己的实际需求自行发挥吧,反正工具就在那里,相互配合才能出效果,各自为战是很难有所作为的

#!/bin/bash
while read LINE
do
   masscan -p 21 --rate=100 $LINE | tee -a 21.txt
done < hk_ip.txt
# tail -f 21.txt
# awk {'print $6'} 21.txt >> result.txt
# nmap -p 21 -iL result.txt  -oN ftp_anonymous.txt  -v --script ftp-anon.nse

后话:
关于端口渗透,如果不是你自己写工具的情况下,其实本身使用上并没多少技术含量,至于无状态扫描的具体内部实现还是比较复杂的,至今为止,很多东西我自己也扔在学习中,如果大家真想深入去理解,非常建议自己直接拿着wireshark一边跑一边认真观察分析,没有什么比数据包更能说明问题,篇幅限制,这里我就不一一把每种扫描方式都带着大家跑一遍了,有些东西还是需要自己亲自尝试,不然,别人的东西永远都只是别的,端口这个东西,怎么说呢,有很多运气和经验敏感度的成分在里面,可能还要外加一个高质量的字典,另外,再多说一句,在没有十足的把握的情况下,直接在公网跑字典基本是不太靠谱的,实际测试中,对一些稍有防护的目标,爆破的成率还是蛮低的[虽然低,但往往非常有效,走投无路时不妨尝试],当然啦,对于端口,爆破只是很小的一个方面,比如,当我们发现某个工具或者系统服务存在远程溢出或者代码执行[不仅限于此类的可远程利用的漏洞,任何可以直接远程主动getshell的都可以],还是那句话,如果你手里有某个主流服务的通杀远程0day,不管是你自己挖的还是买的,也许只有这时才能体现端口扫描的真正价值,另外,还有多如牛毛的小工具,这里都没提到,后续涉及到内网时我们再仔细说明,对于公网扫描,有这些,暂时足矣,祝大家好运,切记不要干坏事就好!

web渗透第一步之信息搜集 [ 找目标内网入口 ]

2014-12-18 dirscan tools

0x01 为什么要找内网入口:
我们渗透的最终目的大多数都是目标内网,有些核心敏感数据(比如,个人机上的一些数据),我们从边界机器是拿不到的,所以,只能深入内部,当然,这里所指的内部文件数据,并不仅限于数据库,邮件这类数据,可能由于各种各样的需求,我们还需要某些个人的数据或者组织的各种业务数据,技术的各种数据等等,一般情况下,渗透web的目的,很大程度上也是希望能从web边界直接进入到目标内部(内网),对于apt来讲,价值比较高的东西基本也全部在内部,不得不承认的是,有时候公开信息调研确实也能找到部分敏感信息,但那个含金量和时效性就远远不如内网中的了,至于如何深入到目标内部,很大程度上也取决于,我们能不能尽可能多的找到目标可能的内网入口

0x02 第一种,通过vpn进入目标内网[一般都会提供一个web端的443端口表单验证]:
vpn,想必大家都已经非常熟悉了,在前面也已经详细说明过它的用途,除了能帮我们翻墙当跳板之外,对于一些大型目标组织或是跨国公司,他们大部分都会选择利用vpn的方式来协作办公,通过vpn在公网上开辟一条专有通道,以方便公司内部的各种业务处理,但有个前提,你要想进入这条通道,必须有正确的vpn账号密码和vpn服务器地址,登陆成功后,才能处在目标的内网中,重点也就在这里,怎么搞到目标的vpn账号密码呢,嘿嘿……方法比较多,例如,发信钓鱼,搜集目标泄露过的各种配置文件,社工撞库……

0x03 利用各类邮件程序自身的漏洞尝试从web边界进入目标内网
下面就简单介绍一种常见的web邮件程序,[这里为什么一定要是邮件程序呢,不同于普通的web网站,普通的web服务器有时候即使拿到shell,但有可能机器并不在内网或者该机器上根本没有内网网卡,但邮件服务器一般都被会用来处理内部实际业务,从个人经验来看,web邮件程序的机器,绝大部分都在内网]:

owa 微软自家的exchange服务,企业为了便于统一协作管理,一般都会直接把exchange服务部署在域内,邮箱名称和邮箱密码大部分也直接是域内的系统账号密码,可以直接拿来登陆域内系统,当然,vpn也是可以尝试的,关键还是看目标具体是怎么部署的了,至于,如何搞到目标的owa的账号密码,嘿嘿……后面再总结吧,包括命令行邮件导出成pst文件,如果目标部署的有exchange server 一般直接访问下/owa/auth即可看到,服务被部署好以后管理员没有特殊情况基本就不怎么会关注/owa/auth目录下的文件了,所以当你拿到权限后,在这儿放个webshell,还是很靠谱的,一般都是web的443端口,另外,对于owa本身几乎是没什么漏洞的

owa的一般入口如下:
https://remote.bmtjfa.com.au/owa/auth/logon.aspx机器在域内的情况
https://mail.advancedptsm.com/owa/auth/logon.aspx机器不在域内的情况
如果没有删的话,可以访问下面的路径爆出服务器信息:
https://mail.xxx.com/owa/auth/test.aspx

Mirapoint邮件系统:
ShellShock漏洞,漏洞地址如下:
http://xxxx.com/cgi-bin/search.cgi
http://xxxx.com/cgi-bin/madmin.cgi

1
2
3

KerioConnect 邮件系统:
一般后台只能内网访问,入口如下:
https://mail.xxx.com:4040/admin/login/

1
2
3

Zimbra 邮件系统: 
本地包含,入口:
https://webmail.xxx.com:7071/zimbraAdmin/

1 2	查看zimbra版本: https://webmail.xxx.com/help/zh_CN/standard/version.htm

1
2
3

Atmail 邮件系统: 
敏感信息泄露问题[数据库账号密码]:
http://www.xxx.com/config/dbconfig.ini

1 2	Lotus Domino Webmail: 越权访问,inurl:.nsf/WebHelp/!OpenPage

1
2
3

TurboMail邮件系统: 
默认配置不当可进入任意邮箱,默认有四个root域账号,一个管理员,三个普通用户
由于设置缺陷,导致普通用户可以查看任意用户的密码

1 2	U-mail: sql注入,可写shell

1 2	WinMail: 非授权访问/权限绕过

1 2	ExtMail : 老版本注入

1	SquirrelMail

0x04 找目标的oa系统或者图书馆之类的网站以及各种边界网络设备的web管理端[一般像这些东西跟内网的联系比较大]:
oa本来就是为了方便员工远程办公,处理公司各种业务用的,但,这也给我们提供了通往目标内部的入口至于,为什么非要选则图书馆,目的很显然,既然是图书馆,你肯定会想到内部的什么图书管理系统,实际经验也证明,大多数图书馆的站,都会处在内网中找各种网络设备的web管理端,主要是想登进去以后,看看有没有可以上传shell的地方,也许可以利用得到

0x05 在你能力足够的情况下,直接搞路由也是可以的[比如,cisco,端口镜像,抓包分析,说实话自己对路由并不是非常擅长]:

1	路由作为一种边界设备,搞它的意义就不用再多说了吧

0x06 暴露在边界的目标打印机,智能点儿的打印机都会自带一些web服务[通常是java]:

1	打印机,就更不用说了,典型的内部设备,一般是先找到配置管理界面,部署war包

0x07 如果实在外部搞不定,条件允许的情况下,尝试实地渗透也是可以的,比如,通过无线进入目标内部
这也算是一种相对比较高效的渗透方式,老外非常干这个,但前提是,你可能需要很多次的蹲点,才能确认目标,实地渗透对你的心里素质要求可能会更高一些,另外,现场的环境和有限的时间也多多少少会影响到你

一些小结:
时间原因,暂时就想到这些,都是一些平时的经验加上一点自己的想法,其实,就整个信息搜集来讲,对你的社工能力其实是个不小的考验,我自己在这方面确实是弱项,后续会慢慢加强

信息搜集阶段可快速getshell的一些方式

2014-12-17 info getshell

针对各类开源程序的一些老exp
各远程执行类漏洞,如,Struts2,iis,tomcat,proftp,elasticsearch...
各种敏感文件下载泄露,如,各类备份下载,敏感配置文件泄露,后端脚本源码泄露,svn泄露...
针对各类服务的未授权访问
各类web及服务入口弱口令,万能密码...
各类后门,如,别人的webshell,古老的shift后门,等等……
bash远程执行,心脏滴血...
win smb系列远程执行漏洞,如,ms17-010
目标的各类vpn及mail账号密码泄露
...

熟练使用各类敏感目录文件扫描工具

2014-12-16 dirscan tools

0x01 wwwscan 实际测试速度还可以,编码 [应该是cmd默认的编码问题gbk] 貌似还有些问题,另外,程序写的有些过于死板,异常处理不太到位,误报稍微有些严重:

-p 	指定目标web端口,因为有些web服务并非工作在默认的80或者8080上,需要手工指定目标的web服务端口
-m 	指定扫描使用的最大线程,不要太大,实际中15到20就差不多了
-t 	指定请求的超时时间
--ssl 	扫描https站点时记得加上此选项
-r 	指定网站根目录,有些站点程序是放在web目录下的一个子目录中的,这时就需要你自己手工指定目标网站根目录

快速搜集目标的各类web管理入口,敏感目录,文件及错误配置

2014-12-16 dirscan

0x01 下面是自己找网站后台的一些常规办法[注意,对于找后台主要都是针对一些非开源web程序,如果是开源程序,直接把代码down下来看下目录结构,不就什么都有了,何苦找呢]:

首先,看看目标站自己的前端页面上,有没有给我们提供后台入口,很多脑残的政府和学校站很可能都会这么干,直接把后台入口丢在前端页面上,你方便,别人也方便
尝试访问目标的robots.txt文件,如果有的话,看看里面有没有后台或者上传点之类的敏感目录,至于robots.txt文件本身的作用,大家请自行谷歌,这里就不多做解释了
习惯性的盲打一些常见的后台目录名,如:/admin/,/manage/,/cms/,/system/,/administrator/,/wp-login.php,/control/等,记得大小写变换下多试几个……
使用各类基于字典的目录爆破及爬行工具,如:dirb,wwwscan,cansina,uniscan,破壳以及其它的各种py脚本,非常多,现在也有很多在线的目录爆破工具站,这类的工具其实并没什么太多的技术含量,实际效果还得取决于你的字典质量和目标的防护程度,抛开防护先不说,起码网站敏感目录文件字典要好好花点儿时间精心准备
"cscan"谷歌浏览器小插件,速度快,误报极高,具体原理,本人暂时还没弄明白,不过可以尝试下,自己用的比较少,记得有一次实在没办法就就抱着侥幸试了一下,结果真就跑出来了,可能是运气吧
对于大型站点,可利用之前提到的google hacking,这里就不细说了,请仔细看前面的说明
用各种wvs爬,也许也能爬出来一些,关于这类web漏洞扫描器的具体使用,后面会有详细说明,这里就先不细说了,例如: awvs,appscan,netsparker……
如果是windows的话,不妨尝试下短文件漏洞扫描工具,鸡肋的是,它只能扫出前6个字节(6个英文字符),也就是说你只能看一部分猜一部分,好处在于前6个字节起码是绝对正确的
配合网站的域名或者业务社工,比如:商城站一般我们会想到什么呢,shop?,有的后台目录也可能是依据目标域名的各种变形,多尝试……
尝试各种万能密码,虽然很low,但很直接,存在万能密码问题的程序毕竟也不在少数,如:phpmyadmin 2.11.3-2.11.4 等……
如果实在找不到,就想想办法直接问管理员吧,至于套不套的出来,就要看你自己的本事了,嘿嘿……

0x02 除了一些常规网站后台入口,我们也可以尝试各种java web入口,尤其是针对各种java控制台的,当然,前提是目标要有,基本进去后,shell权限都非常大:

tomcat[默认端口8080 需要用户名密码,还是那句话多尝试些弱口令,进去以后上传war马]
jboss [默认端口8080无需任何验证,进去以后上传war马]
weblogic [默认端口7001,实际很多是在8080上,进去以后上传war马]
Websphere[默认端口9043,实际很多是在8080上,进去以后上传war马]
webmin[web版的服务器管理工具,默认端口10000,可以把它当做图形版的ssh管理工具]
……

0x03 查找其它的各类敏感文件目录,自己所说的敏感文件及目录一般包括如下内容:

网站源码备份文件,数据库备份文件,配置文件备份等...一般命名都是类似wwwroot.zip,wwwroot.sql这种的,建议直接用专门的备份的字典跑
目标服务器的各种探针类文件,例如:phpinfo.php,test.asp,info.aspx……
目标网站的物理路径,注意物理路径和网站路径的区别,网站路径都是以www为根目录,而物理路径则是指系统某个分区下的绝对路径,如:c:\windows\system32  /usr/local/lib
网站后台目录,上传目录,如: 各类上传点,各类漏洞编辑器中的敏感路径
网站数据库连接配置类文件
各类数据库的web管理入口,例如:phpmyadmin,adminer……之流
目标网站后台脚本源码泄露及各种各样的网站报错信息
svn 文件泄露如,.svn,用户命令历史文件泄露,如,.history...
其它各种第三方服务的核心配置文件,里面可能会有用户密码……例如:cisco vpn,ser-u……
目标内部的各种账号密码信息,并不仅限于邮箱,vpn,ftp……
web服务器配置错误所导致的目录遍历
别人的webshell,目录扫描工具对这个的扫描似乎不太靠谱,因为有些shell隐藏的比较深,所以还是建议直接用google爬各种webshell特征
……

0x04 另外,还有一些目标内部的OA系统入口,不过这些通常都不在常规的web端口上,又该怎么办呢,其实,很多情况下,你可以习惯性的尝试访问以下目标的81,82,83,86,88,8081,8082,8088这样的web端口,说不定就会有惊喜:

1
2
3

在目标防火墙没有开启的情况下,可以用一些之前介绍过的公网端口扫描工具,进行全端口扫描,然后根据扫到的结果,看着可能是web端口的,再尝试在浏览器中逐个访问
如果目标开起了防火墙[waf],除了谷歌,或者直接在目标网站上找找,基本也就没谁了,扫可能是不太现实的,嘿嘿……如果大家有更好的思路也期待能一起交流
……

0x05 搜集目标的各种元数据,如果能搜集到一些有用的账号密码,自然是最好不过了

1	foca 工具除了挖掘各种元数据之外,包括目标子域识别,服务器错误配置,web高危扫描……功能还是非常好用的,尤其是针对大中型站点,效果相对比较明显

小结:
对于后台查找自己知道的基本也就这么多了,如果实在找不到,不妨换换别的思路,web只是我们渗透过程中的其中一个入手点,却不是唯一的入手点,别太死板就行,更多手法,也期待能和大家一起交流学习

熟练利用 shodan hacking 辅助我们快速渗透[ 大中型目标 ]

2014-12-15 shodan hacking

0x01 shodan 是什么 :

同样是搜索引擎,但它并不像谷歌,bing...那样,只单单针对web 中的各类html数据进行爬取
shodan 是基于各类在线网络设备的旗标的全网搜索
如,各类边界网络摄像头,路由器,交换机... ,中间件服务[如,各类web服务器,数据库,分布式中间件,文件共享服务等...]
默认只能看到一部分搜索结果,具体是多少条已经忘记了
可能需要付点费才能看到更多的搜索结果,同样它也提供查询api,这就非常方便按照我们自己的扫描需求定制脚本
在渗透一些特定的网络设备或者自己手握0day批量打的时候还是非常好使的,俗称"工控设备渗透"
...

0x02 那,我们到底可以用它来干些什么呢

利用0day实施大规模批量入侵,前提是不要把自己的0day撞到别人的蜜罐里面去了,否则就可惜了
全网批量统计所有感染有某一数据特征的后门,可以专门用来检测某种定向攻击
批量扫描各种中间件的高危错误配置及能被远程利用的各类已知漏洞,也就是说完全可以把它当成一个高级的漏洞扫描器来用
批量探测各种弱口令
批量抓各种shell [ 不仅限于webshell,backdoor ... ]等……
...

0x03 关于shodan本身的更多详情,请直接参考其官方站点 [注册个账号是必须的]:

1	https://www.shodan.io/

0x04 跟google hacking一样,shodan也有一套属于自己的语法规则,下面是shodan 内置的几个简单过滤器:

city:   	城市,貌似只支持英文,而且不是能是简称,如,TOKYO,Hong Kong,Seoul...
country:  	指定国家或地区后缀,比如:cn,us,jp,tw,br,ph,vn,hk...
hostname: 	指定主机名,其实就是目标域名[域名如果是子域还需要在前面加个.]
net:      	指定网络范围,可以是单个ip或者cidr格式的ip段
os :   		指定操作系统 centOS,win32,red hat,suse 等...
port:  		指定端口,HTTP (80),FTP (21),SSH (22),SNMP (161),SIP (5060)等...
product:  	指定具体的产品名称,如,各类web服务器,数据库服务器,网络设备名称等...
...

0x05 下面是一些简单的搜索实例:

搜集某个城市的特定设备 [这里暂以不同类型的web服务器为例] 标识 [自己可以事先多收集一些常见的软件和设备标识]:
Microsoft-IIS/5.0 city:"TOKYO"   可逐个尝试能否直接写shell
Microsoft-IIS/6.0 city:"Seoul"	 可逐个尝试能否直接 RCE
Microsoft-IIS/7.5 city:"Hong Kong" 
apache city:"Nagoya" 
Apache/2.2.27 city:"Nagoya"
Tomcat city:"Seoul"	可逐个尝试能否直接 RCE
cisco city:"Osaka"
tplink city:"nanjing"

搜索特定版本的操作系统及端口:
os:"linux" net:"72.34.62.0/24"
os:"windows" net:"195.40.91.0/24"
Apache city:"Hong Kong" port:"8080"  product:"Apache Tomcat/Coyote JSP engine"
Apache city:"Seoul" port:"8080"
hostname:".polyu.edu.hk" os:"windows"

搜索指定国家地域特定类型的工具服务 (还是那句话,多搜集一些高质量的工具banner):
product:"tomcat"  net:"158.132.18.0/24"
product:"apache"  net:"158.132.18.0/24"
product:"iis"     net:"158.132.18.0/24"
port:"8080" jboss country:CN
port:"8080" jboss country:IN

扫描指定网段内的所有特定数据库服务器:
product:"Mysql"  net:"140.117.13.0/24" port:"3306"
port:"1433" net:"78.131.197.0/24"
port:"5432" net:"77.55.149.0/24"
port:"1521" net:"78.143.192.0/12"
port:"1521" city:"Osaka"

搜索特定远程管理终端端口:
os:"windows" port:"3389" net:"107.160.1.0/24"
os:"linux" port:"22" net:"107.160.1.0/24"
os:"linux" port:"23" net:"107.160.1.0/24"
os:"linux" port:"23" net:"87.124.0.0/15"

1	搜各类路由的特定web管理端口:

1
2
3

搜索ftp / tftp :
port:"21" net:"107.160.1.0/24"
port:"69" net:"218.242.16.0/24"

在某个城市中搜索指定的端口,操作系统及在线网络设备:
city:"Hong Kong" port:"69"
city:"Hong Kong" port:"3389"
city:"Hong Kong" port:"22"
city:"Hong Kong" port:"23"
city:"Hong Kong" port:"3306"
city:"Hong Kong" port:"110"
city:"Hong Kong" os:"windows"
city:"Hong Kong" product:"cisco"
city:"Hong Kong" port:"8080"

搜索指定国家的特定设备,端口,服务器:
port:"23" country:CN
port:"1433" country:CN
port:"3389" country:CN
tplink country:CN
huawei country:CN
netcam  country:CN
country:CN net:"115.225.113.0/24" port:"22"
country:CN router
admin login  country:HK
hacked by country:HK

1
2
3

搜缺省密码:
"default password" city:"Hong Kong"
country:CN "default password"

1 2	搜exp[其实,就是把exploit上的东西扒下来]: https://exploits.shodan.io/welcome

1 2	搜索各类漏洞摄像头: netcam net:"187.189.82.0/24"

1	批量搜集一些开源web程序,尝试0day批量利用:

1	针对某个端口,批量搜集感染了某种数据标志的木马:

1	批量搜集一些经典漏洞尝试利用,比如:iis,tomcat,jboss... RCE,心脏滴血,bash远程执行,等等……:

0x06 下面是一些常见的默认用户名密码,可以尝试撞撞运气:

ACTi: admin/123456 or Admin/123456
Axis (traditional): root/pass,
Axis (new): requires password creation during first login
Cisco: No default password, requires creation during first login
Grandstream: admin/admin
IQinVision: root/system
Mobotix: admin/meinsm
Panasonic: admin/12345
Samsung Electronics: root/root or admin/4321
Samsung Techwin (old): admin/1111111
Samsung Techwin (new): admin/4321
Sony: admin/admin
TRENDnet: admin/admin
Toshiba: root/ikwd
Vivotek: root/<blank>
WebcamXP: admin/ <blank>

关于shodan 的入门用法到这里基本就差不多了,建议大家如果真的想用好,可以付点费自己写脚本,当然,你也可以直接用别人提供好的py shodan库
国内利用此api衍生出来的工具还是蛮多的,这里就不一一细说了
总之来讲,批量抓shell效果还是非常不错的
从上面我们也不难发现,利用的核心还是各种特征 [banner] 质量加上你自己的想象力,因为它直接决定了你的命中率
...

0x07 另外,再介绍两个国内的小工具站,使用非常简单,纯图形化的,这里就不细说了:

1
2
3

https://www.punkspider.org/   在线web漏洞扫描
http://ics.zoomeye.org/       基于shodan实现
...

0x08 最后再提下bing(目前已经费掉了,很多人的C段旁站工具想必都是基于此api写的),下面是常见使用方法:

1	ip:ip地址它就会把这个ip所对应的所有域名都列出来

0x09 基于此api的各种C段旁站工具编写原理:

编写过程其实也很简单,就是把bing搜索的结果格式化截取输出一下
不过,在此之前你需要事先去bing申请一下搜索用的api
去微软的开发者中心申请一个即可
如果旁站能想通,那么C段也只不过是把254台机器在线的ip又轮训一遍而已,我想你应该懂了

0x10 一点小结:
关于google和shodan的用法,大概就介绍到这里了,使用都比较简单,基本就是几个过滤器来回的组装,随意的根据自己的实际需求拼装特征,说道底,还是看大家的想象力和对现有信息特征的敏感度,大家也看到了,如果完全手工的话,确实挺累的,为什么不写成自动化的脚本来帮我们完成呢,当然,这类的工具也有很多现成的,不过并不是按照咱们的想法来的,所以,最好自己动手……不过在写脚本之前,自己首先要能熟练使用才是,这样写出来的工具杀伤力才能更大些,当然,关于这类web搜索引擎所能产生的渗透效果的强弱,主要是还是看搜索引擎对目标收录的多少,如果目标站点建立的时间比较长,而且各大搜索引擎的收录量也比较好的话,这时候你利用谷歌固然成效显著,但如果一个站点刚建立不久,谷歌收录量也非常少,这时谷歌对你来讲也许就只是个摆设,这里说到的内容可能还只是各个搜索引擎利用的冰山一角,更多更强大的功能,还要靠大家一起来慢慢挖掘,对了,最后再说明一点,用这些搜索引擎的时候,最好全程挂上vpn,推荐美国的,原因大家应该都明白,自家人对自家人的限制几乎是最少的,不要问我为什么不介绍百度没办法,太不堪(原因大家都懂……)

0x10 一点心得:
一般我们在搜索引擎上搜集目标信息的时候,首先,应该直奔一些比较高危的漏洞特征,比如能快速getshell的,比如,默认账号密码,进去以后就只可以直接传shell的,此外,如果目标有支持jsp脚本的机器,我们首先就应该从jsp开始入手,因为jsp程序的权限一般都非常高,几乎是服务器的管理员权限,所以我们平时在搜集信息过程中,也尽量先找一些最好能直取权限的信息,孰轻孰重,自己心里一定要有分寸,这样可以避免我们做太多的无用功,当然,如果你手上有个开源的web程序未公开的0day,然后配合类似的搜索引擎利用,那结果可想而知,反正我们利用各种搜索引擎的最终目的无非就是想尽快找个目标边界先进去……

熟练利用google hacking来辅助我们快速渗透

2014-12-14 google hacking

0x01 google hacking 几个基础过滤器用途简介[说在前面的话,过滤器是死的人是活的,实际用的时候把脑洞放开,尽你所能拼装,才有可能达到超预期效果]:

intitle:     从网页标题中搜索指定的关键字,可专门用来搜索指定版本名称的各类web程序,也可用allintitle
inurl: 	     从url中搜索指定的关键字,可专门用来构造各种形式的漏洞url,也可用allinurl
intext:      从网页中搜索指定的关键字,经常会用它来穿透到漏洞页面……也可用allintext
filetype:    搜索指定的文件后缀,例如:sql mdb txt bak backup ini zip rar doc xls…… 
site:        在某个特定的网站内中搜索指定的内容
link:        搜索和该链接有关联的链接,比如:友情链接
index of:    找目录遍历时也许会用到

0x02 google hacking所支持的一些通配符(建议选择性的用,因为越精确,也意味着能搜到的结果越少,这样容易漏掉一些有价值的目标,我们最终目的还是希望能尽快找到有漏洞的站先进去再说):

+   强制包含某个字符进行查询
-   查询的时候忽略某个字符
""  查询的时候精确匹配双引号内的字符
.   匹配某单个字符进行查询
*   匹配任意字符进行查询
|   或者,多个选择,只要有一个关键字匹配上即可

0x03 找各种web入口,当然,这里所指的web入口并非仅限于各种常规网站后台[说到网站后台,一定要手工多尝试几个路径,实在猜不到,再用字典跑,节省时间]:

1
2

如一些疑似目标内网的各种web管理系统入口,web端的数据库管理入口,某些设备的web端配置入口,以及一些常见的java控制台入口等等...
反正只要你觉得进去以后能上传脚本的地方全部都可以尝试,东西在你手里,可劲儿用就是了

搜集各版本tomcat入口[默认在8080端口上]:

intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat 		直接这样搜结果肯定会非常多
intext:$CATALINA_HOME/webapps/ROOT/ inurl:8080/    			我们可以带指定端口号去搜,因为有些web并非在默认端口上,这样搜的话,可以尽量防止有漏网之鱼
intext:$CATALINA_HOME/webapps/ROOT/ intitle:Apache Tomcat/5.5.27 site:*.hk      针对特定版本特定国家去搜,比如爆出某个版本有远程执行类的漏洞就可以利用这种方式来批量进行
intext:$CATALINA_HOME/webapps/ROOT/ intitle:Apache Tomcat/7.0.32 site:*.gov.br
intext:$CATALINA_HOME/webapps/ROOT/ intitle:Apache Tomcat/5.0.12 site:*.cn
intext:$CATALINA_HOME/webapps/ROOT/ intitle:Apache Tomcat/6.0.24 site:*.com
intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat site:*.edu.*
intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat site:*.gov.*		搜特定类型的目标站点,如,学校一般都是edu,各种民间组织一般都是org,政府机构一般都是gov……
intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat site:*.org.*
intext:$CATALINA_HOME/webapps/ROOT/ intitle:Apache Tomcat/7.0 site:*.org.*
intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat site:*.jp
intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat site:*.vn
intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat site:*.ph
intext:$CATALINA_HOME/webapps/ROOT/ intitle:Apache Tomcat site:*.uk
intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat site:baidu.com	无意发现百度的某个子域,竟然是个博彩站
intext:$CATALINA_HOME/webapps/ROOT/ intitle:apache tomcat site:org.tw

搜集weblogic入口:

1
2
3

inurl:/console/login/LoginForm.jsp  	这样范围太大,可根据上面的示例随意变形
inurl:/console/login/LoginForm.jsp intitle:Oracle WebLogic Server
inurl:/console/login/ intitle:"Oracle WebLogic Server 管理控制台"

搜集jboss入口:

inurl:/jmx-console/htmladaptor
inurl:/jmx-console/htmladaptor site:*.edu.*
inurl:/jmx-console/htmladaptor site:*.org.*
inurl:/jmx-console/htmladaptor site:*.tw

搜集websphere入口:

1	inurl:/ibm/console/logon.jsp

搜集phpmyadmin入口:

inurl:/phpMyAdmin/index.php 
inurl:/phpMyAdmin/index.php db+information_schema   	指定命中数据
inurl:/phpMyAdmin/index.php intext:phpMyAdmin 2.7.0 	直接针对特定版本号去搜索,更加精准
inurl:/phpMyAdmin/index.php site:*.tw
inurl:/phpMyAdmin/index.php site:*.org
inurl:/phpMyAdmin/index.php site:*.hk

批量搜集webmin入口[其实就是一个web版的linux系统管理工具,默认情况下工作在web端的10000端口上]:

1	intitle:Login to Webmin intext:"login to the Webmin server on"

批量搜wordpress程序[关于wp的特征比较多,大家可自行构造]:

1
2
3

inurl:/wp-login.php  site:*.hk
index of /wp-content/uploads inurl:/wp-login.php
inurl:/wp-content/themes/theagency    上传漏洞

批量搜joomla程序:

inurl:/administrator/index.php
inurl:index.php?option=com_advertisementboard  找注入
inurl:index.php?option=com_carocci
inurl:index.php?option=com_product
inurl:/administrator/index.php site:*.hk

批量搜drupal程序:

1	inurl:CHANGELOG.txt intext:drupal intext:"SA-CORE" -site:github.com -site:drupal.org

批量搜discuz程序:

批量搜集opencart程序:

批量搜集phpbb程序:

更多…

当然,你也可以根据下面的一些特征去找特定的开源程序[这种命中率显然没有直接用特征目录的命中率高]:

power by wordpress                powered by discuz x3.2
powered by phpcms 2008            powered by drupal 7
powered by dedecmsv57_gbk         powered by CubeCart 3.0.6
Powered by phpBB 2.0.6            powered by paBugs 2.0 Beta 3
inurl:wp-login.php                inurl:/administrator/index.php    
inurl:/admina.php

批量搜集目标是否用了一些存在漏洞的邮件程序[不一定有,多尝试,反正是搜集,找到东西价值越高越好]:

1
2
3

owa:
inurl:/owa/auth/logon.aspx 
inurl:/owa/auth/logon.aspx site:*.org.*

1
2
3

mirapoint(ShellShock):
inurl:/cgi-bin/search.cgi site:*.org.*
inurl:/cgi-bin/madmin.cgi

1
2
3

Zimbra(本地包含):
inurl:7071/zimbraAdmin/
inurl:/help/en_US/standard/version.htm

Atmail(用于连接数据库的配置文件泄露):
TurboMail(配置错误,进入任意邮箱):
U-mail(注入&getshell):
Lotus Domino Webmail(越权访问):

批量找常规网站后台[下面的php也可以换成asp,aspx,jsp 多次尝试,因为每个国家对后台的命名习惯各有特色,所以,这里只列举了一些相对命中率比较高的,找到后台以后,记得习惯性多尝试几个弱口令,万能密码未授权之类的东西]:

inurl:/manager/login.php site:*.jp
inurl:/cms/login.php site:*.jp
inurl:/manage/index.php site:*.jp
inurl:/system/login.php site:*.jp
inurl:/webadmin/login.php site:*.tw
inurl:admin_login.php intitle:admin login
inurl:admin_login.php intitle:admin page
inurl:/admin/login.php site:*.tw
inurl:/admin/index.php site:*.tw
inurl:/system/adminlogin.asp  site:*.tw
inurl:/manage/login.aspx  site:*.tw
inurl:/sysadm/index.php  site:*.com
……

找svn泄露[运气好说不定能脱到密码]:

inurl:/.svn/entries 
inurl:/.svn/entries site:*.org.*
inurl:/.svn/entries site:*.gov.br
inurl:/.svn/entries site:*.hk

批量找目标的后台未授权访问:

intext:"Website Design & Developed By : WebSay"  默认后台/admin
intext:"Powered by ENS Consultants"  默认后台/admin/login.php
intext:"Desenvolvimento - MW Way"    默认后台/admin/index.php
inurl:.php?id= intext:"Web realizada por Soma Estudio" 
inurl:/_mycps/login.php

批量找弱口令:

1
2
3

intext:"design by weli"   默认后台: /adm/login.php 除了弱口令还有注入
username : linjizen@gmail.com
password : lin719192

尽可能多的找到能够利用的各种上传点[比如:各种典型的漏洞编辑器地址,ck,kindeditor,fck,ewebeditor……]:

intext:" Powered by JADBM "   JADBM Cms upload shell 注册后登陆上传即可
inurl:"/index.php/frontend/login/en"  Estate cms upload shell 注册后登陆上传即可
inurl:/Content/Roxy_Fileman/   该路径下直接就是上传点
index of:"filemanager/dialog.php"  该脚本就是上传脚本直接上传即可
intext:"Desenvolvido por Webnet Soluções Tecnológicas." fck上传
inurl:"subir_foto.php" 上传点
inrul:"/imce?dir=" intitle:"File Browser"
inurl:"Powered by Vision Helpdesk 3.9.10 Stable" 注册后登陆进去编辑个人配置上传
index of /admin/fckeditor site:*.tw
inurl:/ewebeditor/  site:*.tw
inurl:/admin/upload_file.php
inurl:/admin/upfile.php 
inurl:/admin/upload.asp

找到可能存在包含和命令执行类的漏洞的一些典型参数:

inurl:footer.inc.php?settings=
inurl:/pb_inc/admincenter/index.php?page=
inurl:/pnadmin/categories.inc.php?subpage=
inurl:/index.php??view=src/sistema/vistas/
inurl:/edit.php?em=file&filename=
inurl:/path_to_athena/athena.php?athena_dir= 远程包含
inurl:/path_to_qnews/q-news.php?id=  远程包含
inurl:/inc/backend_settings.php?cmd=
inurl:login.action strus2系列执行漏洞利用
inurl:php?x=                 inurl:php?open=
inurl:php?visualizar=        inurl:php?pagina=
inurl:php?inc=               inurl:php?include_file=
inurl:php?page=              inurl:php?pg=
inurl:php?show=              inurl:php?cat=
inurl:php?file=              inurl:php?path_local=
inurl:php?filnavn=           inurl:php?HCL_path=
inurl:php?doc=               inurl:php?appdir=
inurl:php?phpbb_root_dir=    inurl:php?phpc_root_path=
inurl:php?path_pre=          inurl:php?nic=
inurl:php?sec=               inurl:php?content=
inurl:php?link=              inurl:php?filename=
inurl:php?dir=               inurl:php?document=
inurl:index.php?view=        inurl:*.php?locate=
inurl:*.php?place=           inurl:*.php?layout=
inurl:*.php?go=              inurl:*.php?catch=
inurl:*.php?mode=            inurl:*.php?name=
inurl:*.php?loc=             inurl:*.php?f=
inurl:*.php?inf=             inurl:*.php?pg=
inurl:*.php?load=            inurl:*.php?naam=
allinurl:php?page=           allinurl:php?file= 
inurl:php?x=                 inurl:admin.php?cal_dir=
inurl:php?include=           inurl:php?nav=
inurl:*.php?sel=             inurl:php?p=
inurl:php?conf=              inurl:php?prefix=
inurl:theme.php?THEME_DIR= 
inurl:php?lvc_include_dir=  
inurl:php?basepath=          inurl:php?pm_path=
inurl:php?user_inc=          inurl:php?cutepath=
inurl:php?fil_config=        inurl:php?libpach=
inurl:php?pivot_path=        inurl:php?rep=
inurl:php?conteudo=          inurl:php?root=
inurl:php?configFile         inurl:php?pageurl
inurl:php?inter_url          inurl:php?url=
inurl:php?cmd=               inurl:path.php?my=
inurl:php?xlink=             inurl:php?to=
inurl:file.php?disp=

找可能存在数据库注入各种参数:

1 2	inurl:categorysearch.php?indus= intext:"樂天台東民宿網" inurl:news_board.php

小商城类:

inurl:".php?catid=" intext:"View cart"
inurl:".php?catid=" intext:"Buy Now"
inurl:".php?catid=" intext:"add to cart"
inurl:".php?catid=" intext:"shopping"
inurl:".php?catid=" intext:"boutique"
inurl:".php?catid=" intext:"/store/"
inurl:".php?catid=" intext:"/shop/"
inurl:".php?catid=" intext:"Toys"
inurl:details.php?BookID=
inurl:shop.php?do=part&id=

普通cms类:

inurl:article.php?ID=        inurl:newsDetail.php?id=
inurl:show.php?id=           inurl:newsone.php?id=
inurl:news.php?id=           inurl:event.php?id=
inurl:preview.php?id=        inurl:pages.php?id=
inurl:main.php?id=           inurl:prod_detail.php?id=
inurl:view.php?id=           inurl:product.php?id=
inurl:contact.php?Id=        inurl:display_item.php?id=
inurl:item.php?id=           inurl:view_items.php?id=
inurl:details.asp?id=        inurl:profile.asp?id=
inurl:content.asp?id=        inurl:display_item.asp?id=
inurl:view_detail.asp?ID=    inurl:section.php?id=
inurl:theme.php?id=          inurl:produit.php?id=
inurl:chappies.php?id=       inurl:readnews.php?id=
inurl:rub.php?idr=           inurl:pop.php?id=
inurl:person.php?id=         inurl:read.php?id=
inurl:reagir.php?num=        inurl:staff_id=
inurl:gallery.php?id=        inurl:humor.php?id=
inurl:spr.php?id=            inurl:gery.php?id=
inurl:profile_view.php?id=
inurl:fellows.php?id=        inurl:ray.php?id=
inurl:productinfo.php?id=
inurl:file.php?cont=         inurl:include.php?chapter=
inurl:principal.php?param=
inurl:general.php?menue=     inurl:php?pref=
inurl:nota.php?chapter=      inurl:php?str=
inurl:php?corpo=             inurl:press.php?*[*]*=

除了上面这些常规找注入的方式,你不妨还可以像下面这样,直接在网页标题中搜SQL语句,说不定也会有收获哦,web万能的谷歌:

1	intitle:注入常用的一些sql语句,比如:常用的union,substr(),select等等……

批量搜集万能密码(其实也属于sql注入的一种):

1
2
3

inurl:"wladmin/login.asp"  
Username : '=' 'or'
Password : '=' 'or'

1
2
3

intext:POWERED BY Versatile Software Services       默认后台/alogin.aspx
User ==> 'or''='
Pass ==> 'or''='

1
2
3

inurl:/media.php?hal=login
Email: '=''or'@gmail.com
Pass: '=''or'

1
2
3

intext:"Powered by : Best Webmasterz." 默认后台/admin
User : '=' 'OR'
Pass : '=' 'OR'

1
2
3

intext:"Web Design and Maintenance by Cloud 5 Solutions" 默认后台/admin/login.php
User : '=' 'OR'
Pass : '=' 'OR'

1
2
3

intext:"网站设计：火龙科技" 默认后台/maintain/login.php
Username : '=' 'or'
Password : '=' 'or'

1
2
3

intext:"Powered by Moodyworld" 默认后台/admin/
Username : '=' 'or'
Password : '=' 'or'

找遗留的各种数据库报错,物理路径,数据库版本,服务器探针类文件等等……

site:*.tw  inurl:/phpinfo.php
filetype:log "PHP Parse error"| "PHP Warning"
site:*.tw  "id=" & intext:"Warning: mysql_fetch_array()
site:*.jp  "id=" & intext:"Warning: getimagesize()
site:*.br  "id=" & intext:"Warning: array_merge()
site:*.tw  "id=" & intext:"Warning: mysql_fetch_assoc()
site:*.tw  "id=" & intext:"Warning: mysql_result()
site:*.jp  "id=" & intext:"Warning: pg_exec()
site:*.tw  "id=" & intext:"Warning: require()
inurl:/robots.txt site:*.*

搜集各种账号密码,比如,数据库密码,ftp,vpn,htpasswd,telnet等等……:

可能会遗留的密码文件:
inurl:passlist.txt
inurl:password.txt

1
2
3

重要配置文件泄露:
inurl:/application/configs/  配置文件名为/application/configs/application.ini

1
2
3

htpasswd:
htpasswd.bak filetype:htpasswd

1
2
3

vpn(cisco)[捅内网,非常有用]:
filetype:pcf  "GroupPwd"

1 2	cisco在线密码解密网站: https://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode

ftp 账号密码:
"index of/" "ws_ftp.ini" "parent directory"
"your password is" filetype:log
filetype:ini inurl:"serv-u.ini"
filetype:ini inurl:flashFXP.ini
filetype:ini ServUDaemon
filetype:ini wcx_ftp
filetype:ini ws_ftp pwd
ext:inc "pwd=" "UID="
auth_user_file.txt

例如:
http://www.cryptoman.com/ftp/
http://www.cryptoman.com/ftp/WS_FTP.ini

其他密码:

1 2	default password list 直接在谷歌中搜各类缺省用户名密码 admin account info" filetype:log

找目录遍历[上传点,数据库文件下载,phpmyadmin,网站后台及各种网站备份,源代码泄露等,同样也可以用这种方式慢慢找]:

site:*.hk index of /admin
site:*.hk index of /upfiles
site:*.hk index of /fckeditor/editor/
site:*.tw index of /admin/uploadfile
site:*.tw index of /admin/file
site:*.tw index of /system/file
site:*.tw index of /phpmyadmin
site:*.tw index of /web/backup/
inurl:/phpmyadmin/index.php site:*.tw

搜同行们的各种工具脚本:

绝大部分人在用别人东西的时候,基本是很少看里面代码的[即使开源],更不要说去除特征及后门,没办法现状如此,大家都很懒,既是如此,就不免要把自己的成果也被迫的共享给别人一份,所以养成良好的读代码习惯,是非常有必要的

搜同行的脱裤脚本:

1	intitle:登录 - Adminer 这里只是随便举个例子,你可以自己平时多搜集一些境内外常用的脱裤脚本的标题,文件名什么的,慢慢尝试,root空密码也很正常

同样,你也可以用上面这种方式来找下别人的aspx嗅探脚本,例如:

websniff

找别人遗留的各种webshell,平时注意多搜集一些镜内外常用的大马特征,这里只是随便举几个例子,你可以随意组装自己的:

inurl:b374k.php filetype:php
inurl:c99.php
inurl:c100.php Generation time:
inurl:itsecteam_shell.php
intext:x2300 Locus7Shell v. 1.0a beta Modded by
intext:c99shell inurl:c99.php
powered by Captain Crunch Security Team
"inurl:c99.php" + "intext:safe"
intitle:r57shell
intitle:c99shell +uname
inurl:c99.php uid=0(root)
intitle:c99shell+filetype:php
intitle:ly0kha shell
inurl:.php "cURL: ON MySQL: ON MSSQL: OFF"
"Shell" filetypehp intext:"uname -a:" "EDT 2010"
intitle:"intitle:r57shell"
inurl:"c99.php" & intext:Encoder Tools Proc. 
inurl:"c100.php" & intext:Encoder Tools Proc. 
intitle:"Shell" inurl:".php" & intext:Encoder Tools Proc.

还有更多其他的工具特征,就留给大家自己去整理了,有时候站在别人的肩膀上上进去,感觉也挺好的…

找到目标的owa和vpn入口[内网入口]:

owa入口:
  inurl:/owa/auth/logon intitle:outlook
  inurl:/owa/auth/logon intext:outlook
   
vpn入口:
  inurl:/sslvpn site:hk

找些好下手的目标子域:

site:polyu.edu.hk inurl:asp?pid=
site:polyu.edu.hk inurl:aspx?id=
site:polyu.edu.hk inurl:php?id=
site:polyu.edu.hk inurl:jsp?id=
site:polyu.edu.hk inurl:do?id=
site:polyu.edu.hk inurl:cgi?id=

找目标的数据库备份及其它各类敏感文件目录[后缀一般为 sql,mdb,txt……],像数据库和网站备份这种东西,还是建议直接用工具跑比较好,前提是字典务必要精心制作:

1 2	filetype:sql inurl:backup inurl:wp-content inurl:/eWebEditor/db/ site:*.com

从目标网站上搜集目标邮箱,说实话,目标自己网站上的邮箱价值一般都不是特别大:

1	site:.gov.tw @gov.tw

关于google hacking的东西基本就到此为止了,最后再推荐一个不错的google dorks站点,方便大家练习:

1 2	https://cxsecurity.com/exploit/ 非常推荐 https://www.exploit-db.com/google-hacking-database/ 并不推荐,exp不错,但这方面比较废

关于谷歌的一些好玩的小玩具,无聊的时候可以自己玩玩,方法很简单,直接在谷歌里面搜下面的关键字就行了(说实话比百度人性多了):

do a barrel roll
Askew 
zerg rush
google sphere
atari breakout 图片碰碰球
google gravity 碎片
google sky
blink html 抖动

想必说到这里,你也已经大概能感受到google到底是有多强大了:

错误配置,敏感文件目录,各种信息泄露(源码泄露,重要配置文件泄露,密码泄露等),批量漏洞利用,最强大的社工库资源等等……你在web上所能利用到的一切,无死角尝试就可以了

其它的一些小恶作剧,也不小了,不要瞎弄,做错了事始终是要承担责任的:

搜集个人身份证信息
filetype:xls 身份证 site:cn
搜集被盗QQ号什么的
搜集别人还在有效期的信用卡,不过千万不要干坏事儿哦,不然后果你懂的……
另外,还有图片识别,位置识别,谷歌为我提供了很多很强大的功能,有必要的话可以去深入学习下如何使用谷歌的这些api

关于robots.txt文件的作用:
此文件一般位于网站根目录下,规定了搜索引擎不能爬行的一些目录,一般都是一些敏感目录,比如:后台,数据库连接配置文件,安装目录等等……一般我们在试了几个常用的后台目录都不行的情况,习惯性的就会直接去访问下目标的robots.txt文件,很可能这文件里面就存的有后台路径,但,那只是有可能,不尝试,连可能都没有

web渗透第一步之信息搜集 [ 透过cdn找目标真实ip ]

2014-12-13 bypasscdn

0x01 在了解cdn之前,有必要先来科普下什么是 ‘负载均衡’ 以及’正/反向’ 代理,既然选择了做渗透,这些最基本的基础不熟悉肯定是不行的

正向代理 [ ForwardProxy ]:
大家默认所说的代理其实都是指正向代理,不管是正向还是反向,理解数据的流向很重要,要理解这种比较抽象的东西最好的方式就是画图,比如下图就是一个正向代理的简易工作流程图,要表达的意思,已经很清晰了,就是说当客户端要去请求远程server上的资源时,并非直接通过本地路由网关到达远程server,而是先经过代理服务器,由代理服务器去帮我们请求,之后远程服务器会把请求的结果返回给代理服务器再由代理服务器返回给客户端,这么一个过程就叫正向代理,其实你还可以理解的更简单粗暴一点,它有点儿类似我们常说的 ‘翻墙’,正常情况我自己是不能直接上谷歌的,但我找了一个能上谷歌的代理,然后我们请求谷歌的时候可以让代理服务器去帮我们请求,最后,再通过代理服务器把响应的数据返回到我本地,就这么一个过程,包括我们常用的vpn其实也有点儿类似的功能(当然,这里只是粗略的类似,但vpn本质[隧道]上是什么,在前面已经有说明),不过现在正向代理可能用的比较少了,以前用代理服务器只是为了提高访问速度[因为缓存的原因],可以节省带宽,也可以在代理服务器上做些访问控制……

web渗透第一步之信息搜集[子域,旁站,C段,AS号...]

2014-12-12 search info

0x01 为什么要从子域入手
如果我们的目标网络规模比较大,直接从目标主域入手显然是很不理智的,因为像这种规模的目标一般主域都是重点防护区域,与其浪费那个时间,不如先从目标的某个子域进去,然后再想办法迂回接近我们的真正目标,这样无疑是个比较好的选择,此时,也就不难理解那句话了,安全本就是一个全面立体的概念,单单只是边界几个点的安全,那不叫真正的安全

0x02 那么,现在问题来了,怎么尽可能多的搜集目标的高价值子域呢

0x03 利用dig 检查目标ns服务器是否允许传送
出于习惯性反应,首先,你应该去查下目标的ns服务器是否允许区域传送,如果允许,直接把目标的整个子域备份过来即可,后面将要说的所有步骤就可以直接全省了,关于dig和nslookup的使用非常简单,请自行查看其命令帮助或谷歌,实际测试中,个人还是更推荐用dig [毕竟是从权威dns查的,结果相对较准]

查出目标所有的ns记录,然后挨个尝试目标ns服务器是否允许传送[这里要注意,务必是目标自己的ns服务器,第三方的不算],虽然说,可能性不太大,但运气好也不一定呢,总之,没尝试之前谁也不知道

# dig +short @8.8.8.8 cityu.edu.hk ns
  vax.cityu.edu.hk.
  cpccspc.cityu.edu.hk.
  cpccux0.cityu.edu.hk.

通过上面的查询,我们确定了目标自己的三个ns服务器,下面就开始来尝试逐个传送,这里还是要注意,必须用目标自己的ns服务器来解析它自己的子域,如果还没搞清楚传送的具体原理,请务必先自行谷歌理解漏洞原理再来搞

1
2
3

# dig +nocmd @vax.cityu.edu.hk cityu.edu.hk axfr
# dig +nocmd @cpccspc.cityu.edu.hk cityu.edu.hk axfr
# dig +nocmd @cpccux0.cityu.edu.hk cityu.edu.hk axfr

很显然,上面的这些ns服务器都不允许传送,为了给大家看看实际的传送效果,这里就给大家一个可以传送的实例

1	# dig +nocmd @dns2.communilink.net i-software.com.hk axfr

0x04 从其他的各种记录中获取子域,如,mx记录,spf记录,srv记录…
如果目标ns服务器实在不允许传送,我们就要开始后面正常的流程了,之所以要查各种记录,因为从这里也能获取一些目标子域,虽然想借此直接下手的可能性不太大,但对我们来讲同样有用

查目标的mx记录

1 2	# dig +short cityu.edu.hk @8.8.8.8 mx smtp.cityu.edu.hk

0x05 各类子域搜集工具
既然不让传送,其实也没什么特别好的办法,无非就是靠爆破或者从各类搜索引擎上现抓取,对于这类的脚本,质量也是参差不齐,既然有成品,我们不妨就直接拿过来改吧改吧接着用,像这种小脚本,没必要非花那个时间去自己写 [当然,对于自己练练代码还是很有必要的],不过,还是要先说明下,既然是个人写的小脚本,报错,不稳定,程序异常,是常有的事,毕竟,没有经过很多人长时间的测试,但我们的要求是,能用,结果正确,相对稳定可靠即可,效率可暂时不做过多考虑

0x06 介绍几款自己常用的perl脚本,功能强大,且较稳定,不出意外的情况下,基本都是自己的首选

dnsenum 搜集信息比较规整,全面,如,ns,mx,a记录,自动尝试区域传送,也会从搜索引擎上抓取目标子域不过早已不太好使了,当上述动作执行完之后,即开始爆破,最后,把获取到目标的所有的域名所在的ip段以CIDR格式列出来,工具的整个执行流程跟我们之前手工的过程几乎是一模一样的,这也是为什么之前要先带大家手工走一遍的原因,这样非常有助于我们深入去理解工具,以后如果我们自己想写工具或者定制别人的工具这些都是一手参考样本

常用选项:
-t 		指定爆破线程
--dnsserver 	指定用于查询的dns服务器地址
-f 		指定子域字典
--enum		三个选项的集合 --threads 5 -s 15 -w

1	# dnsenum --dnsserver 8.8.8.8 --enum -f /usr/share/dnsenum/dns.txt cityu.edu.hk

dnsmap 另一款比较好用的子域爆破工具,功能虽然没dnsenum那么多,但更加直观简洁,就是速度稍微有些慢,不过还好啦

1
2
3

-w 指定域名字典
-r 指定结果存放位置
-i 把泛解析,丢到指定的地址上

1	# dnsmap cityu.edu.hk

fierce 功能基本同dnsenum,实际测试中,效果会更好一些,速度很快,结果相对比较准

常用选项:
-dns		指定要爆破的目标子域
-dnsserver 	指定用域查询的dns服务器
-threads	指定爆破线程
-wordlist	指定域名字典

1	# fierce -dns cityu.edu.hk -dnsserver 8.8.8.8 -threads 20 -wordlist /usr/share/dnsenum/dns.txt

0x07 其它的一些py子域爆破脚本:

后面的几个脚本基本都是用dnspython库写的,所以,这里事先安装下,不过,在最新版的kali,默认就已经装好了:

1	# apt-get install python-dnspython

subbrute 说实话,并不怎么好用,速度慢,而且不太准,截取的信息也比较简陋,不过适合学习,关于此脚本库依赖,配置详情,请自行参考 https://github.com/TheRook/subbrute

names.txt		子域字典
resolvers.txt 		用于请求查询的dns服务器地址
target.txt		准备好目标域名文件,可以同时跑多个子域
-s 			指定自己的子域字典,默认会使用当前目录下的names.txt

1	# python subbrute.py -t target_domain.txt -c 16 -s /usr/share/dnsenum/dns.txt

subDomainsBrute 效果很一般,用的很少,关于此脚本依赖及配置,请参考 https://github.com/lijiejie/subDomainsBrute

1
2
3

dns_servers.txt 存放用于请求的dns服务器地址,里面最好加上谷歌的8.8.8.8
-t 		指定扫描线程
-f 		指定用于爆破的域名字典

1 2	# pip install dnspython gevent # python subDomainsBrute.py -t 200 -f /usr/share/dnsenum/dns.txt cityu.edu.hk

Sublist3r 跟上面的靠纯字典爆破不同的是,该脚本是现从各类搜索引擎中抓取的目标子域,想法还是很不错的,而且现从各种搜索引擎抓取的子域质量要比前面单纯靠爆破出来的也要高的多的多,尼玛,就是谷歌抓取一直都有问题验证改的贼快,不靠人民币,看来是很难痛快的玩耍了,另外,顺带的端口探测也是蛮不错的,较实用,对了,使用此脚本前务必先挂好vpn,你应该懂的,更多详情请参考 https://github.com/aboul3la/Sublist3r

-d 	指定要爆破的目标子域
-p 	扫描那些已经爆出来的子域所开放的端口
-t 	指定爆破线程
-e 	指定要爬取的搜索引擎,默认是从所有搜索引擎上抓取
-b 	启用暴力破解模块

1 2	# pip install -r requirements.txt # python sublist3r.py -d cityu.edu.hk -p 80,443,8080 端口不宜太多,不然速度会很慢

0x08 前面基本都是一些在终端下跑的小脚本,下面再来介绍一款纯图形化的信息搜集工具[本身的功能还是非常实用的,抓取目标子域只是它的一个辅助小功能而已]foca [对于大型目标相对比较好使],它最开始是用来搜集目标站点的各种元数据的[至于元数据是什么,请自行谷歌],但现在开始逐渐支持常规的web漏洞扫描,错误配置扫描,自定义谷歌dorks,支持外部插件等等……,功能也已经趋于完善,而且纯图形化,配置选项[可使用google或者bing api]一目了然,相信大家一上手就会了,关键是能用它爬到我们想要的东西,最好再提醒一句,务必挂上vpn,谷歌可能有时还是用不了,尼玛

1	工具官方站点, https://www.elevenpaths.com/labstools/foca/ 可自行下载

0x09 相比之下,国内的朋友可能对seay的Layer 更熟悉,说实话,我自己确实用的比较少,总体来讲,还不错,除了爆破,顺便还会把响应头中的各字段数据也截取一下,使用非常简单,调好线程,纯图形界面也比较友好……给个目标子域,跑起来即可,字典文件和程序在同目录,如果你觉得它的字典质量不高,可以自己往里面加一些子域名,或者干脆用自己的字典,说实话,实际测试效果很一般

0x10 有些大公司基本一个C段都是他自己的,这都比较正常,所以,直接找下C端的目标web也未尝不可,有机会还是能直接跨过去的

1	# masscan -p 80,81,82,443,8080,8081 144.214.2.0/24 --rate=100

0x11 另外,如果目标规模真的是特别大的情况下,可以从AS号反查目标对应的ip段,然后再从这些段里面入手,也是靠谱的,有很多类似功能的反查站点,大家去谷歌搜搜,肯定一大堆

1	https://asnip.net/

0x12 如果你实在不太相信这类工具的话,比如我,也可以自己手工在bing,google,shodan…上慢慢翻,反正我们的最终目的只是想尽快随便找个目标子域先进去,工具有时候不见得会快很多,而且工具暂时还不具备人的经验判断的,经常跑出来很多没用的东西,虽然,手工找,可能稍微繁琐点,但往往更精准,总体算来效率还是高的,而且找到的东西往往更有价值

1
2
3

site:*.cityu.edu.hk 	谷歌,bing找子域
hostname:"cityu.edu.hk" shodan可能效果会更好一点
...

0x13 我们通常需要重点关注的一些目标子域,总结的不是很全,一下子暂时就想到这么些,大家自己慢慢拓展吧

内部oa系统
类似citrix的各种虚拟化办公系统
监控系统
日志搜集系统
crm系统
cmdb系统
mail系统
一些用于内部测试的目标站点,正常情况下,新功能上线一般都会先丢到测试机器上跑跑,没问题才会更新到线上,既是测试站点,防御自然也相对薄弱
一些老旧目标站点,有些目标站可能年头有些久,但由于业务的问题暂时又不能关闭,这也是一些相对比较好下手的地方
一些可能用于备份的机器,比如,边界的NFS,Rsync之类的
各类java控制台
各类服务器web管理面板
各类路由web管理面板
一些带有各类远程执行漏洞的特定版本的web中间件,比如,IIS6.0,Tomcat,jboss...
一般从子域命名大致都能看的出来,诸如,oa,zabbix,nagios,cacti,erp,sap,crm,cmdb,old,bakup,test...直接尝试针对这些的各类漏洞利用
所以,这个域名字典务必要有很强的针对性,最好花点时间自己好好整理一份留着,不然也很难跑出来我们想要的东西...
...

搜集目标子域小结:
有时候,比如,当你直接跑test.org子域同时跑出来了os.test.org和monitor.os.test.org,这时你不妨尝试再把os.test.org当子域跑跑,说不定从这个子域下又会有不少收获,不过上面有些脚本也会自动遍历多级子域,这确实是个不错的切入点,可能还有些泛解析的问题,不过那些问题不太大,关于子域的各类查找手段,暂时就这些了,不管是爆破还是现从各种搜索引擎上抓取,我们最终目的只是为了想法设法接近我们真正的目标或者拿到一个边界入口,为我们后续方便进入目标内部先铺好路,工具仅仅只是为了辅助我们快速完成这一目的,并非决定性因素,所以大可不必在这类的工具上花太多时间,知道你自己想要的是什么就好了,还是那句话,你所搜集的每一个信息都有它存在的价值和意义,不要盲目,切记,从上面我们不难看到,反而是越大的目标,能入手的点就越多,废话不多说,祝大家好运吧 ^_^ ,最后觉得还是要再提醒大家一下,这里只是为了给大家更直观的说明,才不得不用了一些真实站点,希望大家不要恶意破坏,否则,后果自负

搜集目标的C段旁站信息 [主要针对某些小型单个目标站点]:

0x01 什么是旁站
和搜集子域的情况类似,我们的直接目标站做的比较到位,从目标站本身基本上找不到什么比较好的入手点,这时候,如果想要快速拿下目标的话,一般都会先找个目标站点所在服务器上其他的比较好搞的站下手,然后再想办法跨到真正目标的站点目录中,前提是有权限,如果实在跨不过去,就只能想办法先提权[说实话,虚拟机其实是比较难提的]了,拿到服务器的最高权限以后就可以对目标站为所欲为了,一般我们把这种渗透方式就叫旁站,至于渗透同服其它网站的方法,和常规的web渗透并没什不同,只是相当于绕了个路进去的而已,关于web渗透,后续还会有大量的篇幅专门来说明,这里先不用着急

1	旁站: 和目标网站在同一台服务器上的其它的网站

0x02 什么是C段
和旁站差不多的是,旁站是通过同一台服器上的其它网站跨到目标站的目录里,而C段,则是通过目标所在C段的其他任意一台机器,想办法跨到我们的目标机器上,至于怎么跨,嗅探,社工,web……随你便,反正最终目的能跨过去即可,实战可能还会有个问题就是,你搞下的一台目标C段机器在内网,也就是说它根本没有公网ip[靠路由映射进去的],像如果是这种情况,这台机器对你就没什么价值了,另外,如果是虚拟机,这种方式可能也不太好使,因为光提权就比较困难,这只是其中一个问题,很多其它的问题,我们暂时先不说,后续碰到再详细说,这里先理解一下基础概念即可

1	C段: 和目标机器ip处在同一个C段的其它机器,即都在同一个交换机下

0x03 关于旁站/C段工具的基本编写原理
现在市面上这类的工具也是多如牛毛,但各有优劣(可能是接口质量的差别吧),但大多数都是用bing的接口,把查询到的结果数据中的旁站链接提取出来,C段和旁站唯一不一样的地方,就是C段是把整个段的ip上的旁站都轮询一遍,不过在此之前你需要先申请一下bing的搜索api,其实我自己都是选择性的用,因为不太准,手工直接在bing里面翻翻可能就有了,因为工具本身有时可能会漏掉很多有价值的参考信息,反正我们的目的就是随便找个能进去的站即可,怎么找,随意,你自己觉得怎么快就怎么来,渗透在乎更多的是结果和效率,过程几乎都不会太在意

0x04 好了,这部分内容确实比较简单,工具也没太多技术含量,单纯只是为了给大家理解一些基本概念而已,就不多说了

其实,还有非常多的一些提供类似功能的工具站,之前好用的,现在大多已经失效了,后期遇到好的再贴上来,大家可自行去谷歌上搜搜,确实挺多的,不过大部分似乎并不太好用,另外,大家如果有任何问题或者建议,也可直接私信我,其实,我一直都在

1	http://www.sameip.org/

web渗透第一步之信息搜集 [ 搜集目标真实ip信息 ]

2014-12-11 信息搜集

0x01 在实际渗透中,给我们的目标可能仅仅就是一个域名或者某个组织名,那么该如何仅仅通过一个目标域名或者组织域名来确定目标所在的一些真实ip段呢,下面我们就开始整个信息搜集任务的第一步,搜集目标ip及域名信息,注意,这里我们暂且先不考虑目标是否用了CDN的问题,如何透过cdn找真实ip在后面会做单独说明,这里就先以正常的情况来说明

0x02 以www.cityu.edu.hk 为例,拿到目标域名的第一反应,没别的,先ping下目标域名看看解析情况再说

1 2	# ping www.cityu.edu.hk www.cityu.edu.hk (144.214.5.62) ping 目标主域解析到的ip是这个

0x03 虽然没ping通,但这并不影响我们看它解析到的ip,不通的原因,还要看它提示的是什么,如果是超时,多半是因为防火墙拦截了imcp请求,不过这并不是重点,重点是我们已经发现这个域名被解析到了这个ip上,而且被解析的这个域名依然是 www.cityu.edu.hk,其实,从这里基本就已经可以确定这个ip就是目标的真实ip段内的[搞多了,自然就会有感觉],不信的话,我们可以直接尝试在浏览器中访问下解析到的这个ip,看看是不是会自动跳转到www.cityu.edu.hk 这个域名上的网页上,但仅仅就这一个ip还是远远不够的,对一个这种规模的大学来讲,机器肯定不再少数,我们接着往下走……

0x04 ping 完主域,顺手再来ping下子域,依然是没ping通,不过我们看到这个子域也被解析到了这个ip上[很可能是代理服务器或者负载均衡器什么的]

1 2	# ping cityu.edu.hk cityu.edu.hk (144.214.5.62)

0x05 通过上面简单的ping,我们已初步发现目标所在的其中一个真实ip段,但仅仅只有这一个段还是远远不够的[像这种规模的大学,几乎整个B段都可能是它的],接着我们可以从目标的mx,ns,a记录入手,至于这些记录具体都是干什么的,这里就不细说了,大家请自行谷歌,因为我们今天的重点并不在这些记录本身,而仅仅是想通过这些记录[子域]获取一些目标的真实ip段,如下,推荐dig,nslookup不太准[非权威查询]

1 2	查目标的mx记录: # dig +short @8.8.8.8 cityu.edu.hk mx

1
2
3

smtp.cityu.edu.hk (144.214.4.72)  
很显然,这只是目标的一个子域,根据ping解析到的结果我们发现这个ip也确实是香港ip
跟ping主域返回的结果是144.214.5.62,貌似是差了一个'C'段,不过,大致可以确定是目标的真实ip段

1
2
3

cityu-edu-hk.mail.protection.outlook.com (65.55.88.234)  
注意此域名,它并非目标子域,很显然是挂到outlook上的,ip也不是香港的
所以,此ip对我们实际的渗透意义并不大,可以忽略

1
2
3

查目标ns记录:
# dig +short @8.8.8.8 cityu.edu.hk ns
cpccspc.cityu.edu.hk (144.214.5.254) 目标子域,ip和主域处在同一C段中,可以确定为目标真实ip

1	vax.cityu.edu.hk (144.214.2.1) 目标子域,同处在B段中,初步确定为目标真实ip

cpccux0.cityu.edu.hk (144.214.5.253) 目标子域,ip和主域处在同一C段中,可以确定为目标真实ip

1
2
3

查目标a记录:
# dig +short cityu.edu.hk a
144.214.5.62   和直接ping的结果一致,确定为真实ip

0x06 当然,你可以从一些第三方网站上获取到目标的一些ip及域名信息,下面就推荐几个自己常用的

1
2
3

ip138的数据库还是蛮不错的,主要是更新频繁,只需提供一个目标ip或者域名[给子域就好了]即可定位ip所在地
如果你想把它写到脚本中批量查,它也提供查询接口,付点儿费,然后把接口写到你的脚本中即可
www.ip138.com

这是个相对比较老的信息搜集站,直接给个目标子域,它会把目标的一些子域也都列出来
然后你可以挨个点到每个子域里面再去看该子域详情,域名详情包括这个域名ip变更的历史记录
[比如,我们发现在www.cityu.edu.hk这个域名上曾经解析到过三个ip,尝试ping下以前的ip看看还在不在
说不定是个入手点呢],web服务器版本型号,操作系统类型[如果是一些低版本的操作系统,我们可以直接尝试比较经典的漏洞exp,比如iis(2000 2003)写等等……]
域名注册商[如果你想做域名劫持可能会用到],域名所在地等等……
从结果看到我们看到,主域其实是一台f5负载均衡设备[印证了前面的猜测]
另外从别的子域里面我们又发现了很多其它的真实ip段
www.netcraft.com

1
2

最后再来查下目标域名的 whois 信息,里面的一些内容对我们渗透也是有一定帮助的,比如,注册时留下的各种联系信息,邮箱,电话,姓名等等...
www.whois.com/whois

whois里面对我们有用的信息可能也就下面这些:

1	注册信息中的邮箱,名字,域名注册时间,过期时间以及当前注册状态

1	管理员各种联系信息,包括管理员邮箱电话,传真,各种名字[可以用来制作字典]

1	目标技术的联系方式,包括邮箱,电话,传真,名称

1	用于解析该域名的所有ns服务器,从这里面我们发现了两个我们之前在ns记录没查到的域名,不过一看,这很显然就不是目标自己的ns服务器,所以,忽略

0x07 通过上面的初步搜集,我们大致整理出了下面的一些目标真实ip段,因为段比较多,这里并没有都写上去……,关键是大家的搜集思路清晰就好:

144.214.2.0/24
144.214.4.0/24
144.214.5.0/24
144.214.236.0/24
……

0x08 到这一步,初步的ip及域名信息搜集就基本算是完成了,内容确实比较简单,关于工具的使用也比较容易,实在不会,看看命令的相关帮助应该就能明白了,可能最需要注意的地方还是 ping 的时候最好多ping几次,有时候因为自己的网速或者目标的网络问题,也会导致超时,并非一定是防火墙的原因,所以,一般ping 个5,6次就差不多了,当然,这里只是大家告诉你怎么手工去找,相信这里的一点铺垫,到后面会更利于你去理解和使用这一类的信息搜集工具,因为它们的工作流程大致都是如此,只不过我们现在是在手工实现它,还是那句话,实际渗透中怎么快怎么来[以效率为重],后面会说到dnsenum,一个脚本基本就可以把上面说的东西全干了……

0x09 当然啦,这仅仅还是万里长征的第一步,拿到准确的目标ip段信息,也是为了方便我们后面,对目标机器大概的部署情况做一些简要判断,从中找到一些可能的突破口,这中间还会涉及到cdn的问题,不过不用太着急,后面会再专门针对cdn做单独的详细说明,至于拿到这些真实ip信息以后的事情,就自己随意了,旁站,C段,ddos,爆破…………,自己想怎么发挥都行…

小结:
没啥技术含量,方便加深对此类工具的深层理解,顺带留给有需要的朋友