扩展

廉价攻击机

发现一个技巧，渗透测试时我们有的工具/Exp方法需要有公网IP才能让受害者能访问到我们的攻击机，我们肯定不拿自己博客服务器干坏事啊，可以去腾讯云 - 买云服务器 - 自定义配置 - 选择”按量付费“，一切按最低配来，一毛六每小时，5小时1块，巴适！用完一定要销毁机子，不然一个月115块呢。

新机子记得去腾讯云安全组和下述命令把端口放开。

如何在centos7上让防火墙对12345端口放行tcp和udp协议，不限来源IP？：

在CentOS 7上，可以通过以下步骤来让防火墙对12345端口放行TCP和UDP协议，不限来源IP：

1. 打开终端，以root用户身份登录。

2. 检查防火墙状态，确保防火墙已启用：

systemctl status firewalld

如果防火墙处于停止状态，可以使用以下命令启动防火墙：

systemctl start firewalld

3. 使用以下命令开放12345端口的TCP协议：

firewall-cmd --zone=public --add-port=12345/tcp --permanent

4. 使用以下命令开放12345端口的UDP协议：

firewall-cmd --zone=public --add-port=12345/udp --permanent

5. 使用以下命令重新加载防火墙配置，使更改生效：

firewall-cmd --reload

现在，防火墙已配置为允许来自任何来源IP的TCP和UDP流量通过12345端口。您可以根据需要更改端口号和协议类型。请注意，--permanent选项用于将更改永久保存在防火墙配置中，以便在重启后仍然有效。

验证放开：

腾讯云自带的实例端口验通：

centos7安装java1.8的方法

不要备不要记，用到就问chatgpt，谁能记这么多命令。

1. 打开终端，以root用户身份登录。

2. 使用以下命令安装OpenJDK 1.8：

   yum install java-1.8.0-openjdk

   这将从CentOS软件仓库中下载并安装OpenJDK 1.8。

3. 验证Java是否已成功安装：

   java -version

// 此处安装的是OpenJDK，如果需要Oracle JDK，您可以从Oracle官方网站下载并手动安装。

RCE是什么？

RCE（Remote Code Execution）是指攻击者能够在远程系统上执行恶意代码的一种攻击技术。当攻击者成功利用RCE漏洞，他们可以完全控制目标系统，并执行任意命令、修改或删除数据，甚至在系统中安装后门或恶意软件。

SRC是什么

安全应急响应中心（SRC, Security Response Center），是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。说白了，就是连接白帽子和企业的平台，你去合法提交漏洞给他们，他们给你赏金。 目前国内有两种平台，一种是漏洞报告平台，另一种就是企业SRC。

指纹识别

在网络安全领域有种渗透测试方法叫“指纹识别”，做这个东西的网站有潮汐指纹、聚名指纹、云悉指纹，这里的指纹识别是什么意思？

在网络安全领域，指纹识别是一种用于确定目标系统或应用程序特征的方法。它通过收集和分析目标系统的一些特征信息，如操作系统（win/linux）、软件版本（）、开放的端口（80/443/...）等，来识别目标系统的身份或配置。这些特征信息就像指纹一样独特，它们可以帮助安全专业人员了解目标系统的配置和漏洞，从而制定相应的安全策略和措施。

CMS - 织梦，discuz，wordpress

他们都是出名的建站系统开源程序。

织梦（dedecms）几年前国内非常火爆，但安全性差，容易被挂马。最近几年都没有更新，官方放弃维护了。现在还在用织梦的大多都是模板源码建站，官网展示型网站较多，品质不高。

discuz是腾讯旗下国内比较知名的论坛程序，生态非常完善，对论坛来说已经走到了极致。可惜近几年泡论坛的人越来越少了，discuz的更新也停止不前。腾讯不做不赚钱的买卖，就此凋零。

wordpress是一个国际化的开源建站程序，使用性非常强，主题模板丰富。wp既可以做博客，又可以做商城，他的可塑性是目前开源程序最强大的，推荐。

server: cloudflare - 0成本抵御DDos/CC 攻击

server: cloudflare

今天访问https://forum.90sec.com，响应数据包有个属性是server: cloudflare，server后面一般跟的是中间件如nginx、IIS，这个cloudflare是什么？

在响应数据包的server属性中出现"cloudflare"表示该网站正在使用Cloudflare的服务，这意味着你的请求经过了Cloudflare的网络加速和安全保护，以提供更好的用户体验和保护网站免受恶意攻击。

Cloudflare是一个提供网络安全和性能优化服务的公司。它提供了CDN（Content Delivery Network | 内容分发网络），以加速网站的访问速度，并通过多层防御机制保护网站免受DDoS攻击、恶意流量和其他网络安全威胁。

当你访问一个使用Cloudflare的网站时，你的请求会首先被路由到最近的Cloudflare服务器，然后由Cloudflare服务器代理请求到源网站服务器。这种方式可以减轻源网站服务器的负载，提高网站的性能和可靠性。

使用 CloudFlare好坏：

1. CloudFlare的服务是一种CDN服务。CDN有助于隐藏好服务器真实 IP，在隐藏好服务器真实 IP 的情况下无论多大当量的 DDos/CC 攻击基本都可以无视。简单说CloudFlare服务对 DDos/CC 攻击或各种恶意扫描、暴力破解、恶意垃圾爬虫都能有非常不俗的拦截效果。小站点站长可以每月0元免费蹭这好处，大点网站可以开通CloudFlare VIP。实例：验证0成本无高防普通服务器抵御无限DDos/CC 攻击！

   注：CloudFlare 免费版仅仅对网站的 DDos/CC 防御有效，APP、游戏的需要付费版才可以的哦！

2. 防采集和防盗链：CloudFlare 的【服务器端排除】和【HotLink】只需要在网站上简单的设置后就能很好的防采集和防盗链

3. 减轻服务器压力：借助 CloudFlare 官方公布的节点 IP 配合基于 Linux 内核的防火墙应用限制只有 CloudFlare 节点 IP 才可以回源服务器请求 443 和 80 端口，不仅能大大加强服务器的安全性，还能有效的发挥服务器硬件性能，去除所有非法的回源请求降低服务器负载飙升的风险。如果 CloudFlare 缓存时间长的话，甚至可以做到无论多大的并发请求都不会让服务器 CPU、内存等的负载飙升。

4. 灵活地放入真搜索引擎爬虫、屏蔽仿冒搜索引擎爬虫：无论是谷歌、百度、必应等这些国内外合法主流搜索引擎爬虫还是冷门小众细分垂直爬虫都能自由灵活的控制其屏蔽和频率，并且还可以基于 CloudFlare 大数据的IP 威胁分完美高效的过滤屏蔽恶意、仿冒搜索引擎爬虫。

5. 稍微减低了国内用户访问速度：毕竟走了一层代理嘛。

搜索引擎语法（google）

(以google语法为例)

1. 有时候搜索到的内容可能已经被删帖了而访问不了。有种可能的解决办法是借助于搜索引擎当时爬它时记录下的缓存：

   

   

   缺点是有时只能显示html文字而无css，不好看，而且文章内容不是最新的。

2. xx site:http://jianshu.com 含义：搜索内容xx并只显示指定网址中的结果 或曰 在指定网址中搜索内容xx。

   

3. xx filetype:pdf 含义：搜索与xx相关的pdf文件。

   

4. xx inurl:.php 含义：在含.php的url中搜索内容xx。这个语法在谷歌效果是非常好的！

   

   bing可以用site搭配通配符代替（记得星号前后留空格，不然搜不到）：

   

5. yy intitle:xx 含义：在包含xx的标题中搜索内容yy。只适用于谷歌。

   

6. 谷歌支持按媒体类型过滤：

   

   按时间和是否精确匹配过滤：

   

   bing同理：

   

7. 高级搜索：

   

   配置更丰富的搜索选项，具体有严格匹配/模糊匹配/不匹配某字词、字词出现在网站的任何位置/title中/文本中/网址中、按语言、地区、更新时间、域名、文件类型筛选结果：

   

域名解析之记录的权重和优先级

配置域名解析时，记录的权重和优先级分别有什么用？

• 权重（Weight）：当一个域名有多个解析记录时，权重越高的服务器会优先被访问。例如，如果一个域名有两个解析记录，A记录的权重为50，B记录的权重为100，那么访问该域名时，B记录的服务器将会被优先选择。权重用来实现负载均衡，将流量分配到不同的服务器上，具有较高权重的记录会获得更多的流量分配，以提高系统的性能和可靠性。

• 优先级（Priority）：优先级用于指定备用服务器的优先使用顺序。当一个域名有多个备用记录时，当主服务器不可用时，优先级越高的备用服务器会被优先选择。例如，如果一个域名有两个备用记录，A记录的优先级为10，B记录的优先级为20，那么当主服务器不可用时，将会选择备用服务器B来处理请求。优先级用来实现故障转移和冗余备份，提高系统的可用性和容错性。

怎么听起来权重和优先级没有区别？：可以将权重理解为在正常情况下的负载均衡，而优先级则是在主服务器不可用时优先选用哪台备用机。

一次运维

旅游相册系统因为没有配置ssl导致访问过https://ink0.cn后，访问http://ink0.cn:520都会被PC浏览器强制转换成https://ink0.cn:520导致无法访问，解决方案：

总结：新开一个服务或者网站，与其分配一个域名:端口，不如分配一个子域名！

1. 直接用http://IP:520。简单但是没有技术含量而且换服务器就得换网址。

2. 配置srv解析记录 。不行，SRV记录并不直接影响浏览器中的访问行为(http协议)，好像能影响tcp协议。

3. 新域名如tour.ink0.cn通过A/CNAME记录解析到服务器，然后在nginx上配置

   server {
       listen 80;
       server_name tour.ink0.cn;
   ​
       location / {
           return 307 http://62.234.14.252:520$request_uri;
       }
   }

   这个方法是最可行的。值得注意的是，CNAME记录的记录值，不允许IP格式，必须是域名格式，而A记录的记录值，不允许域名格式，必须是IP格式。其次通配符域名 *.ink0.cn 可能会对tour.ink0.cn有影响，自行注意。

   

   测试过了，这样做ink0.cn还是指向博客主页，而tour.ink0.cn是旅游相册。值得注意的是，我一开始的错误配置是：

   server {
       listen 520;
       server_name ink0.cn;
   ​
       location / {
           return 307 http://62.234.14.252:520$request_uri;
       }
   }

   天真地以为第一个server块作用是仅当用户访问ink0.cn:520时被307重定向，实则不是。他的意思是当用户访问基于ink0.cn的网址（如tour.ink0.cn:80、aaa.ink0.cn:520），不论用户访问的端口也不论用户访问的是其子域名，都被307重定向。听起来是不是第二行的listen 520;没起到作用，你把server块当作一款应用来看，第二行的作用应该是本server块运行在本服务器的520端口。（我不专业，解释只能说对一半）。

4. 也是我最想实现的，访问ink0.cn:520被重定向到http://ip:520。但也最难的，很烦，不学规则自己根据瞎琢磨不懂，有chatgpt也不行，建议专门学下再尝试配置。

信息打点

附：主动式探测和被动式探测

在一些src挖掘中，官网禁止主动式探测，怕我们的主动式扫描造成网络堵塞或应用服务被占用而堵塞。主动式探测就是我们主动去探测，流量从我发往它。被动式探测指借助网上它的一些接口去查询或者他人已取得的信息，在网上留下了些历史记录。被动式探测不会发送大量从我发出的流量到它。

1. 信息打点第一步当然是针对WEB架构啦，即了解目标的OS、所用脚本语言、中间件容器、数据库类型和程序源码属CMS还是框架

WHy要了解OS是win 还是 linux？：有些漏洞是基于/只适用于win / linux的。

Why要知道CMS：知CMS就可以利用利用公开的漏洞库尝试安全测试，有源码就可以白盒代码审计挖漏洞。

Why要知道数据库：mysql就爆过漏洞；或者尝试弱口令爆破。

Why要知道脚本语言：某脚本语言容易爆某漏洞。

Why要知道中间件：网上有搜集好的，常见中间件漏洞总结.pdf。

WEB源码分CMS开源和闭源售卖：前者如qzdy，可以从百度、github等获取源码，后者则比如（范围较大的内部，比如千人群，或曰小众，有时是黑道黑产行业）内部源码或只在自己的小圈子里卖或者要花钱买，还有闭源售卖的，例如我的旧博客（假设不开源）、某公司自主研发产品，只有那几个人、那个公司在用。自主研发一般见于大型网站如京东淘宝。不是每个人都是程序员，也不是每个程序员都会自己搭建网站，比如我，这么会Web全栈开发不还是用人家主题么。

站长为什么会选择闭源售卖的CMS？：开源的源码们的功能不让我满足，我想要个性化的功能，发现只有闭源售卖的人有源码。

三种来源源码特点：CMS开源源码容易下载到，一般不加密。对黑客友好，容易渗透，对站长不友好。以博客为例，只是记录的平台，没有金钱利益损失，我可以接受这个大风险选用开源CMS，节省开发时间（利大于弊），但如果涉及大额金钱利益，站长敢用开源CMS吗？。；闭源售卖源码费钱且往往代码有加密，但往往部署的网站比较重要，因为站长肯下本金说明网站涉及的业务值钱；自护研发的源码，买都买不到。

我记得有个网站，可以基于访问站点然后还原出前端项目源码。

有网站买卖黑产黑道黑色行业的源码，例如https://www.huzhan.com/。之所以没封，因为它比较擦边球，例如出售聊天交友app代码，可以用来正常相亲交友像陌陌，也可以用于约炮目的。

下图第一个就是黑产源码，不然其他都几百几千，怎么就它价值4w5呀：

找这种卖黑产源码的电商，不要用百度搜，基于国家不让，百度会屏蔽这些资源。得去bing / google / fofa上搜黑产的关键字，比如“棋牌源码”，给出的网站都可以收藏下，而且挺有用的，排名越靠前说明流量大呀，说明用的黑产站长多呀。

在黑产行业，BC有什么意思?：BC通常指的是“黑产”（Black Industry）的简称。

洞悉脚本语言：

• By 搜索引擎

• By URL文件后缀

• By 搭建组合推论

洞悉中间件：

• 看返回数据包

• 端口扫描

• 搭建组合推论

洞悉数据库：

• 端口扫描

• 搭建组合推论

洞悉OS：

• 对文件名大小写的支持

• TTL值

源码分类：

• CMS开源

• 闭源售卖

• 自主研发

从域名入手的方向：

• 子域名爆破

• 相似域名查询（实例见下面的爱心工程）

• 从域名反查备案信息

• 旁注（暂未讲到）

2. 信息打点还要了解网站的应用信息，如安装的软件（filezilaa）开通的协议（ftp）、部署的网站（wordpress）、防护信息，即安全防护软件（WAF和主机应用防火墙）、人员信息，即社工，即你能不能知道管理员是谁，他有什么癖好，生日是什么数字，有没有泄露的密码、其他信息，如目标是个公司，通过查询发现旗下还有个子公司。

3. 会用到的技术点：CMs识别，端口扫描，CDN绕过，源码获取，子域名查询，WAF识别，负载均衡识别等

实例1与技巧

以老师博客xiaodi8.com为例。

先随便看看

WEB架构是？：观察网址如www.xiaodi8.com/id=4，看不出来。-> 浏览器自带的抓包，发现两个线索：某个ajax请求了c_html_js_add.php & 某个数据报文的响应报文的响应体的X-Powered-By: PHP/5.4.45等键值对，

网页脚部还有CMS名字（类似我的theme qzdy）：

成果：php/5.4.45 + apache/2.4.46 + OpenSSL/1.1.1g + mod_fcgid/2.3.9a + Z-Blog（CMS）

如何判断OS和数据库

OS

• 判断OS的方法一（不是一定100%准）是基于win的文件名不区分大小写而linux的文件名区分大小写：

如果网址是目录，例如http://space.eyescode.top/blog，请参考上面发现一个ajax请求了c_html_js_add.php。注意不能用网址的参数如xiaodi8.com/?id=276的id做小白鼠，这，开发岗都懂。或者直接用主页index文件做小白鼠如http://space.eyescode/index.php（当然，这里的后缀.php得看脚本语言）。Why不是绝对100%对？；老师的win服务器，访问www.xiaodi8.com/index.php正常，访问www.xiaodi8.com/index.phP就访问不了，这是因为中间件的原因，不细讲。

• 方法二是有些扫描工具能直接给出OS类型，很准，推荐nmap

• 方法三是基于ping的ttl值。

  不同的操作系统的默认TTL值是不同的， 所以我们可以通过TTL值来判断主机的操作系统，但是当用户修改了TTL值的时候，就会误导我们的判断，所以这种判断方式也不一定准确。

  TTL=128，这是WINDOWS NT/2K（也叫2000）/XP。 
  TTL=32，这是WINDOWS 95/98/ME。 
  TTL=256，这是UNIX。 
  TTL=64，这是LINUX / win7。
  # 例如ttl=53，举例64最近，所以是Linux / win7

  

• 方法四是对于大型企业，规模大的，用户多的，比如京东、补天src平台里的专属src里的企业，可以直接下定论：80%的可能就是linux。默认为linux。

数据库

（1）基于搭建组合，百度查询php和什么数据库最配，发现是mysql，于是记录下：很可能是mysql。

（2）扫描端口，推荐namp、mapscan，或者在线工具，优先用在线工具，这样留下的IP日志不是我的IP。Why有时候扫描不出来？：服务器在内网或者有防火墙在阻止我的报文。类似中间件weblogic jboos，他们开启后会占用端口，数据库同理占用端口，常用数据库及其默认端口号有access（文件型数据库 所以不需要端口号）、mysql 3306 、mssql 1433、redis 6379、mongdb 27017、oracle 1521、postgresql 5432、DB2 5000...，记不住没关系，网上现查亦可。扫描发现3306端口确实开着。

成果：php/5.4.45 + apache/2.4.46 + OpenSSL/1.1.1g + mod_fcgid/2.3.9a + Z-Blog（CMS）+ mysql + win

下一步可以是直接搜zblog漏洞或者搞源码随后代码审计：

实例2 - 面具约会App - 黑产CMS源码要去黑道买

省略下前面重复的信息打点，现在老师获取到了该app的服务器信息有win + php + nginx + mysql 。现在老师想获取其源码，老师在bing / google / fofa上搜关键词，发现一家源码交易网并进去搜”约会“keyword，成功找到该app的源码（其实老师还在其他网站也搜到了该源码）：

实例3 - 爱心工程 - 从域名挖掘资产

省略重复过程，已知：win + iis + asp.net + (大概率)mssql。

爱心工程网www.axgc168.com，我们在首页底部发现友情链接：

随便搜，比如搜键镁乐集团，发现键镁乐集团网www.jmlsd.cn：

结果发现网页内容和爱心集团网一模一样。老师再表达：一个网站可能有多个域名。

如何知道其他域名？：

1. 第一种是域名相似的情况，

   • 变动域名主体如ink0.cn就搜搜ink1.cn、jmlsd.cn就搜jmlsd123.cn

   • 变动域名后缀，尝试.cn .com .net .org等后缀。嫌累？：去域名注册平台看看域名有没有注册：

     

     发现jmlsd.cn和jmlsd.com被注册，去看看jmlsd.com，发现还是键镁乐集团的，还是个会员系统：

     

2. 第二种是查域名的备案信息来获取。

   

   查到公司是广州市键镁乐商务信息咨询有限公司，我们再以公司名为关键词搜信息，例如：

   

   附：上图第一行，天眼查支持以公众号为关键词查询，有什么好查的？：（老师没说清除，好像是这个意思。）公众号有好几种类型，服务型公众号可以把公众号和服务器绑定，让服务器来提供公众号，由此涉及到WEB。

回顾实例3，我们原有资产是axgc168.com、爱心集团，现有资产是axgc168.com、爱心集团、jmlsd.cn、jmlsd.com、关键词键镁乐集团，资产瞬间多了很多，机会也多了很多。

实例4 - 网元圣唐

1. 在补天src找到一家企业www.wangyuan.com。发现是jsp3/2.0.14，百度搜下jsp3/2.0.14，知道了是java应用：

   除此之外报文中再无WEB架构信息，那我进行下端口扫描？。老师说：能放在专属SRC中而不是公益SRC，说明规模大且涉及重要金钱利益。这种规模的网站往往部署了CDN，所以现在目标是找真实IP，然后才能端口扫描，不要扫CDN的端口，无意义！

2. 因为是大型企业，所以OS默认是linux

3. 关于源码：网元盛唐是家游戏公司，核心功能的源码绝对不是网上能下载到的，而是自主研发的。毕竟这种东西还能一样吗？能同时有两个王者荣耀吗？此外，黑产如爱心工程他们肯定也有自主研发的代码，因为他们想做的黑事得定制代码（以满足功能需求）。其次自主研发代码也有助于满足安全需求。=>结论是不用在网上找源码，即使网上有，也绝对是基于网上代码的二次开发。=>获取自主研发的源码的方法如下。（如果仍获取不了，则黑盒测试。）

   • 基于泄露：可能网上已经有该公司的源码泄露出来了，例如lol 70G游戏源码被黑客放在暗网上售卖事件。

   • 基于资源监控：源码是程序员开发的。条件一：信息打点中搜集到了人员信息，如开发者有谁、团队名字、开发者的社交平台账号是什么 + 条件二：在gitee、github、csdn、公众号、stackoverflow等程序员交流平台上，开发者可能会issue开发中遇到的问题、分享自己写的代码、分享开发经验，可能就有泄露自己公司代码的。

4. 从最简单的开始找起：

   上述网页，老师没有发现啥东西。换搜php网页，惊讶发现官方地址竟然有不少php页面：

   

   一是该网站有少量jsp页面和大量php页面，二是java漏洞难于php漏洞 => 有php优先渗透php，因为容易啊，由易入难。

   可见：信息搜集搜得好，能让网安人事半功倍！你没搜到它有php页面，你就只能从java漏洞入手。