AWVS （windows上的）

自动手动爬网 支持AJAX JavaScript

AcuSensor灰盒测试

 服务器端装一个Agent

 发现爬网无法发现文件

 额外的漏洞扫描

 可发现存在漏洞的源码行号

 支持PHP、.NET（不获取源码的情况下注入已经编译的.NET）

生成符合标准的报告（商业版报告能力强）

网络扫描

 支持常见服务扫描

 集成openvas扫描漏洞（弱）

身份认证

 导入会话 login in 

Tools

主机发现

端口扫描

DNS扫描

SQL注入测试 探测发现之后 还能攻击

HTTP Editor 和repeater 类似

Sniffer 类似 代理功能  手动爬网的结果需要自己手动导入到自动爬网结果

Fuzzer

身份认证测试

compare功能

扫描web service

快速发现ASCII 按住alt按小键盘

login Sequence Wizard 录像下登陆的动作

burpsuite

repeater模块 

 修改请求，重复提交

Sequencer模块

 收集session id 来判断随机性

 内置分析引擎

 FIPS 美国联邦信息分析标准

 Decoder 模块

 编码 

 Smart decode 自动解码

 comparer模块

 比较

 Option

 其他身份认证方式

 SSL

 Alert 看别的程序的端口

其他截断代理工具

 Paros 

 Webscrab

Burp功能模块

Spider 爬网 

 可以设置身份认证 

 对比功能

Scanner 扫描 花钱才有

Extender appstore

intruder模块 

 可以fuzzing

 攻击类型

 Sniper 变量不会会同时变，挨个变

 Battering ram 变量放同样的值

 pitchfork 指定多个字典，多个位置，两个字典成对出现，不成对就停

 Cluster bomb 全网状，全交叉模式暴力破解，多个字典

 从Grep-Match设置过滤

 runtime 有规律

 character blocks 指定数据块

 Brute force 特别暴力

 编码功能

 常用字典

Burpsuite

Web安全工具瑞士军刀 netcat

openjava 开源java环境

free和professional 差别 在于 没有主动扫描功能

主要截断代理

Proxy

可以截获与socket通信

invisible proxy

不可见代理 客户端不支持代理 但还使用http协议 也可以用不可见代理实现代理 在客户端使用dns欺骗

burp需要配置自己的host

不支持的代理的客户端 

可能发出的请求不是完整的url 自动拼接

可能没有主机头 使用dns欺骗和请求重定向来弥补

访问多个域名 生成多个lo网卡 再每个网卡上创建侦听器

发送的是不标准的http请求

https访问 都要安装ca证书 在代理下访问burp

截断功能

标准扫描工作流程

 设置代理

 手动爬网

 自动爬网

 主动扫描

好工具，6的不行

OWASP_ZAP

截断代理 配置一下浏览器 浏览器高版本可以一键设置

插件很多 视自己情况选择

代理

功能都差不多

fuzz功能

暴力破解

可以指定多个payload

API功能

可以调用

扫描模式 

safe protect standard attack

前两种模式不允许主动性的扫描

Scan proxy 扫描策略

Anti Csrf Tokens 绕过tokens防御 指定tokens的名字

扫描https 先安装证书 从设置里找

context 范围（本意上下文背景环境） 一个站点的资源

scope 扫描的范围 用相同的策略

filter 过滤

身份认证 session属性 手动指定Session名 多用户切换的方便

Arachni

./arachni_consle

命令行工具

./arachni_web

web模式

分布式扫描Dispatcher（特点）

w3af(web application attack and audit framework)

发现和利用web漏洞

九大类

audit 审计代码

infrastructure 基础架构 

grep 被动扫描

evasion 躲避

mangle 基于正则表达式的替换

auth 身份认真

bruteforce 暴力破解

outup 输出

crawl 爬网

不可修改

attack 攻击

vega使用代理访问https

证书颁发给域名而不是ip

skipfish

 c语言编写 谷歌开发的

 实验性的主动web安全评估工具 代码层

 递归爬网 基于字典的探测

 速度快 多路单线程 全异步网络I/O 消除内存管理和调度开销 

 启发式自动内容识别

 误报较低

skipfish

 -o 跟一个目录，若无文件，就创建

 -I 'string' 只检查包含‘string’的网页

 @url.txt 扫描地址文件

 -S xxx.wl 以wl结尾的是字典文件（只读的字典）

 -W xxx.wl 把爬到的网站特有的目录保存起来

 -X 'string' 检查不包含‘string’的页面

 -K 不对指定做fuzz测试 

 -D 爬站点爬到另外一个域

 -L 每秒最大请求数

 -M 每ip最大并发数

身份认证

 -A user:pass 

 基本身份验证

 -C "name=vval"

 cookie验证

 --auth-form 表单地址 

 --auth-user-field 输入用户名的地方

 --auth-pass-field 输入密码的地方

 --auth-form-target 登录信息提交给谁处理

 --auth-user 用户名

 --auth-pass 密码

 --auth-verify-url 登录成功后的页面

vega（直译 织女星）图形化界面

该公司还开发了操作系统还有一个产品

java编写的开源web扫描器

侧重代码层面的漏洞

扫描模式

代理模式

爬站、处理表单、注入测试

支持SSL：http://vega/ca.crt

vega

 用代理 来手动爬站 被动扫描

基本配置 

  代理功能 可以再指定一个代理 可以两跳

  修改User-Agent 伪装自己

  设置vega代理抓包

避免扫描loginout页面

cookie可以抓包 可以在浏览器里找

侦查

Httrack 

把目标网站镜像复制克隆一份到本地 

减少与目标的交互

支持代理

www.hidemyass.com 找代理网站

扫描

代理截断模式 

扫描模式

Nikto

 Perl开发的开源web安全扫描器

 扫描的攻击面

  web服务器软件版本 搜索存在安全隐患的文件 服务器配置漏洞 WEB Application层面安全隐患 

 避免404误判

 很多服务器不遵守RFC标准，对于不存在的对象返回200响应码 

 依据响应文件内容判断，不同扩展名的文件404响应内容不同

 前期动作 扫描器先向服务器发随机文件加各种扩展名的请求，去除时间信息后的内容取MDS值

 -no404 不会做前期动作

 -update 升级工具数据库和插件

 -list-plugins 列出插件

 -host 指定扫描目标（url或者ip地址加端口或者主机名）-port 端口号

 -ssl 支持ssl

与nmap结合

 nmap -p80 192.168.1.0/24 -G -| nikto -host - 

 -useproxy 加一个url

 -vhost 虚拟主机，只能是域名

 -id 指定账号密码 不能支持表单

 -config 修改下nikto的配置文件

 -evasion 防IDS功能

 多种方式 可以指点多个

WEB技术发展

静态WEB

动态WEB

 应用程序

 数据库

 每个人看到的内容不同

 根据用户输入返回不同结果

WEB攻击面

 Network

 OS

 WEB Server

 App Server

 Web Application

 Database

 Browser

HTTP协议基础

明文

 无内建的机密性安全机制

 嗅探或代理截断可查看全部明文信息

 https只能提高传输层安全 只是在传输的时候安全，仍可以中间人劫持

无状态

UDP无状态 TCP有状态

HTTP协议本身没有对客户端和服务器端的跟踪机制，每一次客户端和服务器端的通信都是独立的过程

通过cookie来实现跟踪客户端会话（多步通信）

Session用于身份验证后跟踪用户

Cycle 请求/响应

一个Cyele

重要的响应header

 Set-Cookie 服务器发给客户端的SessionID

 Content-Length 响应body部分的字节长度，模糊测试，暴力破解时，可以通过这个数值，来判断返回页面，是正确还是错误

 Location 重定向到另一个页面，可识别身份认证后允许访问的页面

重要的请求Header

 Cookie 客户端发给服务器证明用户状态的信息（键值对）

 Referrer（拼写错误，标准中就错了） 发起请求之前用户位于哪个页面，服务器基于此头安全限制很容易被修改绕过

 host 主机头

状态码

 100s 服务器响应的信息，通常表示服务器还有后续处理

 200s 请求被服务器成功接受并处理后返回响应结果

 300s 重定向，通常身份认证到另外一个界面 301永久重定向 302临时重定向

 400s 客户端请求错误 401需要身份认证 403拒绝访问 404目标未发现

500s 服务器内部错误 503服务不可达 500服务器内部错误

无线技术概述

分贝dB 测量无线信号强度

B：向贝尔致敬

dB：表示两个信号之间的差异比率，用于描述设备的信号强度

dBm：功率值与1mW进行比较的dB值结果

每增加3dBm 功率增加一倍

每增加10dBm，功率增加十倍

增益值

dBi：全向天线辐射强度

dBd：定向天线辐射强度

全向天线波形图 甜甜圈

并不是更高功耗更好

增益过高会变成定向天线

虚假基站冒充官方诈骗

无线网络架构

基本无线网络架构 

Infrastructure 无限基础架构

至少包含一个AP和一个STARION，形成一个BSS

AP连接有线网络称为DS

连接到同一个DS的多个AP组成ESS

AP 维护SSID（服务集标识名，无线的名字）

AP每十秒钟通过Beacon帧广播SSID

客户端连接到无线网络后也会宣告SSID

AD-HOC

也被称为IBSS

没有AP 至少有两个STAs

也称为 peer to peer 模式

其中一个STA负责AP的工作

 通过beacon广播SSID

 对其他STAs进行身份验证

WDS

有有线DS类似，只是通过无线连接多个AP组测好姑娘的网络

 Bridge 桥接方式 只有AP彼此通信 客户端之间通信必须经过AP

 Repeating 中继方式 允许所有AP和STA进行通信 无线中继器

MONITOR MODE（牵强些）

Monitor不是一种真无线模式

 无线环境里抓包用

 允许网卡没有任何筛选的抓包（可以看到802.11包头）

 与有线网络的混杂模式可以类比

 适合的网卡和驱动不但可以monitor，也可以injection

无线网硬件设备及基本概念

物理机运行kali

虚拟机运行kali

 外置USB无线网卡，映射给虚拟机使用

 TL-WN722N（老师推荐）

ifconfig -a 显示网卡

dmesg显示硬件设备的变化

芯片是无线渗透选择网卡的关键

dmesg -T 按时间显示信息

iwconfig 查看无线网卡

选择无线网卡 

 芯片型号是成败的关键

台式机 

 usb无线网卡

 PCMCIA

 Cardbus

 Express Cards

 MiniPCI

 MinPCI Express

 PCI接口卡

发送功率：远程连接 决定能够发现的距离

接受灵敏性： 适当降低灵敏度，接受效果更佳

经验：

 Atheros或Realtek芯片

 没有神器 没有最好的 只能用着没问题

 兼容aircrack-ng suite

aircrack-ng suite写的一本书

IEEE标准 

IEEE组织

以太网

令牌环网

无线局域网

环网

IEEE802.11涉及物理层 数据链路层

小写字母的是在之前的标准上修正的

大写字母的是正式的基础的标准

无线射频信号编码

DSSS 直线扩频

FHSS 调频扩频

媒体访问方式

CSMA/CA 载波侦听多路访问冲突避免

RTC/CTS 避免冲突的  先发一个请求请求发送数据包的请求，其他的节点先暂停发包

CCK补偿代码键

使用5GHz带宽

2.4GHz带宽干扰源多（微波，蓝牙，无绳电话）

5GHz频率有更多带宽空间，可容纳更多不重叠的信道

OFDM信号调制方法（正交频分复用技术）

更高速率54Mbps 每个信道20MHz带宽

变频

5.15-5.35GHz 室内

5.7-5.8GHz 室外

应用系统的配置文件

 应用连接数据库的配置文件

 后台服务运行账号

linux

/etc/resolv.conf

/etc/passwd

/etc/shadow

whoami.who -a

ifconfig -a,i[tables -L -n,netstat -rn

uname -a.ps aux

dpkg -l|head

windows

ipconfig /all

ipconfig /displaydns 查看本地dns

netstat -bnao netstat -r

net view  net view /domain

net user /domain, net user %username% /domain 

net accounts, net share 

net localgroup administrators username /add 

net group "Domain Controllers" /domain net share name$=C:\ /unlimited 

net user username /active:yes /domain 

WMIC工具（windows上的）

可以查到很多信息

收集敏感信息

商业信息

系统信息

业务数据库

/tmp 可能存放临时数据

linux

/etc 文件下是些配置文件

,ssh .gnupg

.开头的文件一般隐藏

ls -la显示隐藏文件

windows

SAM 数据库：注册表文件

%SYSTEMROOT%\repair\SAM 

%SYSTEMROOT%\System32\config\RegBack\SAM 

业务数据库 ；

身份认证数据库 

临时文件目录 

UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

隐藏痕迹

windows

禁止在登陆界面显示新建账号 

REG ADD"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0 

删除日志

del %WINDIR%\*.log /a/s/q/f 

linux

History 

history -c 删除命令历史

lsattr 查看权限相关属相

changeattr 能让人删不了

日志 

auth.log / secure 

btmp / wtmp 

lastlog / faillog 

其他日志和 HIDS 等（入侵检测，集中的入侵记录器）

用last查看数据文件

漏洞提权

ubuntu 11.10 

CVE-2012-0056

/proc/pid/mem

kernels>=2.6.39

apt-cdrom add 添加cd到更新源

利用配置不当提权

利用服务的权限

查看启动的软件的服务的权限，如果权限大，并且可以修改，用反弹shell程序替换他

windows系统

命令行下快速发现操作系统中的不当配置

icacls工具命令查看文件权限

其他文件也可以

icacls c:\windows\*.exe /save asd perm /T

NTFS权限可以修改user信息

comview抓包工具

linux系统

ls -l 查看

find / -perm 777 -exec ls -l {} \;

一条搜索权限大的正则

利用漏洞提权

windows

Ms漏洞 Kb补丁

Ms11-080（Kb2592799）（kali里有一些利用代码，中文操作系统里提权变成拒绝服务了）

可以先再有python的环境里把py脚本变成个exe

Pyinstaller脚本 用这个脚本 带路径调用..\python 生成一个文件的可执行文件

Pywin32

MS11-046

Dos拒绝服务

微软 域 安全边界 （域控制器必须是server操作系统）（域控一般也是dns）

Ms14-068 从本地管理员权限提升到域管理员权限

TGT 域身份验证文件

windows身份认证过程

本地登陆

winlogon.exe 身份验证进程

与lsa进程（本地安全身份验证）信息交互，

把身份验证信息与数据库里的信息比对，成功匹配之后，系统分配权限令牌给用户的lass进程

从网络登陆，登陆端的LMHash NTHash函数计算

用户名不会hash加密，把请求发过去，被登陆的返回一个challenge random随机数并用这个书计算hash存到数据库，登陆端利用随机数为密钥调用两个hash api进行加密，再发过去然后就差不多了

各个安全包略有不同

pwdump从SAM数据库里提取账号密码

WCE工具（包含在kali中/usrshare/wce/，windows程序）（运行至少有管理员权限）

-l 显示已经登陆的账号

-v 查看详细内容

-r 列出当前session

-d 删除session 根据LUID

-g 计算哈希值

-w 查看内存里明文密码

-i 根据LUID修改会话

-i LUID -s 账号及hash

修改会话为某个用户

windows更改过的密码会在下一次登陆的时候记录在内存里

可以查看登陆状态的用户的账号密码的密文与密文状态

win7之前可以看

win8不好搞

如何防护WCE？

删除Digest安全包 操作系统变成单用户系统

fgdump（kali里有）下载本地的账号密码

mimikatz工具（强大工具入手，俄国人写的，windows工具，kali里有）(可以用这个工具间实现用hash值直接登陆)（实现冻结进程冻结杀毒软件）

wifi模块查看所有你链接过得密码

::查看帮助

privilege::debug 提权到debug

利用哈希值登陆

提权

抓包嗅探

windows平台

OmniPeck工具

嗅探目标系统网络，获取更多的账号密码

可以解析VoIP

xp系统 commview

SniffPass工具 专门抓账号密码

linux系统

Tcpdump

Wireshark

Dsniff只抓账号密码

键盘记录

keylogger

木马窃取 RAT远程控制

Darkcomet木马

本地缓存密码

浏览器缓存密码 从浏览器的设置里看

网络密码 访问网络共享 ftp服务器 远程桌面等 控制面板用户和组 凭据管理器

无线密码 可以在链接属性里看

www.nirsoft.com 有许多查看密码的工具，还有很多别的工具

命令行工具pwdump（kali内置了）

提取操作系统内部账号数据库的账号

操作系统验证密码，验证哈希值，本地保存哈希值

密码攻击工具ophcrak

提权 已经实现本地低权限登陆，希望获得更高权限

操作系统安全的基础 多用户操作系统 各用户权限控制严格

用户空间 内核空间相互独立，各有各的用户

用户就算没登录，服务也早登陆了

Windows系统 

 user Administrator 

 System（启动运行内核的一些操作）

二者权限不完全包括

还有很多账号

Linux系统 

 User Root

admin提权为system

windows7之前的系统

at命令（调用system账号来实现，win7以后已经弃用）

at 时间 /interactive 执行的命令

win7及win7之后的

sc命令（创建一个系统服务）

sc Create syscmd binPath="cmd /k start" type=own type=interact

syscmd服务名随便起 own用创建服务的账户运行服务 interact交互型

sc start syscmd 启动服务

微软网站的工具 Sysinternals Suite