渗透测试getshell方法

大家好，我是主播 mk 老师，欢迎大家来听我的课程，今天带给兄弟们上卷和下卷渗透安全高级工程师学习路线。我们先看一下渗透安全高级工程师学习路线上卷 作为一个初学者，大家想要学习一门渗透安全技能，那你首先应该把开里系统搭建起来，所以我们先从开里安装开始去讲，然后呢， 配好 ip 地址配好 ip 地址以后，接下来大家需要收集一下目标了，所以我们从被动信息收集这里开始去做， 从 d s layer 资产佛法收集啊，包括灯塔，包括谷歌搜索引擎的技巧。收集完这些东西以后，刚刚的是被动的收集，那么接下来还有主动收集 d d o s 的房 与和 s 温洪水，让大家知道什么叫做 s 温洪水攻击。掌握了这些基础知识以后，目标找到了，那么接下来大家需要的是把 wearshock drama 这一块，你要主动去抓一些包，分析一下 h d d p， 分析一下 t c p 的一些数据。 然后呢， n map 扫描高级技巧，如何使用 n map 扫出来端口号，而且还要把对应的版本号也扫出来。接下来就是渗透安全里面的一个神器，叫做 matters point， 他干啥？他是进阶所有进入渗透安全领域的兄弟们必备的一个框架。 meta sporty 的里边可以干啥？比如说我们在 meta sporty 的可以拿它来做温实的渗透，红蓝对抗的时候非常好使。那么还有一个是什么呢？ matter employee 的收集，它也可以收集信息， t c p 收集信息 s n m p 收集信息 s s f t p 都可以，它也可以进行信息的收集，接下来利用 matters private 在 windows 和 linus 下进行渗透，我们拿它来生成 windows 和 linus 下的口端， 然后呢去实施一下攻击各种漏洞，比如说永恒之蓝，永恒之黑都可以，连 linu 私下也有永恒之黑漏洞，到时候也可以带着兄弟们演示一下，而且还可以实现一下文件的捆绑。 那还有接下来就是 think p h p log sd two 这些一线的漏洞，他是如何去做的？包括安卓的渗透，比如说 workhub 靶场的搭建，在渗透的过程中，是吧，大家要把这个靶场的搭建搭一下，然后呢 think p h p 这一块儿，还有 word 红文档，还有第十点 think pp log 四 g two 啊漏洞的这个使用方法，这是最新的这些漏洞， 后期呢，我们会用刀口搭建起来自己的靶场，搭完以后呢，去带着兄弟们还原一下 log 四 g 二这个漏洞，还有利用红感染 word 文档获取 gets out， 包括安卓渗透方法也可以，那我们接下来再往下看下一步的内容， matters point 还可以干啥？ matters point 还可以去隐藏一下进程，比如说永恒之恨啊， linux 无文件恶意程序的审计方法，那么对应的审计方法其实就是对应的渗透方法， 只是咱们不能写的那么明白啊。 f r p 内网穿透，从局域网干到互联网，从互联网再干到局域网里面都可以啊， 真正的高手都是用 f r p 的，而不是用路由器上的那个端口音设。接下来这些基础的操作完成以后，我们就是 p d p p e p 开发， p e p 如何去搭建环境，如何去连一些数据库常见的一些 p e p 的语法，在这里咱们也会给兄弟们安排到位， 比如说 p d p 表单提交 get 和 pose 的方法。留言版如何去实现，解析一句话 p p 木马的实现方法。 还有就是 c 口注入这一块的内容， c 口注入这一块内容是整个渗透安全课程体系里非常重要的一个模块，很多兄弟们在这里可能比较觉得比较会难， 没关系，你只要把基本的思考语句学会，学会以后呢，在这里让老师带着兄弟们把各种各样的思考诸如手段都去 实现一下，这样的话学起来就会很轻松了啊。你看 burp suit 如何进行 circle 注入，还有 circle 注入的一些防御和绕过手段，攻于防其实一直都存在啊，兄弟们， 你只有知道如何进去了，攻进去了，然后才能知道对你的防范手段。当然这里面还有一个非常重要的技术点，就是 circle map 自动化进行渗透。 在上卷的最后会给他兄弟们讲一下 hf 是蜜罐，让兄弟们知道如何进行反制和溯源。蜜罐的介绍管理蜜罐的使用，包括如何去通过蜜罐 找到黑客真正的踪迹，把证据拿到手交给帽子叔叔，让兄弟们真正体验一下抓黑客的乐趣。以下这就是渗透安全高级工程师学习路线上卷的内容。

什么是反难受？反难受就是把受害者命令行的输入输出弹到工地的这里，也就是让目标主动来联系你。反难受的使用场景通常在于无法进行正常连接的情况，比如对方在主域网内无法直接访问到他，或者由于防火墙策略，对方只能发起请求，不能接收请求等等。而针对目标不同的环境，可以进行多种类型的反难受，比如 罗列斯、卡特拍等。 qqp 检测反难受的方式也非常简单，可以排查主题上有没有可疑进程，在有规律的发起请求即可。

红包的 strike 是一款渗透测试神器，被业界人称为 cs 神器，一般用于后渗透。 css 分为客户端与五五端，可以进行分布式斜团操作。工具集成了丰富的模块生成，木板模块、钓鱼攻击模块、碳蒸模块及后渗透攻击模块。它可以生成一叉一 dl、 五 postrod 等文件类型的木马， 可以自动化挂码链接试乘自动化钓鱼文件操作提前 tl 进程出入的一系列操作。首先我们需要先输入命令运行服务端，然后再启动客户端，我们进入客户端需要输入在服务端的 ip 和服务端，设置好的密码端口的话，目的是五零零五零，点击连接可以看到我们已经成功打开了四 s。

渗透测试是一种模拟黑客攻击的方法，用于评估计算机网络系统安全的一种评估方法。该过程涉及对系统的任何弱点、 技术缺陷或漏洞的主动分析。这个分析是从一个攻击者的角度来进行模拟的。在渗透测试过程中，渗透测试人员会使用各种手段对某个特定网络进行测试，以其发现和挖掘系统中存在的漏洞，然后输出渗透测试报告。 渗透测试的主要七大意义一、识别安全问题渗透测试能够发现并识别当前系统存在的安全问题，包括各种类型的漏洞和弱点。 二、提升安全性通过渗透测试可以了解攻击者可能利用的途径和方法，及时采取措施进行修补和防范。三、 三、验证安全策略渗透测试可以验证现有的安全策略是否足够有效，以及是否存在需要改进的地方。四、建立商业案例对于希望增加预算或向高级管理层传达安全性问题的工作人员来说，渗透测试结果可以作为有利的商业案例支持。 五、满足合规要求对于需要满足某些规范和法律要求的单位来说，渗透测试可以帮助他们满足这些要求， 例如符合行业标准或者政府部门的规定。六、提供风险管理渗透测试的结果可以为风险管理提供依据，包括制定合适的安全策略，确定关键资产， 评估可能的风险等。七、有助于公正的安全性分析渗透测试可以作为公正的安全性分析的 一部分，帮助企业了解他们最需要的内部安全资源。渗透测试的八大步骤一、明确目标，确定测试的范围、限度、需求等。例如测试目标 ip、 域名、内外网、测试账户子网、旁站等。 同时确定规则，如渗透到什么程度，允许测试的时间段和周期、能否修改、上传、提全、查看数据等敏感操作等。 二、信息收集通过扫描、开放搜索，获取后台页面、未授权页面、敏感 url 等手段，获取更多关于目标的信息。 包括基础信息，如 ip 网段、域名、端口、应用信息，如各端口的应用系统信息，如操作系统和对应版本。 服务信息，如各种服务开放情况。人员信息，如域名注册人员信息、 vib 应用用户信息、管理员信息等，以及防护信息，如防护设备如防火墙等信息。 三、漏洞探测结合信息收集的信息，通过利用漏扫工具，如 offs、 apps、 can、 x、 ray、 勾 b 等进行漏洞扫描，并验证这些漏洞的有效性。 四、漏洞验证将上一部中发现的全部漏洞都验证一遍，包括利用漏洞的情况。 五、信息分析，分析前面的信息，为下一步实施渗透做准备，包括准备好上一步探测到的漏洞，利用方法寻找突破口等。六、获取所需获取内部信息，如基础设施信息、网络 架构、 vpn、 路由拓扑等、内网入侵、全线维持等信息，以及清理痕迹，如清理相关日志、操作记录等信息。七、信息整理， 整理在渗透过程中用到的代码 park x 等，同时收集在渗透过程中收集到的一切信息，包括漏洞信息等。八、行程报告按照与客户确定的范围需求，整理渗透测试结果、行程报告， 提供漏洞修复建议和解决方法等。渗透测试设计的技能主要包括，一、网络和系统知识了解并掌握常见的网络架构、 协议、操作系统以及对应的安全配置和漏洞利用技术。二、漏洞扫描和利用熟悉各种漏洞扫描工具， 如 necesse、 open、 vase、 burp suite 等，并能够利用这些工具发现目标系统存在的漏洞。同时也需要了解和掌握各种漏洞利用技术，如 s， q， l 注入， x， s， s 攻击， c， s， r， f 攻击等。 三、编程和脚本语言具备一定的编程能力，如拍散 pro 等，以便在渗透测试过程中编写和修改脚本来进行自动化测试或漏洞利用。四、加密和解密技术 了解并掌握常见的加密和解密技术，包括对称和非对称加密算法，以便在渗透测试过程中处理加密数据或进行解密操作。五、社会工程学技术了解并掌握常见的社会工程学技术，如钓鱼、攻击、假冒网、 网站等，以便在渗透测试过程中利用这些技术获取目标系统的相关信息或权限。六、安全意识具备较高的安全意识和行为准则，能够意识到渗透测试过程中可能存在的安全问题和风险，并及时采取措施进行防范和规避。 七、问题解决能力具备较强的问题解决能力，能够在遇到困难和问题时及时寻找解决方案并进行调整。

今天说一下面试渗透测试功能，是大概率会问到什么问题啊？首先是 owsp 投石，这个是肯定要知道的，然后就会问你最擅长挖掘的是哪方面的漏洞，然后就根据你的描述，然后继续下料。 嗯，然后上次面试会问那些那个，比如说那个 wsdl 的一些接口型的一些测试，嗯，还有一些叉叉 e 啊，比如说文件包含 啊，文件包含时他问了大概率会存在下面这个问题，比如说文件包含怎么给的秀呢？如果存在文件包含，怎么查看那个？比如说一个银 dxpsp 的，你怎么去查看这个银 dxpsp 的一个原码？嗯， 然后，嗯，尾协议，这个就是啊，什么情况会使用去去使用这个尾协议，然后尾协议的话，嗯，当时问的是非要和这个 p h p o 的这两个有什么区别？嗯，哦， 我问那些小课的免查方式，小课的如果问孩子身上的文件不大啊，怎么去处理？嗯，然后问那些生活注入啊，生活注入呢？肯定会问的。生活注入到旺夫的方式是有哪些？比如说那个逗号啊，按的服啊，去被过滤了去怎么处理？嗯， 还有一些文件上传，文件上传那个是 b 文的啊，且包括一些前后端教练呢，修改那个坑太婆或者一些前端的一些教练，然后三等于或者一些产后污染之类的定型绕过，包括一些文件包款的特性啊，就是这哎哎之类的。 然后就是一些嗯，流行框架的识别啊，他们有什么特征？比如说 stream 呢？看看 p 二 p 和一些发四街什么，还有一些事物之类的流行框架他们有什么特征吗？嗯，还有一些，比如说就是， 嗯，有没有关注过一些最新的漏洞啊？嗯，大概率就是说前几个月，就是前几个月或者最近爆出来的漏洞，没关注也没付现过之类的。然后就是一些叉叉 e 之类的， s s r f c s r f。 嗯，对，这边朋友问一下。然后最重点的一个就是，呃，就是每次面试都会问到的，就是你当你发现了一个登录后台啊，你会去怎么进行测试？嗯，这个每次都会问到，这个是重点。

苹果一个问题来解决，我没写文章啊，伪金泰，其实方法不是特别难，首先你自己答点一遍伪金泰，你再去对着代码去看一下，你就知道规律了 啊。我这里用 php star 来搭建一下，那么这个搭建方法的话很简单，在阿巴企业我们找到什么？呃，一个配置文件，来我这里，我这里来找一下。 来，我们看一下 阿巴奇这个目录，一个这个目第一步， 哎，不对呀，我看下， 现在找到这一行就是伪静态，阿巴奇，假设是阿巴奇啊，你把其他 它的军舰键差不多找到这一行之后，把这些前面的井号删掉，开启伪静态啊，开启伪静态。那么第二步， 那么这个的话找这个 啊，这个末了，哎，我把它 这个好像 php 四大木梁，好像那个，哎，不对， 可能你的版本不一样，有些是关，有些是不一， 这样的哈。第二个就是把这个，你看一下这个哈，是不是这种，也就是这个地方原选 o， 你看啊， 我这个地方的配置，你看对比一下，那不一定非要跟他一样哈， 它改为什么？改为这种模式？ option 带这个，再接着把这个改为 o 就行了，这个地方默认情况下应该是这样。我看了一下我这里切换的版本啊，是这个低版本， 末了好像开启了啊，改完之后这第二步就完成了，第三步的话建立一个这个文件，在网站 game 目录下面 啊，这个文件可以关闭，现在没 这个文件。怎么建立的？好多人不会建，说我 a， 我在这个地方建一个什么点这个文件啊，随便剪一个吧哈，我把它先把删掉，你看不能建这样的开头，对吧？对不对？怎么建这样的文件啊？ 你这里写完内容立成尾的时候可以减明显，明白没有？你这样的话，可以前面点再这样的文件就可以保存了，明白没有啊？对对对对对，好，我这 已经建好了，那么这里面的代码呢？我这里写了两行代码，就大概这点行 文章有哈，这里可以看一下他的建立的规则，他建的跟我稍微有一点区别。好，他建了一个这样的文件，这个文件呢？第一行注意哈，这里，这里是，从这里是注视哈，就这样。 好，引擎就是 on， 引擎为 on 就开开启状态， off 为关闭状态。那规则的话是这样写的，这里有一个规则是这样，你看它，这里有个解释哈啊， 你看它的规则哈，它的键的规则，规则的话就是的第一个，第二个点 h t m v， 对不对？他的意思是在后面就是一个这个美元符号， indias y 和 action 等于这个，那么他写了这个，那么解读一下他前面这一节。看到啊，看清楚了啊，前面这一节 是代表什么意思啊？它是对应的是这个吧， 这这这一页纸吧，这一页纸的对应的是什么？第二个，哎，你可能会在这里还看的有点蒙，我们找一个节奏比较详细一点的 啊，在这里这个解的比解释的比较详细啊，这样的一个这样的一个规则，你看啊，这样一个规则点 h t m l， 你只要你输入任何内容，它是一个 h t m l 文件 啊，把它转换，把动态的转换为静态的，现在伪静态哦，其实不是真实的静态哦，伪静态 长成啥样子啊？长这样子啊？规则，那么 s 一这个参数本来是动态的嘛，它其实对应的是这个， 明白没有？对应的是这个，那这一节所匹配的是什么？就是你这个参数等于任何东西。注意的好， 本来是我们是动态的嘛，这个 x 什么等于什么？什么后面接动态嘛，因为直接动态，我们可以加参数注入嘛，是不是这个可以理解吧？啊？没什么太多理解，那么这个地方的话，他现在用的这一节把它代替了， 代替了，那这里是什么意思嘞？就是说 s e， 就是说我们 a 到 z， 大写小写 大小写 z a z a 到 z， 那么这里什么带入到这个参数里面去，相当于这种， 那么这里第二这个第二个参数呢？是用的这个数字替换的数字替换的，那么他举了一个例子，举了一个例子，举个例子，这样的一个网址， 他现在是我们访问，如果访问到的是这个网址，那么他其实真实的这个什么动态连接地址是什么地址啊？你可以猜出来，你可以看到他这里 应该是等于什么？ action 等于什么配置吧，是不是这一节吧，现在看出来了吗？那么这个 id 这个边的呢？等于什么？应该是等于什么？十八吧，这第二对应的第二个吧， 它是这样的，也就是说你知道它这个规律之后，那么你可以构造了，来我这里构造一个好开启规则，那么我这里只有一个哈，就代表一个常数嘛， index id 等于什么？这一个变量意义啊， 那么这个时候呢？也就是说我访问这里，正常情况下 本来应该是我这样访问是不是 index id 等于三这样的一个页面，是吧？那么你最终通过它伪静态之后应该是个什么样页面啊？ 伪静态之后应该就是这样的一个页面了，现在 是不是你是可以吗？都可以吧，看没有，这就伪静态 好。当你知道这个是伪静态的时候，你要推出这个的时候，你要主要是看他的规则是怎么建的。推出他这个的时候，推出这个页面的时候，那你应该是怎么推的呢？如果你看到这个规则的情况下， 首先我们知道 index 外号 id 吧， 你随便输入一个数字，这个是随机的， 这个是变量相当于。那它是不是相等的呀？ welcome 一跟这个是不是相等的？这个违禁台等于一是不是一相等的？ 是相等的吧。哎，我应该就这样。那你知道这个之后你可以猜他大概的去猜吗？大概也就是他这个地方应该是什么什么 indis 结尾的。反正猜出他的这个规律啊，他这个定时的呀。 猜出他这个规律之后，那么你到了这里你是不是照样注入啊？该注入怎么注入，是不是？是不是该怎么注入就怎么注入了，对吧？ 是不是所以违禁他，他不是解决了真正的这个什么这个攻击的，只要我知道你的规律了，你就死了啊。 他网上的违禁台都是这么做的，他违禁台可能会一般的情况下有那么几种，一种就是我刚才所讲解的第二个可能他也建这样的编码方式的啊，也有可能还有什么这种啊，违禁台编码的，这种 都有可能的哈，主要是看他的规则怎么写的啊，是不是 现在理解了吗？有了这个实验，你先你做任何东西啊，你先搭这个环境，你研究一下，要不然的话你靠个脑子想，你永远想不明白这个鬼东西是啥东西，你也想不明白要搭个环境。哎，原来是这么简单的，是不是 伪静态哈，你看一下怎么怎么知道他是伪静态？来，我们看你，你先搭个 环境，自己看得。哎， 你看我这里有 html 文件吗？啊，这这个不是哈，删掉删掉。有吗？没有吧，你看我访问该目录， 嘿嘿，看到没有，难道这个文件在服务器上存在吗？不存在吧，是通过了我什么我在服务器上的是这个 index 点 html 的是在这里的，看到没有？ 是这个文件，结果嘞， 结果用户就是他把他把这个什么动态的一面伪伪搞一个假的伪静态了。其实伪静态这里 e d h t m 访问的其实是这个 对待服务器的是这个，明白没有啊，是这么回事的，这个叫伪静态，不是真实的静态哦，真实的静态，如果是 你这个文件 e d h t m， 那在服务器上面也是 e d h t m a 的，那是正儿八经的什么 h t m a 的文件那种，这种是什么？伪造伪的是假的是吧？这隐藏了什么？后面的参数 后面的参数。那其实呢，你想一想，他做了一层转化哈做了一层转化，那转化过他会影响整体的这个性能， 你看别人能能猜的到吗？那不一定哈，他这他这个地方可以可能会猜的到哈，大概能猜的出来哈，估算得出来 是是这么回事吧。哎，对对对对对对，这个是看你这个能力的。去去去那个的，反正方法是这个回事。哈哈哈，方法就是这么回事， 当然能看得出来，一个网站如果全部是 html 的，绝对是违禁台， 你可以找，你可以到这个查询的页面去找， 而且 我告诉你吧，有 pose 的提交的地方抓包抓包，他这里没违禁他 pose 的包他没，没法违禁他， 包括查选的地方你就可以看到大概的规律了，你就可以这样推上往前推。是不是你大概这个方法是有的，关键是看你这动脑子想要推只是花的时间长一点啊，花的时间就懒得去跟他争一天。对对对对对， 要有些地方他是没办法围进来，他一般围进来就围给手的地方，与数据库交互的地方他围不了，没法给围。 嗯，对，就接不上。对，围绕一部分，像 dj 战场一样， p v 你都要，你看有些地方都是动态的，就是动态的，你知道他这个规律的。哎，我就开始构造了。