网络防御与工具

网站常见攻击方式

黑链、网站根目录、网站挂马、蠕虫病毒

DNS劫持、数据库植入、DDos攻击、非法桥页

黑链

​ 网站看着正常，网页中出现了一些链接（在html中为一些标签）

​ 特点: 隐藏，字体大小为零，极限偏移

​ 目的: 非法植入链接，获取流量，黑产业链，私服，挖矿

​

​ 挖矿：解密数字货币，每个币种的加密方式不一样，显卡/CPU

​ 服务器中毒/挖矿中毒/CPU 100% 门罗币XMR/门罗经典

​ 服务器/PC/手机都会挖矿病毒

​ 矿池（服务器）国外或国内 域名 IP地址 处理：防火封杀IP地址

网站根目录

​ 网站的根目录中出现大量的植入网页，通常是一些流量网站，访客人数比较大

​ 网页维护不到位，被遗弃的网站，没有运维的网站

​ 上传下载漏洞，比如zip压缩炸弹，用几KB的zip，解压几TB的内容，使服务器爆满

​ 目录内容通暴增，一般通过一些递归操作

​ 收录内容非网站本身，一些广告内容，为了获取流量

网站挂马

​ 通过各种方式获得权限后，直接挂马

​ 私服 网页 在线登入等会被挂马，获取用户信息，通过注册可以收集一定的信息(姓名/邮箱/密码/生日)，通过姓名、生日、密码破解邮箱，可以进一步获取信息

​ JS脚本 盗号、钓鱼、键盘记录，挖矿，XSS 利用系统漏洞获取系统权限，

​ 虚拟货币交易所 盗号、钓鱼、键盘记录，挖矿，XSS 利用系统漏洞获取系统权限

​ 下载/电影类网站 下载文件中携带木马

​ ISO镜像/番茄花园 在镜像文件中携带木马

被植入蠕虫病毒

​ 打开异常缓慢，比如说下载第三方网站的一些自动化运维工具

​ 后台监控，CPU 占用率高/挖矿/蠕虫/fork炸弹/深层递归/进程

​ 定时任务，周期性的调用某个脚本(shell python)/Gitlab Redis

​ 挖矿脚本，高流量的网站用户中毒/自动化工具/内部人员作案

​ 网站漏洞，肉鸡，复制传播为DDos做准备

域名DNS劫持

​ 打开自己的网站跳转到别的网站，自己服务器和网站都没问题，Ping自己 的服务器返回不是网站IP

网站和服务器密码被篡改

​ ssh服务，22端口，ssh暴力破解

​ 远程连接，3389端口，windows远程连接

​ 通过漏洞，SMB永恒之蓝 ，对windouw,对linux

网站的数据库被植入内容

​ ssh服务，22端口，ssh暴力破解

​ 远程连接，3389端口，windows远程连接

​ 通过漏洞，SMB永恒之蓝 ，对windouw,对linux

​ 数据库，3306端口，远程登入

​ SQL注入，

​ 勒索病毒，数据库锁库锁表，勒索

DDos攻击

​ 网站网页打不开，游戏公司，恶性竞争等，

非法桥页

​ 网站打开后，跳转到指定页面，网页中植入非法跳转JS代码

​ Nginx Apache IIS Tomcat 301重定向

hackthebox

关于hackthebox上起点0的总结 ICMP Nmap ftp redis smb telnet 等

ICMP

使用ping工具检测目标存活情况

ping {ip}

nmap端口扫描

-sV 扫描服务版本

-p 指定端口

-sC 默认副本扫描

nmap -sV -p 1-65535 -sC {ip}

telnet

Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

在kali中使用以下代码连接：

telnet {ip}

连接后需要登入

我们可以猜测用户名，进行暴力破解：

​ 一般用户名：admin\administrator\root

​ 密码可以先尝试空白登入

smbclient

SMB(全称是Server Message Block)，被用于Web连接和客户端与服务器之间的信息沟通

一般运行服务于445号端口，用于在计算机间共享文件、打印机、串口等

SMB工作过程：版本协商 会话请求凭据 文件路径凭据 对共享资源进行操作

使用工具 smbclient,尝试连接到远程主机并检查是否需要任何身份验证。如果不指定特定的用户名，就将使用攻击机的用户名登入。

首先查看用户列表

smbclient -L {ip}

ADMIN$：administrative share 是由 Windows NT 系列创建的隐藏网络共享，允许系统管理员远程访问
网络连接系统。这些共享可能不会被永久删除，但可能会被禁用

C$：共享c盘内容，这是对系统进行操作的位置

IPC$：进程间通信共享。用于管理进程，并且不是文件系统的一部分

WorkShares：访客

其中带$符号标识的都拥有管理员权限

尝试登入

smbclient \\\\ip\\{sharename}

redis-cli

redis（Remote Dictionary Server )，即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

像 Redis 这样的内存数据库通常用于缓存经常请求快速的数据检索。对于具有大量流量的站点，此配置允许更快地检索，大多数请求，同时在主数据库中仍具有稳定的长期存储

使用工具 redis-cli

连接代码：

redis-cli -h {ip}

info 查看详细

info keyspace 可以查看key空间 每一个数据库中的keys数量会显示出来

select 选择数据库

keys * 列出所有key

ftp

ftp有三种用户：real、guest、anonymous

real :指在FTP服务上拥有帐号,当这类用户登录FTP服务器的时候，其默认的主目录就是其帐号命名的目录。但是，其还可以变更到其他目录中去.

guest:只能够访问自己的主目录

anonymous:匿名访问。这类用户是指在FTP服务器中没有指定帐户，但是其仍然可以进行匿名访问某些公开的资源。

ftp {ip}
Name(): 用户