攻击设想：基于校园网web的完整渗透测试
攻击步骤：
方案一：
1. 隐藏IP
2. 踩点扫描
3. 获得系统或管理员权限
4. 种植后门
5. 事了拂衣去（清理痕迹并隐身）

方案二：
1. 检测网站安全性
2. 使用注入工具破解管理员用户、密码
3. 使用工具破解MD5密码
4. 找寻登录网站管理后台
5. 拿到网站webshell
6. 拿到服务器权限

方案一：
STEP1: 隐藏IP
通常有两种方法实现IP的隐藏，第一种方法是首先入互联网上任意一台计算机机（在这里俗称肉鸡），利用这台计算机在进行攻击，这样即使被发现了，也是这台计算机的IP地址；第二种方法是做多级跳板“Sock代理”，这样在入侵的计算机上留下是代理计算机的IP地址，比如攻击A国的网站的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理“，这样的跨国度的攻击一般难以侦破！
首先说说隐藏真实IP的方法，最简单的方法就是使用代理服务器。与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后远端服务器包括其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。而且，这样还有一个好处，那就是如果有许多用户共用一个代理器时，当有人访问过某一站点后，所访问的内容便会保存在代理服务器的硬盘上，如果再有人访问该站点，这些内容便会直接从代理服务器中获取，而不必再次连接远端服务器，因此可以节约带宽，提高访问速度。
 建议最好用免费代理服务器，寻找免费代理服务器的方法有很多，你可以试试用ProxyHunter（代理猎手），它能自动为您搜索出多个免费代理服务器，并验证各个服务器的连接速度，从而让你选择最佳途径。更重要的是，代理服务器不仅支持浏览软件，而且支持电子邮件、FTP、下载、离线浏览等功能软件，可谓无所不在。不过这种方法比较费时、费事，建议不到万不得以时还是不用为好。最好的方法是使用现成的免费代理服务器，现在网上有不少网站定期提最新的免费代理服务器，找到免费代理服务器后，就可以使用它了。以IE浏览器为例，运行IE，点击“工具”→“Interner选项”，在弹出的“Interner选项”对话框中选择“连接”标签，再点击“设置”按钮，在弹出的对话框中把“对此连接使用代理服务器”前面的框勾选上，然后在“地址”和“端口”栏中填入你找到的代理服务器IP和所用端口即可。
同时在“高级”设置中你还可以对不同的服务器，例如HTTP、FTP设定不同的代理服务器地址和端口。这样一来，当你再访问那些网页时，页面上显示的就不再是你的真实IP了。
不过，并不是所有的代理都不将你的真正的IP向目标地址上发送，假如你使用A4proxy之类的程序检测一些代理，发现http-ip-forward是存在的话，那证明该代理会把你的真正IP向目标地址发去，如果在一些聊天室中使用，会被高级别的人看到真正的IP。
另外，在代理中有HTTP和SOCKS代理之分，在SOCKS代理中又SOCKS4和SOCKS5代理之分，SOCKS4和SOCKS5不同之处在于SOCKS5支持UDP这种协议，但SOCKS4是不支持的，所以在QQ上不可以使用SOCKS4代理，因为QQ使用的是UDP协议，但在ICQ上就可以使用SOCKS4或SOCKS5代理。
隐藏IP的另外一个方法是利用受控于你的电脑上的木马（也就是利用肉鸡），该电脑可以自由访问网络且不限于和你在一起（比方说单位或学校的电脑）。一些国外的木马如Sub7，具有“端口转向”功能，假设你想看xxx.com这个网站的内容，而这个网站会记录访问者的IP，那么你可以这样做：假设受控电脑上有木马Sub7服务端程序在运行，请在自己的电脑上运行Sub7客户端，连接上那台电脑，使用端口转向的功能，在那台电脑上打开一个90端口，设定凡是从这个端口进去的数据都会转向到xxx.com 这个网站的80端口去（80端口是默认的www服务端口）。假设那个感染了Sub7的电脑的IP是使用ping命令指令验证与对方计算机的连通性，使用的方法是“ping对方计算机名或者IP地址”。通过“对方计算机名或者IP地址
-T“命令持续不断地测试与对方计算机的连通性，通常来测试网络，使用参数”
-a“通过Ip地址可以解析出对方的计算机名

STEP2: 踩点扫描
踩点就是通过各种途径对所要攻击的目标尽可能的了解，常见的踩点方法包括：在域名及注册机构的查询，公司性质的了解，对主页进行分析，邮件地址的收集和目标IP地址范围的查询。踩点的目的就是探索对方的各个方面的情况，确定攻击的时机，摸清对方最薄弱的环节和守卫最松散的时刻，为下一步入侵提供良好的策略。系统用户扫描可以使用工具软件GETNTUSERR，该工具可以在windows系列操作系统上使用，主要功能如下：
（1）扫描出主机上存在的用户名。
（2）自动检测空密码和与用户名相同的密码。
（3）可以使用指定密码字典猜测密码。
（4）可以使用指定字符来穷举猜测密码。

对IP为172.18.25.109的计算机进行扫描，首先将该机算计添加到扫描列表中，选择菜单“Flie“下的菜单项”添加主机“，在弹出的ADD HOST对话框中输入目标计算机的IP地址。
得到对方的用户列表，单机工具栏上得图标，得到用户列表。利用该工具可以对计算机上的用户进行密码破解，首先设置密码字典，然后用密码字典里的每一个密码对目标主机进行测试，如果用户的密码在密码字典里可以得到该密码。在密码字典中Administrator的密码，是123456，这样就得到了系统的权限，这种方法的缺点是，如果对方用户密码设置比较长而且怪，就很难猜测成功，猜测需要根据字典中的密码项，字典在此充当了一个重要的角色，优点是系统的一些弱口令，比如空密码等，都可以扫描出来。
STEP3: 获得系统或管理员权限
以WindowsXP为例，其凭借极高的安全性和稳定性，赢得了广大用户的青睐。我们可以通过建立个人账户、设定密码来保护自己的个人隐私，还可以用Administrators(超级管理员)的身份任意设置账户，为每一个账户设置不同的权限，可以说拥有至高无上的权利，也拥有系统的“生杀大权”，享有系统最高级别的安全保障。
但是，如果我告诉你，我能不费吹灰之力就可以将你这个Administrators给废掉，取而代之的是我成为Administrators，你信不信?呵呵，你不信?
好，我们来试一试:  
步骤一
 重新启动计算机，在出现启动菜单时按F8键进入高级选项菜单，选择“安全模式”进入系统;  
步骤二
打开“控制面板”，找到“用户和密码”选项，看看是不是账户中包括Administrators?好，现在将Administrators账户删除，重新创建一个Administrators，或是更改原来的Administrators账户密码;  
步骤三
 重新启动计算机后，只有输入新的密码才能登录Windows XP。  
为什么会出现这种问题呢?原因很简单:WindowsXP真正的超级管理员账号应该是在安全模式下的Administrators，并不是在正常模式下的Administrators。
在默认情况下，安全模式下的Administrators密码为空。无论用户在正常模式下将Administrators密码设置得多么复杂，安全性多高，如果没有设置安全模式下的Administrators密码，你的电脑将毫无秘密可言。 现在，你是不是对Windows XP的安全性有些担忧了?那怎么办?这还不简单:赶紧进入安全模式，设置Administrators密码，将自己提升为真正Administrators!   
启用内置管理员帐户以管理员身份登录
管理员是可以对计算机进行将影响该计算机其他用户的更改的人。管理员可以更改安全设置，安装软件和硬件，访问计算机上的所有文件，以及对其他用户帐户进行更改。
若要以管理员身份登录，您需要在计算机上拥有帐户类型为“管理员”的用户帐户。如果您不确定在计算机上拥有的帐户是否为管理员帐户，则可以通过执行以下操作在登录后检查帐户类型：应遵循的步骤也会有所不同，取决于计算机是否位于域或工作组中。

我的计算机在域中
1.请在“欢迎使用”屏幕中键入帐户的用户名和密码。
2.单击“开始”→“控制面板”→“用户帐户”→“管理 用户帐户”，打开“用户帐户”。如果系统提示您输入管理员密码或进行确认，请键入该密码或提供确认。将突出显示您的用户名，而您的帐户类型将显示在“组”列中。当前登录的用户和用户的帐户类型。

我的计算机在工作组中
 1.请在“欢迎使用”屏幕中键入帐户的用户名和密码。
2.通过单击“开始”→“控制面板”→“用户帐户和家庭安全设置”→“用户帐户”→“管理其他帐户”，打开“用户帐户”。如果系统提示您输入管理员密码或进行确认，请键入该密码或提供确认。您的帐户类型将显示在您的用户名下。
当前登录的用户和用户的帐户类型：
如果帐户类型是“管理员”，则表示当前您是以管理员的身份登录的。如果您的帐户类型不是“管理员”，除非您知道计算机上其他管理员帐户的用户名和密码，否则您将无法以管理员身份登录。如果您不是管理员，可以请求管理员更改您的帐户类型。这样，对于经常运行的程序，即可不必总是选择“以管理员身份运行”，要自动运行时也可不必处理用户帐户控制提示。首先应了解，在内置管理员帐户下运行时计算机会面临风险。默认情况下，此帐户处于禁用状态，这是为了防御恶意软件，从而提升计算机的安全性。如果仅希望避免用户帐户控制提示，则只需转至操作中心，单击“更改用户帐户控制设置”更改此设置即可。
如果仍然希望启用内置管理员帐户，请执行下列步骤：
1.单击「开始」→ cmd →右键单击“以管理员身份运行”。
2.在命令提示符下，键入 net user administrator /active:yes，然后按Enter。
3.键入 net user administrator <Password>，然后按 Enter。
注意：请用要为管理员帐户设置的密码替换<Password> 标记。键入 exit，然后按 Enter。从当前用户帐户注销。
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分(注意，不是从物理上划分)成一个个网段，从而实现虚拟工作组的数据交换技术。可以根据具体业务需要，采用VLAN技术，将位于不同地理位置的相应的服务器、用户和其它网络对象进行分组，并设定相应的安全和访问权限，然后由计算机根据自动配置形成相应的虚拟网络工作组，这样不仅能够大大提高网络的数据传输能力，增加系统的安全性，而且易于管理，充分发挥出交换网络的优势，体现出交换网络高速、灵活、易于管理的特性。例如，将局域网划分为网和内网两个部分，外网主要用于我们为读者提供网络服务，内网主要用于内部管理服务。

STEP4: 种植后门
从早期的计算机入侵者开始，他们就努力发展能使自己重返被入侵系统的技术或后门。本文将讨论许多常见的后门及其检测方法，更多的焦点放在Unix系统的后门，同时讨论一些未来将会出现的WindowsNT的后门。本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识，当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后, 将更主动于预防第一次入侵。本文试图涉及大量流行的初级和高级入侵者制作后门的手法，但不会也不可能覆盖到所有可能的方法。
大多数入侵者的后门实现以下二到三个目的：
即使管理员通过改变所有密码类似的方法来提高安全性，仍然能再次侵入，使再次侵入被发现的可能性减至最低。大多数后门设法躲过日志，大多数情况下即使入侵者正在使用系统也无法显示他已在线。一些情况下，如果入侵者认为管理员可能会检测到已经安装的后门，他们以系统的脆弱性作为唯一的后门，重而反复攻破机器，这也不会引起管理员的注意。所以在这样的情况下，一台机器的脆弱性是它唯一未被注意的后门。密码破解后门这是入侵者使用的最早也是最老的方法，它不仅可以获得对Unix机器的访问，而且可以通过破解密码制造后门，这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号，因而管理员很难确定查封哪个号。Rhosts + + 后门在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入，入侵者只要向可以访问的某用户的rhosts文件中输入"+ +"， 就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时, 入侵者更热中于此。这些帐号也成了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力。许多管理员经常检"++"，所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。

STEP5：在网络中隐身
Windows下的日志信息可以在“控制面板”->“管理工具”->“事件查看器”当中找到，所示为事件查看器中的应用程序日志，如图所示为事件查看器中的安全日志。 
这三种日志文件的存放位置分别如下：
 1. 安全日志文件默认位置：
%systemroot%\system32\config\SecEvent.EVT
 2. 系统日志文件默认位置：
%systemroot%\system32\config\SysEvent.EVT
 3. 应用程序日志文件：
%systemroot%\system32\config\AppEvent.EVT 

在局域网中隐身
方法一：
打开本地连接属性(“控制面板→网络连接”)，在“常规”选项卡中选中“Microsoft网络的文件和打印机共享”，单击“卸载”按钮，在弹出的对话框中单击“确定”即可禁止"Microsoft网络的文件和打印机共享”，从而将这台计算机的资源“隐藏”起来。

方法二：打开注册表编辑器
(“开始→运行→Regedit”)，找到或新建“HKEY_LOCAl_MACHINE\\system\\CunentControlSet\\Services\\LanmanServer\\Parameters”分支，在右窗格中将“Hidden“”(REG_DWORD型)的值改为1(0为不隐藏)，完成后退出注册表编辑器，重新启动计算机即可。

方法三：打开“开始”菜单中的“运行”对话框，在“打开”中输入“gpedit.msc”命令，启动组策略编辑器，依次单击“计算机配置→Windows设置→本地策略→用户权利指派”，在右侧窗口中找到“拒绝从网络访问这台计算机”双击，单击“添加用户或组”，在弹出对话框中单击“高级”，用“立即查找”功能选择确定阻止哪些用户通过网络访问计算机，在win2000/XP系统中有效。

方法四：在命令提示符下输入net  config  server  /hidden:yes 这个命令就可以类似于QQ的隐身登录功能。

取消隐身：net  config  server  /hidden:no

方案二：
STEP1:检测网站安全性
1.1我们浏览网站`http://192.168.1.3页面，寻找漏洞时，一般情况下会通过扫描软件进行扫描，在这里，我们就不演示扫描过程了，我们直接找到个链接来测试，打开【http://192.168.1.3/see.asp?ID=461&titleID=86】这个链接，在后面随便添加个「'」号，发现页面报错。

1.2如上图所知，我们输入’后，直接提示数据库错误界面，第一反映是该网站存在注入漏洞，我们用语句来确认该网站是否存在注入，我们输入`http://192.168.1.3/see.asp?ID=461&titleID=86and 1=1`。

1.3我们在网站中输入`http://192.168.1.3/see.asp?ID=461&titleID=86and 1=2，`返回错误界面，一般来讲，当我们再网站尾部输入and 1=1和and=2 返回页面不同的情况下，且出现数据库报错的话，我们通常认为，该站点必存在SQL注入漏洞。

 
STEP2:使用注入工具破解管理员用户、密码 
2.1在c:/tools/web完整渗透测试实验/啊D注入工具文件夹下，打开啊D注入工具。

2.2把存在注入点的url复制到啊D注入工具中，选择左侧的SQL注入检测。

 
2.3我们点击『开始检测』，如果该网站存在注入，工具的下方会提示我们，并且提示我们该网站的数据库类型。

 
2.4我们选择『检测表段』，就是探测数据库的所有表段名称。

 
2.4我们选择『admin』段，然后开始选择『检测字段』，这里我们选择admin表段的原因在于基本上所有的管理员用户名和密码存放在admin表段。

 
2.5我们选择password和admin，然后选择『检测内容』，破解对方的用户名和密码。

 
2.6至此我们已经破解出来网站的管理员用户名和密码 

STEP3:使用工具破解md5密码 

3.1我们得到的管理员密码是通过MD5值加密的，我们可以通过本地的MD5破解软件进行破解，打开C:\tools\web完整渗透\md5破解文件夹，打开md5crack.exe,这个md5crack就是通过字典的形式来破解md5值，所以具有一定的运气性，当然你的字典强大，跑成功密码的概率就高。

 
3.2我们在软件里面输入我们得到的md5值，软件会自动为我们破解出明文密码，这里能破解成功依赖于我们不错的密码字典，不是所有复杂的密码都能够被破解，如果有网络环境的同学，再实地测试时，可以通过访问`http://www.cmd5.com来进行对md5值的破解`。

 
3.3至此，我们得到网站管理密码的明文，明文为123456.。

STEP4:找寻登录网站管理后台。 

4.1我们拿到了管理员的明文用户名和密码，现在需要我们来进入后台了，一般情况下，网站的后台都是`xx.com/admin/或者是xx.com/system等，一般情况下，我们可以通过扫描软件来探测网站管理后台，我们打开C:\tools\web完整渗透\御剑后扫描文件夹，打开御剑后台扫描工具.exe`。

 
4.2我们打开后，把我们需要探测的网站放进工具中，点击『开始扫描』。

4.3我们通过扫描可以基本判定：`http://192.168.1.3/admin/login.asp,我们打开该后台。

 
4.4 我们输入已经破解出来的管理员用户名：linhai 密码:123456，成功登录后台。

 
STEP5:拿到网站webshell 
5.1我们既然已经进入了管理后台，那为了保持网站权限的持久性，我们需要拿到webshell,一般在后台拿shell的方法很多，具体的需要看网站后台的具体情况，就我们的站看，我们先打开『文章管理』，打开图片上传。

 
5.2我们上传asp木马看看，木马在C:\tools\web完整渗透\木马文件夹中，我们直接上传该木马。

5.3我们把我们的木马更改下后缀名，原来的木马名称是mm.aspx,我们改为mm.jpg，然后上传，发现可以上传成功。

5.4我们上传成功后，右键照片属性，看下它上传的位置，记录下来。

 
5.5我们上传成功后，因为上传的图片，不能解析成木马脚本，正好我们的这个网站有备份数据库功能，我们可以通过备份数据的方式，重新命名脚本文件，使其能够作为木马脚本被执行，我们打开网站左侧的『数据管理』操作项，选择『备份/恢复数据库』。

5.6在备份数据库中，数据库路径后面，填上我们刚才上传图片的地址，例：刚刚我获得的图片http://192.168.1.3/admin/Upfiles/201612798623.jpg`. 那我们在数据库路径后面填写『../admin/Upfiles/201612798623.jpg』.再备份的数据库路径后面我们填写『../db/1.aspx』.这样做的目的是把我们上传的jPG后缀的木马，重新备份成aspx文件，使我们的木马能够正常运行。

 
5.7我们点击备份后，我们访问`http://192.168.1.3/db/1.aspx就是我们的木马地址了，木马的密码是77169,至此，我们就拿到了这个网站的webshell.。

STEP6:拿到服务器权限 
6.1进入webshell后，因为我们需要执行dos命令来添加管理员，所以点击webshell上端的『命令行』按钮，进入执行命令模式。

6.2我们尝试执行whoami命令，查看下我们是什么权限。

 
6.3我们发现当我们执行whoami时，回显的是network service 权限，同学们应该清楚，在此权限下，是不能直接添加管理员账户的，我们添加账户是，回显是空白，证明无法添加用户。

6.4单击”端口扫面”,>”扫描”按钮，发现目标系统开放着43958端口，即server-u服务。 

 
6.5单击“SU提取”，在cmdshell中输入命令“net user aaa 123456 /add”,然后单击“执行”按钮。

 
6.6在cmdshell输入命令“net localgroup administrators aaa /add”,然后单击“执行”按钮。

 
6.7  在cmdshell输入命令“net user”, ,然后单击“执行”按钮，查看用户aaa添加成功。

6.8在cmdshell输入命令“net user aaa”, ,然后单击“执行”按钮，查看用户aaa属于administrators用户组。

 
6.9单击“开始”->”运行”->”mstsc”->“192.168.1.3”,输入帐号“aaa”和密码“123456”->单击登陆“按钮”即可。

来源：黑客技术与网络安全联盟