日期 2020.3.20~4.9

安全

    RedTeam 笔记
    1. 提权笔记
    ++ 添加几个多平台提权辅助工具
    2. 后渗透笔记
    ++ 重写文件传输部分的内容

运维

    Linux
    Power-Linux
    ++ frp的搭建与使用
    ++ 补充 MySQL 的配置
    Speed-Linux
    ++ snap 的安装
    笔记
    1. 认证
    ++ 添加关于 Capabilities 的内容

还有一大堆杂七杂八的忘记记了,就一起push好了

.gitignore

@@ -8,11 +8,14 @@
 /1earn/运维/数据库
 /1earn/安全/笔记/Reverse
 /1earn/安全/实验/Misc/sqli-labs-WalkThrough.md
+/1earn/安全/实验/VulnHub/Mission-Pumpkin
 /1earn/Plan/Markdown-Plan.md
 /assets/Temp
 /assets/Temp2
 /assets/img/开发/Web
 /assets/img/开发/Java
 /assets/img/开发/golang
 /assets/img/开发/Ruby
-/assets/img/开发/Rust
+/assets/img/开发/Rust
+/assets/img/运维/数据库
+/assets/img/安全

1earn/Plan/Misc-Plan.md

@@ -205,7 +205,7 @@ npm config delete proxy  # 取消代理
 
 **配置**
 ```yml
-"editor.fontFamily": "Fira Code Retina, 'Microsoft YaHei UI', Arial Black"
+"editor.fontFamily": "Fira Code Retina, 'Microsoft YaHei UI', Arial Black",
 "editor.fontLigatures": true
 ```
 

1earn/安全/Power-PenTest.md

@@ -135,6 +135,11 @@
 ---
 
 ## 靶机
+
+**在线**
+- [OverTheWire: Wargames](https://overthewire.org/wargames/)
+- [TryHackMe | Hacking Training](https://tryhackme.com/)
+
 ### VulnHub
 
 VulnHub 是一个面向所有人开放的安全靶场，有很多安全环境，只要下载相关镜像，在相关虚拟机上面运行就可以练习相关靶场。
@@ -156,6 +161,9 @@ VulnHub 是一个面向所有人开放的安全靶场，有很多安全环境，
     - [Kioptrix3-WalkThrough](./实验/VulnHub/Kioptrix/Kioptrix3-WalkThrough.md) - 知识点: SQL 注入、ht 提权
     - [Kioptrix4-WalkThrough](./实验/VulnHub/Kioptrix/Kioptrix4-WalkThrough.md) - 知识点: SQL 注入、mysql udf 提权
     - [Kioptrix5-WalkThrough](./实验/VulnHub/Kioptrix/Kioptrix5-WalkThrough.md) - 知识点: LFI、自定义 User-agent、phptax 漏洞利用、freebsd 提权
+- Mission-Pumpkin - 难度适中,偏向于加解密比较多,漏洞利用内容较少
+    - [PumpkinGarden-WalkThrough](./实验/VulnHub/Mission-Pumpkin/PumpkinGarden-WalkThrough.md)
+    - [PumpkinRaising-WalkThrough](./实验/VulnHub/Mission-Pumpkin/PumpkinRaising-WalkThrough.md) - 知识点: 字符加解密、流量分析、GPG爆破、rbash逃逸、图片隐写
 - symfonos Serial - 稍有难度的靶场,内容丰富,难度中等,推荐有一定经验者挑战
     - [symfonos1-WalkThrough](./实验/VulnHub/symfonos/symfonos1-WalkThrough.md) - 知识点: smb 信息探测、wordpress 插件 LFI 漏洞、SMTP 日志投毒
     - [symfonos2-WalkThrough](./实验/VulnHub/symfonos/symfonos2-WalkThrough.md) - 知识点: smb 信息探测、CVE-2015-3306、CVE-2018-20434、shadow 密码爆破
@@ -214,6 +222,7 @@ VulnHub 是一个面向所有人开放的安全靶场，有很多安全环境，
 - [CPR-Zero](https://cpr-zero.checkpoint.com/)
 - [nomi-sec/PoC-in-GitHub](https://github.com/nomi-sec/PoC-in-GitHub)
 - [互联网安全漏洞库 | 指尖安全 | 垂直互联网安全媒体](https://www.secfree.com/vul.php)
+- [Vulmon - Vulnerability Intelligence Search Engine](https://vulmon.com/)
 
 ---
 
@@ -503,6 +512,9 @@ Security+ 认证是一种中立第三方认证，其发证机构为美国计算
 - https://www.phishtank.com/
 - [x0rz/phishing_catcher](https://github.com/x0rz/phishing_catcher) - 以接近实时的方式捕获可疑的钓鱼域名
 
+**office**
+- [攻防演练对抗赛之初识文件钓鱼](https://www.freebuf.com/articles/network/219999.html)
+
 **rlo**
 - [RLO文件名欺骗](https://blog.csdn.net/mgxcool/article/details/50637346)
 - [木马逆名欺骗:利用unicode控制符RLO](https://blog.csdn.net/kencaber/article/details/50649606)
@@ -632,6 +644,14 @@ Security+ 认证是一种中立第三方认证，其发证机构为美国计算
     - [Kali Linux：使用John the Ripper破解密码](http://topspeedsnail.com/John-the-Ripper-learn/)
     - [/etc/shadow文件破解，密码破解，md5，SHA256，SHA512破解](https://blog.csdn.net/NetRookieX/article/details/96431981)
 
+- 补充
+
+    跑 GPG,用 gpg2john 把它转换成 john 能理解的 hash 值再跑
+    ```bash
+    gpg2john test.gpg > hash
+    john --wordlist=wordlist.txt hash
+    ```
+
 ---
 
 ## SRC-众测收集
@@ -891,6 +911,7 @@ DNS 协议属于 OSI 第七层，DNS 劫持指控制域名解析权限，比如
 - [军备竞赛：DDoS攻击防护体系构建](https://blade.tencent.com/blog/2018/12/25/ddos-defense.1/)
 - [CPDoS: Cache Poisoned Denial of Service](https://cpdos.org/)
 - [新的DDoS攻击手法来袭：TCP反射攻击技术分析](https://www.freebuf.com/articles/database/202401.html)
+- [基于snmp的反射攻击的理论及其实现](http://drops.xmd5.com/static/drops/tips-2106.html)
 
 **工具**
 - [JuxhinDB/synner](https://github.com/JuxhinDB/synner) - 一个由 Rust 编写的 SYN flood DOS 工具

1earn/安全/实验/VulnHub/DC/DC7-WalkThrough.md

@@ -535,3 +535,7 @@ cat backups.sh
 root 上去看了下定时任务,果然啊,竟然尼玛15分钟。。。。
 
 ![image](../../../../../assets/img/安全/实验/VulnHub/DC/DC7/19.png)
+
+---
+
+另外 pgp 可以解密出来 密钥好像是 PickYourOwnPassword 根据 /var/mail/dc7user 中邮件信息可以看出来

1earn/安全/工具/metasploit笔记.md

@@ -191,13 +191,17 @@ exploit -j  # 后台执行
 ### 信息收集
 
 **截屏**
-
 ```bash
 use espia
 screenshot
 screengrab
 ```
 
+**摄像头**
+```bash
+webcam_snap -i 1 -v fales                               # 不开闪光灯拍照
+```
+
 **环境检测**
 ```bash
 run post/windows/gather/checkvm                         # 是否虚拟机

1earn/安全/工具/nmap笔记.md

@@ -143,132 +143,71 @@ nmap 默认发送一个 ARP 的 PING 数据包,来探测目标主机 1-10000 范
 ## 脚本
 ### 常见
 
-- **[smb-enum-users](https://nmap.org/nsedoc/scripts/smb-enum-users.html)** - 用于枚举SMB用户
-    ```bash
-    nmap --script smb-enum-users.nse -p 445 <target ip>
-    sudo nmap -sU -sS --script smb-enum-users.nse -p U:137,T:139 <target ip>
-    ```
+- smb
+    - 枚举 SMB 用户 : `nmap --script smb-enum-users.nse -p 445 <target ip>`
+    - 枚举 SMB 用户 : `nmap -sU -sS --script smb-enum-users.nse -p U:137,T:139 <target ip>`
 
-- 用于知道自己网站使用了哪些 http 方法
-
-    `nmap -p 80 --script http-methods <www.xxx.com>`
-
-- 寻找登录授权页面
-
-    `nmap -p 80 --script http-auth-finder <www.xxx.com>`
-
-- 启用所有和授权有关的脚本对目标主机进行探测
-
-    `nmap -p-80 --script=auth <www.xxx.com>`
+- http
+    - 用于知道自己网站使用了哪些 http 方法 : `nmap -p 80 --script http-methods <www.xxx.com>`
+    - 寻找登录授权页面 : `nmap -p 80 --script http-auth-finder <www.xxx.com>`
+    - 启用所有和授权有关的脚本对目标主机进行探测 : `nmap -p-80 --script=auth <www.xxx.com>`
 
 - rsync
-
-    爆破
-
-    `nmap -p 873 --script rsync-brute --script-args 'rsync-brute.module=www' <target ip>/24`
+    - 爆破 : `nmap -p 873 --script rsync-brute --script-args 'rsync-brute.module=www' <target ip>/24`
 
 - vnc
-
-    爆破
-
-    `nmap --script vnc-brute -p 5900 <target ip>/24`
+    - 信息探测 : `nmap -p 5901 -script vnc-info <target ip>`
+    - 爆破 : `nmap --script vnc-brute -p 5900 <target ip>/24`
 
 - SSH
-
-    爆破
-
-    `nmap -p22 --script ssh-brute <target ip>`
+    - 爆破 : `nmap -p22 --script ssh-brute <target ip>`
 
 - telnet
-
-    爆破
-
-    `nmap -p 23 --script telnet-brute --script-args userdb=myusers.lst,passdb=mypwds.lst,telnet-brute.timeout=8s -v <target ip>/24`
+    - 爆破 : `nmap -p 23 --script telnet-brute --script-args userdb=myusers.lst,passdb=mypwds.lst,telnet-brute.timeout=8s -v <target ip>/24`
 
 - ldap
-
-    爆破
-
-    `nmap -p 389 --script ldap-brute --script-args ldap.base='cn=users,dc=cqure,dc=net' <target ip>/24`
+    - 爆破 : `nmap -p 389 --script ldap-brute --script-args ldap.base='cn=users,dc=cqure,dc=net' <target ip>/24`
 
 - FTP
-
-    `nmap -p21 --script ftp-syst <target ip>`
-
-    爆破
-
-    `nmap -p21 <target ip> --script ftp-brute --script-args userdb=/root/user.txt,passdb=/root/pass.txt`
+    - 信息探测 : `nmap -p21 --script ftp-syst <target ip>`
+    - 爆破 : `nmap -p21 <target ip> --script ftp-brute --script-args userdb=/root/user.txt,passdb=/root/pass.txt`
 
 - SNMP
+    - 查找 snmp 弱口令 : `nmap –sU –p161 –script=snmp-brute <target ip>`
+    - 获取网络端口状态 : `nmap -sU -p161 --script=snmp-netstat <target ip>`
+    - 获取系统信息 : `nmap –sU –p161 –script=snmp-sysdescr <target ip>`
+    - 获取用户信息 : `nmap -sU -p161 --script=snmp-win32-user <target ip>`
 
-    ```bash
-    nmap –sU –p161 –script=snmp-brute <target ip>   # 查找 snmp 弱口令
-    nmap -sU -p161 --script=snmp-netstat <target ip>    # 获取网络端口状态
-    nmap –sU –p161 –script=snmp-sysdescr <target ip>    # 获取系统信息
-    nmap -sU -p161 --script=snmp-win32-user <target ip> # 获取用户信息
-    ```
-
-- SMTP 枚举用户名
-
-    `nmap -p 25 --script smtp-enum-users.nse <target ip>`
+- SMTP
+    - 枚举用户名 : `nmap -p 25 --script smtp-enum-users.nse <target ip>`
 
 - 截图
     - [Nmap-Tools/NSE/http-screenshot.nse](https://github.com/SpiderLabs/Nmap-Tools/blob/master/NSE/http-screenshot.nse)
 
-- dns 域传送
-
-    `nmap -p 53 --script dns-zone-transfer.nse -v <target ip>`
+- dns
+    - 域传送 : `nmap -p 53 --script dns-zone-transfer.nse -v <target ip>`
 
 ### 数据库
 
 - MySQL
-
-    `nmap -p3306 --script mysql-enum <target ip>`
-
-    mysql 扫描 root 空密码
-
-    `nmap -p 3306 --script mysql-empty-password.nse -v <target ip>`
-
-    mysql root 弱口令简单爆破
-
-    `nmap -p 3306 --script mysql-brute.nse -v <target ip>`
+    - 信息收集 : `nmap -p3306 --script mysql-enum <target ip>`
+    - mysql 扫描 root 空密码 : `nmap -p 3306 --script mysql-empty-password.nse -v <target ip>`
+    - mysql root 弱口令简单爆破 : `nmap -p 3306 --script mysql-brute.nse -v <target ip>`
 
 - mssql
-
-    扫描 sa 空密码
-
-    `nmap -p 1433 --script ms-sql-empty-password.nse -v <target ip>/24`
-
-    sa 弱口令爆破
-
-    `nmap -p 1433 --script ms-sql-brute.nse -v <target ip>/24`
-
-    利用 xp_cmdshell,远程执行系统命令
-
-    `nmap -p 1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd=net user test test add <target ip>/24`
+    - 扫描 sa 空密码 : `nmap -p 1433 --script ms-sql-empty-password.nse -v <target ip>/24`
+    - sa 弱口令爆破 : `nmap -p 1433 --script ms-sql-brute.nse -v <target ip>/24`
+    - 利用 xp_cmdshell,远程执行系统命令 : `nmap -p 1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd=net user test test add <target ip>/24`
 
 - postgresql
-
-    爆破
-
-    `nmap -p 5432 --script pgsql-brute -v <target ip>/24`
+    - 爆破 : `nmap -p 5432 --script pgsql-brute -v <target ip>/24`
 
 - oracle
-
-    爆破
-
-    `nmap --script oracle-brute-stealth -p 1521 --script-args oracle-brute-stealth.sid=ORCL  -v <target ip>/24`
-
-    `nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL -v <target ip>/24`
+    - 爆破 : `nmap --script oracle-brute-stealth -p 1521 --script-args oracle-brute-stealth.sid=ORCL  -v <target ip>/24`
+    - 爆破 : `nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL -v <target ip>/24`
 
 - mongdb
-
-    爆破
-
-    `nmap -p 27017  --script mongodb-brute <target ip>/24`
+    - 爆破 : `nmap -p 27017  --script mongodb-brute <target ip>/24`
 
 - redis
-
-    爆破
-
-    `nmap -p 6379 --script redis-brute.nse <target ip>/24`
+    - 爆破 : `nmap -p 6379 --script redis-brute.nse <target ip>/24`

1earn/安全/工具/sqlmap笔记.md

@@ -26,8 +26,11 @@ sqlmap -u URL --cookie="xxxxx"                          # 带 cookie 注入
 sqlmap -u URL --batch                                   # 不要请求用户输入,使用默认行为
 sqlmap -r aaa.txt                                       # post 型注入
 
+sqlmap -u URL --flush-session                           # 清除缓存
+
 sqlmap -u URL --os "Windows"                            # 指定操作系统
 sqlmap -u URL --dbms mysql --level 3                    # 指定数据库类型为 mysql,级别为 3(共 5 级,级别越高,检测越全面)
+sqlmap -u URL --dbms Microsoft SQL Server
 sqlmap -u URL --dbms mysql --risk 3                     # 指定执行测试的风险(1-3, 默认 1) 1会测试大部分的测试语句,2会增加基于事件的测试语句,3会增加 OR 语句的 SQL 注入测试
 sqlmap -u URL --dbms mysql --prefix "%df%27" --technique U -v 3                 # 宽字节检测
 sqlmap -u URL --proxy "socks5://127.0.0.1:1080"         # 代理注入测试

1earn/安全/笔记/BlueTeam/取证笔记.md

@@ -93,6 +93,7 @@
 - [obsidianforensics/hindsight](https://github.com/obsidianforensics/hindsight) - chrome历史访问记录取证工具(真是不给人留条活路)
 - [x899/chrome_password_grabber](https://github.com/x899/chrome_password_grabber) - 从 Chrome 获取未加密的“保存的密码”
 - [m0rv4i/SharpCookieMonster](https://github.com/m0rv4i/SharpCookieMonster) - 从 Chrome 中提取 cookie
+- [djhohnstein/SharpChromium](https://github.com/djhohnstein/SharpChromium) - 用于从 Chromium 系列浏览器中获取 Cookie、访问历史、网站登录凭据等敏感信息的工具
 
 ---
 
@@ -104,9 +105,25 @@
 
 ## 中间件配置
 
+**临时目录**
+
+- IIS
+    - IIS 临时压缩文件 : C:\inetpub\temp\IIS Temporary Compressed Files\WEBUI\$^_gzip_D^\WEB\WEBUI\UPLOAD
+
+- Linux
+    - `/tmp`
+
 **IIS**
 
-`C:\Windows\System32\inetsrv\config`
+- `C:\Windows\System32\inetsrv\config`
+
+**NGINX**
+
+- 目录 : `/etc/nginx/conf.d/`
+
+**httpd**
+
+- 目录 : `/etc/httpd/conf/`
 
 ## 中间件服务器程序日志
 
@@ -227,6 +244,11 @@ WebLogic 8.x版本:
 - 二进制日志：记录修改数据或有可能引起数据改变的 mysql 语句，log_bin，默认在数据目录，如 mysql-bin.000001
 - `ErrorLog` : 记录 Mysql 运行过程中的 Error、Warning、Note 等信息，系统出错或者某条记录出问题可以查看 Error 日志；
 - `GenaralQuery Log` ：记录 mysql 的日常日志，包括查询、修改、更新等的每条 sql；
+    ```sql
+    show variables like '%general%';        -- 查看log配置信息
+    SET GLOBAL general_log = 'On';          -- 开启日志
+    SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';  -- 指定日志文件路径
+    ```
 - `Binary Log` ：二进制日志，包含一些事件，这些事件描述了数据库的改动，如建表、数据改动等，主要用于备份恢复、回滚操作等；
 - `Slow QueryLog*` ：记录 Mysql 慢查询的日志；
 - mysql 相关命令
@@ -242,6 +264,14 @@ WebLogic 8.x版本:
     show processlist;
     ```
 - 更多 mysql 日志类型可参考 https://www.jianshu.com/p/db19a1d384bc
+- 有哪些IP在爆破？
+    ```bash
+    grep  "Access denied" mysql.log |cut -d "'" -f4|uniq -c|sort -nr
+    ```
+- 爆破用户名字典都有哪些？
+    ```bash
+    grep  "Access denied" mysql.log |cut -d "'" -f2|uniq -c|sort -nr
+    ```
 
 ## mssql
 
@@ -253,6 +283,8 @@ SQL Server 日志记录了完整的 SQL Server 数据库运行的状态信息，
 
 SQL Server Management Studio 连接 sqlserver 数据库，查看与常规 SQL Server 活动相关的日志。
 
+登录到 SQL Server Management Studio，依次点击 管理--SQL Server 日志
+
 - exec xp_readerrorlog
 - object Explorer-Management-SQL Server logs-view-logs
 - SQL Server 2008： R2\MSSQL10_50.MSSQLSERVER\MSSQL\Log\ERRORLOG
@@ -263,6 +295,11 @@ SQL Server Management Studio 连接 sqlserver 数据库，查看与常规 SQL Se
 - 历史 sql 记录查询：SQLServer 并没有这样的实现，只有 `sys.dm_exec_query_stats` 缓存了一部分 (sql server 服务开启后执行的语句，某些不被缓存执行计划的语句并不记录)。
 - Sqlserver 开启日志审计功能可参考 https://blog.51cto.com/gaowenlong/1908381
 
+- xp_cmdshell在mssql2005之后的版本中是默认禁止的，查看xp_cmdshell是否被启用。
+    ```
+    Exec master.dbo.xp_cmdshell 'whoami'
+    ```
+
 ## Oracle
 
 **Oracle 日志**

1earn/安全/笔记/BlueTeam/应急笔记.md

@@ -179,6 +179,7 @@
 
 **文章**
 - [关于黑产暗链的分析与看法](https://mp.weixin.qq.com/s/wAGd3Wu5QoqjYFhh2WdAHw)
+- [【黑帽SEO系列】网页劫持 ](https://thief.one/2016/10/12/%E9%BB%91%E5%B8%BDSEO%E4%B9%8B%E7%BD%91%E9%A1%B5%E5%8A%AB%E6%8C%81/)
 
 ### webshell后门
 

1earn/安全/笔记/BlueTeam/监察笔记.md

@@ -37,7 +37,7 @@
     - 安装过程可以参考 [clamav](../../../运维/Linux/Power-Linux.md#clamav)
 - [360](https://sd.360.cn/) - 略
 - [腾讯电脑管家国际版](https://www.pcmgr-global.com/) - 国际版杀毒能力强于国内版,略
-- [火绒](https://www.huorong.cn/) - 杀毒能力有限,好感不能影响我判断实际杀毒能力
+- [火绒](https://www.huorong.cn/) - 杀毒能力有限
 - [智量](https://www.wisevector.com/) - 误报率较高,实际使用中其实影响不大,推荐
 - [卡巴斯基](https://www.kaspersky.com.cn/) - 略