#探測靶機IP

---查看Kail本機IP：192.168.180.133

---探測同網(wǎng)段的主機：-sn:使用Ping進行Scan,但是不進行端口掃描；-sP:和sn一樣，并且將掃描的詳細結(jié)果打印出來（sP能夠掃描IP地址對應(yīng)的域名，更詳細）

---第一個是網(wǎng)關(guān)，第二個是Kail主機，靶機IP：192.168.180.135

---進行端口、操作系統(tǒng)掃描

---： -p-掃描全端口；-O掃描操作系統(tǒng);-sS采用介于隱蔽性和準(zhǔn)確性之間的半開放掃描

---：開放的Linux遠程連接的SSH端口；Web的http端口；以及不知名的1898端口（大概率是Web）

---思路1：根據(jù)80端口和1898端口Web，進行信息收集，獲取SSH的用戶名和密碼，然后利用Hydra進行爆破

---思路2：獲取Web的版本信息，識別CMS的漏洞（分為普通用戶和管理員用戶），獲取WebShell

---80端口頁面顯示:It's easy,Fidumaegud!(這很容易，菲杜馬古德！),最后是一個人名

---查看源代碼也是一模一樣，沒有搜集到有用的信息

---WhatWeb進行信息收集報錯：可能是80端口就是一個靜態(tài)網(wǎng)頁

---查看：http://192.168.180.135:1898/

---WhatWeb收集網(wǎng)站的信息,比下面的Wappalyzer信息更完善，但是可視化不行

---當(dāng)然采用Wappalyzer也可以識別：Drupal7的CMS，PHP語言5.5.9，OS為:Ubuntu4..24

---RSS：是一種同步網(wǎng)站內(nèi)容的格式，是使用最廣泛的XML應(yīng)用。發(fā)布一個RSS文件后，RSS Feed中的信息（標(biāo)準(zhǔn)的XML格式）被其他站點調(diào)用

---點擊：蘭皮昂，塞爾唐的英雄還是惡棍？的標(biāo)題，里面是講述了蘭皮昂的一生經(jīng)歷

---注意URL:http://192.168.180.135:1898/?q=node/2，可以測試q=node/3、4、6等

---根據(jù)URL進行測試，發(fā)現(xiàn)加入'沒有報錯，可能需要SQLmap一把梭測試下

---利用XSS測試下，192.168.180.135:1898/?q=node/2<SCRIPT>alert(1)</SCRIPT>

---發(fā)現(xiàn)這里顯示的是經(jīng)過URL編碼之后的內(nèi)容，但是并沒有彈出XSS（XSS不能提取，很多知識點我都忘了，所以就先跳過）

---在q=node/2的頁面存在一個語言文件和圖片文件的提示，但是直接點擊訪問不了

---通過訪問http://192.168.180.135:1898/audio.m4a，獲取一段語音內(nèi)容：user:tiago

---同理，訪問http://192.168.180.135:1898/qrc.png，獲取到一個二維碼，掃描二維碼出現(xiàn)一段文字：Try harder! muahuahua（更努力）

---同樣在q=node/3發(fā)現(xiàn)一段語音（只存在3頁，q=node/4報錯），打開是一段無關(guān)的音樂

---總結(jié)：這個階段我們發(fā)現(xiàn)了一個用戶名：tiago，但是需要我們爆破密碼

---這個用戶名可能是網(wǎng)站登陸的用戶名，也可能是22端口的SSH服務(wù)的用戶名

---如果是爆破網(wǎng)站密碼，沒有驗證碼的話可以使用BrupSuite進行爆破，存在驗證碼可以通過機器學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)進行驗證碼識別，然后進行抓包爆破

---如果是SSH服務(wù)，則通過Hydra進行服務(wù)爆破(視頻里面先爆破)

#網(wǎng)站的后臺掃描,掃描網(wǎng)站的文件目錄、敏感文件

---如果是Windows攻擊機，可以用御劍進行爆破，御劍的字典更完善，但不能改變數(shù)據(jù)包頭部

---也可以用鑄劍進行掃描，

---在Kail里面，可以使用Dirb進行爆破，DirBuster支持全部的Web目錄掃描方式。它既支持網(wǎng)頁爬蟲方式掃描，也支持基于字典暴力掃描，還支持純暴力掃描

---dirb的命令參數(shù)

---查看dirb的字典，在/usr/share/wordlists/dirb/common.txt

---:big.txt大字典；small.txt小字典；catala.txt項目配置字典；euskera.txt數(shù)據(jù)目錄字典；indexes.txt首頁字典;mutations_common.txt備份擴展名;spanish.txt方法或庫目錄；

---others：網(wǎng)站的擴展目錄、默認(rèn)用戶名，密碼等

---stress:網(wǎng)站的壓力測試

---vulns:網(wǎng)站的漏洞測試（驗證POC）

---上一節(jié)知識點：爆破POP3協(xié)議的Hydra采用的是

/usr/share/wordlists/fasttrack.txt（它包含了許多常見的用戶名和密碼組合，以及一些常用的短語和字符串）

#總結(jié)：Kali Linux自帶了一些密碼字典文件，通常存儲在/usr/share/wordlists/目錄下，下面是幾個常用的字典：

---rockyou.txt：這是一個非常著名的密碼字典文件，包含了數(shù)百萬個常用密碼和短語。這些密碼和短語是基于從各種數(shù)據(jù)泄露和密碼破解工具中獲取的數(shù)據(jù)生成的（kail這里沒有解壓縮）

---dirb/common.txt：用于Web目錄枚舉的字典。它包含了一些常見的目錄和文件名，用于在滲透測試中查找隱藏的目錄和文件。通過將這個字典與目錄掃描工具（如DirBuster、Dirsearch等）結(jié)合使用

---wfuzz/wordlist/fuzzdb.txt（WebFuzz）：用于Web滲透,包含了許多常見的注入、路徑遍歷、文件上傳等漏洞的測試字符串。該字典與模糊測試工具（如wfuzz、Burp Suite等）結(jié)合，可以嘗試各種攻擊載荷以測試Web應(yīng)用程序的安全性

---dir的用法

---采用默認(rèn)字典/usr/share/dirb/wordlists/common.txt，爆破靶場的Web目錄

---爆破了目錄文件，以及存在的如index.php文件、robots.txt文件

---加上-w，在原有的目錄下面進行二級爆破；可以使用-o輸入到文本文件

---一般使用一級爆破就可以了

---訪問網(wǎng)站的robots.txt文件：它告訴搜索引擎抓取工具禁止或允許抓取網(wǎng)站的哪些內(nèi)容。主流搜索引擎（如百度、Google）都能夠識別并尊重 Robots.txt的要求

---robots.txt泄露了文件路徑以及存在的文件名稱，最重要的幾個txt文件,不允許的才重要

---查看changelog.txt，可以看出網(wǎng)站的更新日志：Drupal 7.54

---通過searchsploit尋找Drupal 7.54的漏洞，存在多個遠程代碼執(zhí)行（發(fā)現(xiàn)這里既可以輸入CMS名稱和版本，也可以先在谷歌的exploit-db查找漏洞編號）

#自定義爆破的密碼字典：cewl：通過爬行網(wǎng)站獲取關(guān)鍵信息創(chuàng)建一個密碼字典

---Cewl采用Ruby開發(fā)，可以給他的爬蟲指定URL地址和爬取深度，還可以添加外部鏈接，Cewl會返回一個字典文件、

---使用舉例

---將網(wǎng)站的關(guān)鍵信息進行自動分詞，然后存儲到字典里面

---通過hydra爆破SSH(secret file transfer protocol, Secure FTP)，采用cewl爬取的字典：

---用戶名：tiago,密碼：Virgulino（這個好像只能爬取指定的頁面，對于整個網(wǎng)站，需要多次爬?。?br>

---登陸ssh,輸入完后先會提示確認(rèn)key密鑰驗證信息是否一致

---SHA256:加密算法服務(wù)器的驗證指紋：用來驗證是否是連接的服務(wù)器主機

---ssh服務(wù)端（靶機），sshd_config:是ssh服務(wù)端配置文件，ssh_config:是客戶端配置文件

---首次ssh連接服務(wù)端，服務(wù)端（靶機）就會記錄連接的IP地址以及公鑰信息，存放在known_hosts文件里面，后續(xù)再次連接就不需要檢查指紋信息了

---博客上說known_hosts在~/.ssh/known_hosts；但是我沒有找到

---ssh的連接記錄在/var/log/auth.log（是一個隱藏文件，需要ls -a查看）

---并且發(fā)現(xiàn)OS版本：Linux 4.4.0

#先不按照視頻的思路，按照上一節(jié)的思路，谷歌搜索: Linux lampiao 4.4.0 exploit

---搜索exploit-db的漏洞編號

---將exp復(fù)制到當(dāng)前目錄，并用Python3在當(dāng)前目錄開啟HTTP服務(wù)（-m是module（模塊）的意思）

---靶機下載exp，然后編譯，這里發(fā)現(xiàn)少了頭文件（這里<>符號是編譯器自帶的頭文件）

---可能的解決：下載bpf.h文件，然后移動到/usr/include/linux目錄下

---當(dāng)然，也說明當(dāng)前的exp不適合當(dāng)前的Linux內(nèi)核（uname -r查看Linux內(nèi)核版本）


#在GitHub上下載：linux-exploit-suggester:

wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh

---網(wǎng)上的修改/etc/hosts的DNS緩存路由的方法行不通，還是得按視頻里面方法掛代理

---我在Windows本機的代理服務(wù)器走的是1080端口

---注意：在NAT模式下，主機的IP是192.168.180.1（網(wǎng)關(guān)）,我用netcat進行聊天測試

------之所以主機IP是網(wǎng)關(guān)，是因為虛擬機的的網(wǎng)絡(luò)數(shù)據(jù)，先發(fā)給宿主機，然后再添加數(shù)據(jù)頭，發(fā)給路由器

---設(shè)置代理：vi /etc/proxychains4.conf

---嘗試通過代理連接（我這里失敗了，估計是Windows主機的V2不支持遠程連接）：

proxychains wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh

---訪問訪問 https://ipaddress.com/ ，在下方搜索框里輸入 raw.githubusercontent.com和github.com 回車,會發(fā)現(xiàn)下載地址的DNS域名解析的IP地址

---gedit /etc/hosts打開本地DNS緩存，將github和github下載資源域名的IP地址寫上

---注意：測試了一下，只有111.133這個IP可以使用

---修改DNS配置文件：gedit /etc/resolv.conf

---這兩個是Google提供的的免費的DNS服務(wù)器，198.168.180.2是虛擬機的DNS服務(wù)器

---下載成功

---通過ssh進行文件傳輸（我是用的finalshell進行上傳）

---finalshell下載：http://www.hostbuf.com/t/988.html

---然后通過Windows直接下載linux-exploit-suggester到桌面，然后通過FinalShell上傳到靶機

---也可以通過python -m http.server 8081進行傳輸

---執(zhí)行l(wèi)inux-exploit-suggester（掃描當(dāng)前內(nèi)核是否存在漏洞可以提權(quán)，這個腳本一安上去就報毒，需要進行免殺才行）

---首先是對內(nèi)核版本、架構(gòu)、發(fā)行版本、附加檢查情況、程序包監(jiān)聽等OS基本情況進行探測

---其次對內(nèi)核漏洞（內(nèi)核漏洞進行提權(quán)）和用戶空間漏洞進行計數(shù)

---最后給出可能漏洞：漏洞細節(jié)、漏洞可能性、漏洞的要求、exp的下載地址、漏洞利用注釋

---提權(quán)的思路：從highly probable到less probable依次試一下,

---也可以從sudo提權(quán)，但是這里的sudo提權(quán)版本是1.8.9

---而可以利用的sudo提取，是1.8.2-1.8.3;以及1.9.0-1.9.5

---[CVE-2017-16995] eBPF_verifier和[CVE-2017-1000112] NETIF_F_UFO的測試會導(dǎo)致機器的直接崩潰

---能直接用的是臟牛提權(quán)：這里download url和ext-url都可以使用

---Linux內(nèi)核的子系統(tǒng)在處理寫入時復(fù)制至產(chǎn)生了競爭條件 惡意用戶可以利用此漏洞來獲得高權(quán)限 對只讀內(nèi)存映射進行訪問并且在提權(quán)的時候 殺毒軟件并不會檢測到

---查找對應(yīng)的exp,這里的40611/40839/40847的exp猜測應(yīng)該都可以使用

---40847.cpp對應(yīng)的exploit

---編譯：-Wall 一般使用該選項，允許發(fā)出GCC能夠提供的所有有用的警告

---：-pedantic 允許發(fā)出ANSI/ISOC標(biāo)準(zhǔn)所列出的所有警告

---：-O2編譯器的優(yōu)化選項的4個級別，-O0表示沒有優(yōu)化,-O1為缺省值，-O3優(yōu)化級別最高

---：-std=c++11就是用按C++2011標(biāo)準(zhǔn)來編譯的

---：-pthread 在Linux中要用到多線程時，需要鏈接pthread庫

---：-o dcow gcc生成的目標(biāo)文件,名字為dcow

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

---將exp復(fù)制到桌面：cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /home/huangbo

---kail開啟http服務(wù)：?python -m http.server 8081

---靶機在/tmp目錄下載：

#編譯的過程

---步驟一：預(yù)處理（預(yù)編譯）：編譯處理宏定義等宏命令———生成后綴為“.i”的文件
---步驟二：編譯：將預(yù)處理后的文件轉(zhuǎn)換成匯編語言———生成后綴為“.s”的文件
---步驟三：匯編：由匯編生成的文件翻譯為二進制目標(biāo)文件———生成后綴為“.o”的文件
---步驟四：連接：多個目標(biāo)文件（二進制）結(jié)合庫函數(shù)等綜合成的能直接獨立執(zhí)行的執(zhí)行文件———生成后綴為“.out”的文件

---g++編譯的四個步驟

---GCC和G++的區(qū)別（一個是編譯C語言，一個是編譯C++語言）

---gcc無法進行庫文件的連接；而g++則能完整編譯出可執(zhí)行文件，在編譯c++代碼時，g++會調(diào)用gcc，所以兩者是等價的，但是因為gcc命令不能自動和C++程序使用的庫鏈接，所以通常用g++來完成鏈接，為了統(tǒng)一起見，干脆編譯/鏈接都用g++

---gcc在編譯.c文件時，可使用預(yù)定義宏是比較少的，g++在編譯c文件和cpp文件時（這時候gcc和g++調(diào)用的都是cpp文件的編譯器），會加入一些額外的宏

---gcc常用的參數(shù)（g++的參數(shù)是一樣的）

---編譯exp:g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

---執(zhí)行編譯后的exp，獲取到root的密碼:?dirtyCowFun

---根據(jù)密碼提示登陸root用戶，在root目錄下獲取flag的密碼

#之前在robots.txt文件中的Disallow目錄中，獲取到changelog.txt（更新日志）的CMS版本信息：Drupal 7.54

---谷歌搜索（exploit-db也可以）CMS的exp:drupal 7.54 exploit，發(fā)現(xiàn)遠程命令執(zhí)行漏洞

--這個exp給出了使用分為三步:
---1.使用SQL注入獲取當(dāng)前端點的緩存內(nèi)容以及管理員憑據(jù)和哈希
---2.更改緩存以允許我們寫入文件并執(zhí)行此操作（通過數(shù)據(jù)庫寫入文件）
---3.恢復(fù)緩存（數(shù)據(jù)庫數(shù)據(jù)）

---可以根據(jù)上面exp在exploit-db的編號，也可以直接搜索CMS的版本

---都可以發(fā)現(xiàn)exp,下載下來是rb格式（ruby語言的文件），或者是txt\php格式

---AWVS的下載安裝：https://blog.csdn.net/qq_55213436/article/details/126751047（安裝）

---下載：https://blog.csdn.net/m0_37157335/article/details/124090300

---我的AWVS在Windows上安裝老是報錯數(shù)據(jù)庫錯誤，就在Kail上安裝了

---同時給出了漏洞描述和下載

#Xray、AWVS和BrupSuite為什么要進行聯(lián)動？

---如果想要單個界面逐個測試,同時驗證漏洞是否可執(zhí)行,那么就需要 BS作為中間人,把數(shù)據(jù)傳到 Xray , 我們就可以根據(jù) Xray 給的漏洞提示,結(jié)合 BS 進行漏洞可行性測試（而且更安全）

---如果想利用社區(qū)版Xray進行爬蟲爆破子域名或者各種文件后綴,這些功能得付費才能使用， AWVS 的爬蟲功能又很厲害，可以利用代理將 WEB 從 AWVS 過一遍, 再從 Xray 過一遍

#總結(jié)：

---AWVS爬蟲功能很厲害，但是他的EXP對于web的傷害比較大，而且國內(nèi)網(wǎng)站的exp可能收集的比較少；

---Xray對于Web漏洞挖掘比較好，但是爬蟲功能要收費；要么使用BrupSuite進行單個URL的漏洞掃描，要么使用AWVS的爬蟲進行批量URL漏洞掃描

---Xray下載：https://download.xray.cool/xray/1.9.6

---證書安裝：它是Xray的授權(quán)許可證，它并不是使用Xray的必要條件，但是如果要我們要用Xray的服務(wù)端模式接入Xray的API，就需要再Xray的客戶端和服務(wù)器之間建立安全連接

---在到xray的安裝目錄中打開該證書，并導(dǎo)入到我們的受信任的根證書頒發(fā)機構(gòu)中去

---例如：下面這個命令是對指定的 URL 進行 Web 漏洞掃描，并使用基礎(chǔ)爬蟲組件發(fā)現(xiàn)其它鏈接和目錄信息，并將掃描結(jié)果保存為 HTML 格式輸出到名為 day1.html 的文件中---：webscan 它表示Web漏洞掃描任務(wù)
---：—basic-crawler ：他是Xary的基礎(chǔ)爬蟲，用于發(fā)現(xiàn)網(wǎng)站中的鏈接和目錄信息
---：http://192.168.30.16：它是目標(biāo)網(wǎng)站
---：–HTML-output： 指定掃描結(jié)果保存為html格式的day1.html文件（無參數(shù)：輸出到控制臺的標(biāo)準(zhǔn)輸出；---text-output：輸出到文本文件中
---json-output：輸出到 JSON 文件中；---proxy ：使用代理服務(wù)器的套接字

---對靶機的指定URL進行爬蟲，并且進行Web漏洞掃描，并且輸出到HTML文件

---掃描效果如下：這里（紫色部分）：已加載814個poc（調(diào)試級別將顯示更多詳細信息）
---由于未配置反向服務(wù)器，這些插件將被禁用，請查看參考以修復(fù)此錯誤。參考編號：https://docs.xray.cool/#/configration/reverse，插件如下：

---紅色部分才是爬取URL的漏洞，注意查看漏洞類型

---但是在漏洞類型里面沒有看到視頻里面的遠程命令執(zhí)行（視頻是用的AWVS爬?。?/p>

---Xray常用的命令如下：

---在AWVS的目標(biāo)里面新建目標(biāo)

---寫入靶機的URL，建立掃描目標(biāo)

---在http設(shè)置代理，更改完成后點擊save（先不要點擊掃描，xray還沒開)，業(yè)務(wù)關(guān)鍵性選嚴(yán)重

---這里還可以設(shè)置爬蟲的User-Agent,Cookie,Referer，延遲時間等等

---開啟Xray的被動掃描模式，監(jiān)聽本地1111端口（注意是--listen兩個-）

---Xray加載模塊，報告部分模塊由于沒有配置不能加載，然后再監(jiān)聽1111端口

---在AWVS點擊掃描，然后將配置文件設(shè)置為僅使用爬蟲

---等到AWVS掃描結(jié)束

---在Xray的目錄發(fā)現(xiàn)awvs.html文件，打開http服務(wù)（直接FinalShell下載也可以）

---返回在Window主機瀏覽器查看(Xray自帶的爬蟲掃了18個，AWVS+Xray掃了48個還不錯)

---但是沒有看到視頻里面的CVE的遠程代碼執(zhí)行漏洞，我也沒辦法了

---我個人覺得AWVS比Xray更好用，但是聽說AWVS漏洞掃描會插入很多臟數(shù)據(jù),而且Xray的漏洞更加可靠

---當(dāng)然，除了AWVS的爬蟲之外，還可以使用瀏覽器的代理，將Xray設(shè)置成代理

---然后手動點擊瀏覽器的頁面，Xray監(jiān)聽端口，進而進行被動掃描

---使用BrupSuite的插件Passive Scan Client相當(dāng)于復(fù)制了一份數(shù)據(jù)，將正常訪問網(wǎng)站的流量與提交給被動掃描器的流量分開，互不影響

---Passive Scan Client下載：https://github.com/c0ny1/passive-scan-client/releases

---打開kali-burpsuite導(dǎo)入passive-scan-client.0.1.jar：

---這樣就導(dǎo)入成功，多出一個模塊欄：Passive Scan Client

----這里有個前提，Xray的ca證書已經(jīng)導(dǎo)入了，但是burpsuite的ca證書沒導(dǎo)入，這里需要導(dǎo)入下不然HTTPS流量bp無法抓取：

---訪問：http://127.0.0.1:8080/下載證書并且安裝

------在配置BrupSuite的時候，先設(shè)置瀏覽器的端口是8081

---然后將BrupSuite設(shè)置為瀏覽器的代理

----然后將關(guān)閉intercept is off,這樣服務(wù)器發(fā)送給瀏覽器的數(shù)據(jù)包，就先發(fā)送給BrupSuite

----同樣，瀏覽器的響應(yīng)，先發(fā)給BrupSuite，再給服務(wù)器

---如果手動抓包修改，就打開intercept,發(fā)送給repeater

------如果不使用Passive Scan Client，就可以用在User Options設(shè)置反向代理

---但是用Passive Scan Client插件更安全吧，建議用插件

---開始設(shè)置Passive Scan Client：我們在利用burpsuite抓包分析頁面的時候，所有的數(shù)據(jù)都會通過Passive Scan Client插件轉(zhuǎn)發(fā)到設(shè)置的本地7777端口上，也就是xray上

---然后xray會自動挖掘所有轉(zhuǎn)發(fā)過來的流量信息并查找到漏洞記錄在html文件中，這里還可以限定轉(zhuǎn)發(fā)出去的數(shù)據(jù)包類型等等

---在瀏覽就盡可能的點擊網(wǎng)站，發(fā)現(xiàn)比爬蟲的網(wǎng)頁更少，也沒有發(fā)現(xiàn)命令執(zhí)行

---這種方式適合高手，采用手工和機器掃描結(jié)合的方式

---直接網(wǎng)上搜索漏洞CVE-2018-7600：https://github.com/dreadlocked/Drupalgeddon2

---Drupal 7.54滿足<7.58的約束，使用方法：ruby drupalgeddon2.rb https://example.com

---下載exp到Kail,采用git clone

---直接運行會報錯，這里說不能加載依賴項

---輸入?gem install highline再次運行exp

---在ruby中,gem管理ruby庫和程序包,可以使用gem來查找、安裝、更新和卸載ruby庫和程序

---這里拿到的是普通權(quán)限的webshell,這是拿webShell的第二種方法

---這里還是要通過Linux-exploit-suggester來進行提權(quán)

#采用MSF來進行拿Webshell,搜索CMS的exp(這里的思路是要按個試一次才行)

---這里需要靶機的IP，端口、URL

---輸入靶機IP和端口，不需要輸入URL

---使用Pty將這個偽shell變成穩(wěn)定的shell

python -c 'import pty; pty.spawn("/bin/bash")'

---接下來就是提權(quán)，需要將linux-exploit-suggester.sh上傳到靶機

---之前可以通過python -m http.server來傳輸

---但是也可以通過MSF的upload功能來進行傳輸

---exit第一次退出pty，第二次退出shell,然后使用uplod命令：

upload /本機文件地址 /靶機地址

#知識點總結(jié)：

---1.nmap收集同網(wǎng)段主機信息、操作系統(tǒng)信息、端口版本信息

---2.WhatWeb、Wappalyzer收集網(wǎng)站：中間件信息、JavaScript框架、編程語言、CMS信息

---3.御劍、鑄劍、dirb等采用字典爆破網(wǎng)站的目錄結(jié)構(gòu)、配置文件等

---4.robots.txt文件的敏感信息閱讀（Disallow），CHANGELOG.txt的版本信息獲取CMS（也可以通過頁腳、ico文件、查看前端源碼等方法獲取CMS信息）

---5.Cewl爬取網(wǎng)站，切分Web關(guān)鍵詞，組成爆破密碼本字典

---7.Hydra利用字典爆破SSH服務(wù)，獲取普通用戶權(quán)限

---8.uname -a查看Linux版本，谷歌手動搜索相關(guān)內(nèi)核的exploit

---9.采用linux-exploit-suggester.sh進行漏洞信息查看，進而提權(quán)

---10.修改DNS域名解析記錄和DNS配置（服務(wù)器IP）訪問Github

---11.臟牛（dirtycow）提權(quán)和sudo提權(quán)

---12.gcc編譯器和g++編譯器的區(qū)別，以及編譯的四個過程：1.預(yù)處理（解析宏）2.編譯（轉(zhuǎn)化為匯編）3.匯編（匯編語言轉(zhuǎn)化為二進制機器語言）4.連接（加載其它函數(shù)的二進制語言）

---13.根據(jù)CMS編號，通過searchsploit搜索：CMS+版本號；MSF搜索CMS

---14.AWVS+Xray進行爬蟲主動掃描（效率高），BrupSuite+Passive Scan Client+Xray進行被動掃描（手工測試和掃描器結(jié)合），

---15.MSF通過CMS拿Webshell,upload上傳文件，通過pty獲取穩(wěn)定shell