1. How To Start A System Level Attack
2. Remote Access Attack
3. Local Access Attack
4. After Get Root Shell

1. 按照诸如bugtrap、cert(computer emergency response team)布告(www.cert.org)和厂家安全告示之类公开的弱点信息，手工映射特定的系统属性(也就是我们常说的poc分析于利用)
2. 使用张贴到各种安全邮件列表和网站上的公共漏洞发掘利用代码，或者自己编写poc代码
3. 使用自动执行的弱点扫描工具识别真正的弱点

1. 针对目标系统执行网络勘察
2. 把诸如操作系统、体系结构和正在监听中服务的特定版本等属性映射成已知的弱点和漏洞(简单来说就是明白什么样的版本和端口应该用什么poc和攻击方式去hack，这是一个经验的积累过程)
3. 差点并按照优先级排列潜在的攻击入口点

1. 远程访问
远程访问是通过网络(例如某个监听中的服务)或其他通信信道获取访问权2. 本地访问
本地访问是拥有一个真正的命令shell以登录到目标系统。本地访问攻击也称为"特权升级攻击(privilege escalation)"，即黑客门常说的"提权"

1. 从远程发掘某个监听中的服务的弱点
2. 通过poc、发包、代码层漏洞等方式获取本地低权限shell
3. 攻击者会通过这个shell尽量收集本地系统相关的各种信息，例如1) 监听端口2) 开启的服务3) 运行的软件4) 内核、patch的版本
4. 在搜集信息的基础上，通过系统级漏洞进行提权，获得本地高权限shell

1. 发掘某个监听中的服务(建立在tcp/udp之上)的漏洞2. 路由通过"在两个或多个网络之间提供安全屏障"的unix系统
攻击者可能采用"源路由伪装技术"来绕过边界防火墙将攻击数据报传入内部系统(linux系统内核默认开启ip转发的功能)，虽然"可以通过在边界上进行源路由检测(禁止边界出现内部源路由)来避免这种攻击"，但是不可否认的是，企业边界的网络路由安全是一个值得关注的话题3. 由用户发起的远程执行攻击(例如恶意网站、含有特洛伊木马的电子邮件等)4. 利用一些程序或进程的漏洞

1. sql injection
2. buffer overflow attack
3. authentication attack
4. xss attack

1. 缓存污染类型的攻击
所谓缓存污染，这是一个大的概念，包括很多我们常见的攻击方式1) 基于dns缓存污染的http劫持技术2) 基于linux x windows系统通信协议无验证漏洞的本地命令shell劫持(本质还是数据报污染)2. 反向连接、反向shell通道
通过结合远程系统的命令执行漏洞，使用反向连接、反向隧道技术获取shell。反向通道是从目标系统而不是攻击系统发起的一种机制，攻击者通常将后门通道的通信流量隐藏在正常的端口(例如80、443)通信流中

1. 远程口令字破解
受到网络、I/O、安全策略的影响，效果常常不是很好2. 本地口令字破解(又称为离线字典攻击)
攻击者必须先设法获得存放用户口令的/etc/passwd、或者/etc/shadow文件才能进行离线破解攻击

//root身份的进程
ls -s /etc/shadow /tmp/foo
//非root身份进程
cat /tmp/foo
//直接导致敏感文件被窃取

1. monitoring create symbolic links System call
2. Create temporary file with suid flag program is potentially a symbolic link attack, should be monitored for this kind of behavior

允许攻击者滥用这个时间机会窗口的弱点称为竞争状态(race condition)。如果攻击者在某个进程处于特权状态时成功达到了利用特权的目的，我们就称之为"赢取竞争(winning the race)"

/*** Parse the GET parameters.*/
foreach ($_GET as $key => $value)
{if ($key === 'src') {php0816SetSourceFile($value);}elseif ($key === 'mode') {php0816execute($value);}elseif ($key === 'hl') {php0816addHighlights($value);}
}

//1. 正常的请求(无法攻击成功)
http://www.wechall.net/challenge/php0816/code.php?src=code.php&hl[0]=function&mode=hl//2. 调整顺序，打破原始的弱检测顺序
http://www.wechall.net/challenge/php0816/code.php?mode=hl&src=code.php&hl[0]=function

1. 检查待上传文件的后缀、stream-type
2. 将文件临时保存到磁盘上(因为必须要在磁盘上的文件才能进行内容检查)
3. 对上传的文件进行内容检查
4. 如果发现可疑威胁内容则进行删除

1. 开启一个线程，不断上传webshell文件，文件内容尽量大，增加服务端的处理时间，这个webshell的代码功能是生成另一个真正的webshell
2. 开启另外一个线程，不断访问刚才上传的那个文件(试图执行)
3. 利用服务端检测和删除处理之间的时间差getshell

http://blog.csdn.net/erway/article/details/2080631
http://www.wooyun.org/bugs/wooyun-2010-048202
http://www.wooyun.org/bugs/wooyun-2014-048295

//检查生成core文件的选项是否打开:
ulimit -a//来阻止系统生成core文件:
ulimit -c 0

http://www.cnblogs.com/dongzhiquan/archive/2012/01/20/2328355.html

1. 如果攻击者能够修改某个共享函数库、或者发现某个lib库的漏洞(利用openssl漏洞)
2. 或者通过设置环境变量提供某个替补的共享函数库1) .so劫持攻击者自动编写一个和原始.so同名的共享库去替换原始的.so2) PATH劫持很多程序的命令执行是依靠linux中的环境变量PATH进行的，而且并不做任何验证，这导致黑客可以通过直接修改PATH、或者在登录时设置LD_PRELOAD从而达到环境变量劫持的目的

1. 在链接SUID属性为root的二进制文件时应该对LD_PRELOAD进行禁止或者严格检查
2. 共享函数库(/lib、/usr/lib)应该与大多数敏感文件相同级别的安全性来保护，防止攻击者随意修改这些目录中的文件

http://www.cnblogs.com/LittleHann/p/3892465.html

1. 加固的目的是为了从系统层面堵上可能存在漏洞
2. 而黑客常常关注同样的话题，它们在入侵系统后最关注的也常常是这样方面
3. 我们可以使用反向思维去思考，黑客要做的事往往是降低当前系统的加固基准的事情，而这些事情又不能简单地以0、1进行二值判断，现实情况往往是当满足一系列的行为模式的时候，这个时候才能判断当前正在发生入侵行为 

1. 网卡处于混杂模式(promiscuous mode)
2. 在短时间内产生大量log、.dump文件

1. 识别出当前服务器有哪些应用、系统服务在运行(即识别日志源)
2. 定位所有的日志源
3. 对指定日志源进行删除

http://www.cnblogs.com/LittleHann/p/3892465.html

《网络安全机密与解决方案》 黑客大曝光 5版