1. nmap搜c段

2. 弱密码

3. ftp（21）弱密码及2.3.4版漏洞

4. appche2.2.8版（80）的php_cgi参数注入漏洞

5. mount挂载（111&&2049） 实现ssh密钥登录
本地创建靶机同uid账号 useradd -u 2008 -d /home/vulnix -m vulnix 后切换以欺骗文件读取操作权限

6. samba（139）使用usermap id比whoami 好用

7. Rlogin（513）use 免密登录 rlogin -l root ip

8. java-rmi(1099) use java_rmi distcc

9. bindshell(1524) 免密码 nc ip 1524

10. mysql(3306) 空口令

11. postgres 弱口令（5432）

12. vnc 弱口令（5900）

13. irc（6667）use ircd

14. ajp13（8009）匿名访问

15. tomcat（8180）弱口令 tomcat/tomcat

1. 找到回显位置

2. 爆库

通过SQL注入拿到管理员密码

1.目标URL： http://59.63.200.79:8003/?id=1 第一步判断是否存在SQL注入漏洞。 构造 ?id=1 and 1=1 ，回车 这里 %20 代表空格的意思。 页面正常，继续构造 ?id=1 and 1=2 页面不正常，则可以推断该页面存在SQL注入漏洞。 第二步判断字段数 构造?id=1 and 1=1 order by 1 ，回车 页面正常 ， 继续构造 ?id=1 and 1=1 order by 2 ，回车 页面正常， 继续构造 ?id=1 and 1=1 order by 3 ，回车 返回的页面不正常，判断出字段数应该是2。 第三步 判断回显位置 构造 ?id=1 and 1=2

https://www.cnblogs.com/shenggang/p/12144945.html

1. 查看原码

2. 发现奇怪的js
http://5ebb02d9b65e4b9db888a327e72d68abf416a3bb9a8844e0.changame.ichunqiu.com/js/[abcmlyx]{2}ctf[0-9]{3}.js

3. 是个正则的表达式，使用burp suite 爆破

4. 抓包 intruder

5. 注意选择攻击类型为clusterbomb

6. 依次修改变量$1$等

7. 开始攻击

由于网站后台在进行数据库查询的时候没有对单引号进行过滤，当输入用户名【admin】和万能密码【2'or'1】时，执行的SQL语句为【Select user_id,user_type,email From users Where user_id='admin' And password='2'or'1'】。同时，由于SQL语句中逻辑运算符具有优先级，【=】优先于【and】，【and】优先于【or】，且适用传递性。因此，此SQL语句在后台解析时，分成两句【Select user_id,user_type,email From users Where user_id='admin' And password='2'】和【'1'】，两句bool值进行逻辑or运算，恒为TRUE。SQL语句的查询结果为TRUE，就意味着认证成功，也可以登录到系统中