我的博客經常被師傅們用各種掃描器掃，每天都想盡辦法來釣我魚。雖然這是一種示好方式，但是久了，老是不給回禮就顯得不禮貌了。所以我就稍微改造了一下博客。
這篇文章將會是一個系列，會告訴大家我是怎么和師傅們斗智斗勇（互相傷害）的。
首先，在滲透的時候，第一步大家基本都是開各種掃描器收集一波信息，在國內用的最多最平常的掃描器應該是AWVS系列。
這篇文章是教大家如何利用AWVS的特性，拿到對方內網的脆弱設備SHELL，給入侵我們的黑客一個驚喜。
流程

首先，我們先搭建一個實驗環境。
分部為攻擊機A，只需要安裝有AWVS即可。
其次是內網的脆弱設備，基本路由器都是脆弱設備，所以拿自己家的路由器就可以了。
最后一個博客的demo，我會只給demo的代碼，具體利用代碼因為不可描述的原因不提供，但是我相信你們能寫出來的。
解答部分疑問
如何區分是真人還是awvs在掃描你的網站？難道要專門搭建一個蜜罐然后各種算法來區分機器和人？
當然不用這么復雜。AWVS在掃描目標網站的時候，首先會爬取目標網站的所有鏈接，包括被注釋掉的瀏覽器不顯示的鏈接。
我們可以利用這一點，來區分是真人訪問還是瀏覽器掃描。
畢竟真人是看不見被注釋掉的鏈接的。
我瀏覽網站有F12的習慣。
首先，鏈接我不會放在博客的首頁，是一大堆文章里面某個不起眼的文章里面。除非你看完我每一篇文章且都拿F12慢慢找。就算你毅力非凡閑的無聊找到了被注釋的鏈接，點進去，也只覺得是一個普通的坑人的鏈接，相信我，我在我的博客上用這招拿了不少師傅的路由器shell，至今沒被發現。也只有敬業的掃描器會全部頁面找一遍了。
為什么不直接做CSRF？
因為我們需要進行POST的請求。大部分的EXP都需要POST來觸發。而因為瀏覽器的跨域限制，AJAX的POST只能在同域名下的。如果強行POST請求，將會整個頁面都會跳轉過去。就算是一個普通用戶，發現頁面突然跳轉到自己路由器的管理頁面，都會發現不對，何況師傅們。
為什么要用AWVS來完成這個CSRF？
AWVS是典型的掃描器，大部分的掃描器都是通過內置瀏覽器，來請求目標網站，然后各種發POC各種爬鏈接。掃描器不像人那樣會變通，如果掃描器遇到上面我說的情況，它會內心毫無波動的繼續掃描。所以利用掃描器來完成我們的攻擊更有價值。
你的博客地址是？
死心吧，我不會暴露自己的，別問了，如果師傅們發現，我可能就被打死了….
AWVS的掃描范圍我記得是用戶自己勾選的啊，不會給其他不在范圍內的域名或者網站發任何請求的啊
當然，AWVS不會對不在掃描范圍內的網站或者ip進行測試，當然，只是不測試而已，它可能是因為基于內置瀏覽器的緣故，有一些有趣的小特性，來幫助我們完成這次攻擊。算是一個有趣的邏輯漏洞？
為什么不用GET類的EXP來做CSRF，這樣既可以攻擊到……還可以……
停，二狗子你閉嘴。GET類型的可以拿SHELL的EXP我好像就沒見到過幾個，其次，這篇文章是教怎么利用AWVS拿路由器的SHELL，是用POST的EXP。我相信大家手上的基本都是POST類型的0DAY。如果直接用GET的exp這篇文章兩句就可以結束了。
還有，二狗子我看你不順眼好久了，你跑過來問東問西什么意思，想砸我場子么？滾滾滾
原理

這是這次demo的數據庫結構。

上面是用來模擬藏在某個頁面的陷阱鏈接。

當點擊上面的鏈接，就會跳到這個自動發出post請求的頁面。然后向同目錄的hello.php發出一個測試請求。

接收上個頁面傳遞的post數據，并且存入數據庫。
然后訪問index.php就可以看到存入的數據。

上面是掃描結果，我們可以看到，因為我在hello.php里面直接拼接字符串，導致了一個注入，但注入不是重點。重點是我們可以得知awvs測試了hello.php這個頁面。
這是掃描之前的頁面：

這是掃描之后的頁面

可以看到awvs先發送了本來預設的Hello和Word這兩個字符串，然后才開始的測試，注意這個細節。

當然，這只是awvs在掃描目標站中的某個含有漏洞的頁面。我們試試把post的目標換為其他ip，在讓awvs掃描試試。192.168.1.5扮演同內網下的脆弱設備。看看awvs這次會怎么樣。PS：這個在192.168.1.5上面的hello.php的代碼和上面的hello.php是一樣的。只是為了模擬不同的ip所以放在了另外一臺電腦上
當然，再此之前，請執行
DELETE FROM txt WHERE id>1;
這句sql語句，刪掉之前測試的內容，恢復到掃描之前的狀態，然后在開始掃描。

這是第二次掃描結果，可以看到并沒有發現之前的sql注入漏洞，是不是代表awvs沒有訪問在192.168.1.5上面的hello.php文件呢？

然而卻莫名其妙多了幾個hello word。
事實上，awvs確實不會對不在掃描范圍內的域名或者ip進行測試，所以沒有像之前那樣找到sql注入漏洞，但是經過我的試驗，可能因為內置瀏覽器的原因，會去發送我們預定好的字符串。這個有趣的特性可以被我們利用，用來給師傅們一個驚喜….
實戰

某路由器的遠程命令執行漏洞。登陸后臺則是有回顯執行，不登陸則無回顯執行。
這個用做內網脆弱設備，也就是我的路由器。明知有漏洞卻沒錢換新路由器…..(192.168.1.1)。
以及陷阱博客(192.168.1.8)。
還有攻擊機&被坑機來用awvs掃描博客(192.168.1.6)
一臺裝了msf的電腦，用來生成后門和監聽(192.168.1.5)

修改demo的代碼，加入exp。打碼部分為exp內容。

awvs掃描完成(原諒我偷懶，但是結果是一樣的)
AWVS沒有任何異常，它耿直的沒有發現有任何不對并且順手幫我們拿到了shell。

無聲收割shell
總結
這篇文章用來給這個反擊系列開頭，拋磚引玉一波，我相信很多人都對于單方面的防御已經玩膩了。目前我的博客上面有幾十個這種陷阱，每個對應一個exp。感覺類似于xss盲打，大部分針對路由器，畢竟家用路由器的漏洞更好挖，安全性更差。實際上大部分的安全工具或多或少都有各種各樣的特性（邏輯漏洞）。仔細研究就可以用來懟師傅們和腳本小子。下個星期發下一篇。