- 博客(89)
- 收藏
- 关注
RSS订阅原创 MSF基础--info/show targets
show targets列出受到漏洞影响目标系统的类型:info windows/smb/ms08_067_netapi显示该模块的详细信息,参数说明以及可用的目标操作系统:
2021-07-03 15:05:46
1766
原创 MSF基础--show payloads
show payloads显示所有的攻击载荷(近600条):例如,以MS08-067漏洞为例,查看其payloads(约150条):输入set payload windows/shell/reverse_tcp以选择reverse_tcp(反弹式tcp连接)攻击载荷:输入show options会看到额外的参数:在反弹式攻击载荷中,连接是由目标主机发起的,并且其连接对象是攻击机。因此可以利用这种技术穿透防火墙或NAT网关。...
2021-07-03 14:45:27
1759
原创 MSF基础--show options
back回到上一级search查找某个特定的渗透攻击,辅助或是攻击载荷模块例如,使用命令搜索MS08-067漏洞(远程过程调用[RPC]服务的一个弱点)相关的模块:使用use命令加载找到的模块:使用show options显示ms08-67模块所需参数:...
2021-07-03 14:22:47
2497
1
原创 MSF扫描开放的X11服务器
X11服务器允许用户无需身份认证即可连接加载扫描器并查看选项:msf6 > use auxiliary/scanner/x11/open_x11msf6 auxiliary(scanner/x11/open_x11) > show options设置目标地址和线程:msf6 auxiliary(scanner/x11/open_x11) > set rhosts 192.168.168.0/24msf6 auxiliary(scanner/x11/open_x11) >
2021-06-28 22:11:08
550
原创 MSF扫描开放的VNC空口令(虚拟网络计算机)
VNC用于解决某些问题,但是使用完后,管理员却忘了将其删除,从而留下了未打补丁的VNC。载入MSF中的vnc模块,并查看选项:msf6 > use auxiliary/scanner/vnc/vnc_none_authmsf6 auxiliary(scanner/vnc/vnc_none_auth) > show options设置扫描地址段和线程数:msf6 auxiliary(scanner/vnc/vnc_none_auth) > set rhosts 192.1
2021-06-24 22:16:08
1109
原创 MSF验证SMB登录
用MSF中SMB登录扫描器(SMB Login Check)对大量的主机用户名和口令进行猜测。这种扫描动静大,容易被察觉,而且每一次登录尝试都会在被扫描的Windows主机系统日志中留下记录。使用smb_login模块,show options查看选项:msf6 > use auxiliary/scanner/smb/smb_loginmsf6 auxiliary(scanner/smb/smb_login) > show options设置目标主机地址,用户名密码等相关信息:ms
2021-06-22 21:43:48
2291
原创 MSF中使用Nessus
使用load nessus在MSF中载入Nessus:msf6 > load nessus使用nessus_help查看Nessus桥插件支持的所有命令:使用nessus_connect登录到自己的Nessus服务器开始扫描 (要在电脑上先启动Nessus (/bin/systemctl start nessusd.service)):msf6 > nessus_connect username:password@kali:8834 ok输入nessus_policy_list.
2021-06-21 21:59:41
771
原创 Kali中使用Nessus进行扫描
1. 安装好Nessus后,cmd中输入sudo /bin/systemctl start nessusd.service启动Nessus。2. 查看Nessus启动后的状态:
2021-06-17 21:52:31
2110
1
原创 MSF进行基本的漏洞扫描
监听目标服务器的80端口,并发送一个GET HTTP请求:kali@kali:~$ nc 192.168.168.228 80get http此时目标服务器会提供该端口上运行的Web服务器系统。
2021-06-02 22:31:14
1302
2
原创 MSF对SNMP服务器扫描
简单网管协议(SNMP,Simple Network Management Protocol),通常用于网络设备中,用于报告带宽利用率,冲突率,以及其他信息。操作系统中也包含SNMP服务器软件,主要提供类似CPU利用率,空闲内存,以及其他系统状态信息。可访问的SNMP服务器能够泄露关于特定系统相当多的信息,比如Cisco路由器SNMP团体字符串,下载路由器配置。MSF中内置模块scanner/snmp/snmp_enum,如果能够获取只读(RO)或读/写(RW)权限的团体字符串,可以从中提取目标的补丁级别
2021-06-01 21:57:05
603
原创 MSF对FTP服务器(匿名登录)扫描
FTP (File Transfer Protocol) 是一种复杂,但是又缺乏安全性的应用协议。因此是进入目标网络最便捷的途径。因此,每次渗透测试时,都要对FTP服务器进行扫描。查看配置项:msf6 > use auxiliary/scanner/ftp/ftp_versionmsf6 auxiliary(scanner/ftp/ftp_version) > show options设置目标网络进行扫描:sf6 auxiliary(scanner/ftp/ftp_versi
2021-05-31 21:35:01
1435
原创 MSF对SSH服务器扫描
如果主机运行SSH,可以对SSH版本进行识别。很多SSH版本中都发现安全漏洞。通过msf框架的ssh_version模块来识别SSH版本。查看配置项:msf6 > use auxiliary/scanner/ssh/ssh_versionmsf6 auxiliary(scanner/ssh/ssh_version) > show options设置查询:msf6 auxiliary(scanner/ssh/ssh_version) > set rhosts 192.168.1
2021-05-22 00:14:44
1004
原创 MSF搜寻配置不当的Microsoft SQL Server
Microsoft SQL安装后,默认监听TCP 1433端口,或使用随机的动态TCP端口。MSF中的mssql_ping模块可以完成。mssql_ping使用UDP协议,对大规模子网扫描时速度会很慢(处理超时的问题)。设置线程数为255可以提高扫描速度。查看要设置的内容:msf6 > use auxiliary/scanner/mssql/mssql_pingmsf6 auxiliary(scanner/mssql/mssql_ping) > show options设置网段和线程
2021-05-22 00:05:58
226
1
原创 MSF针对性扫描---服务器消息块协议(SMB)扫描
服务器消息块协议(SMB):通用的文件共享协议。可利用MSF的smb_version对目标主机进行查看。msf6 > use auxiliary/scanner/smb/smb_version msf6 auxiliary(scanner/smb/smb_version) > show options 输入目标地址并开启扫描:msf6 auxiliary(scanner/smb/smb_version) > set rhosts 192.168.168.228msf6 aux
2021-05-16 02:19:18
672
原创 MSF进行端口扫描
查看MSF框架中提供的端口扫描工具:msf6 > search portscan使用MSF中SYN端口扫描器对主机进行一次简单的扫描:msf6 > use auxiliary/scanner/portscan/synmsf6 auxiliary(scanner/portscan/syn) > set rhosts 192.168.168.228msf6 auxiliary(scanner/portscan/syn) > set threads 50msf6 auxil.
2021-05-09 15:01:02
2009
原创 MSF终端运行nmap
运行数据库:kali@kali:~$ /etc/init.d/postgresql startMSF连接数据库:msf6 > db_connect postgres:postgresql@127.0.0.1/msf在MSF终端运行nmap,并将nmap结果存储在数据库中:msf6 > db_nmap -Pn -A 192.168.168.228执行services命令查看数据库中关于MSF上运行服务的扫描结果msf6 > services -u...
2021-05-09 02:45:48
1353
原创 Nmap扫描技巧:TCP空闲扫描
TCP空闲扫描:冒充网络上另一台主机的IP地址,对目标进行隐秘扫描。扫描钱需要在网络上定位一台使用递增IP帧标识(IP ID:用于跟踪IP报的次序)机制的空闲主机(在一段特定时间内不向网络发送数据包)。使用MSF框架的scanner/ip/ipidseq模块来寻找满足TCP空闲扫描要求的空闲主机:msf6 > use auxiliary/scanner/ip/ipidseqmsf6 auxiliary(scanner/ip/ipidseq) > show options该列表显示了执
2021-05-04 22:01:25
638
原创 Metasploit中使用数据库(PostgreSql)
以postgresql为例(忘记数据库密码可自行更改):使用集成在Kali Linux中的init.d脚本启动数据库子系统kali@kali:~$ /etc/init.d/postgresql start msf中查看数据库状态:msf6 > db_status将Metasploit连接到postgresql数据库,连接时需要用户名,口令,运行数据库系统的主机名和想使用的数据库名(自定义为msf)...
2021-04-24 18:42:25
578
原创 Metasploit---情报收集---主动情报收集
主动情报收集:测试人员直接与目标系统进行更深入的交互。例如,通过执行端口扫描来查看系统开放的端口和运行的服务。但是这很有可能被入侵检测系统IDS和入侵防御系统IPS侦测。使用nmap对目标进行端口扫描:使用nmap进行扫描的前提是通过被动信息收集,确定目标的IP范围;端口扫描的原理是逐个对远程主机的端口发起连接;-sS: 执行隐秘的TCP扫描,确定特定的TCP端口是否开发;-Pn: 不使用ping,默认所有主机都存活。大多网络进制ICMP,使用ping可能会漏掉很多实际存活的主机。(内网测试忽
2021-04-24 18:02:27
242
原创 Metasploit---情报收集---被动情报收集
被动情报收集的作用:不接触目标系统的情况下挖掘目标信息,包括:(1)网络边界情况;(2)运维人员信息;(3)主机操作系统;(4)网站服务器软件;后续还需主动收集进行更准确的信息探测假想目标网站:http://www.testfire.net被动信息收集过程:一. whois:从Kali Linux的whois查询testfire的域名服务器入手:whois testfire.netDNS域名服务器由AKAM.NET提供。DNS服务器一般部署在公司内部,可被作为攻击点,通常可以揭
2021-04-24 04:31:43
501
2
原创 Metasploit---情报收集
情报收集的目的:(1)获取渗透目标的准确信息;(2)了解目标组织的运作方式;(3)确定最佳的攻击路线;…情报收集工作包含:(1)网页中搜索信息;(2)Google Hacking;(3)为特定目标的网络拓扑进行完整的扫描映射;…...
2021-04-24 03:15:47
204
原创 DOM型XSS
实验环境:皮卡丘靶场—Cross-Site Scripting—DOM型XSS皮卡丘靶场—Cross-Site Scripting—DOM型XSS-X实验步骤:输入无害字符串查看情况:查看源代码:str获取text的值,再拼接到<a>标签里面,再写到dom里面。确认此处的输入点<input>标签和输出点<div>标签,并且输入和输出的过程中没有做任何转义操作。对document.getElementById("dom").innerHT
2021-04-23 21:49:20
305
原创 URL重定向
URL重定向:不安全的url跳转问题可能发生在一切执行了URL地址跳转的地方。如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话就可能发生"跳错对象"的问题。url跳转比较直接的危害:–>钓鱼, 既攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站。实验环境:皮卡丘靶场—URL重定向;实验步骤:点击发现第三个存在URL重定向问题修改URL,让其跳转到自己
2021-04-18 16:16:24
467
原创 敏感信息泄露
敏感信息泄露由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。 比如:(1)通过访问URL下的目录,可以直接列出目录下的文件列表;(2)输入错误的URL参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;(3)前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等实验平台:皮卡丘靶场—敏感信息泄露实验步骤:源码中存在测试账号:密码返回到了前端:...
2021-04-18 16:07:36
518
原创 目录遍历
目录遍历:在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“…/”这样的手段让后台打开或者执行一些其他的文件。 从而导致后台服务器上其他目录的文件结果被遍历出来,形成目录遍历漏洞。实验平台:皮卡丘靶场—…/…/实验步骤:此处一个超链接,通过get请求传入文件名到后
2021-04-18 15:57:43
129
原创 服务端请求伪造SSRF---file_get_content()
实验平台:皮卡丘靶场—SSRF(file_get_content)实验步骤:同curl一样,更改url,可以从服务器端调用百度:http://localhost/pikaqiu.cn/vul/ssrf/ssrf_fgc.php?file=http://www.baidu.com通过php内置方法读取源码,对指定路径下的目标文件进行进行源码读取,并进行base64转码;输入payload (php://filter/read=convert.base64-encode/resource=ssr
2021-04-18 14:42:00
515
原创 服务端请求伪造SSRF---curl_exec()
服务端请求伪造SSRF:其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,进而导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。攻击者----->服务器(跳板)---->目标地址PHP中可能导致SSRF漏洞的危险函数:(1)file_get_contents(); 支持多种协议,包括http,https等。并且可以从本地和远端服务器获取资源(2)fsockopen();(3)curl_exec()
2021-04-18 14:40:51
1884
原创 XML外部实体注入攻击
实验环境:皮卡丘靶场—XXE实验步骤:提交一个无害的内部实体:<?xml version="1.0"?><!DOCTYPE note [ <!ENTITY hacker "1111"> ]><name>&hacker;</name>2. 指定读取系统文件:<?xml version="1.0"?><!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///e
2021-04-17 16:03:24
177
原创 XXE外部实体注入
XML:可扩展标记语言XML文档格式:<!--第一部分:XML声明--><?xml version="1.0"?><!--第二部分:文档类型定义DTD--><!DOCTYPE note [<!--定义此文档是note类型的文档--><!ENTITY entity-name SYSTEM "URL/URL"> <!--外部实体声明-->]><!--第三部分:文档元素--><note>
2021-04-17 16:01:44
146
原创 PHP反序列化
实验平台:皮卡丘靶场—PHP反序列化实验步骤:输入无害字符串:在PHP中制定一个类,并指定一个恶意的JavaScript:payload: O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
2021-04-17 14:28:10
119
原创 PHP反序列化概念
序列化:把一个对象编程可以传输的字符串,如下所示:class S{public $test=“pikachu”;}s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize($s); //把这个对象进行序列化序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“test”;s:7:“pikachu”;}O:代表object1:代表对象名字长度为一个字符S:对象的名称
2021-04-17 14:10:57
221
原创 垂直越权漏洞
测试思路:登录超级管理员账号;对超级管理员仅有的操作进行测试(比如:新增账号);用Burpsuite抓取新增账号的数据包;退出超级管理员并切换到普通管理员或一般用户账号;用普通管理员或一般用户的身份进行重放;实验平台:皮卡丘靶场—Over Permission—垂直越权实验步骤:登录超级管理员admin/123456,可以看到,超级管理员有添加/删除用户的权限:添加用户111成功,属于正常操作,同时用burpsuite抓取创建用户111的数据包:退出超级管理员。此
2021-04-15 21:08:49
257
原创 水平越权漏洞
实验环境:皮卡丘靶场—Over Permission—水平越权实验步骤:首先用lucy/123456账号登录,可以看到自己的信息:查看请求,为一个Get请求,只将当前的用户名传输给后台:http://localhost/pikaqiu.cn/vul/overpermission/op1/op1_mem.php?username=lucy&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E
2021-04-14 19:22:42
538
原创 越权漏洞概述
什么是越权漏洞?由于没有对用户权限进行严格判断,导致低权限的账号(普通用户)可以去完成搞权限账号(高级管理员)范围内的操作。水平越权:A用户和B用户属于同一级别用户,正常情况下不能操作对方模块。但是A用户可以操作B用户的模块。垂直越权:A用户权限高于B用户,但是B用户可以操作A用户的模块。越权漏洞属于逻辑漏洞,是因为权限校验不够严谨导致。每个应用系统其用户对应的权限是根据其业务功能划分,而每个企业的业务又都是不一样的。因此越权漏洞很难通过扫描工具发现。...
2021-04-14 19:08:46
503
原创 文件上传漏洞防范措施
不要在前端使用JS实施上传限制策略;通过服务端对上传文件进行限制:(1)进行多条件组合检查:比如文件大小,路径,扩展名,文件类型,完整性;(2)对上传的文件在服务器上存储时进行重命名(执行合理的命名规则);(3)对服务器端上传文件的目录进行权限控制(比如只读),限制执行权限带来的危害;...
2021-04-13 20:52:24
2809
原创 不安全的文件上传(任意文件上传)---Getimagesize()类型验证
Getimagesize()是什么?Getimagesize()是PHP提供的方法,用以判断目标文件是否为图片。其返回结果中有文件大小和文件类型(通过读取文件的前八位的十六进制)。因此可将恶意文件从第9位开始写入,以绕过getimagesize()验证使用xxd读取文件格式:xxd 文件名 | head -n 1 //读取第一行在使用xxd读取图片的十六进制时,每种相同格式的图片开头8位都是一样的:制作图片木马:方法1:直接伪造头部GIF89A方法2(推荐):CMD:copy /b tes
2021-04-13 20:48:08
822
原创 不安全的文件上传(任意文件上传)---服务端验证和绕过(MIME)
MIME?多用途互联网邮件扩展类型(Multipurpose Internet Mail Extensions)。是设定某种扩展名的文件用一种应用程序来打开的方式类型。当扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。每个MIME类型有两部分组成,前面是数据的大类别,例如声音audio,图像image等;后面定义具体的种类。常见的MIME类型有:(1)超文本标记语言文本:.html, .text/html(2)普通文本:.t
2021-04-12 19:32:38
512
1
原创 不安全的文件上传(任意文件上传)---客户端验证和绕过(JS端绕过)
实验平台:皮卡丘靶场—Unsafe Fileupload—client check实验步骤:准备1个写入了一句话木马的php文件,pikachu.php,文件内容如下:上传一个php文件,查看返回的提示,发现不符合要求:查看源码,可以看到,当标签状态改变的时候,就会调用checkFileExt()方法直接查看checkFileExt()方法可发现,此处做了白名单验证,只允许上传jpg, png和gif格式的文件:在前端做白名单等方法只能起到辅助作用。因此可以在前端删除该
2021-04-10 11:43:20
260
原创 不安全的文件上传概述和测试流程
文件上传漏洞是什么?因为业务功能需要,很多web站点都有文件上传的接口,比如:1. 注册时上传的头像(jpg, png, gif等);2. 上传文件附件(doc, xls等)。但是后台并没有对上传的文件进行安全考虑,或是采用了有缺陷的措施,导致攻击者通过一些手段绕过安全机制,从而上传恶意文件(如:一句话木马),控制web后台。文件上传漏洞测试流程:对文件上传的地方安装要求上传文件,查看返回结果(路径,提示等);尝试上传不同类型的“恶意文件”,比如xx.php文件,分析结果;查看html源码,看
2021-04-10 11:13:44
401
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人