kaliWEB渗透笔记

抓包协议分析
一般每300M分成一个包，这样抓包分析工具打开速度不会太慢。
首先剔除对分析没有用处的协议，剔除IP地址是224以上的组播地址。

WEB攻击面
Network、OS、WEB Server、App server、Web Application、Database、Browser

重要的header
• Set-Cookie：服务器发给客户端的SessionlD (被窃取的风险）
• Content-Length：响应body部分的字节长度
•Location：重定向用户到另一个页面，可识别身份认证后允许访问的页面
• Cookie：客户端发回给服务器证明用户状态的信息（头值成对出现）
• Referer：发起新请求之前用户位于哪个页面，服务器基于此头的安全限制很容易被修改绕过

服务端响应的状态码表示响应的结果类型（5大类50多个具体响应码）
100s：服务器晌应的信息，通常表示服务器还有后续处理，很少出现
200s：请求被服务器成功接受并处理后返回的响应结果
300s：重定向，通常在身份认证成功后重定向到一个安全页面(301/302)
400s：表示客户端请求错误
• 401：需要身份验证
• 403：拒绝访问
• 404：目标未发现
500s：服务器内部错误（503：服务不可用} http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

侦察：httracker 先将网站下载下来，减少与目标系统的交互。

扫描工具：
nikto
Perl语言开发的开源web安全扫描器
软件版本
搜索存在安全隐患的文件
服务器配置漏洞
WEB Application层面的安全隐患
避免404误判
•很多服务器不遵守RFC标准，对于不存在的对象返回200晌应码
•依据响应文件内容判断，不同扩屐名的文件404响应内容不同
•去除时间信息后的内容取MD5值
• -no404
命令：
nikto -list-plugins 查看所有插件
nikto -update 升级插件，但现在不可用，需要：
git clone https://github.com/sullo/nikto.git Nikto，再git pull
或到下面网址下载
http://cirt.net/nikto/UPDATES
nikto -host http://1.1.1.1 扫描1.1.1.1
nikto -host 192.168.1.1 -ssl -port 443,8443,995 扫描目标的https443端口等
nikto -host host.txt 指定多个目标地址
nmap -p80 192.168.1.0/24 -oG - | nikto -host - 将Nmap的扫描结果IP地址作为目标通过nikto扫描
nikto -host 192.168.1.1 -useproxy http://localhost:8087 使用代理扫描
nikto -vhost www.baidu.com 扫描同一IP上的不同网站
执行过程中可以使用的命令：
空格 – report current scan status
v – verbose mode on/off
d – debug mode on/off
e – error reporting on/off
p – progress reporting on/off
r – redirect display on/off
c – cookie display on/off
a – auth display on/off
q – quit
N – next host
P - Pause
配罝文件:
/etc/nikto.conf 修改UA等参数，
STATIC-COOKIE=“cookie1”=“cookie value”;“cookie2”=“cookie value”
-evasion:使用LibWhisker中对IDS的躲避技术，可使用以下几种类型:
1随机URL编码（非UTF-8方式）
2自选择路径（/./)
3过早结束的URL
4优先考虑长随机字符串
5参数欺骗
6使用TAB作为命令的分隔符
7使用变化的URL
8使用Windows路径分隔符""

vega(Kali已不再提供)

skipfish
C语言编写
实验性的主动web安全评估工具
递归爬网
基于字典的探测
速度较快
•多路单线程，全异步网络I/O,消除内存管理和调度开销
•启发式自动内容识别
误报较低
skipfish -o test http://1.1.1.1
skipfish -o test @url.txt
skipfish -o test -S complet.wl -W a.wl http://1.1.1.1 -S指定字典 -W将这个网站特有的字符串名称存入a.wl字典
-I :只检查包含’string’的URL
-X:不检查包含’string’的URL，例如logout，扫了就退出登录了
-K :不对指定参数进行Fuzz测试
-D :跨站点爬另外一个域
-I :每秒最大请求数
-m :每IP最大并发连接数
–config:指定配置文件
身份认证
skipfish -A user:pass -o test http://1.1.1.1 http基本身份认证
skipfish -C “name=val” [-C “name1=val1”] -o test http://1.1.1.1 cookie认证
让skipfish填用户名和密码的方式查看man中的–auth相关参数
扫描速度太快，出发了目标站点的连接数限制，降低-m -l数值

w3af

Web Application Attack and Audit Framework，基于Python语言开发
此框架的目标是帮助你发现和利用所有WEB应用程序漏洞
9大类近150个plugin：audit、infrastructure、grep、evasion、mangle、auth、bruteforce、output、crawl
（升级，在目录内git pull）
help 显示可用指令
plugin 进入plugin子命令：list audit列出audit类所有插件，audit sqli xss选择使用的audit插件 ，audit all选择全部audit插件，一般选择audit all、grep all、crawl web_spider
http-settings、misc-settings全局配罝：view查看可配置的参数，set设置参数，back回到上一级命令
Profiles
save_as test self-contained保存当前配置以及本地字典等为test并可在其他电脑使用
use test使用配置test
Target
set target http://1.1.1.1/
start 开始扫描
script/*.w3af 使用脚本
使用COOKIE认证要使用文件并且有严格的格式要求
通过使用截断代理，设置HTTP header file，满足HTTP头的身份认证方式
截断代理history选项卡下fuzz按钮内，语法可参考syntax help选项卡；compare按钮可以比较两次内容的不同，对漏洞的手动挖掘常用此法
最上方generate manual HTTP request手动向服务器发送请求
w3af不支持客户端技术（JavaScript，flash，Java applet等）
截断代理手动爬网：选择使用spider_man插件后进行手动爬网，http://127.7.7.7/spider_man?terminate停止spider_man；使用output下的export_requests保存爬网结果并以后可以使用import_results导入使用，不用再次爬网。
exploit：可以直接使用w3af对漏洞进行利用。

arachni
Dispatcher：在arachni目录下：./arachni_rpcd --address=127.0.0.1 --port=1111 --nickname=test1，指定一个昵称为test1的dispatcher，随后在网页端可以使用此test1。
Grid：./arachni_rpcd --nickname=test2 --address=127.0.0.1 --neighbour=127.0.0.1:1111，设置一个grid，将现有的dispatcher加入到grid里面。
在指定neighbor时最好以链形式一个指一个，而不是许多dispatcher指向同一个。

OWASP_ZAP

WEB Application集成渗透测试和漏洞挖掘工具
开源跨平台
截断代理：127.0.0.1:8080，截断功能在上方圆形按钮开启
主动、被动扫描
Fuzz、暴力破解
API：http://zap/（通过ZAP代理）
Persist Session 刚进入软件选择2保存会话到指定位置，下次可以打开以继续工作
Mode——Safe Protected Standard ATTACK
升级add-ons
scan policy
anti CSRF tokens 在设置里
https——CA 添加证书到浏览器，可以防止危险警告，在设置里
Scope / Contexts / filter 右键网站或子目录，include in context新建上下文，可以只查看所选站点，减少干扰
Http Sessions——default session tokens & site session tokens 功能按钮在最上方，设定上下文后，可以设置指定站点的身份认证方式，默认的manual就好使，设置中HTTP session里默认包含了一些cookie中认为是session的字段，例如dvwa的cookie中的security字段就需要自己添加进去，在查看—HTTP sessions tab里可以右键选择active，实现身份切换。
Note / tag 添加记录和标签
Passive scan 被动扫描
上方灯泡按钮可以显示页面中隐藏的表单等

Burpsuite

PortSwigger公司开发
所有的工具共享一个能处理并显示HTTP消息的可扩扎框架，模块之间无缝交换信息
proxy 代理功能：
options：
invisible 使用透明代理+重定向，用作请求路径是相对路径的情况，例如手机微信客户端，或者是多个目标域名，创建多块环回网卡，分别指定一个重定向ip和端口
CA 证书的导出供浏览器安装
intercept入站出站
response modify
target目标：
scope范围，将站点加入范围可进行只看范围内站点的筛选操作，将logout类似字段加入排除的范围以防止登出
filter筛选，点击上方白色条进入筛选器，可以只仅显示带参数的请求等
comparing site map 对比站点地图，可以对比两个站点地图请求响应的不同以及目录结构的不同，例如对比两个登陆账户所能看到的页面的不同
Active / Passive Scan
Extender：BApp Store ：Jython http://www.jython.org/downloads.html
Option
Scan queue
Result

intruder： 类似fuzz功能
positions 选择变量和攻击类型

PAYLOAD
•Simple list
•Runtime file
•Character substitution
•Case modification
•Character blocks 字符块 发送大量字符 可用在缓冲区溢出
•Numbers 、Copy other payload
•Dates、Brute forcer、Character frobber、Username generator
•Dates
OPTIONS
•Grep match

repeater 手动发送请求给目标
Request History
Change request method
Change body encoding
Copy as curl command
Convert selection
Repeater菜单：
Engagement tools——generate csrf PoC
Follow redirections
Process cookies in redirections 带着cookies重定向

sequencer
分析程序中可预测的数据
Session cookies
anti-CSRF tokens
Start live capture：
Analyze 数据越多分析越准确
伪随机数算法
Character-level
Bit-level。
FIPS—美国联邦信息处理标准Federal Information Processing Standard

decoder
使用各种编码绕过服务器端输入过滤
smart decode

AWVS（ACUNETIX WEB VULNERABILITY SCANNER）

自动手动爬网，支持AJAX、JavaScript
AcuSensor灰盒测试
•发现爬网无法发现文件
•额外的漏洞扫描
•可发现存在漏洞的源码行号
•支持PHP、.NET (不获取源码的情况下注入已编译.NET)
生成PCI、27001标准和规报告
网络扫描
•FTP, DNS, SMTP, IMAP, POP3, SSH, SNMP, Telnet
•集成openvas扫描漏洞
爬站、子域扫描器、发现扫描器、SQL注入验证、Http editor、Http sniffer、HTTP Fuzzer、身份认证测试、结果比较。
AcuSensor安装：生成agent文件acu_phpaspect.php（PHP5.0以上）；将文件拷贝到目标服务器，web程序可以访问到的目录；修改.htaccess或php.ini：php_value auto_prepend_file ‘[path to acu_phpaspect.php file]’