文章目录
外围信息搜集
- wireshark
- IDA pro
- OllyDbg
- Tamper Data & Hackbar破解版本(gitee.com/duaneya/hackbar2.1.3)
DNS和IP
msf> whois testfire.net
nslookup
> set type=A
> testfire.net
>exit
dig @dnsserver testfire.net
traceroute xxx.xxx.xxx.xxx
IP2Location 地理位置查询,netcraft,IP2Domain反查域名
搜索引擎
parent directory site:testfire.net
site:testfire.net filetype:xls
site:testfire.net inurl:login
msf
> use auxiliary/scanner/http/dir_scanner
> set THREADS 50
> exploit
> use auxiliary/gather/search_email_collector
> set DOMAIN xxx.com
> run
主机探测与端口扫描
PING
ping -c 5 www.dvssc.com
msf arp,udp
msf > use auxiliary/scanner/discovery/arp_sweep
> set RHOSTS 10.10.10.0/24
> set THREADS 50
> run
遇到invalid bpf filter 设置 INTERFACE SHOST SMAC
NMAP
nmap -sn 10.10.10.0/24 # 只探测存活
nmap -PU -sn 10.10.10.0/24 #UDP
nmap -0 xx.xx.x.x/x # 详细
namp -A 更详细
-sT TCP
-sS SYN
-sF/-sX/-sN 发送标志位避开检测
-sP ping
-sU udp
-sA ACK
-Pn 不使用ping
-F 快速
-p 指定端口
-sV 端口服务版本信息
nmap hostname/ip或者多个ip或者子网192.168.123.*
-iL ip.txt 扫描ip.txt的所有ip
-A 包含了-sV,-O,探测操作系统信息和路由跟踪。一般不用,是激烈扫描
-O 探测操作系统信息
-sV 查找主机服务版本号
-sA 探测该主机是否使用了包过滤器或防火墙
-sS 半开扫描,一般不会记入日志,不过需要root权限。
-sT TCP connect()扫描,这种方式会在目标主机的日志中记录大批的链接请求以及错误信息。
-sP ping扫描,加上这个参数会使用ping扫描,只有主机存活,nmap才会继续扫描,一般最好不加,因为有的主机会禁止ping,却实际存在。
-sN TCP空扫描
-F 快速扫描
-Pn 扫描之前不使用ping,适用于防火墙禁止ping,比较有用。
-p 指定端口/端口范围
-oN 将报告写入文件
-v 详细信息
-T<0-5> 设定速度
--script all 使用所有脚本
--script=sql.injection.nse sql注入
--script="smb*" 扫smb系列
端口扫描
msf > search portscan
10.10.10.130 windows
端口 | 服务 | 版本 |
---|---|---|
21 | ftp | MS ftpd |
80 | http | IIS httpd 6.0 |
135 | MSRPC | |
139 | netbios-ssn | |
445 | microsoft-ds 2003or 2008 | |
777 | multiling-http? | |
1025-1027 1031 | msrpc | |
1521 | oracle-tns 10.2.0.1.0 | |
6002 | http | SafeNet Sentinel License Monitor httpd 7.3 |
7002 | Safe Sentinel Keys License Monitor httpd 1.0 | |
8099 | MS IIS httpd 6.0 |
10.10.10.254 ubuntu (扫192.168.10.254能出来)
端口 | 服务 | 版本 |
---|---|---|
21 | ftp | ProFTPD 1.3.1 |
22 | ssh | openssh 4.7 |
23 | telnet | |
25 | smtp | postfix smtpd |
53 | domain | ISC BIND 9.4.2 |
80 | http | Apache 2.2.8 |
139,445 | netbios-ssn | Samba smbd 3.x-4.x |
3306 | mysql | 5.0.51 |
5432 | postgresql | 8.3.0-8.3.7 |
8009 | ajp13 | Apache Jserv(Protocol v1.3) |
8180 | http | Apache Tomcat |
服务扫描与查点
msf> search name:_version
telnet_version
ssh_versin
tnslsnr_version oracle SQL监听器
口令猜测与嗅探
1 ssh
search ssh_login
psnuffle 口令嗅探
网络漏洞扫描
OpenVAS
openvas-mkcert -q
openvas-mkcert-client -n om -i
openvas-nvt-sync # md5sums not correct 可能是wget不支持tls,换kali吧
cd /usr/share/openvas/
openvas-mkcert
openvas-nvt-sync
openvas-mkcert-client -n om -i
openvasmd -rebuild
openvassd
#重建并创建数据库备份
#openvasmd --rebuild; openvasmd -backup
openvasad -c ‘add_user’ -n openvasadmin -r Admin
openvasmd -p 9390 -a 127.0.0.1
openvasad -a 127.0.0.1 -p 9393
gsad --http-only --listen=127.0.0.1 -p 9392
http://127.0.0.1:9392/
openvas-setup 即可完成安装设置
#!/bin/bash
openvas-nvt-sync
openvassd
openvasmd --rebuild
openvasmd --backup
openvasmd -p 9390 -a 127.0.0.1
openvasad -a 127.0.0.1 -p 9393
gsad --http-only --listen=127.0.0.1 -p 9392
下载更新太慢了,先跳过
查找特定服务漏洞
nmap
ls /usr/share/nmap/scripts
#由于从NMAP 6.49beta6开始,smb-check-vulns.nse脚本被取消了。
#它被分为smb-vuln-conficker、•smb-vuln-cve2009-3103、smb-vuln-ms06-025、smb-vuln-ms07-029、smb-vuln-regsvc-dos、smb-vuln-ms08-067这六个脚本。
#用户根据需要选择对应的脚本。如果不确定执行哪一个,可以使用smb-vuln-*.nse来指定所有的脚本文件,进行全扫
nmap -P0 --script=smb-vuln-*.nse 10.10.10.130
- ms08-067
- ms17-010
数据库共享
db_nmap
将Nmap扫描结果存入数据库
PostgreSQL
sudo msfdb init
msf> db_status
# 手动连接msf > db_connect msf:admin@127.0.0.1/msf
# 设置密码 vim /usr/share/metasploit-framework/config/database.yml
# 使用db_namp
db_nmap -Pn -sV 10.10.10.0/24
#或者先导出
nmap -Pn -sV -oX dmz 10.10.10.0/24
msf > db_import /root/dmz
共享
PostgreSQL
Metasploit RPC
sudo msfrpcd -P 12345 -U msf -a 0.0.0.0