渗透测试

在很多场景中，WEB是渗透测试的一个相对容易的入口。通常经过测试授权后，我们会先尝试拿到一个WEBSEHLL，然后再通过各种方法提权，来控制一台内网机器，然后利用这台内网机器控制整个内部网络。 在进行WEB渗透的时候，我们通常会通过后台弱口令、SQL注入、XSS、任意文件上传等漏洞来进行攻击测试。在测试的时候我们会根据服务器返回信息来判断漏洞是否存在，也是根据服务器返回的信息来判断我们能否成功执行命令，能否成功读取服务器上的文件。因此我们在进行渗透测试的时候，能否及时获得服务器相应的反馈信息尤为重要。本文将通过实际研究，来寻找各种及时获得服务器响应数据的技术、方法，为渗透测试铺平道路。下面将模拟一个实例来进行研究分析。 假如在渗透测试的时候，我们通过对主域名进行C段扫描，发现了一个子域名，并且该子域名存某处存在sql注入漏洞，通过测试发现，该注入点支持UNION查询如图： 从返回信息我们能够知道数据库版本，也知道了数据库服务器是windows操作系统。但是给服务器发送HTTP请求后，返回数据包如下： 通过返回的数据，我们判断服务器是LINUX系统。从目前的信息来看，WEB服务器在一台LINUX系统上，然而它使用的数据库在一台WINDOWS系统上。这样我们就无法直接通过数据库操作来获得一个WEBSHELL了。接下来我们的思路是想办法来控制这台数据库服务器，从而获得一台内网服务器的权限

目录 ARP 欺骗及其原理 ARP 欺骗实施步骤 必备工具安装 nmap 工具 dsniff 工具 driftnet 工具 ettercap 工具 ARP 欺骗测试 ARP 断网攻击 ARP 欺骗（不断网） 抓取图片 获取账号与密码 arp 缓存表对照 ARP协议： 地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含 目标IP地址 的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 ARP欺骗： 地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。 实验原理 ARP协议是工作在网络层的协议，它负责将IP地址解析为MAC地址

渗透测试方法论 渗透测试（penetration testing，pentest）是实施安全评估（即审计）的具体手段，方法论是指，实施信息安全审计方案时需要遵循的规则，惯例和过程，人们在评估网络应用、系统或者三者组合的安全状况时，不断摸索务实的理念和成熟的做法，并总结了一套理论—渗透测试方法论。 渗透测试种类 黑盒测试（模拟黑客测试） 黑盒测试时，安全审计员在不清楚被测单位的内部技术构成的情况下，从外部评估网络基础设施的安全性。在渗透测试的各个阶段，黑盒测试借助真实世界的黑客技术，暴露出目标的安全问题，甚至可以揭露尚未被他人利用的安全弱点。渗透测试人员应能理解安全弱点，将之分类并按照风险等级（高、中、低）对其排序。通常情况来说，风险级别取决于相关可能形成危害的大小。老练的渗透测试专家应能够确定可引发安全事故的所有攻击模式，当测试人员完成黑盒测试的所有测试工作后，他们会把与测试对象安全状况有关的必要信息进行整理，并使用业务的语言描述这些被识别出来的风险，继而将之汇总为书面报告。黑盒测试的市场报价通常会高于白盒测试。 白盒测试（源代码审计） 白盒测试审计员可以获取被测单位单位的各种内部资源，甚至不公开资源，所以渗透测试人员的视野更为开阔。若以白盒测试的方法评估安全漏洞，测试人员可以以最小的工作量达到最高的评估精确度。白盒测试从被测系统环境自身出发，全面清除内部安全问题

Five86-2 0X01 Main Point 1. wpscan 的使用 2. tcpdump 的抓包以及流量分析 3. wordpress插件提权 0X02 前期嗅探和端口探测 arp-scan -l 得到靶机IP： nmap -sS -A -p- 172.20.10.3 扫描靶机IP的端口开放情况： ftp无法匿名登录，只能从80端口入手： wordpress框架；显示不清楚； 在 /etc/hosts 下进行DNS解析即可： 发现 wordpress是5.1.4版本 （可以通过 Wappalyzer 得到） searchsploit搜索发现没有5.1.4版本的漏洞可以利用 wpscan --url "http://172.20.10.3" -e u 先来爆破用户名： 得到以上用户，因为没有给出其他信息，并且 wordpress版本较高 ，没有可以利用的漏洞，可能就是需要枚举用户名及密码，因此根据用户名爆破密码： wpscan --url "http://172.20.10.3" -U user.txt -P rockyou.txt 这里使用kali自带的 rockyou.txt ，这是一个密码字典： 得到两个用户 barney、stephen ，可以考虑使用metasploit来直接自动化进行攻击，只需配置攻击负载即可。 两个用户都以失败告终，那就先登录后台 http:/

Kali Linux是一个专门用于渗透测试的独立Linux操作系统，它是由BackTrack发展而来，它整合了IWHAX、WHOPPIX、Auditor这三种渗透测试专用的Live Linux之后，BackTrack正式改名为Kali Linux，2013年3月12日Kali Linux发布了第一个版本。 BackTrack是非常著名的渗透测试的系统，而Kali Linux相当于是它的升级版本。 Kali Linux的主要特点有： 它是基于Debian的Linux发行版 它集成了300多个渗透测试程序 它支持绝大多数的无线网卡 它修改了内核以支持（无线）数据包注入 所有的软件包都有研发团队的PGP签名 用户可以自制满足各自需求的Kali Linux发行版 支持基于ARM的硬件系统 来源： https://www.cnblogs.com/RoseKing/p/7265607.html

一、信息收集 首先用netdiscover确定靶机IP： 确定靶机IP为：192.168.1.109后开始扫描它的端口开放情况： namp -sV -A -p 0-65535 1192.168.1.109 发现它只开放了22和80端口，发现ssh服务被过滤掉了，这就使我们用不了ssh服务，先不管它。然后先访问一下80端口： 是一个这样的页面，其中还有4个选项，依次点开以后并没有什么发现，但是它存在一个表单，在这里就很有可能存在着注入漏洞，所以我们先尝试着用sqlmap跑一下： sqlmap -u "http://192.168.1.109/results.php" --data "search=1" --dbs 的确存在着注入漏洞，发现有个users库，先把它爆出来看看会有什么东西： sqlmap -u "http://192.168.1.109/results.php" --data "search=1" -D users --tables sqlmap -u "http://192.168.1.109/results.php" --data "search=1" -D users -T UserDetails --dump 这里是那些员工这账号和密码，后面可能会用到，先放着，然后再回过来爆另一个员工库看看会有什么东西： sqlmap -u "http://192.168.1

靶机下载地址：https://www.vulnhub.com/entry/dc-5,314/ nmap –sS –sV –p- -T5 192.168.49.19 dirb 跑一下目录 都是常规页面 但是这个footer.php每次访问都不一样 碰巧发现thankyou.php每次访问也不一样 此处应该存在一个文件包含,把footer.php包含了进来 我们用wfuzz模糊测试一下，找到file参数（后台真要这种设计就离谱，） 尝试包含/etc/passwd 写一段shell到url里 然后包含日志 在kali上已经连上了 下载提权脚本LinEnum运行 其中的screen-4.5.0是有漏洞的 看了师傅们的wp，他用的提权脚本里是吧screen-4.5.0高亮了的，但是我没找到他用那个脚本 我们可以在漏洞库中找到EXP EXP的代码直接执行报错了没成功 手动执行 在kali上复制第一段代码并编译 复制第二段代码并编译 然后手动执行 来源： CSDN 作者： MMMy5tery 链接： https://blog.csdn.net/weixin_46128614/article/details/104037480

靶机下载地址https://www.vulnhub.com/entry/prime-1,358/ nmap -sS -sV -p- -T5 发现只开了22和80那就从80入手吧 浏览器访问 主页除了一张图片啥都没有 dirb扫描目录发现了/wordpress目录和一些其他的页面 其中的image.php,secret.txt都不是默认字典有的，问了几个师傅，说做多了就有经验了，关键字典要自己扩充） wpscan只发现了一个用户victor image.php和主页一样只有一张图 看看dev和secret.txt dev secret.txt 提示让我用fuzz模糊测试在某个页面中找到某参数=location.txt 使用wfuzz在index.php找到了file参数 进入http://192.168.49.18/index.php?file=location.txt得到进一步提示 提示让我们在其他的页面上使用secrettier360参数 继续fuzz 在image.php页面发现了dev 进去看 发现这里直接包含了dev，是一个文件包含 我们包含/etc/passwd 包含这个路径，得到密码 加上前面用wpscan扫描出来的用户victor victor:follow_the_ippsec登录wp后台 进入后台后直奔Theme Editor

文章目录 介绍 前期准备工作 获取User权限 收集信息 提权 收获 介绍 Hackthebox的resolute靶机操作系统为 windows ，之前没有接触过windows系统的渗透，不过在大佬的帮助和提示下还是拿到了flag，收获颇丰。 通过此次渗透可以学习到： 1. rpcclinet 工具的使用 2. enum4linux 工具的使用 3.windows系统渗透大体 思路 。 4. nc.exe 工具的使用 5. msfvenom 工具的使用，进而接触到了 veil ， veil 生成的exe文件360有概率不报毒，拿到windows权限后可以在Kali上截屏拍照开启摄像头，专门对付骗子的社工神器有木有（此事以后再议） 6. DnsAdmin 用户权限的漏洞 7.快速搭建 smb 服务器技能 8. hydra 工具的使用 前期准备工作 1.改hosts文件,扫描端口， nmap -A resolute > port ，这里要注意，这是nmap 快速扫描 模式，有些端口可能扫不到，如果快速扫描扫出来的端口没有突破口，应尽量使用 -p 参数。比如redis和winrm的端口有时是扫不到的，必须使用 -p 参数进行 指定端口 扫描。 root@kali:~/Hackthebox/resolute # cat port Starting Nmap 7.80 ( https:/

利用MSF渗透测试框架实现蓝屏： 实验环境： 攻击机：kali Linux 靶机：Windows 2007或Windows server 2003 1、进行nmap探测保证受害者开启远程桌面服务（RDU）（端口号：3389），也可以用计算机远程连接试一试。如： 探测结果： 2、进入攻击机——kali linux打开msfconsole 3、打开后进行漏洞模块扫描： search ms12-020 #如下图： 4、通过查询我们可以看到有几个模块，通过： use auxiliary/dos/windows/rdp/ms12_020_maxchannelids #进入模块，语法结构：use 模块 我们通过：show options #查询模块里面的参数： set rhosts 受害者ip #设置受害者ip地址： rhosts #受害者ip rhport #目标端口 可以通过：show options #查询模块里面的参数设置好没 5、使用exploit开始攻击。可以看到靶机蓝屏： 来源： CSDN 作者： 长锐 链接： https://blog.csdn.net/qq_41397071/article/details/104023981