内网渗透多级代理
https://www.wangan.com/p/7fygfyd53f978f3d
SMB服务
使用enum4linux进行信息收集:
enum4linux 192.168.190.164 -a
对smb进行爆破:
msf6 > use auxiliary/scanner/smb/smb_login
使用smbclient进行smb文件访问:
smbclient //192.168.190.164/smbshare -U albert
smb.conf为smb配置文件,其中可以看到对于我们正在访问的smbshare而言,有一个magic script,这个选项如果被设置了具体文件名,则Samba将在用户打开和关闭文件后立即运行该文件:
/etc文件
/etc/hosts文件是Linux系统上一个负责ip地址与域名快速解析的文件
优先级 : dns缓存 > hosts > dns服务
/etc/sudoers文件:当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限
讲解:root ALL=(ALL) ALL
root表示被授权的用户,这里是根用户;
第一个ALL表示所有计算机;
第二个ALL表示所有用户;
第三个ALL表示所有命令;
全句的意思是:授权根用户在所有计算机上以所有用户的身份运行所有文件。
%admin ALL=(ALL) ALL同上面一样,只不过被授权的成了admin这个组。
通用格式
/etc/sudoers的通用格式为:
user host run_as command
user:一位或几位用户,在/etc/group中可以用一个%代替它,组对象的名称一定要用百分号%开头。
host:一个或几个主机名;
run_as:作为哪个用户运行,常见选项是root和ALL
command:想让用户或组运行的一个或几个根级别命令。
例如:
hans ALL=(root) useradd,userdel
授权hans用户在所有计算机上以root身份运行useradd,userdel命令。
%smith ALL=(ALL) NOPASSWD:useradd,userdel
授权smith组全部成员在所有计算机上以所有用户的身份运行useradd,userdel命令;且运行时不必输入密码。
补充:使用su - 是为了同时切换shell环境
/etc/crontab文件
那么如果在/etc/crontab下有某个用户的定时计划文件,但是具体目录下没有这个定时执行的文件,可以自行创建反弹shell,然后netcat执行监听获取对应用户的权限。
Http服务
目录挖掘:
dirb http://test.driftingblues.box
ssh服务
hydra爆破:
-l用户名 -L用户名文件 -P字典文件
SSH服务是容易被攻击的,相应的就衍生出一系列保护SSH的方法:
1、端口变化,并加强配置
2、设置用户白名单
3、完全隐藏允许SSH访问的事实,要求根据特殊的“敲门”序列识别有效用户:https://zhuanlan.zhihu.com/p/43716885
第三种方法常使用的工具是knockd,它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中。
通过查看目标服务器运行进程看看是否开启了knockd: /proc/sched_debug中存放的是CPU的调度情况。
确定了目标服务器上运行了knockd以后,knockd的默认配置文件的位置在/etc/knockd.conf中:
可以看到knockd的序号是7469、8475、9842,安装knockd以后使用knock敲门后再用hydra进行爆破:
获得三对用户名和密码。
使用私钥文件登录(但是还要密码):
ssh -i id_rsa martin@192.168.31.95
图片隐写
steghide是一个隐写术软件,可以在图片、音频等文件里隐藏数据。steghide extract -sf [filename] 用于提取文件信息
rbash绕过
nfs服务
showmount查看nfs服务器共享信息,-e指定IP:
设置本地的挂接点:
进行挂载:mount [-t vfstype] [-o options] device dir(device 表示要挂接(mount)的设备,dir表示挂接点(mount point)。)
msf
searchsploit [name]用于查找相应漏洞
linux-exploit-suggester.sh
github上的用于枚举内核漏洞的
sqlmap
sqlmap -r sqlmap.txt用于指定request报文(在sqlmap.txt中)
whatweb
一款指纹识别工具
whatweb [域名]
wordpress
针对wordpress,有专门针对wordpress的wpscan工具。目前还是没有用户名和密码,那么首先可以使用wpscan枚举用户名:
wpscan --url http://wordy -e u
通过wpsacn也可以枚举插件(因为wordpress的漏洞很多情况下是出现在插件中的):
wpscan --url http://wordy --plugins-detection aggressive
nmap
nmap提权:
5.20版本后已经没有交互式了,需要用script来提权。
先写入一段脚本,然后通过nmap的--script进行执行,最终获得root权限并获取flag:
cewl
爬取url以生成字典文件
cewl [url] -w [filename]
