W1R3S 1.0.1 - nmap_hydra精讲
「红队笔记」靶机精讲:W1R3S 1.0.1
快速主机发现
nmap -sn 10.10.10.0/24
nmap TCP扫描
sudo nmap -sT –min-rate 10000 -p- 10.10.10.21 -oA nmapscan/ports
-sT: 完整TCP连接(可以放到下面)
-sS: (默认)仅SYN,可能被防火墙拦截
–min-rate 10000: 最少同时发包个数
-p-: 扫描全部65535个端口
-oA: 输出参数到文件
总结
-sT解决准+隐蔽性
–min-rate隐蔽性和速度的平衡
nmap输出文件
*.gnmap; *.nmap; *.xml
*.gnmap已被弃用
*.nmap与命令行输出一样
端口提取
ports=${grep open nmapscan/port.nmap | awk -F’/‘ ‘{print $1}’ | paste -sd ‘,’}
讲解
awk -F指定分隔符,并输出第一列
paste -s代表输出到单行,-d指定输出分隔符
echo $ports 查看变量
详细扫描
sudo nmap -sT -sV -sC -O -p[补全] 10.10.10.21 -oA nmapscan/detail
-sV: 探测服务版本
-sC: 使用默认探测脚本
-O: 探测操作系统版本
-p: 指定端口,输入$ports按tab会把变量的具体值读取出来
UDP扫描
sudo nmap -sU –top-ports 20 10.10.10.21 -oA nmapscan/udp
结果中open|filtered代表可能是过滤掉了,存疑的
默认脚本扫描
sudo nmap –script=vuln -p[补全] -oA nmapscan/vuln
总结:nmap的四大扫描及流程
- 完整端口扫描
- 详细信息扫描
- UDP扫描
- nmap漏洞脚本扫描
- IPv6
攻击面分析,确定初步的渗透优先级和策略
渗透
ftp
ftp [IP]
匿名登录用户名: anonymous or ftp
二进制登录: binary
帮助: ?
关闭交互式提示: prompt
下载多个文件: mget *.txt
可疑hash辨认
kali: hash-identifier
md5解码
vi md5.hash
john md5.hash 或搜索 md5 crack
md5编码
echo -n ‘’ | md5sum
base64解码
echo “” | base64 -d
-d: 指定解码
base64识别
1 | |
小工具
rev: 字符串前后顺序的调整
mysql
mysql -h 10.10.10.21 -u root -p
80端口
目录爆破可使用gobuster
wordlist: /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
寻找公开漏洞
searchsploit: 搜索exploit-db(kali公司产品)数据库的本地拷贝
searchsploit [keyword] -m 25971
下载
传递参数
使用BurpSuite或命令行curl
curl –data-urlencode ‘’ [url]
通过POST方式传递
passwd解析
每一条用户数据的第二段都是x,证明密码是以哈希的方式存在shadow文件中
john shadow
ssh登陆后
whoami: 当前账户
id: 查看是否有sudo
uname -a: 查看操作系统情况
sudo -l: 查看当前用户有哪些系统级权限
Bonus
爆破SSH
构造用户信息
vim user.list
hydra -L user.list -P /usr/share/wordlists/rockyou.txt ssh://10.10.10.21 -t 4
-L: 用户名列表
-P: 密码表,示例适用于HTB、Vulhub
-t: 线程数