- 1.1 nmap:
- 最常用的一种扫描
- -p 选项,只扫描指定的端口
- 只列举常见的,详细可参考官方文档
- 报文分段,mtu 必须是 8 的倍数
- 源 IP 欺骗
- 源端口欺骗
- 防火墙对服务器的设置会根据端口选择是否信任数据流
- 管理员可能会认为这些端口不会有攻击发生,所以可以利用这些端口扫描
- 在原来报文基础上,附加随机数据,达到规避防火墙的效果
- 指定一个随机的 MAC 地址
- 1.2 sqlmap:
- 1.3 Metasploit
- 1.4 burpsuite
- 1.5 Cobalt Strike
- 1.6 众多工具
- 2.1 Xsteam:
- 2.2 通达 OA_v11.7 远程执行代码漏洞:
- 2.3 CNVD-2021-14536 锐捷 RG-UAC 统一上网行为管理审计系统信息泄露漏洞:
- 2.4 Apache Solr 全版本任意文件读取 (尚未定义 CVE 编号):
- 2.5 Laravel Debug mode RCE CVE-2021-3129
- 2.7. CVE-2020-0688_微软 EXCHANGE 服务的远程代码执行漏洞复现
- 2.8 Coremail 历史漏洞合集
- 2.9 apache Shiro 权限绕过漏洞分析 (漏洞编号: CVE-2020-11989)
- 2.10 Apache 历史漏洞合集
- 2.11 Tomcat 信息泄漏和远程代码执行漏洞
- 2.12 weblogic 历史漏洞合集
- 2.13 jboss 历史漏洞合集
- 2.14 Redis4.X 远程代码执行分析
- 2.15.Redis 历史漏洞合集
- 2.16 MySQL 提权
- 2.17 SQL Server 命令执行总结
写在前面
最近几年,随着大数据、物联网、云计算等各种类型的网络服务快速发展,网络攻击从一开始的企业逐渐伸向国家机构,同时国家的关键基础建设,譬如说银行,交通,政府,教育,医院,运营商,也面临着无形的威胁。
而在这种网络安全的情况下,公安部组织了网络安全攻防演习活动 “护网行动”,并定期举行。面对复杂的国际形势,各大小企业派出攻击队和防守队,简称红队蓝队,做出了充分的准备。
网络安全就是国家安全,解决网络安全的关键不是硬件,也不是软件,而是出自于他们之手的网络安全人才,所以加快培养网络安全人才才是解决网络安全问题的关键。
编辑: Aaron
红队
在被授权的情况下对目标业务系统发起攻击,以达到发现系统漏洞的目的。
通过近期的漏洞搜索以及搜集,作出了以下的汇总,大部分来自于网络,以下的分析属于个人见解,如有疏漏欢迎指出,因时间有限,所以大部分只是基础。
目录:
- 常用工具
1.1 nmap
1.2 sqlmap
1.3 metasploit
1.4 burpsuite
1.5 Cobalt Strike
1.6 开源工具集
- 近期漏洞 / 常用漏洞
2.1.xsteam
2.2. 通达 OA
2.3.CNVD-2021-14536
2.4. Aapche Solr
2.5 Laravel Debug Mode Rce
2.6 apache druid console 远程命令执行
2.7 cve-2020-0688
2.8 coremail 历史漏洞合集
2.9 apache shiro 权限绕过
2.10 apache 历史漏洞合集
2.11 tomcat 信息泄露和远程代码
2.12 weblogic 历史漏洞合集
2.13 jboss 历史漏洞合集
2.14 redis4.x 远程代码执行分析
2.15 redis 历史漏洞合集
2.16 mysql 提权
2.17 SQL Server 命令执行总结
———(以下内容等待更新)——-
权限提升
权限维持
日志处理
1.1 nmap:
下载地址: https://nmap.org/
Nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的网络探测和安全审核的工具,支持在 Windows、Unix/Linux 以及 MAC OS 平台下运行。它的设计目标是快速地扫描大型网络,当然用它扫描单个主机也没有问题。
基础知识:
Nmap 将端口分为 6 个状态:
open(开放的),
closed(关闭的),
filtered(被过滤的),
unfiltered(未被过滤的),
open|filtered (开放或者被过滤的),
closed|filtered(关闭或者未被过滤的)
常用语法:
nmap [ < 扫描类型> …] [ < 选项> ] { < 扫描目标说明> }
example :
nmap -T4 -A -v -Pn IP
最常用的一种扫描
-T4 #设置时序,越高扫描越快
-A #启用操作系统检测,版本检测,脚本扫描和跟踪路由
-v #增加详细级别(使用-vv 或更高级别以获得更好的效果)
-Pn #无 ping 扫描
指探测选项:
-n 指不对活动的 IP 地址进行反向域名解析,用以提高扫描速度
-R 指对活动的 IP 进行反向域名解析
-O #启用操作系统检测
-sV #探测服务版本信息
-v #增加详细级别(使用-vv 或更高级别以获得更好的效果)
—script=script_name #使用 nse 脚本
端口扫描:
Example:
nmap -p 1-65535 192.168.0.8
-p 选项,只扫描指定的端口
只列举常见的,详细可参考官方文档
-sT #TCP 连接扫描
-sS #SYN 扫描
-sU #UDP 扫描
-sA #ACK 扫描
-sF #FIN 扫描
nmap -f —mtu=16 192.168.0.8
报文分段,mtu 必须是 8 的倍数
nmap -sI www.0day.com:80 192.168.0.8
源 IP 欺骗
nmap —source-port 53 192.168.0.8
源端口欺骗
防火墙对服务器的设置会根据端口选择是否信任数据流
管理员可能会认为这些端口不会有攻击发生,所以可以利用这些端口扫描
nmap —data-length 30 192.168.0.8
在原来报文基础上,附加随机数据,达到规避防火墙的效果
nmap —spoof-mac 0 192.168.0.8
指定一个随机的 MAC 地址
参考:
https://wiki.wgpsec.org/knowledge/tools/nmap.html
1.2 sqlmap:
sqlmap 是一个开源的渗透测试工具,可以用来进行自动化检测,利用 SQL 注入漏洞,获取数据库服务器的权限。
下载地址:
https://github.com/sqlmapproject/sqlmap.git
sqlmap 支持市面上大部分主流的数据库: 譬如: MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase 和 SAP MaxDB
sqlmap 支持五种不同类型的注入方式:
基于布尔的盲注,即可以根据返回页面判断条件真假的注入;
基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;
基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中;
联合查询注入,可以使用 union 的情况下的注入;
堆查询注入,可以同时执行多条语句的执行时的注入。
由于参数过多并且详细, 请在公众号后台回复: sqlmap 脑图, 后台将自动回复 sqlmap 脑图.
参考: XBX__白细胞安全团队
1.3 Metasploit
Metasploit, 简称 msf, 使用这个工具可以快速的帮你找到可利用的 poc 和验证目标是否有该漏洞。
下载地址:
https://github.com/rapid7/metasploit-framework
快速开始:
在 kali linux 系统自带 metasploit, 只需要在 terminal 中输入 msfconsole 即可。
1.3.1 Metasploit 使用漏洞类型: 在 metasploit 当中, 所有的漏洞分为两种类型: 主动和被动.
主动利用: 利用特定的主机, 运行直至完成, 然后退出.
被动利用: 等待反弹 shell, 集中在 web 服务器或 FTP 等客户端上, 同时也可以搭配 email 一起使用, 等待连接.
1.3.2 payload
payload 又称为攻击负荷, 主要是用来建立目标机与攻击机稳定连接的, 可以返回 shell, 也可以执行程序注入等.
payload 有三种类型:
singles: 称为独立载荷, 可以植入目标系统并执行相应的程序;
stagers: 传输器载荷, 用于目标机与攻击机之间建立稳定的网络连接大致分为 bind 型和 reverse 型, bind 型是需要攻击机主动连接目标端口的; 而 reverse 型是目标机会反连接攻击机, 需要提前设定好连接攻击机的 ip 地址和端口号。
stages: 传输体载荷如 shell,meterpreter 等。在 stagers 建立好稳定的连接后,攻击机将 stages 传输给目标机,由 stagers 进行相应处理,将控制权转交给 stages。比如得到目标机的 shell,或者 meterpreter 控制程序运行。这样攻击机可以在本端输入相应命令控制目标机。
1.3.4 常用命令:
background: 会将当前的 Meterpreter 会话发送到后台并返回到 msf 提示符, 要回到 Meterpreter 会话, 只需使用 background 命令再次与它交互;
cat: 与 linux 使用方法一致, 显示文件内容;
cd : 与 linux 使用方法一致, 切换目录;
pwd: 与 linux 使用方法一致, 查看当前目录;
clearev: 清除 windows 系统上的应用程序, 系统和安全日志;
download: 从远程机器下载文件;
edit: 打开位于目标主机上的文件;
execute: 在目标机上运行一个命令;
getuid: 显示主机上运行的用户;
idletime: 显示远程机器上用户号空闲的秒数;
ipconifig/ifconfig: 显示目标机器上的网络接口和地址;
lpwd: 显示本地目录;
lcd: 切换本地目录;
ls: 与 linux 使用方法一样, 列出当前目录下所有文件;
15: ps: 与 linux 使用方法一样, 显示目标正在运行的进程和列表;
- shell: 提供目标系统上标准的 shell;
17: upload: 上传文件命令;
webcam_list: 显示目标机器上当前可用的网络摄像头;
webcam_snap: 从目标系统上已连接的网络摄像头抓取图片,并将其保存为光盘上的 JPEG 图像.
1.3.5 模块划分:
辅助模块 (Auxiliary,扫描器),扫描主机系统,寻找可用漏洞;
渗透攻击模块 (Exploits),选择并配置一个漏洞利用模块;
攻击载荷模块 (Payloads),选择并配置一个攻击载荷模块;
后渗透攻击模块 (Post),用于内网渗透的各种操作;
编码器模块 (Encoders),选择编码技术,绕过杀软(或其他免杀方式);
所有模块位置:/usr/share/metasploit-framework/modules/
使用命令:
search xxx #搜索某个漏洞
use xxx #使用某个漏洞利用模块
show options #查看配置选项
set payload #配置攻击载荷
exploit #执行渗透攻击
1.4 burpsuite
Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对 web 应用的渗透测试和攻击。
由于 Burpsuite 属于 GUI 界面, 需要用到的图文较多, 具体请参见《burpsuite 实战指南》:
https://t0data.gitbooks.io/burpsuite/content/
1.5 Cobalt Strike
Cobalt Strike 是一款渗透测试神器,常被业界人称为 CS 神器。Cobalt Strike 已经不再使用 MSF 而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
由于 CS 也是属于图文,以下推荐几个链接供你们参考:
来自知道创宇的 CS4.0 手册
https://paper.seebug.org/1143/
来自一个博客博主
http://blog.leanote.com/post/snowming/62ec1132a2c9
并且在公众号后台回复 “CS” 便会返回 CS4.0 实战手册!
1.6 众多工具
以下是我搜集的在 github 上开源的一些工具,仅供大家在合法的情况下使用,如用于非法途径,本文作者一律不负责。
1.6.1:HackBrowserData:https://github.com/moonD4rk/HackBrowserData
hack-browser-data 是一个解密浏览器数据(密码|历史记录|Cookie|书签 | 信用卡 | 下载记录)的导出工具,支持全平台主流浏览器。
1.6.2:关于绕过的一些姿势(英文):https://github.com/daffainfo/AllAboutBugBounty
1.6.3:K8tools: https://github.com/k8gege/K8tools
1.6.4: shiro 反序列化漏洞综合利用: https://github.com/j1anFen/shiro_attack
项目基于javafx,利用shiro反序列化漏洞进行回显命令执行以及注入各类内存马
1.6.5:webshell 收集项目: https://github.com/tennc/webshell
1.6.6: 冰蝎-二进制加密网站管理工具: https://github.com/rebeyond/Behinder
1.6.7:vulmap - 一款 web 漏洞扫描和验证工具: https://github.com/zhzyker/vulmap
1.6.8:php-webshell 收集项目: https://github.com/JohnTroony/php-webshells
1.6.9: 中国菜刀: https://github.com/raddyfiy/caidao-official-version
1.6.10: 哥斯拉: https://github.com/BeichenDream/Godzilla
1.6.11: 中国蚁剑: https://github.com/AntSwordProject/antSword
1.6.12: 美杜莎: https://github.com/Ascotbe/Medusa
1.6.13:TPscan-thinkphp 漏洞扫描工具: https://github.com/Lucifer1993/TPscan
1.6.14: WeblogicScan - 收录几乎历史 weblogic 所有漏洞: https://github.com/rabbitmask/WeblogicScan
1.6.15: weblogicscan 增强版https://github.com/dr0op/WeblogicScan
1.6.16: 子域名爆破枚举脚本:https://github.com/lijiejie/subDomainsBrute
1.6.17: massscan 端口扫描:https://github.com/robertdavidgraham/masscan
1.6.18: 目录扫描: https://github.com/danielstjules/dirmap
1.6.19: 目录扫描: https://github.com/maurosoria/dirsearch
1.6.20: 子域名查询工具: https://github.com/n4xh4ck5/N4xD0rk
1.6.21: web 应用安全扫描框架: https://github.com/Arachni/arachni.git
1.6.22: 自动化检测页面是否存在 XSS/CSRF:
https://github.com/BlackHole1/autoFindXssAndCsrf
1.6.23: 尝试找出 cdn 下的真实 ip:https://github.com/3xp10it/xcdn
1.6.24: 常规 CMS 指纹识别: https://github.com/n4xh4ck5/CMSsc4n
1.6.25: web 端在线漏洞扫描: https://github.com/Skycrab/leakScan
1.6.26: webshell 检测工具:https://github.com/emposha/PHP-Shell-Detector/
1.6.27: webshell 扫描工具 (py2): https://github.com/emposha/Shell-Detector
1.6.28: java 反序列化利用工具集: https://github.com/brianwrf/hackUtils
1.6.29: xray - 安全评估工具: https://github.com/chaitin/xray
1.6.30: 一键调用 subfinder+ksubdomain+httpx:
https://github.com/Mr-xn/subdomain_shell
1.6.31: windows 提权项目: https://github.com/Ascotbe/Kernelhub
1.6.32: 信息收集工具:https://github.com/wgpsec/DBJ
(不断更新)
感谢以上开源开发者的努力,为网络安全界作出奉献!
近期爆出了很多的漏洞,有来自 Microsoft 的,也有常见的 cms,还有锐捷管理界面爆出的漏洞,以下将目前所收集到的汇总如下:
2.1 Xsteam:
CVE-2021-21341: 拒绝服务漏洞
攻击者可以操纵已处理的输入流,并替换或注入一个 ByteArrayInputStream(或其子类),这可能导致一个无休止的循环,从而造成拒绝服务攻击。
CVE-2021-21342: 服务端请求伪造漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,导致服务端请求伪造。
CVE-2021-21343: 任意文件删除漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而可以删除本地主机上的任意文件。
CVE-2021-21344: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21345: 代码执行漏洞
攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。
CVE-2021-21346: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21347: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21348: 拒绝服务漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,导致执行恶意正则表达式的计算,从而造成拒绝服务攻击。
CVE-2021-21349: 服务端请求伪造漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。
CVE-2021-21350: 代码执行漏洞
攻击者可以操纵处理后的输入流并替换或注入对象,从而导致任意代码执行。
CVE-2021-21351: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
影响版本:Xstream:Xstream: <= 1.4.15
2.2 通达 OA_v11.7 远程执行代码漏洞:
具体复现过程参见https://mp.weixin.qq.com/s/6qxSzypbmtvG6HLSHZ-vZg
2.3 CNVD-2021-14536 锐捷 RG-UAC 统一上网行为管理审计系统信息泄露漏洞:
具体复现过程:
FOFA 搜索语句:title=”RG-UAC 登录页面”
Quake 空间测绘搜索语句:title:”RG-UAC 登录页面” AND response:”admin”
打开任意一个页面,F12 打开页面源代码,使用快捷键 ctrl+F 查找关键字 password
便可发现 MD5 加密的超级管理员密码 (升级后则无法找到). 使用 MD5 解密后, 在界面登陆即可进入后台.
2.4 Apache Solr 全版本任意文件读取 (尚未定义 CVE 编号):
link:https://mp.weixin.qq.com/s/57Mp_zGezdb3ilY08vW0Qw
2.5 Laravel Debug mode RCE CVE-2021-3129
Aaron,公众号:从 200 到 404《Laravel Debug mode RCE CVE-2021-3129》漏洞复现
2.6. Apache Druid Console 远程命令执行漏洞
Aaron,公众号:从 200 到 404【漏洞通报】Apache Druid Console 远程命令执行漏洞
2.7. CVE-2020-0688_微软 EXCHANGE 服务的远程代码执行漏洞复现
link: https://xz.aliyun.com/t/7321
2.8 Coremail 历史漏洞合集
link:https://sploitus.com/?query=Coremail#exploits
2.9 apache Shiro 权限绕过漏洞分析 (漏洞编号: CVE-2020-11989)
复现过程及分析: https://xz.aliyun.com/t/7964
2.10 Apache 历史漏洞合集
link:https://sploitus.com/?query=Apache#exploits
2.11 Tomcat 信息泄漏和远程代码执行漏洞
漏洞编号: CVE-2017-12615/CVE-2017-12616
link:https://xz.aliyun.com/t/54
2.12 weblogic 历史漏洞合集
link: https://sploitus.com/?query=weblogic#exploits
2.13 jboss 历史漏洞合集
link:https://sploitus.com/?query=JBoss#exploits
2.14 Redis4.X 远程代码执行分析
link: https://xz.aliyun.com/t/5616
2.15.Redis 历史漏洞合集
link: https://sploitus.com/?query=redis#exploits
2.16 MySQL 提权
CVE 编号:
CVE-2016-6662
CVE-2016-6663
CVE-2016-6664
影响范围:
Mysql 小于 5.5.51 或小于 5.6.32 或小于 5.7.14 及衍生版本
复现过程:
2.17 SQL Server 命令执行总结
link: https://xz.aliyun.com/t/7534
< 未完, 持续更新>
若有收获,就点个赞吧
0 人点赞
