2011/09/09 19:34

POST EXPLOITATION COMMAND LISTS

2011/09/09 19:34 in 모의해킹 (WAPT)

I've had a private list of commands that I run on Windows or Linux when I pop a shell, as I'm sure most pentesters do. It isn't so much a thing of hoarding as much it is just jumbled notes that are 'not worth posting'

Well, I made two (now 3) public google docs (anyone can edit) *don't be a dick clause

Linux/Unix/BSD Post Exploitation:

https://docs.google.com/document/d/1ObQB6hmVvRPCgPTRZM5NMH034VDM-1N-EWPRz2770K4/edit?hl=en_US

Windows Post Exploitation:

https://docs.google.com/document/d/1U10isynOpQtrIK6ChuReu-K1WHTJm4fgG3joiuz43rw/edit?hl=en_US

and newly added OSX Post Exploitation:

https://docs.google.com/document/d/10AUm_zUdAQGgoHNo_eS0SO1K-24VVYnulUD2x3rJD3k/edit?hl=en_US

Both have filled out A LOT since I first posted them but if you have that one trick command you'd like to share or just want to copy/print the list for your own uses, thats fine too. I plan to keep these publicly editable as long as people obey the DBAD clause.

If you don't know any cool commands but happen to be a tech writer and can make it look beautiful, then great! Please do. There are tables at the bottom that I want to move everything to, or something like it, but if you can do it better...

Anyways, look forward to seeing how this thing grows.

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Posted by 날으는물고기

bsd, command, hi.pe.kr, Linux, OSX, Post Exploitation, unix, Windows, 모의해킹, 물고기

Trackback 0 Comment 0

2011/04/19 11:01

윈도우 커멘드라인 명령 패킷 스니퍼 RawCap

2011/04/19 11:01 in 네트워크 (LAN,WAN)

RawCap is a free command line network sniffer for Windows that uses raw sockets.

Properties of RawCap:

Can sniff any interface that has got an IP address, including 127.0.0.1 (localhost/loopback)
RawCap.exe is just 17 kB
No external libraries or DLL's needed other than .NET Framework 2.0
No installation required, just download RawCap.exe and sniff
Can sniff most interface types, including WiFi and PPP interfaces
Minimal memory and CPU load
Reliable and simple to use

Usage

You will need to have administrator privileges to run RawCap.

F:\Tools>RawCap.exe --help

NETRESEC RawCap version 0.1.2.0
http://www.netresec.com

Usage: RawCap.exe <interface_nr> <target_pcap_file>

0.     IP        : 192.168.0.17
        NIC Name  : Local Area Connection
        NIC Type  : Ethernet

1.     IP        : 192.168.0.47
        NIC Name  : Wireless Network Connection
        NIC Type  : Wireless80211

2.     IP        : 90.130.211.54
        NIC Name  : 3G UMTS Internet
        NIC Type  : Ppp

3.     IP        : 192.168.111.1
        NIC Name  : VMware Network Adapter VMnet1
        NIC Type  : Ethernet

4.     IP        : 192.168.222.1
        NIC Name  : VMware Network Adapter VMnet2
        NIC Type  : Ethernet

5.     IP        : 127.0.0.1
        NIC Name  : Loopback Pseudo-Interface
        NIC Type  : Loopback

Example: RawCap.exe 0 dumpfile.pcap

An alternative to supplying the interface number is to supply the IP address of the prefered interface instead, i.e. like this:

RawCap.exe 192.168.0.17 dumpfile.pcap

Interactive Console Dialog

You can also start RawCap without any arguments, this will leave you with an interactive dialog:

F:\Tools>RawCap.exe
Network interfaces:
0.     192.168.0.17    Local Area Connection
1.     192.168.0.47    Wireless Network Connection
2.     90.130.211.54   3G UMTS Internet
3.     192.168.111.1   VMware Network Adapter VMnet1
4.     192.168.222.1   VMware Network Adapter VMnet2
5.     127.0.0.1       Loopback Pseudo-Interface
Select network interface to sniff [default '0']: 1
Output path or filename [default 'dumpfile.pcap']:
Sniffing IP : 192.168.0.47
File        : dumpfile.pcap
Packets     : 1337

Raw sockets limitations in Vista and Win7

Due to current limitations in the raw sockets implementations for Windows Vista and Windows 7 we suggest running RawCap on Windows XP. The main problem with raw socket sniffing in Vista and Win7 is that you might not receive either incoming packets (Win7) or outgoing packets (Vista).

Download RawCap

You can download RawCap.exe here.

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Posted by 날으는물고기

command line, console, hi.pe.kr, Interface, network sniffer, PPP, RawCap, WiFi, Windows, 네트워크, 물고기, 윈도우, 패킷덤프

Trackback 0 Comment 0

2011/04/16 09:51

Windows XP DEP(데이터 실행 방지)

2011/04/16 09:51 in 운영체제 (L,B,WIN)

데이터 실행 방지 이해

데이터 실행 방지(DEP)를 사용하면 Windows 및 다른 프로그램만이 사용해야 하는 메모리 위치에서 악성 코드를 실행하는 바이러스와 다른 보안 위험의 공격으로부터 컴퓨터를 안전하게 보호할 수 있습니다. 이러한 유형의 위험은 프로그램이 사용하고 있는 하나 이상의 메모리 위치를 차지함으로써 문제를 일으킵니다. 그런 다음 다른 프로그램, 파일 및 전자 메일 연락처에까지 확산되어 손상을 줍니다.

DEP는 방화벽이나 바이러스 백신 프로그램과는 달리 컴퓨터에 해로운 프로그램이 설치되는 것을 방지해 주지는 않습니다. 대신, 프로그램을 모니터링하여 시스템 메모리가 안전하게 사용되고 있는지 확인합니다. 이 작업을 수행하기 위해 DEP 소프트웨어는 단독으로 또는 호환 가능한 마이크로프로세서와 함께 작동하여 일부 메모리 위치를 "실행 불가능"한 것으로 표시합니다. 프로그램이 코드를 보호된 위치에서 실행하려 할 경우 DEP는 해당 프로그램을 닫고 사용자에게 알려 줍니다.

DEP는 소프트웨어 및 하드웨어에서 지원되는 기능입니다. DEP 기능을 사용하려면 컴퓨터에서 Microsoft Windows XP SP2(Service Pack 2) 이상 또는 Windows Server 2003 서비스 팩 1 이상을 실행하고 있어야 합니다. DEP 소프트웨어는 특정 유형의 악의적인 코드 공격을 막아 주지만 DEP가 제공하는 보호 기능을 충분히 활용하려면 사용자의 프로세서에서 "실행 방지"를 지원해야 합니다. 실행 방지는 하드웨어 기반의 기술로서 메모리 위치를 실행 불가능한 것으로 표시합니다. 사용자의 프로세서에서 하드웨어 기반 DEP를 지원하지 않는 경우 실행 방지 기능을 제공하는 프로세서로 업그레이드하는 것이 좋습니다.

DEP에서 닫은 프로그램을 다시 실행해도 안전합니까?

예. 하지만 해당 프로그램에 대해 DEP를 설정해 둔 경우에만 안전합니다. Windows는 보호된 메모리 위치에서 코드를 실행하려는 시도를 계속 감지하여 공격을 방지할 수 있습니다. DEP를 설정한 상태에서 프로그램이 올바르게 실행되지 않을 경우 소프트웨어 게시자로부터 해당 프로그램에 대한 DEP 호환 버전을 받아 보안 위험을 줄일 수 있습니다. DEP에 의해 프로그램이 닫힌 후 수행할 수 있는 작업에 대한 자세한 내용을 보려면 관련 항목을 클릭하십시오.

내 컴퓨터에서 DEP를 사용할 수 있는지 여부를 알 수 있는 방법

시스템 등록 정보를 열려면 시작, 제어판, 성능 및 유지 관리를 차례로 클릭한 다음 시스템을 클릭합니다.
고급 탭의 성능에서 설정을 클릭합니다.
데이터 실행 방지(DEP) 탭을 클릭합니다.

참고

기본적으로 DEP는 필수 Windows 운영 체제 프로그램 및 서비스에서만 설정됩니다. DEP를 사용하여 다른 프로그램을 보호하려면 데이터 실행 방지(DEP)를 사용자가 직접 선택한 항목을 제외한 모든 프로그램 및 서비스에 사용을 선택하십시오.

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional"
/Execute /fastdetect

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optout /fastdetect