weixin_74171325的博客

输入任意密码就可以 root 用户权限登陆，如果 root 用户被禁止登陆时，可以利用其他存在的用户身份登陆。查看日志文件:/var/log/auth.1og，发现这种方式下的登录跟正常登录下的情况不一样。最好放到tmp目录下，因为这个有权限执行（试过其他目录，有的不成功）创建后门普通用户提权，进行普通用户到root用户的权限维持。主要是记录本机外联的日志，就是本机去连其他机器的日志。是通过普通用户的提权进行权限维持。密码crazy可以登录。

Metasploit 框架提供了一个后渗透模块，可实现自动化地利用沾滞键的权限维持技术,该模块将用 CMD 替换辅助功能的二进制文件(sethc，osk，disp，utilman)用先前导出的注册表键值对注册表进行修改。则可以重新还原之前的匿名用户，但是除了在注册表里面有用户记录，其他地方都不存在用户的信息。2.将 administrator 用户对应的 Users 中的F值复制替换后门账户的F 值。替换系统工具的注销界面的工具为cmd.exe，我们可以替换成免杀的后门病毒，上线目标主机。

打包程序安装到自己电脑上。

GitHub - SecWiki/linux-kernel-exploits: linux-kernel-exploits Linux平台提权漏洞集合。切换到普通用户更改文件时的root用户瞬间，因为有的普通用户文件属主为root，是配置不当导致的。有ip了，可以连接ssh了。分配ip，ssh准备连接。

GitHub - SecWiki/windows-kernel-exploits: windows-kernel-exploits Windows平台提权漏洞集合。两个bat和一个powershell。powershell的执行命令。获取杀软名和安装目录。

dnscat2是一个DNS隧道工具，通过DNS协议创建加密的命令和控制通道，它的一大特色就是服务端会有一个命令行控制台，所有的指令都可以在该控制台内完成。包括:文件上传、下载、反弹Shell。

后台私信找我获取工具。

后台私信获取弹药库工具reGeorg。

后台私信可获取弹药库。

需要用到frp这款工具，后台私信我获取。

看到后台网页首页的源代码，如果有php一句话就开始尝试，没有就直接手动添加。该路径存在sql注入漏洞，利用sqlmap跑出账户和密码。因为他是在内网里面，配置socks流量转发代理。先上线再监听，因为这个是正向shell。

生成一个elf病毒,然后通过蚁剑进行wget远程传输，前面文章有提到各种文件传输方式Linux文件传输-CSDN博客文章浏览阅读271次。由于curl是访问，不带命令参数的话就是简单的访问远程目标文件，不会进行下载。这里我拿kali来演示，先创建个要传输的文件，然后python开启监听。

dirsearch,dirb,gobuster等工具都可以尝试。

想要我们的木马文件被下载，需要下载到我们的网站目录html下，然后通过开启80服务，可以让外部网络进行访问下载，由于python临时开启的http服务是普通的，这里是用不了，可以通过开启其他服务，例如apache。因为文件的上传目录需要权限，一般情况下都是上传windows的缓冲区temp目录下（C:\windows\temp\），其他目录没有权限，也是攻击者喜欢上传的地方。10000.exe是我们自己生成的病毒文件，这里我是msfvenom生成的。一次下载到路径下，另外一次请求下载到缓存里面。

由于curl是访问，不带命令参数的话就是简单的访问远程目标文件，不会进行下载。这里我拿kali来演示，先创建个要传输的文件，然后python开启监听。

Invoke-NinjaCopy，一个 Powershell脚本，能够通过获取卷的读取句柄并解析 NTFS 来复制NTDS.dit、注册表配置单元和位于 NTFS 卷上的任何其他文件。这不需要提升到 SYSTEM、注入到SYSTEM 进程或启动新服务/可疑程序。获取代码，将代码进行保存。

【代码】渗透测试——域管用户冒充备份域控获取ntds.dit。