合天网络安全笔记-十六-
合天网络安全笔记(十六)
P78:第48天:内置工具横向移动 - 网络安全就业推荐 - BV1Zu411s79i
现在这边的话我们得到这样的一个,matter part的一个session,对啊,我们就可以去用到我们前面的一个,就是用它自带的这样的该系统的一个提示哦,我这边他是已经提过了,就是已经好,我这边不发了。
就已经有执行了这样子的一个操作,所以的话我这边是一个system的权限,就之前的话是一个管理员的权限,然后通过get system得到了这样子的一个,得到了这样子的一个system的权限。
那么我当前得到这个需要对吧,我们还我们可以去进行相应的一个信息收集,信息收集的一个东西的话,呃我这边话就不多说了,然后还有就是呃我们前面有说到的,获取当前主机的这样的一个哈希对吧,比如说然后的话。
根据这个哈希来去做一个解密对吧,放到解密网站去解密它,那么我们就能够去得到这样子的一个管理的,这个知道密码对吧,那么如果说我们存在上面所前面所讲的,这样一种情况对吧,他这边的这个管理员的账号密码。
也能够去登录到同一个网站的其他机器,那么我们就能够去通过我这边的这个机器的需,要,所得到的这个管理员的一个账号密码,来去登录到其他的一个机器对吧,那么自然的就能够去得到其他机器的,这样的一个shell。
以前还有其他这样的一个用户对吧,然后在这边的话是哈希尔呃,在后面的话还要去捡,就是呃通过我们这边得到一个哈希,来去进行一个横向移动,然后我在这边的话,我们,我们这边哈希dk得到的是它的一个哈希值,对吧。
如果说这个哈希值,我们呃就是我们这个哈希值的话,我们暂时对吧,暂时我们利用不了对吧,当然的话其实实际是可以去利用的,在后面的话去等,然后我们当前的话,我们就假设我们还利用两个,因为还没学嘛。
然后我们在这话,我们可以,啊这个的话我这边mini cat的话已经加载了,就是我们知道了呃,npc下面的话呃,有集成有这样子的一个mini cut的这样的模块对吧,然后的话我们在对话有这样子的一些命令。
可以去进行一个使用这些命令的话,我们可以利用它来去得到呃,当前主机的这样子的一个铭文的一个密码,像比如说我们进行一个第一个cabas,我们这边执行之后的话,你可以看到这边就是它返回了一些信息对吧。
然后这边的这些信息的话,我们可以看一下,就是呃在这边有dorm user,还有password,然后这话有像web的web的这样子的一个dm,然后的话优质的话是administrate。
然后密码的话是这样子的一个密码,就可以看到它是一个明文的密码对吧,然后还有的话就是像这样子一个delay域,dele的话,他这边的话有这样子的呃,1233个用户名对吧,然后这三个用户名它的一个名为密码。
我们在这边的话呃,直接通过这样的方法得到了,以及还有的话,大家可以去尝试其他的这样的一个命令,比如说这个没有得到对吧,那么我们可以尝试一下嗯,有时m s v m s,那么sv对吧,呃没有那么s s p。
然后在这的话得到了这样子的一个,管理账号的一个密码对吧,还有七了,还有呃这个y w d i g s的这样的一个命令,对吧,同样的跟前面的一个效果是一样的,那么我们在这边的话。
通过他的一个密码的一个获取对吧,我们得到了这样子的一个管理员账号的一个呃,用户名及密码,以及在这里的话,我们可以看到它是这样子的一个delay这个域啊,也就是说啊我们可以执行。
我们可以执行一下net view,然后呃以及前面的话,在这边net view的话就是列出当前的啊,在当前这个域下面有哪一些主机对吧,还有这边的d c p c web这三台主机对吧,那么。
我们在这的话我们能够去确定啊,就是我当前得到了这个机器,它是处于这个d类这个域当中的对吧,那么在这个域当中的话,它的一个管理员的一个呃,administry的这个用户有登录这个机器啊。
呃就是说这个d类域的这个管理的一个用户,我们知道呃,在这一个用户的话,我们他是预控预控上面的这样子的,一个用户是吧,然后这个预控上面的这个管理员的用户的话,他能够去登录到啊。
这一个域当中的其他的任何的一个主机,我们可以用通过这样子的一个啊账号密码,来去登录到这个预算中的其他的一个主机,以及包括预控,然后在这的话就是呃我们为我们在这边,为什么能够去获取到这个用户。
它的一个这样子的一个账号密码,账号密码呢就是说他的,就是说预控的,预控的这个管理员的一个用户,有趣登录到这个机器,有登录到这个机器的话,那么在这个机器当中的话,它就会有存储到。
有存储在这样子的一个账号密码,我们就能够去呃,获取到它的一个登录的一个凭证,那么在这边的话,我们得到了它的一个管理的一个账号密码对吧,也就是呃,满足了我们前面的这样子的一个条件对吧。
呃这一个对吧。
需要目标机器的一个管理那个账密码,因为我们当前所得到这个机器的啊,当然我这边是以这个啊这个域的这个用户对吧,那么呃其他的这样子的一些用户的话,我们也同样的也可以去啊进行一个呃登录对吧。
然后的话还有就是呃要开放这样子的两个端口,以及开启这样子的一个文件共享服务是吧,然后关于这一端口的一个开放的话,像windows 7的话,一般的话它默认它会开放这样的一个端口。
以及这样子的一个文件共享服务啊,然后如果你不确定的话,你可以通过就是端口扫描的话去去扫描,就是开放这样子的端口的呃机器对吧,然后的话在针对这些机器去进行这样子的一个,i p c的一个连接对吧。
那么在这边的话呃,我这边得到这个线,以及我在这边,我去通过一个内网的一个主机的一个存活对吧,主机存活的一个探测呃,前面同样的也介绍了。
然后的话我们在这边通过这个shell,进行内网主机存放的一个探测,探测到了有这样子的一个机器对吧。
就这一个机器,就是啊在同网段的这个呃,10。201的这一个机器对吧,那么在这个在这里的话,我们就可以尝试用这样子的一个i pc的一个,连接去呃,就是用我们前面所得到的一个管理那个账号,密码去进行。
去建立这样的一个i p c的一个连接。
嗯在这里我们先进入,需要对,好的,我们可以通过net来查看到当前的这样子的一个,i p c的一个零件,这边的话我之前有连接过好,这边它的一个状态是disconnect,也就是已经断开了。
也就是说明我这边的这个连接的话,已经就是已经断掉,那么我这边的话呃,首先需要把这个连接把它给delete掉,也是把它把这个连接上,啊这边原来这个连接做一个删除,因为呃就是说对同一个主机的话。
对同一个主机的一个i p c0 件的话,只能存在一个,然后这边呃delete这套的话我们net查看一下,已经没有了对吧,然后的话下面的话我们就可以通过net ar来去与,我们前面通过主机存活。
所探测到这个存活的一个主机对吧,来去进行一个零基,然后的话呃连接的一个方法就是。
就是这样子对。
干扰者加我们的一个用户名,然后的话后面的话接我们的一个密码,密码的话,就是我们前面所得到的这样子的一个啊,密码对吧,然后这边的话可以看到这边他说呃,我们的一个命令的话已经执行成功。
也就说明我们这边的一个零件它已经进去了,它的一个状态是ok的,比如说我们这边进行了这样的一个,i p c的一个连接,那么我们这边建立ipc连接之后的话,我们可以去啊,对远程的这个机器去做相应的一个呃。
去进行数据的交换,以及进行一个呃远程的一个访问是吧啊,远程访问的话就是我们,一般的话我们可以通过这样子的一个,像比如说电压来去访问远程主机的,这样子的一个呃c盘对吧,然后要去访问远程主机的这个c盘的话。
加了一个共享名的话,就这个c加啊c多了符号,然后我们回车回车之后的话,它返回的一个内容就是这边的呃,这个远程主机的一个c盘的一个内容啊,我们可以来在可以来这边确认一下对吧,就是我当前这个啊。
当前这一个这个盘的一个内容对吧,就是这边的这个机器啊,以及的话我们可以去进行一个呃,文件的一个上传以及下载啊,我们电上传下载的话,我们在这边可以说通过copy这一个命令,然后接我们的一个秉承的一个零件。
啊,这边的话我们是要去进行一个文件的一个上传,呃,我看一下,我这边的话就以这个呃,我这块就以这个b。text这个文件为逆转,然后我把这个文件把它给py到,我们的一个呃远程的一个主机上面。
具远程主机的一个c盘,下面的呃,就就就c盘吧,对吧啊,然后的话我们这边的话可以看到,它显示的就是已经有一个文件,已经被复制过去了是吧,然后我们可以来确认一下,你看到这句话,就有了这样子的一个b。
text的一个文件,以及的话我们想要去进行一个文件的一个下载,就是说把远程的这个机器上面的一个文件,把它给啊下载到我们的一个本地对吧,我们可以通过copy接我们的一个远程连接,c盘的c盘下面的。
这个五点ex一这个文件是吧,然后把它托给到我的当前的一个c盘好,可以看到这边的话呃,就是已经copy成功了,也就是我在当前的这个磁盘的话,就能够去找到,有这样子的一个59。1x一的一个文件是吧,啊。
原来的话它是没有的对吧,然后这边的这个590x的话,是我从远程的这个t上面呃,copy下来的,也就是下载下来的对吧,这个话就是进行这个ipc。
共享连接的一个使用了,以及的话我们可以查看目标主机的一个实践。
也可以通过next time,在这边的话它的一个这个主机,它的一个时时间是九点过五分啊。
九点钟呀,可以看到是这个对吧,怎么又又没有又没有同学提醒一下我呢,我这边话先下。
呃总休息的时间已经过了,那么中间它就不休息了,好吧,就i就大家看到的话,就是你看到,因为我这边讲到的话,我讲着讲着我不会注意持久对吧,大家可以提前一下,我好吧,我一般的话我这边讨论区这边的话。
我放在这边,我会我会看这边,我就是看大家会有没有什么问题啊,就是大家到了点的话,就是提前下好吧,就中间可以休息一会啊,我们继续吧,就。
前面我们这边的话对吧,我们可以去查看它的时间,通过这个next time是吧。
那么这边呢这个next time查看它的一个时间的话,在我们待会去讲那个mc的一个eight的时候,就是用这个editor a命令来去进行一个创建,定时任务的时候会去用吧,就是我们创建电池任的话。
我们需要去知道它的一个时间对吧,就是我们创建的这个电池任务,就是肯定是越短越好是吧,就是呃我们创建之后对吧,他到了到达那个时间,他就去执行了对吧,像比如说我这边才看到他的一个机器是呃,21。05对吧。
那么我就让他零六的时候,我就去执行他的这样子的一个,我的一个定时任务对吧,那么它执行了一个电池动画,就是执行到我的一个啊木马的,我,我就我这个号就能够去密码的,去接收到他的一个系统。
呃这边的话就是关于这个ib c连接的一个使用,然后下面的话就是呃给大家介绍一下,这一个s c h tasks,这个s c h text的话,它的一个作用就是允许管理去创建呃,删除查询修改。
然后的话运行我们本地或者远程系统上面的,这样的一个计划任务,就它一个作用就是呃创建计划任务,然后的话能够去运行的,而且的话他是能够去在远程的一个系统上面,去进行这样的一个操作,然后在这的话我们要去呃。
访问远程的系统上面的,这样去对远程系统上面的这样子的一个啊,电池任务做做相应的一个操作的话,我们就需要通过前面这边经营的这个,ip 4的连接,我们才能够去访问到远程的一个系统上面的,这个啊这个机器。
然后在这里它就是常用的这样子的一个命令,所以我们谈论的话就create,就是创建一个新的一个计划任务,然后以及delete就是删除,就是我们创建完之后的,以及他执行之后的话。
我们把我们的一个痕迹做一个删除啊,然后的话还有就是查询计划任务是吧,呃下面的话就是实际的我们呃结合就是ipc啊,就结合我们今年的这个ipc的一个远程连接,而去建立这样子的一个。
就是说在远程的一个机器上面,去建立这样的一个定时任务,然后的话呃,首先的话我们先通过这样的方法对吧,去建立这样的一个远程连接,呃,这边的话我们已经建立建立好了对吧。
我这边的话我就不操作了,清理完毕之后的话。
我们可以通过这样子的一个方法对吧。
去进行一个文件的一个写入啊,在这边文件的一个写入的话,我通过这个copy力量,把当前的这个机器上面的这个呃,我生成了一个后门,把它给copy到远程区上面的这个c盘的中轴下面,然后在这边的话。
我中间这边省略了相应的一个步骤。
就是说我当前的话,这个是一个msf服务器所在的一个机器对吧,然后的话我得到这个筛选绘画是这一个啊。
跳板机是这个跳板机的这个线对吧,然后的话我是我在这边去进行一个横向移动的。
话,是基于这个跳板机去进行一个移动的是吧。
那么我在这边的话,我在这边的话,我已经就是说能够去通过这个i p c的一个。
连接来去连接到这个机器对吧,那么我现在要去进行一个啊copy我的一个后门,copy到他的这样子的一个目录下面去对吧,那么我当前的话,我是在这边这个机器上面去操作对吧。
我这边是在他的这个机器的一个需要上面,所以的话我生成了这样子的一个呃马的话。
我需首先需要去上传到这个机器上面去,因为我这边所经历的这一个net user的一个文件。
共享的话是这一个机器,就是说我这边得到这个shell的这个windows机器。
与这个机器的一个建立的一个零件对吧。
也就是我这边要去啊,把我的一个码上传到这个机器上面。
然后的话再通过这边进行了一个共享连接,把啊我的一个马再把它上传到这个机器下面去。
然后所以的话在这边的话我中间有省略了,就是这样子的一个upload的一个操作对吧,就在metaverse下面的话,我们可以upload我们的一个文件对吧。
把它给上传到指定的一个目录下面去,然后我这话就是上传到这边的这个。
windows的一个探讨布,下面上传了这个59。1x一的这个样子的,一个后门,然后上传上去之后的话。
我再通过这边进行的一个t os来去进行,一个来去进行一个,呃后门的一个上传,然后我这边的话通过copy mini,把我这边的得到希尔的这个机器上面的,五九点x一这个后面把它上传到呃。
我要去横向移动的这一个201,这个机器的一个c盘目录下面,命拒绝一个命令的话,就像这样子啊,我们执行呃。
这边的话是因为我这边已经有了对吧,所以的话它提示我这边是不是要覆盖,override的话,就是复习对吧,我这边的话选择ps就是覆盖它,呃这边的话他报错了,这边的话是我这个复制化是没有成功。
就说他这边的话,我这边要去覆盖的这个程序,这个程序啊,它已经有被其他的一个进程所使用的,也就是他这个程序被占用了,那么他这边被占用的话,我在这边的话是删不掉的对吧。
可以看到就是说因为他已经被打开了嘛,所以的话我这边删不掉,也就是我这边覆盖了一个操作,覆盖不了是吧,他这边被占用的话,其实是因为这对话有运行,就我之前的一些需要,我这边把它给解除到,好我们再删删除对吧。
现在的话就已经可以删除了,然后其实实际的话其实实际操作的话就是。
我这边通过这个ping命令对吧,然的话我可以,传一个新的传上去,传上去之后的话,如果说他目标机器上面,他有这样的一个文件的话对吧。
而且他没有被占用的话,我就可以通过这样子的一个方法。
然后的话可以去进行一个覆盖对吧,比如说我yes对吧,可以去进行一个覆盖,也就是说我这边的话已经上传成功了。
上传到这个幕下面,那么我这边的这个码上传到了,你这个pc的这个机器上面去。
我们下一步的话要怎么做。
下一步的话就是通过我们这边鉴定这个零件。
来去进行一个呃电池任务的一个,来去进行一个定时任务的这样子的一个呃,安装以及开启了,然后具体的一个面的话,就是在这这里,就是通过这一个s c h task这个命令,然后的话create规则加边。
这边的话后面的一个选项的话呃,具体的这样子的一个电视logo的这个选项的话,大家可以去看一下这篇文,我今天忘记把预习内容加进去了,呃客户的话我再就整理一下,然后补充进去了,大家可以去看一下这篇文章。
以及其实你直接。
呃这边的话是,应该是我之前经历的一个电池的话,可以看到呃,他这边的话,我这边其实前面的话。
这个筛选的话已经都断掉了是吧,然后你可以看到这边又加了一个五九点x,因为我这边的话有我之前尝试的话,有添加了这样子的一个电池的话,然后他执行的一个程序的话,就是这个我所上传的这样子的一个目。
好在这句话只要报了一个时间。
我这边就能够去得到它的一个shell是吧,呃。
然后的话呃就是,刚刚说到了这个命令对吧,这个命令的一个具体的一个使用的话,大家可以就是找一个windows机器,然后你直接在。
在这个机器下面去查看它的一个具体的一个十,啊对吧,然后我这边的话我就不一的去介绍了。
我只介绍这边的我所用到的这样子的一个命令,好吧,好在这边的话呃,杠s的话就是连接我们的一个服务端嘛对吧,就是连接我们的一个远程的一个服务器,这个话就停我那个ip干掉的话,就加我们那个用户名。
然后干p的话注意的话就是这个用户名的话,如果是你是在域内的话,那么你就需要去加一个域名,然后干p的话就是ji我们的一个密码,然后干s c s c这边的话就是设置这边sc的话,有多个这样子的一个选项。
像比如说在这边的话嗯,诶,s 11,呃就是这边干sc的话就是设置我们的一个诶,这边怎么没有啊,啊算了,我知道了。
这边sc的话就是设置我们这边的一个,就是这个电池任务的一个间隔,就是有minute,minute的话就是分钟对吧,然后他这边的话就是表示频率就是每一分钟,好啊,以及还有的话有dai。
就是有daily有hours对吧,就是小时有有听对吧,就有隔多少天,以及隔多少分钟来去执行,我这边的一个电池任务对吧,干切的话就是我们的一个电池任务的一个名字,然后干tr的话就是我们要去啊。
就是定时之后的话,就是到了这个时间之后的话,我们要去执行的一个操作,我在这块就是到了这个时间的话,就每隔一分钟就去执行我这边的一个c啊,这边的一个59。11的这个程序啊。
嗯怎么复制。
呃命令的话就是像这样子,然后回车回车的话,呃,因为我这边的话,这边要等一下。
因为我这边的话,是在靶机里面对吧,就是我这边可以直接去查看,就并且大家好理解我这句话,我直接在这边查看,然后这边的话它创建的话,它需要一定的一个时间啊。
就是呃他这边去进行一个远程连接,去执行这样的操作的话,它其实有一个这样的一个过程啊,就是有一个认证的一个过程,就我们这样子的一个远程的这种操作的话,因为我们是在域内,它会有这样子的一个。
就是呃我们去访问这样子的去建立,远程零件的话,它会有这样子的一个呃一个认证啊对吧,呃域内的那个认证还没给大家讲啊,唉就是呃我们在域内的话,它是一个k格式的一个协议对吧,然后的话你域内的这个主机。
你要去互相的去远程的一个访问的话,它是需要啊,它是会通过这个cp的一个协议。
去进行一个访问是吧,那么这个cp协议的话,他呃,后面后面会给大家讲,后面,关于这个就是caps这个协议的话比较复杂,然后呃我这话就大概说一下,就是我这边其实前面也有书啊,就是也有题。
就可能大家话对这个没有什么概念的话,可能印象不深了,就我这边我这边的这个机器。
要去认证这个机器对吧,那我这边还是通过账号密码的一个。
方式去登录的,那么他是在域内,他域内的这种认证的话。
他首先会去向这个预控的这个服务器,发送一个发送请求。
它的一个请求的话,就是认证我这边的一个就是呃,认证我这边的这个账号密码对吧,能不能去以及能不能去访问到这个机器。
然后的话因为我们知道域内的所有的这个主机,它的一个用户密码的话。
它都是存放在我们的一个预控的,这个机器上面的对吧,那么你要去访问其他的一个机器,你的一个用户密码的一个认证的话,它是需要在域控上面去完成的对吧,他完成的就是说我这边的一个账号密码,我发送到预控当中。
然后的话告诉预控我要去访问哪一个机器,那么他会在那个数据库当中去查找到啊,这这访问这个机器的账号密码对吧,然后的话它会有这样子的一个匹配,如果匹配成功的话,就说明你可以去访问到。
就你能够去访问到这边的这个。
远程的一个机器对吧,然后在这里的话可以看到,我这边已经创建了这样子的一个text 2对,以及我在这边我创建完之后的话。
你可以看到在这边就得到了一个筛选,筛选13对吧。
是这个78。59的一个机器,也就是我这边的这个机器啊,对78。59的这个机器。
这个的话就是通过这个。
s c h tasks这个定时任务,然后我们这边建立这个定时任务的话,我们可以通过这样的一个命令去做一个删除。
对吧,就是我这边我电池任务,我是通过电池任务我去得了这个绘画的对吧,那我这个号我已经得到了,我这个定时问号,我可以去通过这样的方法删除掉,然后呃在这边需要去指定的话,就是delete这个选项。
也就是删除嘛,然后干签的话就是指定我们要去删除的一个,电池任务,然后这边的话是创建了一个,呃啊这边搞错了,这边是,这句话是通过杠时这个选项来去,指定我们的一个隐藏的这个机器啊,没写错啊,第。
怎么拒绝访问呢。
然后在这的话可以看到可以被删除的,就是可以删除的一个test。
然后这边的话应该是,啊这不是本来的名字,啊这边的话这边我不是的,这边我还要去鉴定一个连接。
就是这边的话可以去正常的删除的好啊。
我这边的话应该是就是说权限的一个问题,就是我这边我这边得到了他的一个那个那个shell。
它是一个system嘛是吧,然后的话呃在这边的话。
这个的话,用这个用这个在域内的这样子的一个用户,去进行这样的一个操作。
应该是没有问题的,就是不会有包这种权限,然后呃我这个话是因为我刚刚又退掉了,然后那个nt os那个连接断掉了,所以的话我再去进行这样的一个操作的话。
他这边就说access is dline就是不允许去访问,好正好我就,我就不理解了。
然后这边的话就是这个i p c加这个s c h,tasks好呃,第六个的话就是这个t就是前面也有说了,就是t跟这个s h task的话,它是同样的去管理我们的一个电池任务的对吧,那么在它的一个区别的话。
就是呃a t这个命令,它在windows server,2012等等,这种新版那个系统当中已经被弃用了,就是他不能够去使用这个at的一个命令。
然后我这边的话呃,我这边的话是没有问题的,因为它是一个2008的一个版本的一个windows server。
这个话是一个嗯,这个是win 7的一个机器,就是它使用nt这个命令的话是没有问题的,所以的话我们在这边,我们同样的也可以通过这个t的一个命令,去创建一个这样子的一个,去创建一个这样子的一个定时任务。
而这个的话就是我前面所创建的,这个就是a t e,然后他那个启动的一个程序,就是启动这个c的一个五九,然后他的个操作的一个,mini的话就像这样子啊,就是就这两条mini。
首先的话首先这句话就是next time,就是查看远程机器上面的一个实践是吧,然后你确定他远程机器上面的一个时间,我在这边我创建这个t定时任务的时候,我在这边设置时间的话,就设置离他最近的嘛对吧。
我需要立马去能够就能够得到一个呃,立马就能够去执行我这边的一个五九对吧,5900x一这个后门,然后得到他的一个系等的话,我这边,所以我这边的话就是加了一个时间的话,就是19。08对吧。
因为现在的话这边是19。07了,快对吧,就隔一分钟左右的时间,他就可以去执行我这边的一个电池任务,啊就是像这样子的一个效果,我这边电池创建了一个电池的话,它会在这样子的一个呃,07:08的时候去执行。
嗯我这边我就不我就不操作了。
因为我还要去建立这样的一个连接,哎还是操作一下吧。
啊已经进了这样子的一个那里啊,我这边的话。
我就我就没有在这一个mac下面去操作,我直接在这边吧,哎这边的话方便一点对吧。
然后其实呃在这边跟这边操作化是一样的是吧。
啊哈那诶,然后它的一个时间的话是2。34对吧,我这边的话就是336,然后可以看到在这边的话呃,又添加了这样子的a t2 对吧,他在9。36的时候,他会去执行,然后执行执行的一个程序的话。
就是这边这一个c一点五九。
那么我在这边的话可以看到对吧。
呃这个的话应该是到时间了对吧,整准点就是呃9。36的话,他这边的话,他就立马执行了这样子的一个电生物对吧,然后的话他准点执行之后的话。
我之前就能够去直接得到它的一个筛选规划,就这个筛选14。
这边的话是呃,这个i p c接加在这一个s c h task,加这个t啊,就是利用电池任务的一个方法,来去进行这样子的一个横向移动,好啊,我们就我们横向移动的一个目的对吧。
我们横向移动的一个目的就是去得到,就说在这一个同网段下面的,其他机器的一个需要绘画对吧,我们通过这样的一个操作的话,就呃达到了我们想要的一个目的是,然后第二的话就是i d c加这个sc sc的话。
前面我们有介绍的话,就是我们可以用它来去管理,我们的一个系统上面的一个服务是吧,能够去创建,能够去启动停止它的一个服务,然后这个s c v的话,它同样的支持远程的一个啊。
就是能够去控制我们远程机器上面的,这样子的一个服务,也就是说我们可以通过sc命令,就是说通过我们创建的这样子的一个呃,i p c的一个连接,然后的话我们可以通过sc命令,在远程的这个主机上面去呃。
创建这样的一个服务,然后的话再去启动它,因为我们得到的是就是我们这边得到的话,它是一个管理员的账号密码对吧,那么我们对应的得到它的一个权限的话,也是一个管理员的权限。
所以的话我们就能够有权限去执行这样子的,去启动这样子的一个test的一个服务,就不会说存在我们前面再去进行一个提前的时,候,我们一个普通用户的一个权限对吧,我们是没有权限去执行这样子的一个去重启。
这样的这样子的一个服务的啊,然后的话我们这句话,我们就能够去通过这样的一个方法啊,成功的去添加这样的一个test的一个服务,以及我们也可以通过就是sc,像我们这边的一个远程连接,然后qc来去查询去查。
去显示这边的指令服务的一个信息,比如说它的一个启动的一个类型对吧,以及它执行的一个呃这边的一个binary pathname是吧,这边的这个pathname的话。
其实就是我们这边所设置的这个啊bin path对吧,啊这个的话我就呃这个话比较简单,我就不演示了,好呃第三个的话就是这个w mc,当mc的话前面也有介绍的吧,就这个工具它的一个这个工具的话。
它同样的也能够去管理我们远程的,比如说去配置我们远程的这样子的一个服,然后呃具体的一个使用,就是说我们用这个w m i c去进行一个,横向移动的话,我们的一个思路的话就像这样子。
好在这边的话就是嗯这边w i m i c mini好干node,后面的话接我们的一个要去连接的这个主机,连接了一个远程主机,然后干user加我们的一段账号啊,刚password提我们的个密码对吧。
然后的话重点的话就是后面这一块就process called create,就说w m i c的话,他可以去进行一个进程的一个创建对吧,我们可以在命令当中啊,我们可以在命令行当中呃。
嗯是,对吧,我们在这边的话,我们可以通过这个process来去进行,就是通过w m i c来对process,也就是这个进程去进行一个管理,那么它进程管理的话,在这里我们可以去通过这样子的一个方法。
core来去创建一个进程,这边create的话就是呃创建一个进程了,现在这里的话可以接我们那个common common line,也就是我们的命令行的一个字符是吧,以及啊这边是输入,然后的话输出的话。
它会输出这样子的一个进程的一个id,也就是我们在这边执行对吧。
我们在这边可以看到,执行之后的话,它可以输出这样的proxx的id就在这里,也就是我们这边创建的一个啊,通过这样子的一个命令,在远程的这个机器上面创建了这样的一个进程,它的一个进程id 4。
这个1504对吧,那么在这边创建的这个进程的话,我们可以就前面好,就通过他的一个命令选项对吧,我们知道我们在这边是可以接,我们的一个命令行的,就comment line,然后的话这边的一个命令的话。
我们就说我们这边,它是会通过进程的一个方式对吧,我们创建就是我们执行一个命令的话,它它就会去生成一个进程对吧,那么我们在这边创建进程的话,其实就是相当于我们在这边,他会去执行这样的一个命令。
然后执行呢这个命令的话它会创建一个进程,那么在这边的话可以看到,我这边的话是通过这样的一个方法,就是呃通过web web deliver所生成的,这样子的一个windows下面的。
用windows下面的一个i t server,三二的一个反弹线的一个方法对吧,通过这样这样子的一个windows法,它需要的一个方法,好的话呃,执行执行之后的话,它会在我们的一个远程机上面。
它会执行这样的一个这边的这个命令对吧,那么这边的这个命令的话,他执行之后的话,他就会去呃反弹一个线,反弹到我这边的一个,msf的一个机器上面去对吧。
呃在这边的话,我说的话再重新再生成一个这样子的一个po的,好我们复制复制之后的话呃,再到我们就是说我们通过前面的那个,max的一个shell对吧,然后的话再去执行。
我这边的话我直接在这个机器上面就呃,就实际操作的话。
是我们进入到这样的matt的筛选对吧,进入到我们前面得到的这个筛选,然后他在通过这个跳板机来去进行。
一个这样子的一个呃横向移动是吧,啊我这边的话直接在这个机上面操作。
可以扣他们附近。
等下先把它复制出来,然后的话我这因为命令的话比较长,我这边就不敲了,这边直接复制粘贴啊。
好吧,让我们装修过来。
然后我这边的话粘贴过来,粘贴过来的话,我在这边去呃。
今天是星,之前的话,在这边他会在呃这个远程主机上面。
他会去创建这样子的一个进程,然后创建了这个进程的话,它就会是执行这样的一个命令,然后他那个进程就是2408对吧。
然后以及在这边的话,我我就能够去得到它的一个筛选是吧,就筛选15,这个筛选15的话,就是呃通过这样的一个方法得到的。
以及就是说在这边的话,就core user,就这边corate去创建进程的话,这边执行的这种而命令,你不要就是局限于我这边所念的这一种是吧,就我们前面所讲的这样子的一些呃。
讲的这样子的一些,windows下面去反射下来的一个方法,我们就我们都可以套到,套到这边来去进行一个使用对吧,那比如说用posher的一个方法,我们可以通过生成一个posher的一个payload。
来去进行一个加载对吧,也是一样的,以及的话我们也可以就结合,要结合前面的一个i p c的一个连接对吧,我们把我们生成了一个码,我们把它给copy到我们的远程机上面去。
然后的话我们再通过这个w m i c,来去create这样的一个进程对吧,就像就像这样子对吧,我们可以通过啊create这样的一个进程,这边执行一个命的话,就是cmd杠c。
就是在cmd窗口下面执行这样子的cl,cl c的一个程序对吧,就是打开一个呃计算器嘛。
然后同理的话,我们在这边就是可以把这个cl s对吧,把它给替替换成我们的一个,希望我们的一个呃说我们copy到这个机器上面的。
这样子的一个码对吧嗯,这边的话,这边的话没有没有cl c c一个进程对吧,我们在这边执行一下,执行之后的话,它就会在这边呃,起个cl clc的一个进程。
对直线成功的对吧。
在这的话就多了这样的一个clc的,一个计算机的一个进程对吧。
然后这边的一个进程,他那个id是这边3092,然后通过前面的这样子的两个操作,然后你会发现的话。
其实是一个用这个单位把m i c去进行啊,这样子的一个操作的话,它有一个缺点,就是呃我们这边执行那个命令,它是没有回形对吧,也就是说我们这边执行的话,他只回形了这样子一个进程id,是我们。
比如说我们想要去执行它这个系统命令的话,我们是不知道,就比如说我们在cmd下面执行换外,等着这种命令的,它是没有回血的,我们无法去得到它的一个回血的一个结果,然后在呃明天的呃,在下一节课的话。
就是在讲外部的这种工具的话,可以介绍到这样子的一个w m s一的这样子,一个vbs的脚本,我们可以用这样子的一个脚本来去实现,这样子的一个回血,也就是他这个脚本的话,就是利用的这样子的一个。
当当年m i c去连接远程的经历,这样子的一个远程连接的一个方法,奥特曼来去呃,执行命令,就在远程机上面执行命令,然后的话获取它的一个回血,然而因为本地话是讲内置的这种工具啊。
就是啊windows系统下面它已经呃,以及内置,有的我们可以直接去使用的这样子的一些工具,来去进行一个横向移动啊,以及本节课的第四部分啊,忘了问大家,就说大家前面的这一些三部分的一个内容。
大家有没有什么问题的,大家能理解吗,大家能理解吗,就有没有什么问题,呃理解的扣一,不理解的扣二好啊,课后做的扣三,ok ok应该呃那应该都是大家自己课后去做,其实这些内容的话。
其实呃难度的话也没有什么难度啊对吧,而且理解的话应该是很好理解的是吧,然后大家自己课后去做,大家课后自己去做的话,应该是没没有没有什么问题的啊,第四部分的话就是这个wi m,然而这个wm的话。
它是一个windows下面的一个远程管理服务,然后我们可以通过程连接这样子的一个模块,来去操作我们的一个windows的命令行,它默认的一个今天端口是啊,这样子一个5985的这样的一个端口。
然后htp的话它是一个5985,如果是htp的话是5986,然后他的这个服务它是在2012级以后的话,它默认是开启的,也就是他在新版那种三管的服务端啊,这种server的一个机器上面的话。
它是默认开启的,我们可以直接去进行一个使用,然后呃我这边的靶机的话,它是就是呃默认的话他是没有开启的。
就是比较老版本的这样子的,就windows server 2008,还有这边的话是一个win 7的这样的一个机器。
是他摸的话它是没有开启这样的一个windom的。
就是这个靶机啊,然后大家自己课后去做的话,我这边有写了。
ppt里有写了,如何去开启这样的wm,就是啊,大家自己扣去印证的话,可以通过这样的方法进行一个开启,首先的话我们可以通过啊这样子的一条命令,来去判断,来去判断目标机器上面,就是说我当前的这个机器上面。
他有没有去开启这样子的vn m的一个服务,就这样子,好如果说没有开启的话,他会呃报这样子的一个信息啊,就是他呃他在这边的话也会有显示,就是说呃目标在目标上面运行下面的一个命令,来配置这样一个温暖的服务。
也就是说我当前这个机器上面的话,它没有配置,所以的话我们可以通过这样的一个win m quick config,这样的一个命令来去配置这样的一个服务,就是开启这样子的一个win m的一个服务。
然后开启服务的话,在这边像这样子呃,选选择yes就行了,就是启动这个服务,然后的话更改它的一个配置,而且启动完之后的话,在这边我们再去执行这样子的一个呃,执行这边的这个语句的话。
会发现他在这边的话就是呃,有显示这样的一个内容对吧,然后显示这边的一个内容的话,你会发现他这边就是它默认的一个端口啊,是一个5985的一个端口,然后要注意的话,这个服务的话它是通过htp的一个方法。
通过htp的一个协议去进行一个访问的,如果说是hd p s的话,它是一个5986的一个端口,这边要注意,然后呃,我们这边开启了他的一个服装的话,我们还需要去设置这样子的一个,就是允许远程主机访问。
以及我们去访问远程主机的这样子的一个啊,命令,就是通过啊设置设置我们的一个客户端,然后的话设置它的一个trust host,维新,也是代表所有的一个主机都能够去呃,远程的去连接我这边的一个机器。
以及我能够去通过这个nm,来去连接其他的一个机器,好的话,你两个机器之间的话,两个字,两个机器之间要去互相的去进行一个连接的话,你需要在两个机器上面都要去开启,这样子的一个呃访问了,好像在这边。
靶机这边的话就是两个机器,它都是一个低版本的对吧,所以都没有开启,所以都需要去执行一下这边的这个操作,去开启它,开启之后的话,我们就能够去利用它来去执行我们的一个命令,呃在这的话呃。
我们首先利用这个win rs来去执行命令,在这边就是这个vs这个命的话,它是利用的我们这边的一个wm的一个服务,然后他的一个具体的一个使用的话,就是像这样杠r加我们的一个呃链接,这边的。
这注意的话就是说我们关于我们这个服务,它是通过htp的一个协议对吧,那么我们就是htp协议的话,就像这样子嘛对吧,然后接我们的一个ip加我们的一个端口好干,u的话。
就接我们的一个用户名杠p接我们的一个密码,你在最后面的话接我们的一个命令,就是我们在这边去建议呃,通过这个方法我们建立连接之后对吧,建立连接之后的话,我这个命令的话,它会就是因为他的一个vm。
它是可以操作我们的一个windows的一个,命令行的对吧,那么我这边的一个命令的话,他会在windows的命令行下面,注意是在这个远程的一个机器上面的,一个命令行下面去执行,然后我这边执行的一个结果。
就是像这样子,对吧,我们可以看到我这边之前ip通figure的话,0。201的这个机器的一个ip的一个信息,对吧,这边的话。
呃这个,然后我们直接执行做的话。
这边的话就是它那个之前的一个结果,然后可以对比一下,我在当前的一个主机上面对吧,当前主机上面的话,它的ip是这个,然后这边的话是获取到了一个远程主机的一个,ip的一个config的一个配置命令的。
那么他在这块就执行了这个i p中,p101 个命令对吧,以及额外卖对吧,还有等等的其他一个面,也就是我们在这块,我们就能够通过这个vs来去执行,我们的一个命令,然后的话呃。
就是利用这个vmh进行一个横向移动呃,利用它的一个横向移动端的话,主要就是利用了它的一个参数选项当中的,这个invoke的这个参数,就利用这个参数来对目标对象去执行,特定的一个方法。
就是说这个参数它的一个作用的话,就是能够去对目标对象去执行特定能力,特定的一个方法,那么在这边去具体的一个使用的话,就是用这个invoke这个minion这个参数来去调用。
这边啊windows w mi当中的这个啊类啊,这个win 32 process类的一个create方法,然后其实这边的一个意思的话,就是我们这我们从这个它的一个类的一个名字。
也能够知道它是一个就是进程对吧,就与进程相关的这样的一个类,然后这个类当中的话它有这样的create方法,这个create方法就是创建进程是吧,那么在这边的话。
就是呃用这个vm的这个invoke的一个参数,来去创建一个进程,创建的这个进程的话,就在这边啊,借我们那个command line,也就是我这边的话,以这个呃clc为例,就是这一个面临的一个意思的话。
就是它会在远程的这一个,而不是远程,就是在当前的一个机上面去调用啊,创建进程类,创建呃这个prox类的一个,去咳咳调用这个poke类当中的这个create方法,来去创建一个进程,创建这个进程。
就是这个执行这个cl c的的一个进程。
呃这个,嗯嗯因为,因为命令的话都比较长,我这边的话我就不死,好吧好,这边的话,就而他同样的返回了这样子的一个进程id对吧,你你会发现跟前面跟前面我们用w m i,第一个方法就是呃创建进程的一个方法。
它返回那个结果类似对吧,因为它同样的它是调用的这样子的一个,就是windows的一个w mi当中的这个内容。
有的话效果都是效果是一样的。
然后在这边的话,在这边的话注意的话是在本地啊,它是在本地区创建的,我这边还是做一个演示呃,我们在这边的话,任务管理器这边,我们就能够去找到这样子的一个嗯,有两个,先把大家给把这个cl是一个一个进程。
把它给删掉,然后再这边再提一个对吧,在这的话可以看到这边的话就多了,这又多了一个clc的一个进程,他那个pi他那个进场ig的话,就是这个四九啊对吧,那么我们在这边的话,我们在这边执行的一个操作的话。
它只是在我当前的一个本本机上面,去创建这一个键盘是吧,那我们是不是可以去在远程主机上面去,创建一个进程的,答案的话是可以的。
具体的一个方法的话,就是通过这样子,就是结合我们的这个wm的一个呃,温按摩的一个远程的一个零件,来去,在远程主机上面去创建一个这样子的一个进程,那么在这边的话呃,在这里前面的话就是我们前面呃。
就是这边的一个mini对吧,这边的这个命令的话跟前面是一样的,就是创建这样的一个进程,c l l c的一个进程对吧,然后不同的一个地方就是在这边的话,我们是在远程的这个呃,201的这个机器上面。
去创建一个这样子的一个进程。
我们来看这边的话。
其他都可以,结束了。
就这一个。
好我们这边在这边的话执行,首先这样的话,这边他创建了一个1276的一个镜子是吧,那么我们在这边的话来验证一下。
可以看到在这边,可以看到在这边的话呃,同样的生成了这样一个进程,id 1276的一个cl c的一个进程,对吧啊,其实这边的话他就是,那就是启动了一个在远程的这个主机上面。
启动了这样的一个呃c l c对吧。
那么我们能够去在远程主机上面去创建,建成的话,那么同样的我们就跟前面我们的一个w m m i,c这个方法对吧,是一样的,是我们可以通过这样的一个方法,在远程的主机上面去执行我们想要的一个命令。
来去反弹shell是吧。
呃以及的话我们还可以通过它来去创建一个服,就在这边的话它的一个创建服务的话,呃,你可以把理解成就是跟我们前面sc的一个方法,就是我们知道r s c,它同样的也是去创建一个服务端,然后在这边的话。
它是通过啊这个invoke来去调用,这边的一个win 32的一个service的这个layer,调用它这个类的一个create方法,就是这边的这一个类的话,它是跟服务相关的。
他的这个方法就是能够去创建这样的一个服务,然后这边的呃这边的这个概念的话,就是与服务相关的一个一些信息,首先name的话就是我们的一个服务名,distant name的话就是我们展示的一个名字。
然后呃pass name的话就是我们呃我们要去就执行的,可是我们要去执行的一个程序所在的一个目录,或者说我们要去执行的一个命令,就是当这个服务端启动的话,他就会去找到这个pass name的这个值。
而去进行一个执行,也就是我这边的话就是通过cmd啊,这边是钢丝,要,来去执行这样子的一个,呃,拿去执行,我们已经上传到目标机器上面的,一个五九的这样子的一个木马后门,然后他那个之前那个结果的话。
就像这样子执行之后的话,他这边的话它没有其他的一个输出,就只有这样的一个呃return v n v vl,然后咳咳下面这个的话就是我们通过这个start service。
就是同样的是这个service类的这个呃,start service的一个方法来去启动这样子的一个呃服务,名为test任的这样子的一个服务,然后我们在这边启动这个服务之后的话。
他就会去启动我这边的这个呃可执行程序对吧,然的话反弹一个shell给我们。
同样的在这边的话。
我复制一下,就是呃这个,兄弟。
执行那个面的话就是像这样子啊。
那我们呃看一下这边有没有他手机的服务。
呃已经有了这个符啊,我这边的话删掉吧,扫描的东西,然后这边直线执行之后的话,在这边的话他没有返回其他的一个东西,只返回了这一串对吧,然后实际的话就是在这边的话呃,你可以通过,这个还可以。
然后我们想要在远程的,就是说去查看远程主机上面的这样子的一个,服务的一个状态,我们可以通过这样子的一个sc,然后接远程的一个主机,然后qc加我们的一个服务员,我们就能去查看到好呃。
啊这边的话这边还没启动啊,就是我这边的话。
服务的话已经呃创建成功了对吧,创建完创建成功服务中的话,我们还要去启动这样子的一个服务,启动服务的话,面的话是这样子,启动服务的话,它就是调用的这个啊win 32的一个service类的。
这个service的一个方法是吧,然后启动的一个服务名的话就是这个test,然后他是在远程的这个主机,上面去进行一个启动,然后我们执行执行之后的话。
在这边你会发现这边的话就得到了一个筛选,绘画,对吧,筛选16,然后呃因为在这边执行的话。
我这边创建了这个服务对吧。
我这边创建这个服务,它的一个in binary pathname,也就是他会去执行的一个命令,它是这一个命令,他执行这个面的话,就是在cmd下面,他会执行我这边所已经上传了这个呃后门对吧。
这个木马这个反弹需要的一个木马,然后的话我这边只要它的一个服务启动,服务启动的话,它就会去执行这个命令,也就是我在这边的话,我远程的去启动这样子的一个服务,那么我这边的话他就会去执行。
我这边的这个反射线的一个木板,然后的话我这边就能够去得到它的一个摄取。
这句话就是通过呃,在远程主机上面去创建这样子的一个服务,然后的话呃启动它,启动它之后的话来去进行一个反弹,需来达到一个横向移动的一个目的,呃以上的话就是我们本节课的一个所有内容啊,大家有没有什么疑问啊。
没有没有什么问题的话,我们本期的话就到这边就结束了。
好啊,有问题的扣一,没问题的扣二,还有同学在吗,喂能大家能听到我声音吗,有问题的扣一,没问题的扣二,我感觉是不是有有有个半分钟的延迟啊,都都没问题了对吧,其他没回答,我就默认是没问题了,好吧好。
那么呃pv的话也已经发给大家了。
然后呃,内容的话都在ppt里面,然后大家自己课后去啊,自己去操作一遍,然后课后作业的话就是还是老样子,就是ppt的一个内容,大家自己动手,课后动手去操作好吧。
那么呃大家,那么大家早点休息。
P79:第49天:内网横向移动-CobaltStrike、Metasploit、mimikatz - 网络安全就业推荐 - BV1Zu411s79i
呃大家晚上好啊,怎么才13个人呢,其他同学呢,呃那不等其他同学啊,我们呃现在的话已经八点过二分了,大家能听到我声音吗,能听到我声音的话,在讨论区扣个一,好的应该是没有问题啊,呃没有没有问题的话。
那么我们正式开始我们今天的课程内容啊,我们今天的话呃内容的话呃算是比较多的,就是本节课的话主要给大家介绍一下,横向移动的一个外部工具片,就上一节课的话给大家介绍了,就是呃在windows下面的话。
我们要去进行一个横向移动对吧,我们所常用的呃,在windows windows系统下面,所内置的这样子的一些工具对吧,然后内置的一个意思的话,就是说他的这些工具它是已经在windows系统上面。
它已经有了对吧,然后我们可以直接在呃在它的一个系统上面,直接去进行一个使用,那么外部的一个工具片的话,就是说呃在windows系统上面它没有的一些工具,也就是说呃我们需要用。
我们需要去把我们自己的这边的一些,web的一个工具,把它给上传到我们的一个目标机上面去,然后的话再去进行一个啊,再去进行一个移动横向移动对吧,以及的话还有就是对我们内部的这样子的一个。
命令的一个功能的一个扩充,就比如说我们这节课会讲到一个w m i e x,e c的这样子的一个脚本,就这个脚本的话,它就是对于我们上一节课所讲到的啊,利用w m i c去进行一个横向移动的。
那样子的一个呃扩展扩充,因为我们上节课有介绍对吧,就是说我们用这个w m i c的一个创建,进程的一个方法来去进行一个横向移动的话,它是没有回血的,最后说就是说我们它是能够去在远程的一个。
目标机上面去执行命令对吧,但是的话他执行的一个命令的话,是我们是看不到它的一个啊执行的一个结果的,那么在这边的话我们就可以利用它,利用这个脚本来呃,这个脚本它的一个原理的话。
其实就是利用到我们上节课所所说的,那个w m i c好,然后的话他这边的话它的一个优点的话,就是我们能够去得到一个,就是能够去直接去执行命令,然后的话能够去得到它的一个回血,以及我们能够去得到一个呃。
可交互式的这样子的一个shell,然后本节课的话呃,我这边的话分为了这样子的五块,就是呃内内容的话还是比较多的,这样的话呃就是一些呃技巧性的一个东西啊,然后呃首先这个话就是呃300ex 1。
以及呃ex 1 c以及呃p s e x e c啊,这边的话呃我会给大家介绍,就是说他的这两个脚本工具,首先第一个的话就是这个p s e x e c,它是呃我们前面在讲那个啊,前面应该有介绍,就是在。
就是在windows的话呃,微软的话它有一个这样子的一个工具集,它这里面的话就有包括了这样子的,p e x一的这样子的一个工具,然后的话我们可以直接去进行一个使用,以及的话还有就是有一个那个。
in impact的一个套件,然后这个套件里面的话,就是它呃这样子的两个工具,然后的话我们可以直接去使用它,来去进行一个横向的一个移动,然后第二个的话就是w mi的一个e x。
e c的一个vbs的一个脚本,第三个就是在我们的一个msf以及cs上面的话,我们如何去进行一个横向的一个移动,以及最后的一个sharp r d p,就是用的啊这样子的一个i dp的一个呃东西,来去进行。
一个在远程的一个计算机上面去执行命令,好,首先的话我们先来看一下,第一部分的一个300ex e c呃,以及p s e x e c,我这边的话把它这两个的话放到了一块。
因为呃其实就是说这边的一个300ex e c的话,它其实就是用的这边的一个p s e x e c啊,就是它是基于这一个来去达到这样子的,一个目的的,然后的话首先来一起了解一下。
就说什么是这个p s e x e c r,它是一个呃,有一种轻巧的这样子的一个tnt的一个代替品,就它的一个作用的话,就是能够在其他的一个系统上面去执行进程,并且为控制台的这种应用程序。
来个来提供一个完整的一个交互性,而无需我们去安装我们的一个客户端,的一个软件,就我们只需要用这个工具,我们就能够去与我们那个远程主机,去进行一个啊交互,然后的话它的一个原理就是这边列的这四个。
就是他的这个p一个eex 1 c的话,它同样的是会利用到我们的一个,i p c的一个连接,它首先会去建立这样一个i p c连接,然后的话它会释放一个这样子的一个服务程序,释放到它的呃。
释放到我们的一个目标机器上面去,然的话他会用这一个open sc的一个manager,来去打开机器上面的一个服务控制器的,这样子的一个聚变,然后的话利用利用它来去创建一个服务,然后创建了这个服务的话。
我们就能够去进行一个命令的一个控制,然后的话就是呃这个p s e c的一个使用,它的一个使用的话,我们从这边的一个基本的一个原理,也能够大概的知道,他首先需要去建立这样的一个,i p c的一个零件对吧。
那么我们在这边经历了这样的一个,i p c连接的话,他就会直接去使用这个ipc连接,来去进行一个呃啊,进行一个远程的一个命令的一个控制对吧,然后的话不需要我们再去输入密码。
如果说你没有去经历这样的ipc连接的话,你就需要去通过这样子的一个啊语法来去呃,通过这样子的两个参数,杠优杠p的呃,这两个参数来去指定我们的一个,用户名以及密码,然后的话再去进行一个呃。
利用它来去进行一个命令的一个执行,那我们先来看一下,就是说我们呃首先的话建立ip c0 ,就是这种情况我们怎么去进行一个使用,而今年ipc连接的话,上节课已经给大家详细的介绍了对吧,就是通过nels。
然后的话接我们呃域名称,预账号的话,密码,当然的话我这边的话是已在,就说在域内的这样子的一个情况是吧,如果说你是在工作组的话,你就是啊直接加你的账号,然后的话接你的密码。
然后的话呃它能够去实现这样子的两个呃,就是功能就是首先这个话就是反弹cmd,就我们可以直接通过这个工具来得到一个,sam d的这样子的一个呃绘画,就是能够去得到一个这种可交互式的一个,simd绘画。
然后呃之前的一个面的话,就是通过这样子的一个i p c的一个连接对吧,然后通过这个杠s的一个参数指定一个cmd,也就是说呃啊在这边还有个干accept cl,就是这个工具它在第一次执行的话。
它会有一个那个就是要你去选择一个,就是接受的这样子的一个弹框,如果你加这个的话,它就可以把那个弹框就是默认的就是啊去掉,然后呃这个语句他那个意思的话,其实就是呃我这边通过这个i p c连接对吧。
然后的话我们前面有说到这个啊,p s e s e c这个工具,它的一个作用,就是它可以在其他的一个系统上面去执行进程,对吧,就是说在远程的这样子,一个目标镜上面去执行一个进程。
那么在这边我们指定干s这个参数,就是指定我们要去执行的一个进程,那么执行的这个进程的话,就是在远程的一个机器上面去执行一个cmd,然后的话我们能够去这个cmd做一个交互,也就是能够去得到啊。
远程机器上面的这样子的一个啊,sam d的一个呃一个shell对吧,然后的话就是执行命令,执行命令的话就是直接加命令就可以了,就加我们想要去执行一个命令,然后呃这边的话就是它的一个使用的一个效果。
就像这样子,首先的话我们是新建一个这样的零件对吧,ip的零件,然后的话我们直接去执行命令,这边的话就是它返回的一个结果,然后的话就是呃,我们也可以通过这样子的两个参数。
杠优杠p的一个参数来去指定用户名密码,然后的话直接去进行一个命令的一个直线,以及啊反弹啊,就是得到一个cmd的一个绘画对吧,呃我在这边的话是通过在cs上面去进行的,一个啊这样子的一个操作。
就是呃给大家举一个例子对吧,然后我在这边的话就是它的一个用法对吧,然后的话其实我们实际去使用的话,我们实际去使用的话,我们因为我们前面的话,像比如说我们上节课的话是通过msf对吧,通过msf得到了。
已经得到了一个跳板机的一个绘画,然后的话在基于那个绘画来去进行一个,横向的一个移动对吧,然后的话就是同样的这样子的一个这样子的,一个外部的一个工具,我们要去执行对吧,我们在前面的话是直接。
我们通过那个跳板机上面,它已经有内置的这样子的一个命令,能够去进行相应的一个横向移动是吧,那么在这边的话我们的这个样子,一些外部的一个工具程序的话,我们首先需要通过我们前面得到一个绘画。
然后把我们的一个工具做一个上传,上传到我们的那个跳板机上面去,然后的话再以那个跳板机去进行一个执行,然后呃在这边的话是呃cs的一个,就是在cs上面的一个操作的一个步骤。
然后在msf上面的话也是同理啊对吧,就是我们在那个绘画下面的话,我们就能够去进行这样的一个操作,然后在cs上面的话要注意的话,就是说呃cs跟msf的话,它不一不同的一个点的话。
就是呃我们在cs上面去执行,像比如说执行这样子的一个,找到一个cmd的一个绘画对吧,因为我们在cs上面的话,它是它不是一个呃,就是它是通过htp的这样子的一个方式对吧,去做一个零件。
然后我们的这样子的一个连接的话,他不能够去创建一个这种可交互式的一个,绘画是吧,它只是我这边我这边发送这个请求对吧,我这边执行这个命令,那么他就会把我的这个请求啊,不知道就是那个back on。
他会连接我们的这边的一个cs的一个服务端,把我们的这个命令把它给就是通过get请求对吧,把它呃在我们的一个back on上面,也就是在目标机上面去进行一个执行,执行之后的话,它就会返回结果。
然后的话把这个结果返回到我们那个cs的一个,服务端对吧,它是这样子的一个,你请求我这边的啊服务端所给你的一个命令,然后的话执行之后的话再返回结果,所以的话他没有这样子的一个。
他不能够去创建这样的一个交互式的一个绘画,那么我们在这边的话去使用的话,就是因为我们呃利用它的一个横向移动的,一个目的,就是我们能够去基于我这边的一个跳板机对吧,然后的话再去啊横向的去渗透其他的。
在这一个同网段下面的其他机器对吧,拿下其他机器的一个share绘画,通过这样子的啊,横向移动来去拿一下其他机器的一个,需要绘画对吧,那么我们在这边的话,通过啊这个工具能够去进行一个呃。
在远程的一个机器上面去执行命令,那么我们就能够去啊,在远程的计算机上面去执行,我们反弹希尔的这样子的一个命令对吧,像比如说我在这边的话是通过就是cs的一个msi。
就是在问的下面利用m s h ta来去加载,去远程的加载我啊,cs服务端的这样子的一个呃,一个posher的这样子的一个脚本,然后它加载之后的话,它会在我的这边的,就是在这个远程机上面他会去执行。
执行之后的话,它就能够去呃,反弹一个绘画到我的一个cs的一个服务端对吧,然后在这边的话要注意的一个点的话,就是你在cs上面去用这个进行一个传递,命令的时候,不要去添加一个双引号,就是在这边。
比如说你可以看到我这边的一个命令对吧,是这样子,就在后面的话,你把命令加在最后面,然后的话它就能够去自动的去识别啊,就是说你在这边不要去加一个双引号,把你的一个命令做一个包裹,因为你在这边去执行的话。
他会报这个错误,就是找不到指定的一个文件,就你直直接在后面加你的一个命令就可以了,呃这边的话,我们来演示一下吧。
我这边的话还是用的之前的这样子的,一个靶机啊,唉这边分辨率有点那个就是啊,首先的话还是用的跟上节课同样的,一个这样子的一个产品,是我这边的话已经得到了这个机器的,一个绘画对吧。
然后的话我通过这个绘画来去进行一个,横向移动来啊,利用这边的来去得到这边的这个机器的,一个绘画对吧。
首先的话就是这个p s e x e c是吧。
然后的话嗯我先我这边的话。
我就不在这边msf上面去进行那个了,就是操作的话都是一样的,是因为呃在这里的话更直接一点。
首先我们通过net柚子来查看一下,就是当前是不是有这样子的一个,i p c的一个零件,没有对吧,那么我们可以通过net柚子来去进行一个,i pc连接的一个建立。
诶我在哪,还有。
这边看了一下。
这边怎么还有零件呢。
呃这边的话报错了,报的这个错误的一个意思的话,就是呃因为他这边的话,他这边写了,就是不允许一个用户使用一个或一个以上的,一个用户与服务器共享资源的多重连接,意思的话就是我这边的话还有一个连接。
就是已经用了这样的一个用户名,就是我当前在这个机上面有连接了,这样子的一个201啊。
这个机器,所以的话它会有冲突,就是你只能同时存在一个这样子的一个,i p c的一个零件,用同样的这样子的一个用户。
我这边这边是哪里被占用了呢。
我去。
应该是三二饼干的,没有啊。
哎。
我这边不知道是哪边。
因为我今天的话有做很多尝试啊,就是备课嘛。
就所以的话我这边cs,然后msf以及在这边都有搞这种凝胶。
我这边我现在不确定是哪个哪个占用了。
呃这边的话大家大家我这边快就介绍一下吧,大家就是自己去操作吧,好吧,就是照着我这边操作的话,肯定是没有问题的,诶,我这边我这边不确定多少什么没,你占用了,我可能要重启一下机器什么的。
才有那个我这边话就不麻烦了,好吧,大家自己课后扣扣自己去动手去操作,然后我这边的话就介绍我就不演示了,好吧呃,呃内容还是比较多的,然后呃具体的一个步骤的话,就是像这样子。
就是通过这个p s e x e c的,这样子的一个工具,这个工具的话是那个啊windows下面的话有内置的,就是它的一个下载地址的话,就是这个呃我课后哦,忘我又忘记把预期内容发给他发给大家了。
就是这几天有点忙,然后而就是在这边的话,可以去下载到这样子的p e e x e c,然后它是呃微软的一个官方的,这样子的一个工具,然后下面的话第二个的话就是同样的。
也是这个p s e x e c的这样子一个脚本,这个脚本的话它跟前面的这个啊,就是微软官方自带的这个话它是不同的,就是它与官方的这样子的一个呃程序的话,它相比,它会自动的去删除服务的。
去删除创建的一个服务,然后的话就能够去增加一个隐蔽性,就是我们前面的话有说就是他会去创建,创建一个服务对吧,然后创建的那个服务之后的话,我们就能够去与我们的一个远程的计算机,去做这样子的一个呃交互对吧。
以及能够去执行命令,那么在这边的话他的这个脚本的话,它就能够它会自动的把那个服务器删除掉,就是创建之后的话,它会删除掉,删除掉之后的话,我们就就能够去增加我们的一个隐蔽性吗,就是呃你的一个服务。
你起就是这种异常的服务,你起来了对吧,就是不容易被发现,你删掉了的话,然后执行命令,执行的一个命令的一个语句话,就像这样子就直接加这个e s e c,然后的话它的一个啊构成的话就是像这样子。
就是我们的一个域域名,加我们的一个加我们那个预账户名,然后的话加我们的一个密码,然加我们的那个呃远程主机的一个ip,再加我们的一个命令,然后要注意的话就是我们的这边的一个dd的,就是域名啊。
我们通常的话前面在写这个是通过这样子对吧,通常的话我们前面在写的话,是通过比如说这样子的一个d类域对吧,然后他接我们的一个用户名对吧,这样子写,然后在这的话要注意的话,它是我这边不是反斜杠。
它是一个斜杠呃,如果你不是这样写的话,它报就是呃,找不到这样子的一个就是用户名错误啊,然后的话加一个冒号,就是冒号来去分隔,我们这边的一个用户名以及密码,然后后面的话就接我们的一个密码。
然后的话在art接我at符号,接我们的一个远程主机的ip,在最后的话空格加我们的一个命令,然后在这边的话,我这边特意把就执行之后的一个过程,把它给截出来了,就是像这样子,就他这边执行之后的话。
他首先会去呃请求他的一个shells,也就是共享连接,他会去建立一个共享链接,就是与我们的这个远程的一个机器,然后他建立这个共享连接之后的话,可以看到它会就是呃。
他查找到有这样子的一个可写的一个共享连接,add me是吧,add me的话就是我们的一个系统的,用远程主机的一个系统的一个目录是吧,然后的话他们去上传这样子的一个服务文件啊。
就是这个就这样子的一个e一的一个文件对吧,就呃他们去释放一个这样子的一个,服务的一个程序,然后的话他释放之后的话,他是上传上去之后的话,它会通过呃打开这样子的一个s vc的一个manager。
来去打开我们的一个那个就是服务管服务控制,服务管理控制器,然后去创建这样子的一个服务,这边的话创建了这样子一个s一的,q x的这样的一个服务对,然后创建好之后的话,他就会去啊执行我们这边的一个命令对吧。
执行的这一个命令的话,执行执行命令之后的话,他他他会在这边去返回一个解,返回结果给我们对吧,然后他这边执行之后,对,执行之后的话,就是呃可以看到就是执行这个货卖这一个进程,它完毕之后它会退出。
退出之后的话,他就会去关闭这样子的一个服务,然后的话把这样子的一个服务程序,把它给删除掉,给绿幕掉是吧,然后我们前面的这个官方的话,他不会有这样子的这个脚本,这样子的一个操作。
然后的话就是一个交互式的一个命令行,前面的话是我们呃执行命令对吧,就是把我们的这样子这个要去执行那个命令,把它给传到目标机上面去执行,执行之后返回结果,那么我们可以通过这样子的一个啊。
通过这样子的一个工具来直接去得到一个,交互式的一个命令哈,就是他那个使用的话,就是我们在后面不加命令,不加这一个命令的话,那么他就会去得到这样子的一个samd,我们可以看到。
我单纯的是在c盘的这个目录下面,然后的话我执行这个程序之后的话,他在这边他会同样的会经历前面的这样子的,一个步骤对,就是这那个p s e x一的一个,就是直线的一个原理嘛,他经过这边的一个步骤的话。
他就会去得到这样子的一个cmd,我们可以看到这边得了一个三维的话,它直接是一个system的一个呃权限,因为其实我们这边还是一个管理员的,一个权限啊,我们这边管理员的一个权限,我们其实前面有缩短。
就是你的一个服务的话,你启动你服务的一个启动,它其实是一个system的一个权限区间,一个启动,那么你启动这边的话,我们可以去得到一个system一个权限,然后前提是你要有管理员。
或者或者是有管理员的一个一个呃权限是吧,我们这边得到一个账号的话,就是一个管理员的一个账号吗,好我们这边就能够去得到这样一个system的一个,sam d的一个绘画对吧,然后我们在这边就可以去执行命令。
那比如说在这边我执行ip config,这边的话就是呃,远程主机的一个ip的一个配置信息,然后我们在这边的话呃exist退出之后的话,他就会去执行我们这边的啊,下面的这一个操作。
就是做一个啊服务的一个删除,好啊,第二个的话就是这个300ex c,300e x e c的话,它它是一款基于我们前面的这个p s e,e s e c的一个啊测试工具啊,然后的话它有配套的这样的一个。
sumer的一些工具,就我们sumer协议的话就是一个网络共享,网络文件共享的一个协议嘛对吧,像我们的一个m s170010 ,就是用的这样子的一个300的一个呃,协议的一个漏洞对吧。
那我们可以去得到呃,直接去得到目标机器的一个system system的一个绘画,然后在这边的话,他的这个工具的使用跟前面是一样的,就是因为它同样的也是这个impact。
这个impact套件的这样子的一个工具,然后他的一个执行命令的一个格式的话,呃都是呃类似的是吧,都是一样的,然后他这边的话执行之后的一个结果的话,跟前面也是一样的,然后呃还有的话就是行,就是。
就是这个这个impact的一个套件呃,大家可以在github上面去查找到,去下载这样的一个工具,而这边的一个套件的话,你点开这个example,然后它这里的话就有很多这样子的一个脚本。
python的一个脚本,然后这些脚本的话它对应的不同的一个功能啊,就它的功能的话很丰富,好像比如说呃,我们这边的一个p s e x e c的这样子,一个脚本对吧,我们可以直接用这个脚本去进行一个执行。
当然这边的话它是一个python的这样的一个脚本,所以的话需要目标机上面有python的一个环境,然后的话这个项目的话它同样的有呃可编译的,就是已经编译好的这样子的一个已经打不好的。
这样子的一个ex一的这样的一个程序,那么我们在windows系统上面的话,我们通常的话会去用这样子的一个e x e c,ex一的可执行程序对吧,我们直接执行就可以了,然后这边的话就是给大家说一下。
就是有这样子的啊,两种形式,就是python脚本呢以及ex一的这样子的一个呃,可执行程序的形式,然后这边截图的话就是你用python的,以及你用ex一的话。
它的一个使用的一个方法都是一样的,以及效果的话都是一样的,然后这边的话呃。
这个的话应该可以操作。
我这边的话就是呃没有在没有在msf或者cs,上面去进行这样的操作,这些实际的话我们得到的这样子的一个筛选,绘画对吧,得到的这个跳板就来绘画,一般的话呃我们在msf cs上面去操作。
然后其实在这边操作的话。
它它的一个效果的话都是一样的啊,我这边的话是演示,为了方便,所以的话我直接在呃,这一个跳板机上面去操作是吧,因为大家看的也更直观一点,然后这边的话我已经把就是要用的这样子的,脚本已经传上去了对吧,首先。
首先的话就是这个p的一个e x e c,那我们可以通过呃杠h h,查看它的使用的一个方法,然后其实在这边的话,它已经呃也写好了对吧,就这边对吧,然后我这边的话嗯,首先的话就是域名域名。
然后的话接我们的一个域的一个,我们得到一个管理员的一个账号,账户名对吧,然后注意的话这边是一个斜杠,不是反斜杠,然的话冒号接我们的一个密码,对好,art art for的话,接我们的一个顶层的一个主机。
然后我这边的话首先的话先执行一个命令对吧,执行换麦,然后这边的话可以看到执行之后的一个效果,就像这样,在这边的话我们可以去知道呃,目标机器当前的它的一个权限是,这个system的权限是好。
然后我这边呃不要命令的话,我这边直接回车,我就能够去得到一个绘画,得到一个cmd在绘画,然后当前的话,当前的话我们可以看一下ip,是这个1010。10。1,0。201的这样的一个主机端。
然后我当前这边的这个机器的话是,与他同网段的一个呃1008的,这样子的一个机器啊,也就是我这边的话,直接得到了他的这样的一个可交互式的,这样的一个cmd的一个绘画,对吧。
然后呃在还有的话就是我再演示一下。
在比如说在msf里面。
就是可能大家,在msf里面操作的话,是我们经常去这样子操作的对吧,呃首先的话我这边的话是已经得到得到了,跳板机的一个绘画对吧,然后我可以通过执行,需要得到它的一个samd的一个笑对吧。
然后的话我当前的话是在这个目录下面啊,其实还有一个步骤的话,就是我在matt peter下面,我需要把这样的一个工具上传上去对吧,上不上去的话,我再去进行一个执行,那么在这边执行的话。
就跟我在刚刚那个目标器上面去执行,是一样的啊,比如说我这边的p s e s e c,呃呃我这边首先先执行二命令换麦对吧,跟在这边的这个机器上面去执行的一个。
效果的话是一样的对吧。
以及的话,以及的话我们直接执行,能够去得到这样的一个samd的一个绘画,我们可以执行一下ip和fig对。
呃冲突了吗。
我这边好像没断掉啊。
咳咳,呃我刚刚那边没断掉,这边应该是冲突了,卡死了呢,我的命令打错了,我卡死了,我这边命令打错了呀,啊就是就是这样子,就是这边的话应该是没有问题的,我这边我就不那个了,大家自己啊去靠自己去尝试一下。
然后的话呃。
然后的话就是这个300ex一呃,其实这个的话跟p s e x一是一样的,我这个话,少打,然后这个的话同样的能够去得到这样子的,一个绘画对吧,我们可以直接去执行命令,得到这样c md的一个绘画。
这样的话也是没有问题的。
这边的话就是这两个呃工具啊,来去进行一个横向移动,就是这两个,然后其实它的一个呃使用方法,以及它的一个原理都是类似的,就是他这个311它也是基于这个嘛,然后这一个的话就跟这边官方的这个。
它的一个原理是一样的,只是的话它是呃能够去自动的,去把它创建的一个符做一个清楚对吧,这边他就是他的个基本的一个原理,而这一部分的内容的话,大家有没有什么疑问,应该应该很很很好理解对吧,应该没有问题吧。
好关于这些工具的话,呃那个我记得工具包里面应该是有的,如果没有的话,呃下载的一些链接什么的,我课后的话都会放到预习内容当中,嗯好吧,呃没有问题啊,应该是那我们继续啊,然后第二部分的话。
就是这个w mi的一个e x e c,就是啊,对我们上节课的那个w m i c的一个,这样子的一个扩充啊,就是解决了它的一个缺点,就是不能够去进行一个回旋的一个缺点,然后在这边的话它的一个用法的话。
就是呃他可以去执行命令,以及的话,他能够去进行得到一个办一个,这种半交互的一个模式,就是跟我们前面一样吧,就是能够去直接去得到这样子的一个啊,semd这样子的一个绘画对吧,然后在这边的话。
单命令的一个执行这一个格式是这样子的,就是它是一个ub s的一个脚本,所以的话它需我们需要去手动的去添加,一个这样子的一个cs script这样子的一个解释工具,就这个工具的话。
它其实就是去解释执行我们的vbs脚本的啊,啊我们在windows,我们在windows下面去执行这个vbs的脚本的话,我们通常都是直接双击对吧,或者说你在命令行当中,你在命令行当中的话,你可以直接啊。
就是你直接执行这一个,也能够去进行一个执行对吧,然后的话其实你双击执行,以及在命令行上面去执行的话,他都会去调用这样子的一个ccs啊,cs secret这样子的一个啊,v bs的一个脚本的一个解释器啊。
只是的话你就是看不到嘛对吧,然后我们在这的话指定这一个,用它去进行一个解释执行这个脚本,然后后面的话就是我们接我们的一个参数,干c m d干cmd的话,意思就是去得到一个cmd的这样的一个。
交互式的一个呃,呃不是这边说错了,这边cmd的话就是命令,就是执行命令,就是就加我们的一个sam d的这样子的一个参数,然后的话将我们的一个远程ip,然后账号密码以及在最后的话,我们要去执行一个命令。
在这个方面的话,我们可以用双引号去做一个包裹,然后他之前的一个效果的话,就是像这样子,我这边的话是在cs去,在cs里面去进行的一个执行啊,呃呃在这边还漏了一个就是。
刚刚low log就是这个参数的话是呃。
就我们执行用vbs去执行解释。
执行这个的话,它会有相应的一些呃。
弹框以及确认的这样子的一些东西,我们。
再比如说这个对吧,比如说我这边我这边直接双击去执行的话,他会有这样子的一个弹框对吧,然后需要你去确认,然后这边的话其实就是它里面的,像比如说这边的话是它的一个用法是吧,像这样子的一些信息。
它会通过弹框的一个方式,他会去显示,那么我们在命令行当中的话。
之前的话我们肯定不是,我们肯定不不要不要这样子的一个东西了,我们我们只需要让他就是直接的能够去执行,我们的一个命令,说的话,我们在这边的话加这样子的一个no logo,no log这样子的一个参数。
就是能够去把我们刚刚那些多余的这些信息,的一个弹框把它给去掉,然后它的一个效果的话就是像这样子,就我们执行,我们在这边执行命令,对执行之后的话,他会有这样的一个过程,而在这边话过程这边的话大概的说一下。
就是他在这边的话,他他会去做一个登录对吧,呃这边登录的话,你发现它同样的是有一个shell,就是有这样子的一个啊,经历这样子的一个共享零基啊,然后的话他会上传这样子,一个w mi的一个dl的一个程序。
然后这一个电脑程序的话,它就是能够去进行一个呃,能够在目标目标机上面执行之后的话,我们就能够去呃返回我们的一个呃,回显就是执行的一个结果是,然后在这边的话呃,要注意的一个点的话,就是在这边我这边有写。
就是这个w i y i的话,我们前面有说对吧,就是它它只是创建进程,但是他们无法去判断一个进程它是否执行,就是说我们的那一个命令的话,它执行的话它是没有回血的对吧,那么没有回血的话。
我们不知道它是不是执行的对,然后的话在这边的话呃,在这边它会是它是会利用这样子的,w m i顶d l的这样子的程序是吧,这样子一个调文件在目标机器上面运行,那么我们第一次的话他会去上传这个。
那么我们第二次我们再去,就是用同样的方法去那个话,他也会再去上传这样子的一个调文件是吧,那么他可能就话就会有这样子的一个占用冲突,就是会被占用,然后的话我第二次去传的这个话,你可能传不上去是吧。
这个时候的话,你就是可以修改一下它ubs脚本里面的,这样子一个调文件名啊是吧,就我不用这样子这个点文件名嘛,那么它就不会有冲突嘛,就是这边的就是可能会碰到的一个问题,呃这边的话休息休息两分钟。
P8:第6天:XSS漏洞-xss平台搭建与打cookie - 网络安全就业推荐 - BV1Zu411s79i
大家能看得到我屏幕吗,嗯好的嗯,昨天晚上,昨天晚上有给大家就布置了一个课后作业,那个实验大家做了吗,如果做了的话,打个一,没做的话,打个二,为什么为什么没有去做呢,1。5还有1。5万就没做完是吧嗯。
上了一天的课,所以吧,今天是不是还有同学没有过来呀,嗯现在8。01了,如果大家没有去做的话,先不讲吧,等明天一起,嗯那个实验我其实没有打算讲的,就留给你们自己课后去做的,然后实验指导书都写的很清楚。
如果有什么问题的话,就来问我,嗯那就,那就开始讲今天的一个内容吧,今天讲是跨越脚本工具漏洞的一个进阶篇,这节课的话主要是分为三个部分,第一个部分的话就是讲一下我们这个漏洞。
它的一个接收平台的搭建以及如何去利用,第二个的话是讲他的一个绕过以及一些防御,第三个的话就是我们漏洞的一个实操,首先我们来看一下这个接收平台,嗯这我给大家推荐了两个,第一个是xs s e r。
一个是蓝莲花,大家可以去这两个网址上面去进行一个下载,还有一个网址就是这个,还有一个这个,这个的话嗯,嗯它有点不稳定,有时候就是它其实就是一个在线的线上的一个,他已经给你搭建好了。
一个xs s e r的一个品牌,但是他现在变成404lophone的,嗯其实还有其他的一些接收了一些平台,这的话我就只给大家列举出这一个,但是正好他又变成404了,嗯那就先不管他。
嗯大家可以去这两个网址上面去进行一个下载,我课后再把链接发给你们吧,还是你们现在就要下载吗,好没人理我,下载好了,班主任发过了哦,可以装一把吗,哦你可以只装一个,因为它们的功能是一样的。
就是在配置环境里搞不定嗯,这个xs s e r的话,大家可以去看一下这个链接,这里有一个xs平台的搭建笔记,我们可以去下载一个修改版的,然后按照他的步骤一步步来,这个的话比较比较多步骤啊,步骤比较多。
大家可以课后的时候再去进行一个嗯,就是安装在这儿的话,我就不进行一个安装了,如果大家有什么问题的话,就可以问我这的话,它有一个比较需要注意的地方,就是在这个如果我们不把,因为它这里是有一部。
把他的这个3w目录改成3w目录目录下的,这个xs,那我这没有改的话,你在这个静态,这个它的这个映射网站映射的时候,你在这个前面也要就是在这个index。p h p,前面也要加上你在这里的这个地址。
就是这个tos s e r这个地址就加进来,每个都要这么加进来啊,这个就不给大家演示了,我给大家打开看一下,嗯这个就是它的一个页面,就是我们搭建好之后,我们去访问他的这个地址,然后的他的一个界面。
那这个东西是怎么用的呢,我们就可以在这边我的项目这,点击创建,这随便输入一个名字,比如说test,你这个描述可写可不写,在这里的话我们直接选默认模块,然后是这个无keep session,然后点下一步。
嗯这里这里的话它就会给出一些网址,或者是直接的一个po的这种,再或者是他,你只要在任何想要的地方,插入这一这一个这一串网址,比如说我们昨天搭建的那个哦,昨天嗯测试的那个,我们在这儿写一个。
写一个什么写一个这个网址,就直接插入一个srt标签,啊这他没有复制,全要是因为它在这的话,它限制了我们的长度,把它的最大程度改得蛮大的,再来,复制一遍,然后添加留言,在这边的话我们可以返回去看一下。
这个test 2转它的内容是数,就是4月2号,就是今天嘛,他这就变成了一个一,然后这里面就有我们的一个cookie,然后接受的内容location就是从哪个网址过来的嗯。
然后这边的话有一个我们就是访问的一个user agent,这里的话就给我们显示出来了,这是这一个接受平台的使用,大家就是,你在linux下还是不得行,你你们之前不是已经装好那个w a m p。
或者是这个菲律宾study了吗,你们不是已经装好了吗,装好了,装好了之后,就按照这个文档里面,就是首先下载888,然后,打开它的配置,这个如果想改的话就改,不想改的话就不改,但是如果你不改的话。
你后面每一个就是那种index的地方,都要加上你的那个文件前缀,那在这的话我就是这个xs s e r,因为我的代码是这个,所以我在所有地方都要加这个xs s r,这是教大家如何使用这个接收平台。
我这儿也给出了一个步骤,就是首先是我的项目里面,你首先创建一个名字怎么怎么的,第二张就是这张图的话,我截的其实是那个嗯htp s x s s。p t,那个就是我刚才说的这个上面的一张图。
就是官网上面的一个平台,但是他现在还是打过牌,还是打不开就算了,它的界面就是这个的界面,其实是和我们这个本地搭的这个界面是一样的,嗯接下来这个的话刚才也有给大家演示,如果大家没有装好的话。
装好这个xs s e r的话,我和大家一起来装一下这个蓝莲花吧,因为这个相对比较简单,就是装的步骤比较简单,我先把我自己的给删掉,然后去进行一个下载,那我这儿的话好像已经下载完成了。
嗯就直接在这进行一个解压,解压之后把它放到我们的3w目录下,就是我们的根目录下吗,放到这来之后,我们到浏览器里面来进行一个访问,我这儿已经开启了菲律宾四大d了,已经开始已经启动起来了,然后我在这儿输入。
然后加上我刚才,存入的这一个就是在这边的这一个目录名字吗。
回车,这样的话它就有一个install。p h p提示啊,有一个提示的过程,我们就点这个安装,这里有第一部后台的登录密码,是就是这个blue letters蓝莲花,然后接下来其实这下面都可以不用更改。
然后直接进行提交,你只要记住这个这个后台登录密码就行,提交,然后进行一个登录,登录的话,这里的密码就是刚才的blue letters啊。
这样子的话就相当于是已经安装成功了,这个是不是很简单,把搭建步骤的网址发一下行,你要那个xs s e r的吗,我发群里面嘛,这样的话你们课后也可以找得到啊,啊这个发出来是这种图片。
那我先先复制到这边,怎么这个也是,复制,粘贴,然后再把这个复制出来,发到我们群里,这个是那个xs s e r的,然后蓝莲花的话,如果你是在windows下面,然后用这种集成软件的话。
就是我刚才的那种直接解压,放到我们3w目录下,然后去进行一个访问,就访问这个目录名之后,按照它提示安装就可以了,那如果你是linux linux下安装的话,你也可以参照这个网址进行一个安装,还是图片。
你们现在在装吗,如果再装的话,就打个一,如果不再装的话,就打个二,如果不再装,我就接着往下讲,嗯好的,那我就接着往下讲吧,到这里的话,这个这个蓝莲花的这个接收平台就搭建完毕了,这个一人是404啊,算了。
那怎么使用呢,其实就是在我的js这首先输入一个模板名,你随便输入就是test one,在这里的话我们可以选择一个它,这个里面已经写好了一些js模板内,在这的话我们插入这个默认的js。
然后点击这个插入模板,在这儿的话,他就会把他的那个代码贴出来,我们这儿需要改一个地方,就是这个地方这个网站地址,我们要改成自己的这一个地址,嗯然后点新增生成po的,这的话我们直接复制去看一下。
是不是能够进行一个访问,这样的话这就出现了我们这个js的一个代码,然后我们可以将就是你生成po的这个这个po的,或者是中间这个网址,就是这个js的一个地址,插入到可能存在嗯xss漏洞的一个地方。
它就有一个,在这边接收面板,这它就会有那边传输过来的数据,这个是他接收到内容之后的一个图,嗯比如说他是他是什么时候来的,他的ip地址是什么,这我测试的是局域网,因为就是我本机就是自己发的客户端的话。
就是win 7,然后谷歌浏览器它是以get请求get的数据是什么,然后这儿的话有它的一个location,然后cookie等等都会传给我们,就是使用这种接触平台的话,就更方便我们进行一个接收。
嗯这应该是这个index,我们来测试一下是不是能使用网,同样在这里,全拍到的,复制,嗯然后直接在这边插入来试一下,是不是已经配置好了,嗯这种前端的控制我们都可以在这个f 12,这,然后你可以随便修改。
所以说有些前端的一些限制的话,对我们的你光靠前端来进行限制的话,对程序肯定是不好的,不安全的,因为我们客户端就可以对它进行一个修改嘛,你可以看到在这这个地方,它就有显示收到一封消息。
我们可以到这里来看一下,嗯可以看到在这的话它就有一个cookie,然后是从哪里来的,到现在的话,大家有什么听不懂的吗,嗯没有是吧,应该都讲的比较清楚,如果,就是大家不太知道的话,也可以。
就是后面再去参照我的这个ppt,这边点击生成po的就可以了,这他为什么会接收到我们的一个cookie,和和一些其他的这种信息,这种location什么的,这种信息,其实是因为你在这里选择这个js这一段。
function里面的那它的一个内容就是用来接收cookie,这,接收他的一个cookie,然后top location,location嗯等等,所以你在这儿接收面板,这他就有这些信息给我们。
嗯到这里的话大家应该都能接受吧,如果就是能接受的话,我们接着往下讲,嗯好,那就接着往下讲,这个就是它的一个接收平台,我们之后可能就是做是练习的时候,可能就会让大家不光是弹出他一个弹框,或者是怎么样。
就是更希望大家利用这种接收平台,然后能够接收到他的一个cookie,然后如果能接收到他的一个cookie的话,就,就危害就比较大嘛,那我们进入下一个就是跨站脚本攻击,漏洞的一个绕过。
以及我们如何进行一个防御,首先来讲一个绕过第一种情况,我这只举了一些例子,第一种情况就是左右尖括号被过滤的情况下,假如我们的那个输出的地方,就是我们不是会注入一些xss代码进去吗。
他不是在一个地方要回钱给我们吗,比如说,在这个reflag,我们在这输入hello的话,他是不是会把这个hello回钱给我们,在这个如果这个hello它输出的地方这边查看右键,查看源代码的时候。
这他直接是输出在了我们的body里面,那如果它是输出在了我们的一个特殊的标签中,比如说input标签,我直接在这儿插入一个input,然后那input的话它就有一个事件。
on click事件等于learnt,它当然它不止一个事件,比如说这个enquake事件,然后提交之后,啊我这好像是把它进行了一个过滤,就把他的代码给改一下。
比如说在这输入一个input on click,这提交之后,我们点击这个它就会有一个弹窗出来,这个是什么意思呢,这个左右尖括号被过滤掉的情况是什么,然后说他有一些事件被扣处罚是什么意思呢。
其实就是比如说它这里的我们输出的这个地方,正好在这个input标签里面,就不是说直接输出在我们这个body里面,没有包裹在标签里,比如说我们输入的内容,是可以是在这个input标签里面的。
就是我这标蓝的一个地方,他输用户输入的地方,最终输出在了一个标签里面,这样的话我们就可以构造一些事件,比如说在这里的话,就是一个这个on click事件,我们点击之后,它就有一个弹窗给我们。
这是第一种情况,就是这个前面这个双引号就可能是为了闭合它,可能input标签不是还有其他的一些属性嘛,比如说我们上一次写的时候就是他的type啊,以及嗯line吗,我们如果它输出的话。
肯定是在一个属性属性里面嘛,比如说它的value值是什么呀,然后他就可能是用一个双引号包裹起来的,那这样的话我们输入的内容,是不是就要把前面他原本在这个程序里面的,这个我来排一下吧,他有可能我的意思是。
他有可能它的源代码就是这个样子的,然后我们输入的内容是保存在这个value里面的,所以说他在这的话可能就需要有一个双引号,闭合掉前面的那个双引号,再加上我们的一个on focus这种。
这个就是聚焦的一个事件,当它聚焦的时候就弹一个一的一个警告框,这个auto focus的话,它的意思就是当页面加载的时候,它就自动聚焦在你现在这个标签上面,然后当它聚焦的时候,它又会触发这一个事件。
所以说整个这两个连起来,就是我打开的时候就会触发这个alert,一就会弹出一个一的一个警告框,因为这有一个自动聚焦,然后这里的话有一个如果聚焦的话,它就有一个事件的一个写了一个事件,在这儿。
这是第一种情况,第二种情况就是clean alert被过滤掉的情况下,就可以使用编码的形式,或者我们使用这个prompt和confirm,也可以进行一个弹窗,比如说在这的话就有一个a标签。
a标签里面有一个这个h r e f属性,在这的话我们输入一个date冒号tt,然后中html这里的话有一个base 64分号,后面有个base 64,就说明我后面的这一串是用base 64。
进行一个加密的,这种形式的话,它在谷歌浏览器下面是不可以进行弹窗的,我们可以来试一下,嗯它是没有一个效果的,但是如果我们把这个链接在谷歌浏览器里面,去进行一个打开的话,它就有一个弹窗显示给我们。
当我们点击之后,可以来看一下这个这一串到底是什么意思,嗯这里的话就是弹出一个三这个的警告框,所以说从这个也可以发现,有时候,因为浏览器它自己本身的一个策略的问题,有些时候它这个浏览器能是能进行弹窗的。
但是另外一个浏览器它就不行嗯,除了这种编码的形式,可以看到第二种就是使用这个s vg这个标签,然后有一个它有一个unload,我们可以使用这个prompt一再,然后就是也是这个a标签里面。
他对他其实是可以来看一下,啊这里边看不到这弹窗,它有一个13的弹窗,嗯嗯在这里它其实就是javasquette的一个伪协议,在这个javasquetter冒号后面。
输入了我们这个javascript代码,这里的话就是弹出一个13的一个警告框,这些都是一些例子,然后肯定是不止这么多例子的,第三个的话,如果是我们的这种on事件被过滤掉的情况下。
我们可以使用怎样的一种形式来进行一个绕过,第一种的话,还是使用刚才的这个javascript,只是在这大家记得这个东西吗,这个就是一个字符实体吗,对吧,但是为什么他在这儿就能进行,对它进行一个编码呢。
其实刚才在前面这个零二的时候,这里是不是其实也是一个进行了一个字符,实体的一个编码,这个就是aj a v a这两个都是a,只不过这个加了一个x的话,它是表示它是16进制的j a v i squaed。
然后冒号这又一个a alert 13,这样子把它拼起来了,所以说如果你单纯只是后端对javascript,进行一个识别的话,那它在这的话就不是能够一个不能够匹配得到,从而有一个绕过的一个效果吗。
嗯这也是一样的,这个就是一个冒号,但是他这里的话是使用一个名称,不是那种数字,不是十进制来表示了,第二个的话也是使用一个伪协议,javascript伪协议,第三个的话它是使用一个style标签。
里面有一个这个snow yle属性,里面有一个这个expression,然后在这个expression里面,在这个括号里面输入我们的这个js代码,但是这种现在只能在ie 6以下,才能进行一个弹窗。
其他的基本上这个已经不怎么使用了,下面这一个的话就是这个x link冒号h r e f,也是使用这个来进行一个弹窗,那这种的话它只是在火狐上面,火狐浏览器上面可以弹窗,在谷歌浏览器下也是不能够弹窗的。
其他一些可以执行js的属性的话,还有这几个,第四个的话就是标签和属性之间,并不是只能出现空格,比如说这个image我也可以用这个斜杠代替空格,这个后面的这个空格我也可以用斜杠来代替,第二个的话。
有时候并不需要一个合法的标签,比如说在这我就直接有一个m,那我点击这个m之后,它也是有一个警告框弹出给我们的,我们来尝试一下,同样在这里进行一个输入,点击之后这里就有一个一,我们写的是ella吗。
它就在这儿有一个弹框给我们,这是简单的列举了几种,方式,接下来我们来介绍一下它的一个防御,大防御的话可能是有两个部分,第一个部分的话就是阻止恶意代码进行注入,第二个部分的话就是阻止恶意操作的执行内。
不管是反射型xss还是存储型xss,都能通过服务端过滤进行防御,因为他们都是要交给服务端进行处理的,那服务端的话可能就有两种方式,一种是黑名单,就是过滤掉某些特殊字符,特殊符号以及字符。
在这里的话就列举出了这一些白名单的话,就只允许特定的类型或者是符号,白名单和黑名单相比较而言,肯定是白名单更更好一点,因为黑名单总有一些标签,总有一些事件什么的,你没有想到会漏掉,那白白名单的话。
你就只限制在那几个里面,肯定会比黑名单要好一点,白名单的话它是只允许特定的类型或者是符号,根据输入的数据特征限制使用的类型,比如说年纪年龄,我就只限制为数字类型,输入类型为字符型。
我就只让它能使用大小写的26个字母,以及数字,以及这个连接符号以及下划线,其他的就把它一律的禁止这种,还可以的话,我们就是进行一个编码以及转移输出,在标签和属性中的话,我们就就进行一个html编码输出。
在ascript标签或者是事件中,我们就进行一个javascript编码,然后输出在url中就进行一个url编码,再一个就是这个cookie中,我们可以设置这个http only,然后,怎么设置。
这就是这个通过这个set coach cookie,将这个hpony的选项设置为true,它就能防范我们的这种cookie劫持,就不能通过我们那种接受平台,接收到他的这个这个cookie了。
再一个的话就是要确保我们执行的脚本,来源可信,之前我们这种插入就是我们在这儿,就是在这里,不是插入了我们接收平台的这种链接吗,所以说你在程序里面就可以规定,哪一些外部资源是可以加载和执行的。
其他的我们都一律不让它进行一个加载,这样的话就能一个有一个比较好的一个防范,下一个的话就是不使用有缺陷的第三方库,因为你有缺陷的第三方库加载到页面来的话,它也是能够有一定的影响的。
嗯这个这几个是不同的语言,它使用嗯对一些防范xss的函数,那在这儿有一个需要注意的地方,就是这个ph p里面的这个html special chars,它默认配置是不过滤掉单引号的。
只有将这个这个选项设置为这个这个后面,这个它才会过滤我们的一个单引号,所以有时候嗯,我们的开发人员疏忽掉了这一点的话,我们就可以来进行一个利用,接下来的话就又给大家留几个实操的一个练习。
大家可以去练习一下,有三个实验就是xss进阶123,接下来时间大家,我可以来看一下那个,之前给大家发的那个网址,就是让大家去预习的那个,你们有做吗,如果做的话,可以打个一给我看一下。
让我看一下有多少人做了。
那你很棒哟,嗯大家都都知道,都就是会吗。
反射型xss,我们先来看一下常规考察,就只有三位同学做了是吗,那你们做到第几关了,还是已经都通关了,能做到反射,反射已经做完了吗,这几个接收平台如何使用,大家应该知道了吧,就是应该就懂了吧。
要不都讲一遍,就是这个都讲一遍吗,我可以带着大家先来看几道题,我来带着大家看几道题可以吗,如果可以的话,就打个一,如果觉得要多讲一遍的话,就打个二,我还是先讲几道吧,因为给你们留一点自己思考的时间,二。
讲一半吧,那首先就是比较简单的,那在这的话可以看到,我们可以看到来到这个level一就是第一关,他这在这个url中明显的有一个参数,这个lab等于,那这样的话我们是不是可以就是尝试一下,在这输入一个。
在这个后面输入一个经典的,嗯这样的话他就有一个弹窗回信给我们,可以查看一下网页源代码,可以看到它其实是插入到了这个地方,就是欢迎用户,这刚才我们它原本不是有一个test吗,这对吧。
那我们刚才直接把它后面的这个test,改成squint lt一的话,它就直接插入到了这个地方,这是第一关,简单吧,其他人我也不知道其他人去哪了,是不是还就是还蛮简单的。
然后我们回到首页,回到上野来看一下第二关。
第二关,这有一个input,就是这儿有一个这种输入框内,在这的话我们直接简单输入一个双引号,这种这种尖括号可能是进行一个闭合,前面的一个标签,然后再加上一个srt lt,一来尝试一下,搜索哦。
他这就直接给我弹出来了,我们来看一下,就是右键查看网页源代码,嗯可以看到它其实输出的地方,我们可以ctrl f来找一下l输出的地方,其实有两个,第一个的话是在这个地方,这是我们刚才输入的对吧。
但是他进行了一个实体编码,还有一个就是在这个地方,这是我们输入的,就是我们刚才输入的,然后它原本的意思是我们将哦,我们我刚才输入这个test,它原本的意思是,我们将这个我们输入在在这边输入的内容。
直接插到这个value里面,但是这的话我们直接有一个双引号,对他前面进行一个闭合了,然后又使用了一个右键,括号闭合的这个input标签,接下来的话就又开启了另一个新的标签,这就是这个scream的标签。
然后它就会有一个弹窗显示给我们,这个是不是也很简单,伪协议注入一般出现在哪里呢,一般出现在哪里,嗯这个的话你不应该说是它出现在哪里,你是要根据他就是他这边过滤掉了哪些字符。
然后我可能会使用这个伪协议来进行一个弹窗,嗯这个是一个第二关,是不是也很也很简单,你们觉得就是这么做下来有难度吗,这样的话又有一个输入框,我们随便输入一点东西,啊这个再加上这个还是输入跟之前一样的。
看看能不能也行,搜索这就没有一个弹窗了,那我们来看一下它的一个网页源代码,嗯他是对我们的这个都进行了一个实体编码,这两个输出的位置都进行了一个实体编码内,怎么来进行一个绕过呢。
我们可以看到它在这里闭合的话,是使用一个单引号,那单引号的话我们是不是可以去尝试一下,或许他就没有写那个参数呢,这里然后这个的话肯定这种右尖括号,左右尖括号都被实体化了嘛,我这就不写了,然后就利用。
是不是之前有说过这个input标签的话,它也是可以有一些事件的,focus,等于alert 1,然后给大家尝试试一下那个auto focus,可以看一下它的作用,后面还要加一个单引号,是闭合调。
后面那个单引号,对吧,这就直接他就会一直弹出来,因为他一直就是自动聚焦,所以它一直会有,我就回退吧,我们查看一下他的哦,就把这个auto focus给去掉,然后来查看一下它的源代码嗯。
这样的话我们只有自己鼠标,把它的焦点聚焦在这个输入框的时候,它才会有这个弹窗嗯,哦我鼠标要移开,但是我但是我现在一直在转,好吧换一个吧,因为我们现在查看源代码的话,也还是之前那个alone一的。
on click吗,睡的话只有点击才会有,刚才on focus的话,因为我这这个点之后点确定它又直接,它的焦点也是在这,所以它也会一直有这个弹窗,我们可以看一下,我们刚才输入的话是中间这一段。
就是这个test单引号,on click等于alert 1,然后后面有个单引号,前面这个单引号是b和前面的,后面这个单引号是b和后面的,中间正好多出来,这一个部分就是我们能够触发js代码的这一段。
这一部分我这么说,大家听着吃力吗,还行不吃,那我就接着往下讲好吧,这这个靶场大家可以去做一下吧,嗯后面的还需要我讲吗,还是你们自己去尝试做一下,到时候我会发一个拍漏的出来行吗。
就是整个这一个这几关的一个的牌楼的,你们也可以自己先尝试吧对吧,我觉得还是要先自己做一下,不然你们没有一个可能看着老师做比较容易,但是如果自己做的话,可能会有一些没注意到的地方,只有自己去做一下。
才能就是体会得到那个过程,然后你们自己学的也更多,到时候我就把整个这个的一个嗯太low了,可以给你们,然后也不一定就是我那样子的,你可以写出你们自己的,如果有不同意见的话。
就可以同样可以进行一个弹窗的话,你就可以分享在群里面嗯,这个是这个靶场,今天我就不拖堂了,然后你们今天的内容有什么疑问吗,哦对这个我还要给你们讲一下这个编码吧,我给你们稍微过一下,你们想听吗。
就是这个这种编码,因为我之前自己在学的时候,可以类型我给你们讲一下,我之前自己在学的时候可能就会有疑问,为什么可以对他进行这样编码,对这种情况,所以说我就去研究了一下,然后也写了一个ppt。
那嗯这里有个经验,就是问题源头脚本是如何变成页面的啊,这个可以不用看,这个是我之前写的,第二个就是主要就是这个xs配露了,它是如何进行编码,而且它能够正常的进行一个弹窗,我之前就有点不太懂嗯。
那在这的话我直接从这开始介绍吧,就是它其实是有三种编码的,一种是html编码,第二种是url编码,第三种的话就是这个javascript编码,我到时候把这个ppt发给大家。
就是这个啊编码的ppt发给大家,然后大家可以去看一下,这描述的就是这个html编码的话,就是我们前面提到的那个字符实体嗯,它的格式是这个样子的,大家应该之前有接触到了对吧,这个是它的一个实体名称。
这是它的实体编号,然后在php中防护xs的话,经常就使用这个,就是把预定义的字符转化为html实体,哪些情况下,哪些情况下它会进行一个html解码,刚才我们就是在这个ppt里面进行绕过的时候。
就是这种地方为什么他可以写这种实体编码,而且能够被解析呢,其实就是因为在这种情况下,它是可以进行一个html解码的,第一种是数据状态下的字符引用,这个字符引用就是刚才说的那个字符实体。
就是那种字符实体的形式,数据状态下的字符实体,第二个的话就是这个状态中的一个字符,是字符实体,第三个的话就是属性值状态的一个字符实体,那在刚才的这个ppt里面的话,其实就是一个属性值嘛。
是这个h r e f的一个属性值里面,所以它会对我们这个进行一个解码,然后输出到页面中的话,就是java冒号alan 13,刚才也看了对吧,第二种的话是一个url编码。
url的话就是这种百分号加上字符的阿斯卡码,对应的二位的一个16进制数字,比如说这个斜杠它对应的url编码就是百分之rf,这种的话就是这个斜杠的一个url编码,然后这儿有一个需要注意的地方。
就是不能对协议类型进行任何的编码操作,否则url解析器会认为它是类型,就比如说我们去访问一个百度点com,这个前面如果用这个它编码的内容,就是http冒号双斜杠,如果你去进行这样一个编码,再去访问。
就是把这一串写入到我们这个浏览器的地址栏,去进行回车访问的话,它是不能够访问到我们百度的一个资源的,他只有在这个后面你可以看到这有一个a标签,h e f,这前面这一段是进行了一个html编码。
然后中间这个冒号它是没有进行编码的,因为它不能对协议类型进行任何的编码嘛,所以你不能对前面这一段javascript进行编码,然后对这个后面这个alert 2进行了一个编码,所以你点击之后。
它会有一个警告框弹出给我们,第三种的话就是这个javascript的编码,是不是我这么想,大家不太听得懂,但是我先给大家讲着吧,之后你们可能就是在就有这个认识吧,就如也知道这个ppt里面有写。
所以你们之后如果不懂的话,也可以来翻一下这个ppt,我给大家大致的讲一下,然后在这个第三种的话,就是这个rose quint编码嗯,它有四种编码策略,第一种的话就是三个八进制数字,这这种。
然后是两个16进制数字,就是只有一种,第三种的话就是四个16进制数字,那就是这种比较常见的话就是第三种形式,然后对于一些控制字符的话,就是用特殊的c类型的转移风格,这种就是回车换行。
然后会触发这个jascript解析器的地方,其实就是在调用cript代码的时候,能就是能引用我们的javascript代码的时候,它就会触发这个javascript的解析器。
你比如说你直接嵌入到ascript代码块,中的一个代码,是不是就是一个javascript代码,它就会触发他的一个解析器,对它进行一个解码,然后通过这个s r c加载到外部文件中。
就是你加载的那个文件中也可以进行一个编码,这个js编码,然后这个的话就是这个嗯javascript伪协议,然后是cs的一个exception,就是刚才,嗯这个怎么变成,就是这个这种也是会触发的。
第三种的话最啊啊,不是第三种,第五种的话就是这个事件处理器,然后是种定时器,然后吃这个dio调用的时候,这里有几个需要注意的地方,第一个就是squint标签里面的html字符实体,不会被解析以及解码。
就是你这个中间这个sequence里面的这些代码,这些html字符实体不会解析为我们的那个,就是这个括号这种控制字符它不会产生意义,就相当于进行了实体编码嘛,它只是一个符号了,也只是一个字符串了,字。
它就不具备那种包裹啊,闭合这种功能了,就是这个意思,第二个的话就是不能当圆括号,单双引号的控制字符对,就是这个控制字符使用javascript编码,如果对控制字符进行javascript编码的话。
解析时会将其解析为字符串,文本不能起到闭合的作用,所以说你在这儿如果对这个单引号,就是这个一后面的这个单引号,它的js编码的话就是反斜杠u0021 ,嗯如果你对它进行了一个编码的话。
它是不会进行一个触发的,就是你如果把这一条输入进去的话,它不会有一个一的一个弹窗给我们,嗯再然后就是这个转移序列,只有在标识符名称里面的编编码字符,才能够被正常的解析,这个只是给大家做一个扩展。
大家如果听不懂的话,没关系,下面是一些实例,大家可以把这些实例嗯,到时候输出输出到就是你们直接写一个html文档,把这个粘贴进去,你看一下它到底能不能弹窗,然后去想一下为什么能弹窗,它是怎么进行解析的。
如果不想想也没关系,嗯这个也是一个比较复杂的,你也可以去看一下,把这条书就是粘贴进我们的html文档里面去,然后看一下他能不能有一个vs代码的触发,这个是一个实例,就是在这里的话。
我是对它进行了一个url编码,然后这个click me就是在这儿的click me之后,它就有一个弹窗,到时候我会把这个ppt发给大家,嗯今天的课程其实主要还是最前面的这些,这个刚才讲的只是做一个扩展。
那大家今天讲的内容有没有听懂的吗,没有听懂的问题的话,可以提出来,大家有问题吗,得去报靶场试试,回家做题,切了哦,对明天是不是要讲那个题目啊,嗯大家课后今天的课后练习作业的话。
大家可以去做这一个这个靶场里面的一个练习,然后还有一个的话,其实还给大家准备了一个,嗯大家可以去做这a b b,这几个选项里面的内容,还有一个的话是一个cm里面的,我可以给大家看一下。
给大家留留两个作业吧行吗,嗯就是这样的一个c m c m s是什么意思呢,c m s就是可能一些嗯,它是一个内容框架,我可以哦,可能百度比我讲的清楚一点,内容管理系统,怎么说呢,其实他可能简单一点。
就是说它是一个模板吧,你可以如果是特定的用户,你可以去下载这个开源的这种cms,然后如果你是一个什么别的公司,你就把这个图标给替换掉,这种功能的体嗯,什么东西给替换掉,但是大体的框架就是使用它整个逻辑。
或者是其他的,就是使用这个,比如说这里的话就是这个y x cm,它整个就是套在这个里面,只是把它里面的这些图片啊,文字啊这种这种东西改一下而已,嗯这就是一个cm s,你也可以把它想象成就是一个网站吧。
嗯只不过它可以复用,这个比较通用,所以有时候你如果挖到了一个,cm的一个漏洞的话,你可以去找别的公司,它如果使用了这个cm的话,他可能也会出现这个漏洞,因为他们都是复用的一套代码嘛。
后台代码嘛处理都是一样的,那出现漏洞的话也都是一样的,那在这的话这个地方这个cm s的话,它主要出现xs s的地方,就是在这个留言本的这个地方,这里有一个留言内容。
在这儿的话大家可以去尝试注入一些xss代码,然后它的后台页面的话,是这个admin,嗯这是它的一个后台页面,在这个结构管理这儿,这儿有一个留言本,大家可以在这儿注入一些嗯xss代码。
哦你在这儿注入xss代码,然后在这去尝试看,或者是你在这里用f 12,这边有一个留言的区域展示,你可以在这里看一下,然后如果能够就是通过我们利用这个接收平台,我们的刚才搭建的这种接受品牌。
能够接收到他的cookie的话,是最好的,大家这个想做吗,就是这个这个cm里面的这个地方,大家想去尝试一下吗,嗯想的话我就把这个cm发给发给大家,它安装的话其实也比较简,单,就,你就,哦我也不记得。
我待会找一下那个压缩包被我放哪里去了,你把它解压之后,直接放到这个3w目录下,3w目录下之后,你直接在这边去进行一个访问,他就会给你引导你怎样去进行一个安装,其实跟刚才安装那个蓝莲花是一样的。
然后接下来安装完成之后,他就有两个页面,一个是这种普通用户的,一个是这种后台管理的,那你在后台,这样的话,就可以看到他这边输入了一些什么东西,嗯然后你们去进行一个尝试,这个为什么不行呢。
嗯他还是不行好吧,那我待会儿的话会把这个cm s,以及刚才那个ppt给发给大家,那今天的内容大家还有什么问题吗。
如果没有什么问题的话,我就下课了,你现在没有好的,那你们之后如果有什么问题的话,可以过来问我好吗,那今天的课程就到这儿,大家嗯自己去进行一个练习,那下课大家再见。
P80:第50天:内网横向移动-smbexec、psexec、wmiexec、sharpRDP - 网络安全就业推荐 - BV1Zu411s79i
知道,呃我们继续啊,呃还在的同学扣个一吧,在讨论区扣个一,能听到我声音的,还在的同学在讨论区扣个一吧,我怎么呃,我怎么感觉大家是不是在挂机啊,就没有没有没有在听啊,都没人没人说话什么的。
就我上节课讲的那些内容的话,大家有没有什么疑问,有没有什么问题呃,有问题的扣一,没问题的扣二吧,怎么都不回呢,喂,能能能听到我说话吗,对啊有问题的扣一,没问题的扣二呃,你这直接扣三,这么自觉吗,那行吧。
那我那我懂懂懂你们意思呃,那我继续吧,我就继续讲吧。
呃这边的话。
上节课给大家介绍了这样子的一个w mi的,ex e c的这样子的一个啊脚本的一个使用对吧,然后的话在这边的话,我们是能够去直接用它来去执行命令对吧,然后的话返回结果。
然后下面的话我们可以通过这样子的一个,就是啊通过shell的一个参数,我们来能够去直接的去得到这样子的一个,得到一个这样子一个c m一的一个绘画。
而这边的话我们先来呃,我大概的演示一下,他一个使用吧,三点,504,好这边的话就是有在执行了执行之后的话,他在这边他会有回血结果对吧,可以看到这边的话,就是直接把户外mi执行命令的一个结果。
给回形出来了,然后的话其实我们这边执行命令对吧,就我们就啊不要就是固化自己的一个思维啊,就是我这边既然能执行命令,那么我就能够去反抗希尔嘛对吧,我这边的一个执行的命令的话。
我自然的话可以就是更改成就是反弹,一个需要反弹到我这边的这个,比如说我这边的这个,和cs,比如说我这边的话就用这一个。
没意思,我这边的话就用这样子的一个生成的,这样的一个抛shi的一个脚本,然后的话用m h ta的一个方法去进行一个加载,然后这边执行,然后在这边的话执行之后的话,它的一个意思其实就是呃。
它会在我这边的一个远程机器上面,他会去执行这样的一个命令对吧,那么他执行的这个命令的话,他就会他会去可以看到对吧,它会执行这个命令,然后这边执行这个命令的话,他就会去呃解释执行。
我这边4s服务端的这个脚本,然后他解释执行这个脚本的话,我这边的话就能够去接收到他的一个需要,也是这边可以看到多了这样子的一个呃,这样子的一个绘画是吧,诶时间呢怎么看不到时间,这边的话就是这个可以看到。
其他的话,这些我都我都退掉了呀,remove掉,就是这个话就是刚刚过来的对吧,它是通过poshell脚本的一个加载,来得到这样子的一个绘画,然后可以看到我这边它是基于这个呃,110。8的这个跳板机对吧。
然后得到这个10。20的这个,机器的一个绘画,以及在呃。
哎这边这边的这个分辨率太高了呀。
所以的话,就是在这边看的话就小了,以及的话在我们的一个msf上面也是同样的。
唉不能复制。
哎我这边我这边不不给大家演示了吧。
好吧呃有有有问题吗,就是我这边的话我就不敲了,就是呃大家自己课后去自己操作吧好吧,我这边的话手敲的话有点浪费时间啊。
然后我这边的话就是继续给大家介绍吧,啊其实具体的一个效果的话,我这边都截图了,就是呃因为在这边的话,那在这边的话,我们无法去直接得到这样一个,报办交互的一个模式,就是在4s上面对吧。
我们可以直接我们可以去执行命令,以及我们可以直接去反他一个shell对吧,那我们反弹shell之后,我就直接都达到了我的一个目的对吧,然后我在这边的话,我得到这样子的一个呃,通过这样子的一个方法。
得到这样一个半交互模式,其实也是一样的对吧,它同样的也是能够去啊,在远程机上面进入一个sm t,趋近一个操作嘛对吧,然后在这边的话呃,它的一个效果啊,就像这样子,就是第二个的这个w m i c。
就是呃解决了前面的这个w m i c的,没有回血的这样子的一个问题啊,然后第三个就是呃在m m sf下面的一些,就是横向移动的这样的一些模块,我这边的话会给大家介绍这样子的三个模块。
就以这三个模块为例吧,好呃,首先第一个就是这个p s e x e c的一个command,而这个的话其实从字面意思的话,我们也能够知道,其实它的一个呃原理的话,它其实也是就是跟我们前面讲的那个。
p s e x一的一个原理都是类似的,然后这边的话它是把它集成到了,我们的一个msf上面去了,那么我就可以直接在msf上面去进行,这样子的一个操作对吧,就不需不需要说我再通过上传这样子的一个啊。
p s e x e c的这样子的一个文件,然后的话再去进行一个执行命令,或者说呃反弹性对吧,那么在这的话就是关于这个模块,它的一个详细的一个使用啊,呃关于msf的这些模块使用的话,我就不多说了对吧。
现在的话大家应该都很熟悉了,这些的话应该都是基本操作好吧,然后这边的话就大概的说一下它的一个呃,它的一个就是功能作用啊,就它的功能就是去执行命令,就我们可以看到就是command嘛,就是去执行命令。
然后他在这边的话执行一个命的话,就是我们在这边set的一个command,比如说我这边set的话是一个户外mi是吧,那么他会通过这样子的一个就是ps ex ec,来去执行我们这边的一个换mi的一个命令。
然后的话回信结果给我们对吧,在这边,然后第二个的话就是这个ps ex 1 c,这个的话就是,这个的话这个模块的话,就是我们可以直接的去得到一个match part,一个绘画,也就是说呃。
他的这个模块跟前面的话,这个不同的一个地方的话,就是我们在这边的话,它只是会去执行我们这边设置的一个命令是吧,那么他在这边的话,我们可以去设置payload,也就是我这边呃用p s e s e c。
用用这样子的一个模块呃,我这边配置好执行之后的话,他会去呃得到这样子的一个matt的一个绘画,也就是我们可以直接去得到啊,远程的这个2201的这个机器的一个matx,by一个session会话。
呃以及第三个的这个就是m s17020 的,这样的一个command,就是利用的一个三本的一个那个啊,其实这个的话就是我们前我前面也有提对吧,就是这个17020的话呢,他有去利用。
它是利用的三本的一个这样子的一个呃,协议的一个漏洞对吧,那么三本这个协议的话,就说我们呃,它是一个网络文件共享的这样子的一个协议,对吧,那它的一个作用的话,就是我们呃不同的一个计算机上面的话。
我们要去共享这样子的一些文件或者说服务,那么他会去使用这样的一个sb协议,去进行一个通信,然后的话呃sb协议通信的话,比如说我这边要去访问远程主机的一个,三本服务对吧。
我这边需要去提供啊一个账号密码对吧,然后的话才能够去进行一个登录验证,那么我这边的话知道他一个账号密码的话,我就可以用这样的一个三本的一个呃服务,来去得到来去执行命令,以及能够去得到啊筛选的一个绘画。
这句话就是呃这个模块的一个十,然后呃我这边的话,同样的就是设置了一个执行的命令的话,是这个hui的一个命令,然后它的一个结果就是呃形式在这边对吧,然后的话呃,第二个的话就是介绍一下。
msf下面的一个token窃取,然后其实这边的一个token窃取的话,在前面的话已经有给大家介绍了是吧,已经留给大家介绍,然后我看大家的一个作业的话,大家也对这个的话完成的都是没问题的对吧。
就我利用这样子的个呃token的一个窃取,来推荐一个提权是吧,那么在这边的话,我们的,这边的这个token接取要跟前面的话也是一样的,就是在msf当中的话,我们可以使用这样子的一个模块。
这个啊encore encorneal,这样子的一个模块来实现这样的一个token窃取,然后他的这个msf下面的这个这个token,窃取的一个工具,它其实就是从windows下面。
从windows平台下面的那个呃工具移植过来的,然后这边的话就是它的一个使用的一个方法,就我们在msf里面的一个使用步骤的话,就是我们首先需要去加载这样一个模块,就使用这个load命令。
然后加载这个ink inconnor这样子的一个模,这样子的一个模块,然后你加载这个模块之后的话,你可以在msi下面去执行一个help,执行这个help命令之后的话。
你会你就能够去在他的一个帮助选项当中,找到这样子,这个in conneo这个模块的,一个使用的一个帮助的一个信息对吧,以及它的一个选项,然后呃在这边的话,我们常用的这样子的一些命令。
就是首先第一个就是list tok,就是list的token的话,就是我们调用这个模块来去呃,列出当前的单纯计算机上面的,所存在的这样子的一些token啊,我在这边的话,哇,实在不好意思啊,可爱的我。
我这就是一讲话就有点咳啊,就是有点咳的,有点难受,然后呃中间讲课的时候,可能就是有这样的一些停转,然后哎再次说声抱歉吧好吧,就希望大家呃不影响大家听课,就是希望大家希望能够不影响大家听课。
而在这句话在讲这个token之前的话,这边就是还是介绍一下这个token,就是对token的一个简介,然后其实这边的话前面前面在讲,那个时候的话已经有给大家介绍了是吧,然后在这的话再重新就是回顾一下。
就是啊,windows下面的话有这样子的两种类型的一个token,首先第一句话就是这个delegate,delegate,选择这样的一个token就是授权硬盘,然后他的这个token的话。
它的一个作用就是用于交互绘画的一个登录像,比如说我们用本地的用户,直接去进行一个远程桌面的一个登录,就比如说我这边我这边通过i d p对吧,去连接到我这边的一个靶机,那么它就会在他的机器上面。
就是说你使用什么样子的一个用户,去登录的这样子的一个机器,那么它就会在这个机器上面去生成,对应的这样子的一个用户权限的一个token,也就是这边所说的一个授权令牌。
然后第二个就是这个impression,impressional这样子的一个token,也就是模拟令牌,就他的这个模拟令牌的一个作用,就是用于非交互的这样子的一个登录。
就是比如说我们用net use来去访问,这样子的文件共享对吧,那么我们所使用的就是这样子的一个,模拟的一个令牌,然后这边的token的话,这两种token它只有在系统重启之后,他才会去清除,也就是说。
也就是说,他只要有用户去登录这样子的一个机器,那么他就会去在这个机器上面去生成,这样子的一个token,就说它是用什么样子的一个方式去进行的,一个登录的话,它就会生成对应的一个token。
然后的话在这边的话有这样子的一个,有这样子的一个需要注意的一个点,就是具有这样子的一个授权令牌的,这样子的一个用户,他在注销之后啊,它的一个token,它会变成这样子的一个impassion in。
python nation的一个token,然后这个token的话它是依然有效的,也就是说它系统它没有重启,那么它这个token的话它就有效呃,什么意思呢,就是说就是说比如说我这边用admin的一。
个用户对吧,比如说我这边用这个d类admin的这样子的一个运,用户对吧,登录了这样子的一个机器,那么它在这个机器上面的话,它它就会有生成一个这样子的一个呃。
d类域的一个admin用户的这样子的一个token,那么这个token的话,它会在计算机上面它会有保存对吧,那么保存了这个token的话,当我们对一个当我们的这个机器,它在呃注销之后。
也就是这个用户对吧,我这边这个用户我注销就是,啊就是这边对吧,我注销我注销这个用户,那么我这边注销这个用户之后的话,它的这个呃授权链牌的话,它会变成一个模拟链盘,也就是说它的这一个令牌的话。
我可以通过就是非交互式的这种,反非交互式的登录来去用这个令牌对吧,来去进行一个登录啊,因为他的这个念法就是能够去用于这样的一个,非交互的一个登录嘛,是吧,嗯然后在这边的话呃。
token的一个给大家介绍了一下token,那么下面的话我们来具体的来看一下,就是我们的话去进行一个利用,首先的话我们可以通过这样子的一个list token,这样的一个命令来去列出当前的一个主机。
下面它有哪些token,也就是说像比如说在这边有delegate,delegate,选择这样的一个token对吧,就是说呃在这个主题上面的话,有它有登录的这样子的一个用户。
就是说他有去远程桌面登录的这样子的,一个用户对吧,他把他的一个token列出来了,然后的话下面的话就是有一个impressionation,这样子个token,这个token的话就是呃模拟令牌的这样子。
一个token,也就是我们可以通过像啊net user这样子的一个,非交互登录的一个方法来去进行一个呃登录,然后的话我们在这边的话,我们想要去查看当前的一个token的话。
我们可以直接执行get uid,来去查看当前的一个token,也就是当前的一个用户权限嘛对吧,然后呃关于这个提前自system权限的话,这一革命的话前面讲了很多对吧。
就get system来去进行一个提前,然后token窃取的话,token窃取的一个命令就是这个impressional,就其实这边impression话就是模拟的一个意思吧,就就是模拟令牌。
然后他这边要模拟的一个令牌的话,就是这边指定的这个,像比如说c什么的一个令牌,那么我这边模拟了这样子的一个令牌之后的话,我就能够去得到这样子的一个nt c是什么的,一个权限。
以及的话我们可以从进程当中去窃取token,就是我们可以通过steel token,这样子的一个命令来去借来,去窃取指定进程的指定pad的这样子的这个进程,它所对应的一个用户的一个权限,以及话呃。
我们可以呃通过ie v to set to self以及drop token,在两个命令来去返回之前的一个token,这边返回之前那个token是什么意思呢,就比如说我这边通过这个token的一个窃取。
就模拟令牌对吧,然后的话模拟了这样子的一个令牌,那么它模拟这个令牌之后的话,我当前的一个token的话就变成了这个token,也就是说我这边执行执行get uid的话,我就变成了这个对吧。
但是我之前的话不是这样子的一个token,我是一个命的一个token是吧,那么我想要去回到之前那个token的话,我就可以执行这个i e v to st来去呃,得到原来的一个admin的一个token。
然后具体的一个呃使用的话,就是我这边截图的话已经列出来了,然后呃以及的话我这边有这样子的两个文章啊,两个笔记,就是啊msf的一个token,以及这个啊cs的一个token。
就是在这两个平台下面的一个token,窃取的一个呃使用的一个方法,然后在msf里面的话,就是我刚刚给大家介绍的这一个对吧。
然后呃我们这边的话主要来看一下这一间,在这张截图啊,然后其实大家在作业里面的话有呃,已经有就已经做的挺好的,我发现就是大大都有教那个做的话,应该都有做出来的吧,然后在这边的话。
我再给大家介绍一下这样子的一个token,他的一个就是一些点吧。
以及捋一下思路,以及在这边去从进程当中去窃取token。
他的一个就是他的一个方法,首先的话我们要去使用这样子的一个模块的话,我们要load它对吧,漏了它之后的话,我当前的一个就是token的话,是在一个win 7杠一的这样子的。
一个admin的这样子的一个呃,这样子的一个用户对吧,也就是当前的这个这个是我的一个token,然后的话我在这边的话,我通过steal steal token,然后的话来去进行一个token的一个窃取。
那么这边token窃取的话是4500,那这样子的一个就是进程id为4500的,这样子的一个进程,然后在这边的话,我们呃我上面的话就有省略了,这样子的一个命令,就是其实你执行ps,你在mac下面。
你执行ps之后的话,就能够去列出当前系统下面的一个进程,然后他的这个进程的话,它会显示这样子的一个,像你的一个可执行程序对吧,以及你这边的一个呃用户权限,然后其实这边的话就是显示的一个token是吧。
就跟就其实我们的这样子的一个用户啊,呃就我们的这边的一个用户,就是我们的一个,比如说我这边是一个m n g y的这个域,的一个域名对吧,然后后面的话就是我的一个adminutes,选择一个用户名。
也是我的这边它是一个我的预感的一个用户,以及这一个玉,下面有这样一个win 7杠一的这样的一个用户,对吧,嗯然后其实这边的话就是他的一个token嘛,然后其实跟这边的话也是对应的是,那么在这边的话。
他窃取的是4500的这个进程id的这个token,也就是这个这个4500对吧,因为呃为什么要去窃取这一个的一个token呢,因为我们可以看到就是说他的这个进程,它的一个token的话是这个啊。
我们的一个i n g y,这个域下面的这个administrate,一个用户的一个token是吧,也就是说当前的这个计算机的话,它有就是说它的一个预广的一个用户,有登录这个机器。
然后的话它有创建这样子的对应的一个进程,那么我在这边的话,我就可以通过进程的一个窃取进程,token的一个窃取来窃取这个进程的一个token,那么我实际窃取的一个token。
那就是我这边的一个预管用户的一个token,然后我这边窃取成功之后,我就得到了啊,这边的一个呃,预管的这样子的一个用户权限是吧,然后的话呃,下面这个的话就是一个token的一个就是窃取啊。
就是通过这个impresident token,就是模拟令牌来去啊,模拟我这边想要去得到的,就是想要的一个用户的一个权限,然后我在这边的话,其实你可以看到这边的话这种这种权限的话,他这边有的我们。
也就是他当前的话,这个主机的话有这样子的一些用户,有在处于一个登录的一个状态对吧,然后这边的话我执行这个i e v to self的话,就是呃返回我之前那个token嘛对吧,就是可以看到我之前的话。
本来是这个add面的这个预感的一个用户token,现代化,我变成了一个本地的本地机器的这样子的,一个token是吧,然后的话我在这边的话,我可以通过这个呃token的一个模拟。
就是模拟令牌来去模拟我这边的,比如我这边的这个nt system的这样子的一个token,那么我这边模拟成功之后的话,可以看到这边模拟成功之后,我就能够去得到对应的这样一个system的权限。
这个话就是msf下面的一个token的一个呃,窃取,然后呃其实在这边的话呃,讲这个token窃取对吧,就其实呃跟我们这边的这个课程内容的话,有什么就是关联呢对吧,我们本节课的话是讲的是一个横向移动是吧。
那么我这边的一个token窃取,它在横向移动的时候有什么作用。
就其实对吧,原本的话我,就其实我当前的这一个得到了这个呃,matt pad绘画的这个主机啊对吧,我的一个就是权限的话是这样的一个权限,然后呢我这边通过我token的一个窃取,我这边得到了他的一个预管的。
就预管的这样子的一个权限对吧,那么我得到了他的一个管的权限,那么那么我是不是能够去进行一个,就说以当前预览那个权限去登录其他的,在当前这个域下面的一个主机呢对吧,那么肯定是可以的。
就其实我们再去进行一个内网的。
这样子的一个渗透啊,就是在域内的这样子一个域内渗透的时候。
去进行这样子的一个横向移动,你的,你的最终目的就是去拿到预管的一个权限是吧,而不是去拿到预控的一个权限对吧,那么预控的话对应的对应的一个用户权限的话,就是我们的一个预管理员的一个用户是吧。
因为我们的一个预管理用户的话,我们得到它的一个预管理用户,那么我们就能够去同,我们就能够去得到预控的一个权限是吧,得到预控的一个选怎么去得到呢,就是我们前面所讲到的一个,横向移动的一个方法对吧。
就是我们实际去得到了一个预控的这样子的,一个呃用户密码,或者说得到了他的一个权限对吧,像我们就可以用到前面对应的这样子的,像比如说我们建立一个i p c的一个连接对吧,然后的话来去去来去执行命令。
你就可以用到我们这节课所讲到的这样子,一些外部的一个工具来去进行一个得到预控的。
这样的一个权限,这个话就是呃这个呃token窃取的一个利用,以及它的一个使用方法,呃第四个的话就是我们的一个cop stract,也就是也是我们常用的一个cs,就cs下面的话。
cs下面的话嗯它有自带的这样子的一些功能啊,呃在cs下面的话,我们如何去进行一个这样子的一个,就是呃横向移动的,首先的话,首先的话我们的一个前提,就是已经得到了这样子的一个。
得到了一个基本的一个需要绘画对吧。
所。
烦啊,这边分辨率太高了,这边,就首先的话我这边。
首先我这边得到了这样子的一个啊,稀有黑化对吧,我当前得到一个全息化,是这个就是它它的一个本地组的一个web组的,一个呃admin的这样子的一个权限对吧,然后的话我们在这边换,我得到这样子的一个绘画。
我想要去进行一个横向移动,我们要怎么去进行一个操作呢,就在cs当中我们怎么去操作呢,首先的话我当前的话是呃能够去执行命令对吧,比如说我就是去进行一个相应的一个,信息收集嘛对吧,我肯定需要去啊。
知道一些常常见的,像比如说我当前的一个呃网络情况,就我当前的一个网段的一个情况是,我当前的话是这样子的,有一个10010的这样子的一个网段对吧,那么我要去横向移动的话。
我就是针对这一个内网的这个网站来去,对这一个网段下面的呃,一个内网的一个主机做一个横向的一个移动,来去得到,其他的,就是说在同一网段下面的其他机器的一个绘画,呃,笑对吧,那么在这边的话呃。
我们首先第一个的话就是要去用到,我们前面所说的这样子的一个呃,横向移动的这样子的一个,要去进行横向移动的一个条件对吧,前面的话上节课有有讲对吧,就是你要去进行一个,像。
比如说你要去建立一个i p c的一个零件对吧,那么你需要去知道你需要去知道,就是说在这个网站下面开放了对应的,像比如说445139的这些端口的,一个主机端,以及的话你需要去知道它的对应的一个账号。
一个管理员账号的一个密码对啊,以及他是不是开启了这样一个,i p c的一个共享是吧,那么在这边的话,我在cs当中我如何去得到它的一个。
用户密码呢对吧,就其实在这边在cs上面去得到用户密码的话,其实就是又回到了我们之前所讲的一个,就是内网的一个用户密码的,就是内网的一个密码哈希的一个获取对吧,以及名为密码的一个获取。
就是在cs当中我们如何去进行一个获取,首先的话它的一个步骤的话,就是在这边我们可以直接右键,右键这样子的一个这个呃绘画对吧,然后选择这一个嗯,选择这个access。
然后让他选择这个deer hashes。
然后你选择之后的话,他其实会在这边去执行这样的cash,dp的一个命令,然后的话其实如果你记得这个命换,你直接在这个back下面,你直接执行hash dump,他就能够去列出他他的一个哈希对吧。
然后的话列出这些哈希之后的话,我们可以去对它做一个解密嘛对吧,如果能解出来的话。
那么呃在这边的话,他得到的是一个密码哈希的,那么我想要去得到它一个名为密码呢,我们在这的话它有集成这样这个命令,cut的一个命令对吧,然后的话我们可以直接run这个mini cut,然后这边乱之后的话。
唉这个好大啊。
这边run之后的话,他就会去执行这样子的一个啊,获取当前主机的一个名文密码,的这样子的一个命令是吧,就是执行的这个login password这个命令,然后他执行之后的话。
他就会去获取它的一个当前主机上面的一个密,码以及哈希是吧,然后其实在这里,我们可以看到它的一个账号密码对吧,它的一个铭文的一个账号账号密码,然后在cs当中的话,它的一个账号密码的话。
我们可以在这边去进行一个查看,呃,那个quence是,我们可以在这边real,这边有一个这个credon tn啊,我这边读的标准就是这个这个意思的话,就是凭证的一个意思,然后在这边的话。
我们可以在这边进入到它的这一个啊选项,在他在这边的这个选项的话,它这里的话就列出了我们刚刚所使用到的,像比如说hash dp这个命令对吧,我们使用这个hdmp命令的话,所得到的这个结果。
就是在这边得到的对应的这一个用户的密码哈,希是吧,它会在这边列出来了,以及的话我们在这边使用mini cars这个命令,所得到的对应的一个用户,它的一个铭文的一个密码,以及对应的一个密码哈。
希他在这边也已经列出来了对吧,那么在这边的话,我们知道了对应的一个明文密码以及名密码哈,希我们如何去进一个横向移动,就在cs当中。
我们在这边得到了,就是说呃得到了对应的一个用户的,就是,然后呢对应用户的一个账号密码对吧,那么我们下面的话我们需要去确定。
就是它的一个主机,就是它存活的一个主机,因为我们实际的话我们要去,就是要确定一个横向移动的话,我们需要去确定对吧,确定它的一个这个网站下面有哪一些主机,我们能够去进行一个呃移动嘛。
能够去进行能够去尝试得到它的一个绘画对吧。
那么在这的话,我们就需要去进行一个主机存活的一个探测嘛,然后主机存放探测的话,在这边我们可以使用使用他的这个,或者根这个功能,然后我们这句话我们要去探测的话,是这个网段对吧,然后我们选择它。
然后我们在这边画,我这边的话就不少,他这些端端口就我们探测存存活的话,像比如说我们可以填一些,我们就是常见的这种端口对吧,他比如说139 14 五对吧,像这一些的话是我们要去啊,知道的这样子的一些。
以及像呃,等等的3389对吧,这样子的一些端口我要去探测,然后我这边使用的话,就在内网的话,我们通常会使用a r p的一个方式。
然后的话我们十根点击skin之后的话。
它其实就是执行了这样子的一个命令,就是pd skin的这个命令,然后的话指定网段的话,那指定端口,然后指定我们扫描那个方式,然后他这边的话就会去扫描这个一联网站,存活的一个主机。
以及它对应的一个端口的一个开放情况。
然后在这边的话呃。
让他扫着扫着扫着,这等他扫完之后的话。
它会在这边就我们可以切换了,就我当前当前的话是在这一个,就是这边这个列表下面对吧,好我们在这边可以点这一个点,这个的话在这边的话它就会列出,就是说之前我这边通过就是端口扫描所发现的。
这样子的一些存活的这样子的一个主机对吧,以及它的一个主机名好吧,然后这边就是加粗的这样子的,一个像比如10。8对吧,这个以及这个20。1的话,这边其实就是表示我这边有了它的这样子的,一个绘画。
对吧就是我这边有工具了,因为呃这个的话是我之前的对吧,然后其实实际的话你没有去做这样的攻击的话,其实这边的这个机器的话,它是会像这边10010的这样子的一个颜色,就是比较浅对吧。
那么在这的话我们要去攻击的话,其实这是这个201对吧,我这边,这个把它推掉,这边把它退掉是吧,退掉之后的话,他这边就变灰了,然后我这边的话就可以右键,然后点击这个jump。
就其实就其实我们这边去进行一个,端口的一个探测,其实就是为了找到我们能够去进行一个,而在这个网站能够出现一个攻击的,这些机器对吧,那么在这些机器上面的话,我们可以在这边,我们可以通过一呃右键的这些方法。
来去进行对应的这样子的一些呃攻击啊,然后这句话我们选择jump,然后选择这个p s e x e c,然后选择这个选择一个之后的话,他会在这边有这样子的一个弹框,这边的这个弹框的话其实就是我们刚刚的啊。
所刚刚通过就是密码凭证获取,像通过哈希dp以及mini cut,这两种方法获取到的这样子的一些呃,它的一个啊密码,哈系,以及呃明文密码对应的这样的一个用户对吧,以及还有的话就是域名。
他这边的这些信息的话都显示出来了对吧,那么在这边的话,我们可以去选择就是使用哪一个凭证对吧,因为我们要去就是要去进行这样子的一个嗯,移动的话对吧,我当前这边的话,我得到了它一个明明文密码的一个凭证。
那么我们就可以基于这个凭证来去进行一个,横向移动吧对吧,然后在这边的话我选择的,我选择的话选择这样子的一个选择这个吧,就是d类这一个域下面,我当前只知道我当前是在这个域下面嘛对吧,然后我这边找到了。
就是就获取到了这个这个预管的这个用户啊,然后他的一个明文密码,那么我可以用这个密码,这个明文密码来区进行一个横向移动,来去得到其他的主机的这样子的一个,一个权限对,然后在这边操作的话,我们需要去选择。
就是首先那个就是listen,也就是我们的一个监听器,就是我们这边很像移动之后的话,它会反弹一个绘画给我们好,然后这边session的话,就是我们要去选择我们已经得到的那个,就是跳板机的那个绘画对吧。
因为我们的我们当前的横向移动的这样子的,一个操作对吧,是基于我这边已经得到这个跳板机的,一个绘画的一个操作,好,我们这边乱起乱起之后的话。
我们在这边话可以看到,他在这边的话,他会去执行这样子,这个要么p s e s e c这样子一个命令,然后的话他这边显示的是攻击的一个主机,这边的话是用他的一个主机名代替的,就是pc。
这边的话其实就是表示的是这边的这个啊机器,就是这个201的这个呃机器,然后使用的一个监听t4 这个htp。
然后在这边的话,我们可以看到,我这边他就得到了这个201的这个主机的,它的一个绘画,然后可以看到它是一个system的一个权限。
然后同理的话,还有其他的主机的话,我们都可以通过这样子的一个方法。
来去进行一个横向移动,呃ppt里面的内容的话就是呃详细的一个步骤,我这边的话因为pp的话发给大家嘛,就是我这边讲的话就没有呃,其实就是跟ppt跟ppt里面的内容是一样的,然后这边的话是它的一个效果。
嗯然后的话就是呃同样的,就是前面的话再讲msf对吧,讲了msf的这样的一个横向移动的一些模块,以及在msf下面的一个token的一个窃取,然后在cs当中的话。
同样的我们也能够去进行相应的一个token窃取,来去得到对应的一个权限啊,这个的话就是呃其实这个应该放到前面去了,所以我这边的话放到后面去了,然后的话我这边的话就cs下面的话呃。
大家看那个就是在预期内容的话,我就给给了这样子的一个就是笔记对吧,就这一个cs token的这样子的一个啊笔记,然后这边的话就是嗯,我这边就是通过截图加命令的一个方式,就已经很详细的介绍了。
这样子的一个token窃取的一个步骤,所以我在p p t里面的话,我就没有再加了,就是因为这个文档的话已经给你了,我这边放ppt的话,里面的话其实就呃复制粘贴就扩几张图扩进去,其实还不如这边看文档对吧。
然后这边的话呃我们来一起来了解一下,就是我们在cs当中我们如何进行一个密码呃,在cs当中的话呃,同样的就是使会使用到这样子的一个ink,inconnor这样子的一个程序,因为在msf当中它有自带的。
有就是已经有集成了这样的一个工具对吧,但是在m sf啊,我在而在msf当中是有集成这样子的一个模块,对吧,在cs当中的话,它是没有集成这样的一个模块,然的话你可以通过,就是呃有些已经小小的一个插件。
就是能够去,你直接通过我们的这样子的一个啊,鼠标的一个操作,来去利用这样子的一个呃工具啊,然后在这边的话,我是直接就是把这样的一个工具,上传到我的一个目目标机上面去,就上传到我的一个跳板机。
然后的话我再再通过cs的一个绘画,来去进行一个执行,然后其实这边的一个执行的一个命令的话,其实就是我们msf当中,msf的这样子的一些命令,跟这边的一个命令其实都是也是类似的对吧。
因为其实m3 f这边的话,它同样的也是这边的这个工具移植过来对吧,好像比如说你列举token,他这边的话只只是直接执行这个list token,干u就能够去列举列举token对吧,那么在啊。
用这样子的一个啊可执行程序去执行的话,我们就在这个可执行程序后面,加我们的一个命令是吧,像比如说加我们的一个list token,喂呃应该能听到声音吧,然后的话在这边的话。
我们加这样子的一个this token干u,我们就能够去列举出当前的这样子的一个呃,当前这一个主机下面的呃,存在着这样子的一些token,好啊,可以看到这些话有这样子的一些token存在对吧。
像呃这样子的一个运用户,win 7杠一的这样子,一个m i g y域下面的这样的一个运用户,以及有这样的一个这个win 7杠一,这个主机下面的一个台面的一个本地主用户。
还有其他的这样子的一些内置的这样子的一些,内置的这样子一些用户的一些呃token对,然后在这边的话,在这边的话我有通过这样子的一个方法,就是给大家就是通过这边的两个截图啊,来给大家。
就是让大家能够去更好的去理解,就是这边的一个token啊,就是这边这两种token,它的一个呃实际的一个效果,首先的话在第一第一种情况下的话,就是我这边的这个呃预管的一个用户。
他没有去登录这样子的一个机器的时候,我们可以看一下,当前的话,他是没有这样子的一个m m n g y干admin的,这样子一个token的对吧,那么当我在这边,我用这个啊预管理。
预管用户去登录这个主机之后的话,它会它就会在这样子的一个主机上面,他会去保存有这样子的一个token,就这个m n g y administrator这样子的个token。
这边的话是他登我这边登录之后的,它就会有这样的一个token,也就是说呃就是其实就是这边吧,就是授权令牌的一个理解是吧,就是我这边呃通过桌面的一个登录对吧,本用户直接登录之后的话。
它就会生成这样子的一个delegation的,这样的一个token,然而下面的话就是呃实际的一个使用哪个方法,就是我们如何去利用这样子的一个token,来去进行一个,比如说在这边去反他一个shell。
这边法德西尔的一个方法,就是用他的这个ex ec呃,就是execute这样子的一个参数,然后加一个杠c的一个选项,这边sq的话就是其实就是以当前的这边,杠c后面指定的这样一个权限。
来去执行我这边的一个命令,然后在这边的话,在这边的话就是以这边我要去啊,我这边指定的一个token的话,是这个呃,我的一个m m n g y u,下面的一个管理员的账户对吧,然后我这边执行一个命的话。
就是执执行我这边反弹,反弹希尔的这样子的一个命令啊,那么我这边之前的一个效果的话,就是我我当前的话,其实我当前的话它的一个权限是这边的呃,我这边没截图吗,我当前的哦,这边我当前的这样子的一个用户的话。
应该呃是这样子的一个,就是啊本地管本地管理员组的一个用户,就它不是域内的一个用户,它是一个就是win 7杠一的一个主机,下面的这个add面的一个管理员用户,这个权限是吧,那么我一个关于那个权限。
我想要去就是得到这样子的一个,预管的一个权限对吧,来去反弹一个预管的一个权限的一个绘画,那么我在这边画,因为他的这个呃预管那个token,我们是能够在这边能够获取到的。
也就是能够去啊窃取他这边域管的一个token,或者说去模拟它的一个token,来去执行对应的一个命令,那么我们对应的话就会去以这样子的一个,预管的一个权限去执行呃,这样的一个命令。
来去得到对应的一个呃预感的一个权限,那么在这边执行之后的话,它的一个效果的话,就是在cs当中,我能够去接收到一个呃一个呃,mig yu下面的一个管理员的一个绘画,然后的话呃下面的话在这边话就是呃。
在嗯我们的一个cs当中,我们如何去建一个token的一个窃取,然后在cs当中的一个token窃取的话,我们看一下这边的这一个图啊,这边的这个截图的话,其实呃我当前的一个绘画啊。
权限的话是这个admin的权限对吧,那么我这边的话呃通过窃取他的一个token,就是这个啊4500的进程id的这个token,然后这个进程的他的一个token的话,是这个域管的一个token。
那么我窃取他的一个token之后的话,我就能够去模拟它的一个token,来去得到这个预管的一个权限,大家可以看到啊,我这边就直接得到了它的一个呃,预管的一个权限,那么我在这边的话。
我得到了一个预管的权限的话,那我们就我就可以在这边啊,基于这个权限来去得到一个啊,预管理用户的这样子的一个绘画,然后在这边的话得到预管理用户的绘画的,一个面的话,就是通过cs的一个十分。
来去创建这样的一个绘画,好在这边的话,这边的使用这个命令的话,就是通过这个s p a w a n s,就大家在cs当中可以去啊,找到了这样的一个命令,好的话呃,这个命令的话这边的话,它的一个呃。
他的一个执行的一个就是命令的格式的话,就是像这样子就是域名,然后加我们那个用户名,然后的话接我们那个密码,然后在这边的话,我我就可以通过这样子的一个s p a w,a s的一个方法。
来去得到这样一个预览的用户的一个绘画,然后这边执行之后的话,我在cs当中,我就能够去接收到一个来自于管的一个绘画,呃然后的话呃下一面的话就是这个make a token。
make token的话就是我们的一个令牌的一个制作,就呃前面的话我们是去进行一个,就是我们基于已经得到了这样子的一个,就是账号密码对吧,来去进行一个呃,得到对应的一个,得到对应权限的这样子的一个绘画。
以及基于就是说,以及就是基于主机上面,它所存放的对应权限的这样的一个token对吧,我们通过窃取或者说去模拟它的一个token,来去得到对应用户的一个权限是吧,那么在这边的话。
我们如果说我们得到了对应的一个账号对吧,在cs当中,我们通过mini cards得到了对应的一个账号,以及密码,那么我们可以通过这个make token,来去制作对应的一个令牌。
然后的话我得到了这样子的一个令牌之后的话,我可以去进行一个模拟,模拟它的一个令牌,令牌,我模拟他的一个令牌之后的话,我就能够去基于这个令牌,去进行相应的一些操作,就是说以对应的一个令牌的。
你这边我模拟的令牌的一个权限,去执行对应的一个操作,首先在这边的话呃,具体的一个方法就是我这边make a token,然后的话在这边指定这样子的一个啊,我要去模拟了这样子啊。
我要去制作的这样子的一个啊,玉以及它的一个运用户对吧,然后的话接下来一个密码,那么在这边的话我执行之后的话,他在这边的话,我就能够去模拟到这样子的一个呃,对应的这样子的一个用户啊。
然后的话我就能够去对应的一个用户的一个,权限去执行这样的一个命令,像比如说在这边的话呃,在这边的话,当前的这个主机的话,我是一个就是啊管理员组的这样子的一个,就是admin的一个用户。
它不是域内的一个用户,然后的话他是无法直接去,就是直接去访问这样子的一个呃,访问这一这边的,我这边这个机器的话ip啊它是一个预控啊,是预控的一个ip,他是无法直接的去访问这样子的一个预控。
下面的一个呃磁盘的对吧,然后的话在这边的话,我可以通过make a token,来去自来去制作这样子的一个token,就这边的制作一个token的话,是域内的这样子的一个用户,是这样子的一个呃。
就是m i n g y。com,这样的一个域内的一个win 7的这样的一个用户,那么我这边呃得到了这样子的一个token,之后的话,我就能够去以这边的一个token的一个权限,来去呃。
访问这样子的一个就是访问这边的一个预控,下面的这样的一个呃磁盘的一个文件,呃这边这边这边命令的话,对应的话是这个截图,这边的这个截图,然后的话我呃也可以就直接,我直接通过sps来去得到对应的。
这样子的一个呃权限的这样子的一个图,这样子的一个呃绘画,以及的话在cs当中,我们同样的也可以去进行一个token的一个窃取,就是第二token,然后的话它的一个操作的话,跟在msf当中的话是一样的。
诶这边的话呃,这边这边重复了,就是其实就是这边的,然后我们可以通过就是通过steel token,来去窃取对应的这个呃,对应的这样子的一个广域管权限的,这样子的一个进程的一个token。
然后的话我就能够去得到对应的一个权限。
这样的话就是cs下面的一个token的一个窃取。
这边的话,我们来看一下。
我当前的话这边的话是呃,这这样子的一个用户对吧。
然后的话我这边的话有得到了对应的,这样子的一些这样子的一些嗯,首先,找找这篇文档的操作,首先呢我们在cs当中。
我们可以用这样子的一个工具来去,而列举当前的一些token对吧。
就是在当前这个主机上面所存在的一些token,我们可以通过我们已经上传上去的,这样子的一个工具,然后我们这边执行之后的话,可以看到这边的话有这样子的一些token对吧,我们在这边可以看到有这样子的一个。
预管用户的一个登录对吧,然后我当前的一个token的话是这个web ji就是web,就是一个当前的一个主机的一个用户,就主机下面那个管理用户,它不是一个域内的一个用户。
然后的话呃在这关于这边的一个对比的话,大家可以自己再去操作一下,就是应该在你的一个靶机当中,你把这样的一个预防的一个账号,你把它注销掉啊,你注销之后的话,你的你的这边的这个token的话,它就会没有。
然后的话你会在外星,会在这边他会有这样子的模拟的一个token,老特曼就是。
然后的话就是我刚刚所讲的,所讲到的这样子的一些操作,这边的话我就不一一的去那个去操作了,我这边的话就像比如说这个用这个工具去执行,这个的话,我这话大家自己去尝试啊对吧,然后我这边的话就是因为这边的话。
它的一个操作的话,跟在前面讲的那个就是windows下面的,用这个去进行一个这样的一个操作,其实是类似的啊,然后这边的话我介绍一下,就是前面没有说到的,像比如说make token。
我们要去制作对应权限的一个令牌。
我当前的一个念法还是这个web minister,然后的话我这边的话我要去制作一个token,然后我这边制作一个token的话,是,比如说我这边我已经通过前面的这样子的一个。
哈希的获取,我知道像比如说我这边那个体内域下面的,这个管理员的一个账号对吧,我要去模拟它的这样子的一个token,那么你通过这样的一个操作,给我们的一个,账号密码。
然后我这边make token之后的话,我这边就,能够去得到他的这样子的一个token,啊这里写错了,这边的话,好可以看到对吧,我这边呃呃刚刚忘记对比了啊,这边的话对比的话就不对比了。
就肯定的话呃我这边的话是这个预控,我这边的这个呃ip的话是预控的一个ip,然后我这边的一个命令的一个意思的话,就是我这边去啊访问这边预控的这个c盘是吧,然后的话如果说你你不是一个域内的一个用户。
以及你的这个用户,你是没有权限去访问,或者说去登录这样子的一个预控的话,那么你是无没,你是无法通过这样的一个呃dr来去呃,获取到这样子的一个呃,这边的这个预控下面的一个c盘的一个,目录的一个内容的对吧。
然后我当前的话是,我之前的话是一个这个web的面的一个用户对吧,我肯定是没有全新去访问这个域控的对吧,那么我这边为什么能够去访问呢,是因为我这边的话我通过make token,我制作了这样子的一个。
就是我通过前面得到这样子的一个账号,以及对应的一个密码对吧,我制作了这样子的一个token,那么我这边制作的一个token的意思的话,就是代表我这边得到了这样子的一个,得到了这样子的一个呃。
就是这个delay下面那个管理员的一个token,也就是对应的一个权限对吧,那么我这边得到它一个权限,我自然的话我就能够能够去访问到,预控下面的这样子的一个,它的一个c盘的一个木桩呃。
我这边的话可以通过i e i e v to server server,来去做一个就token清空了,就是把我们把我之前就制作了一个token,或者说模拟的一个token全都清除掉。
然后的话我现在我再去进行一个这样子的一个,访问的话,你会发现的话它是就是登录失败的,就是你没有没有对应的一个权限,就是你当前的这样子的一个token的话,是你没有权限去访问的。
然后我担心了一个token的话,是这个呃这个嘛对吧,他是没有权限去访问预控的,然后这边的话就是这个关于这个make token。
就是制作对应的一个令牌,然后的话去进行对应的一个访问。
以及的话就是第二token,也就是一个呃token的一个窃取,然后这边token窃取的话,我们可以就直接执行ps,然后的话我们这边的话就能够去列出对应的,一个进程,以及它对应的一个权限是吧。
然后我们这边要去模拟的话,比如说我这边要去模拟这个比例激励admin,这个对吧,然后我们找到这个预管的这个对应的一个进程,它所对应的一个id,就是这个3716的这个id对吧。
那么我这边的话我就可以通过stl token,然后的话接我这个进程id,我就能够去得到这个对应的一个token是吧,那么我当前的话就是得到了这样的一个权限,这个应该是可以的,怎么拒绝访问呢。
这边怎么访问不到呢,没错,201是可以的,预控怎么不行呢,就是啊,我当前的话,当前的这个主机的话是1008年的这个主机,啊对吧,然后的话我这边的呃,窃取的一个token的话是这个预管的这个token。
就按你说的话,这边应该是可以去访问到预控的这样的,一个c盘的,然后这边访问这个201的话是没有问题啊,就是原本的话,原本的话,如果说他原本的一个token,是这个admin的这个token是吧。
它我们可以r e v to solve,我们来就是以原本的一个token来去尝试访问,这个n0。20。201个c盘,应该是访问不到的对吧,可以看到他这边原本的一个token的话,是反应不到是吧。
然后的话我们通过这样的一个token窃取的话,在这话是可以去访问到这边的,因为我这边的话是一个预览的一个token是吧,当时这边余空为什么这么奇怪呢,就按理说是呃能够。
我既然能够去以一个当前的这个预感的一个,token去访问其他的一个主机的话,访问预控应该也是没有问题的。
呃这边的话就是一个token的一个tech。
以及这边的话是我这边还是通过命令的一个,方法去做的这样子的一个啊操作对吧,然后其实在这边的话,你可以通过explore这边有这样子的一个process list。
也就是我的一个进程列表嘛,是就是可以在这边去通过这样子的一个,图形化的一个界面,就图形的一个界面嗯,来去进行一个这样的一个操作,就在这边对吧,他有这样子的一些选项啊。
我们找到一个像比如说我这边找到这一个,嗯这个对吧,delete administra的这样子的一个预览的,这样子的一个绘画对吧,然后我这边可以有这样子的一个steel token。
然而其实这边你执行之后的话,你点击这边执行之后的话对吧,它steel token,然后其实他这边执行的一个面的话,其实就是我刚刚呃,在这边back on下面所执行的一个命令。
就是执行这个steel token加我们的一个进程id,我们这边的话就能够去得到对应的一个,就窃取到对应的一个token啊,其实就是大家用手的话,直接在这边bin下面直接执行命令,就直接执行命令对吧。
我直接ps去查看对应的进程,然后的话如果就是大家对面那不熟悉的话,你就可以在这边通过就是图形化的界面,去进行一个操作,是吧都是可以的,这个话就是呃cs下面的这样子的一个,token的一个窃取。
而这里的话是前面没有介绍到的。
然后这边的话给大家就是做一个介绍,那么对应的就是呃,跟前面讲msf的一个token窃取是一样的对吧,就我们得到了对应一个token,那么我就可以对应的一个token,那个权限趋近应该横向移动嘛对吧。
呃以及最后的就是第五个就是这个削法dp,这个的话就是给大家介绍一下,有这样子的一个方法吧,就是可以利用这样子的一个远程桌面协议,的一个控制台的应用程序,然后的话我们可以用它来去进行一个,横向的一个移动。
就是它的一个作用的话,它能够去对横向的目标去执行,经过身份验证的一个命令控制,就是命令执行什么意思呢,就是我可以利用这样子的一个程序啊,来去进行一个啊执行对应的一个命令,然后他的一个执行的一个方法啊。
就像这样子,这边截大家看我这边的截图,就是它的一个使用,就是我这边通过这个chef i d p,然后的话接我这边的一个computer name,也就是我这边要去呃。
在指定的这个远程机器上面去执行的一个呃,执行命令的这样子的一个主机,也就是说我要去移动的一个目标主机,然后的话这边common的话,就是接我们执行的一个命令,我这边还是执行的一个posher的一个反弹。
shell的一个amelia是吧,然后在这边的话,就是大家也可以同样的就是灵活的去使用的,就是我这边可以抛弃以及可以用呃,刚刚就常用的m h t h加载,我们的一个跨线是吧。
以及还有其他的等等的这样子的windows下面去,法兰西亚的这样子的一些命令,我们都可以在这边就是套嘛对吧,就是套进去用就可以了,然后的话后面的话就接我们的一个呃,我们要去提供一个这样子的一个身份验证。
也就是说我们要去提供一个账号密码,对应的呃主机的这样的一个账号密码,然后的话我们就能够去在目标机上面去执行,对应的一个命令,然后的话得到对应的一个绘画。
呃这边的话看一下。
我这边的话是之前因为我现在还是在家里,我在家里讲,那个这个话是我之前在公司就是操作了是吧,然后这边的话我这边执行之后的话,他执行了一个变化,就是像这样子,就是它会执行这个m s h ta。
然后的话呃加的我这边远程的这一个cs,服务端的一个发泄的一个脚本,然后的话我在这边的话就能够得到线,当然的话在这个话他是没有回血的,注意的话嗯,嗯他只是能够在利用它来去,在远程的一个主机上面去啊。
执行我们的一个命令,就其实呃功能的话跟前面我们的呃,像p s e x e c这样子的一个呃面的话,它是一样的,当然的话它的原理是不一样的。
关于这个具体的一个原理的话,呃我这边有这样的一个文章,大家可以去看一下,然后本节课这边的话我就呃,那科三的话,我这边的话,我就我再跟大家啰嗦这个了,大家自己去看一下这个。
呃以上的话就是我们本节课的一个内容啊,然后呃还在的同学有有没有什么疑问。
呃有问题的扣一,没问题的扣二,然后自己课后去操作的扣三啊啊。
呃20 20有问题还是没问题来着,这有问题的扣一,没问题的扣二,然后自己扣去操作的话,扣三呃,其实嗯好的,没问题,应该应该是没问题的,唉这些东西的话怎么说呢,呃就是大家应该就听我介绍介绍一遍之后的话。
应该就能够理解了,是因为都是就是啊,就是这些这些常用的一些外部的人来去进,横向移动一些工具的一个使用,以及的话就是好在本节课的话就是不同的一个,就是可能,可能就是有难点的一个点,一些点的话就是在。
而在msf以及cs当中的这样子的一个,token的一个窃取是吧,这个的话是大家没有去操作过的,然后的话就是大家在呃在cs以及msf当中,我们去进行对应的这样子的一些呃,这样子的一些工具的使用。
就是大家大家一定要就说不要局限,就不要局限于说我ppt里面的这样子的一个,一个操作的,就比如说我这边是在cs当中操作,那么你你也一定要在cs当中操作的,这不是不是一定的啊。
我这边我还特意就是我这边是在cs当中操作,我这边的话就放到msf是吧,就是通过这样子的例子,让大家就是去理解,就是说我实际的话,在cs当中,我以及在msf当中,我都可以去进行这样子的一个操作。
来达到一个横向移动的一个目的,然后其他同学呢,呃我发现每次都是这几位同学啊,就其他同学都都不说话的,都就然后我问我问大家,我问大家有没有问题,或者说呃能不能理解大家也没有什么反馈啊。
我发现这样就是没有交流的话,我总是就感觉,就我不知道大家就是能不能去理解的,就还是之前跟大家说的,就是你不反馈给我的话,我不知道,我不知道你们能不能理解,以及我哪里讲的,是不是有有没有什么问题等等的。
这样子的一些东西的吧,好啊,大家都不回的话,我就默认没有问题了好吧,然后的话嗯,然后的话呃在这边的话我再提一下这个吧,就是这个shop r d p,这个,这个的话大家可以在我这边的这篇文章里面。
找到这样子一个项目对吧,找到这个项目就是这里啊这里的这个项目,然后的话你把这个项目你把它给扣下来,扣下来之后的话,你在这边的话你会发现,因为他这边也没有去编译啊,所以的话这个工具的话。
你需要去自己去做一个编译。
然后这边的话就顺便的提一下,就是我们如何去编译这样子的一些呃,我们如何去编译这样子的一些呃工具啊,首先在这边的话呃,我把这边的,这边还是我已经编译好的,我这边我把这边编译的把它给删掉,然后你这边的话呃。
就是你实际下载之后的一个项目的话,就是哎我这边哦,不是这个吧,这里是sharp dmp,这边搞错了,是这个小法dp对吧,我以这个为例,然后你这边你找到这一个项目对吧,你这边通过git clan。
然后把它克隆下来之后,他就像这样子的一个文件夹对吧,然后的话这边的这个文件夹的话,他在这边的话,它是没有像这边有这样子的一个可执行程序的,这个话是我有编译的嗯,那么你下载之后的话。
就是像这样子的一个文件对吧,然后这边的话也没有已经编译好的,这种可执行的一个程序,然后实际的话它是会像这样子的,就实际使用的话,我们需要生成这样子的一个1x一的,这样子的一个可执行程序对吧。
然后碰到这样子的一个情况的话,我们怎么去进一个编译,就是有同学知道了,就是呃像这样子的一些呃github下面的一些项目,我们怎么去进行一个编译,来去得到对应的一个可执行的一个程序,就是啊知道的同学扣一。
不知道的扣二,或者说呃有自己去这样子编译过的扣一,没有没有没有这样子去做过的扣二,呃呃就是没没有去这样子尝试过对吧,那么在这边的话,我这边话就给大家介绍一下吧,因为这些的话就是就有很多这样子的一些东西。
就是别人已经写好了一些项目对吧,你想要去或者说你你懂你懂它的一个代码,你想要自己去做一个更改对吧,好的话,你更改之后的话,你要去做一个编译对吧,那么这个时候我们怎么去操作呢,首先的话你需要去。
就是说像在这一些这些项目的话,我们可以在他这边的项目这边可以查看到,他这边的话是一个呃c shop的一个语言对吧,那么像这种c shop的这种语言的话,我们在windows它是windows下面的这种。
这样子的一个编程的一个语言对吧,那么在windows下面去进行这样子的一个,像控制台的一个编程啊,以及啊对应的一个dl啊,程序程序的任务编程的话。
我们都需要去用到这样子的一个visual visual studio,这样子的一个工具,就它是一个就集成的一个id的一个工具嘛对吧,然后的话呃大家可以去下载安装,就我建议的话,大家呃在电脑里面去安装。
你安装好这样子的一个工具。
然后安装好之后的话,安装好之后的话,像这样子的一些项目,他一般的话他会有这样的点sl的,这样子的一个啊文这样子的一个文件,这个文件的话其实就是它的一个呃,解决方案的这样子的一个呃文件。
然后的话我们只需要就是双击打开,这样子的一个,就是在visual studio里面打开这样的一个文件。
打开之后的话,在这边它就会有对应的一个解决方案对吧,他这边总共就一个项目,就是这个消f rd p,然后这边的话他就有对应的对应的这样子的,写代码对吧,你可以如果你懂的话,你可以自己去做一个做一个更改。
就你想要去达到自己想要的一个功能对吧,你可以去更改它的这样的一些代码,在这边去进行一个操作,好的话,你只是想要去我们只是想要去用它的一个工具,对我想要去做一个编译,那么就是编译的话就很简单。
就我们只需要在这边,右键这样子的一个解决方案,就是右键它右键之后的话,我们这边啊在去编译之前的话,我们这边需要去选择,就是debug的话,就是调试模式嘛,因为历史的话就是我们就是,呃稳定的一个版本啊。
就是我们编译之后的话,我们在对应的各个的这种平台上面,我们都能够去进行一个使用,然后这边的话选择就默认的就可以了,就和cpu就是针对不同的一个cpu,它都能够去进一个执行。
然后的话我们在在这边去右键点点击,重新生成解决方案,然后的话他在这边的话,他就会去,他就会去做一个编译啊,它会自动的去编译好,因为他这边的话,它解决方案这边的话已经就是已经呃,已经写好了。
然后这边它自动编译之后的话,我们看这边他这边发现就是从全部重新生成,对吧,生成了一个也就是他这边的一个解决方案,它会生成对应的这样子的一个可执行程序,然后的话它的一个可执行程序的路径的话,就在这边。
其实就是在这边的一个项目下面的话,它会生成一个并的一个文件夹,然后这边的话有这样一个release,然后这边release下面的话就有了这样的一个,消防dp的一个程序。
然后我们再对话就可以直接去进行一个使用。
对,这边的话是我们直直接回车之后的话,他这边的话也列举出了这样子的一个工具,它的一个使用方法,然后呃这边的一个使用的话。
大家可以看那个我的那个这边这边的这个比较,这边还有就是呃其实这边他就是你翻译一下吧,就是翻译一下这边的那个,就我这边还用中文的一个方法去翻译了一下,就是表示这边的这个它是一个常规的rtp连接。
然后这边的话就是computer name啊,就是接我们要去连接的一个目标对吧,然后的话我们要去执行一个命令对,然后的话接我们那个用户密码,就是这样子的一个方法,然后还有其他的这样子的用他那个方法。
我这话我就不一的去介绍了。
呃这边的话就是给大家介绍一个,就是应该是说我们要去了解,或者说要去基本掌握的这样子的一个呃。
技技巧啊,或者说技能啊是吧,就是呃你可能你可能你不需要去,你可能你现在你不知道怎么去进行一个改,它的一个代码对吧,但是你你如果说我这边给你这样的一个项目,对吧,我我要让你去用它,那么你你去用它的话。
你你都不知道怎么去把这个项目编译成,可执行的一个可执行的一个文件,然后的话去使用的话,这个的话是比较尴尬的一件事对吧,就我给你这样的一个工具。
你都不知道怎么去编译去使用,是就是编译这样子的一些项目,以及去使用它的话,是一个就是最基本的一个东西啊是吧,是需要大家去亏得要。
呃当然的话。
这边的话就是你只是单纯的去编译的话,是比较简单的对吧,然后我这边的话就给大家介绍一下,这样子的一个操作好吧,看来还是就是也是有同学就是没有没有去做过,没有去尝试做过这样子的一些东西,就你之后的话。
像比如说你github上面对应的这样子的一些啊,工具的一些项目对吧,你要去做一个编译是吧,像比如说你是c语言的,你要怎么去编译的对吧,你要去就是你在windows下面的话。
你在windows上面去执行的话,你就需要有对应的一个i da对吧,你要通过gcc区间一个编译,如果说你在linux上面的话,你直接在linux上面,你直接通过gcc的一个命令去进行一个编译。
是然后这边c sharp,它是windows下面的这样子的一些啊,一个就是针对windows下面的一个编程的一个语言,那么你就需要需要用到这样子的一个呃,就是visual studio这样子的一个id。
id,来去进行一个变异呃,这边的话我就不多说了,呃应该是没有什么问题啊,好啊,我这边ppt的话呃,因为就其实有挺有我这边这些标题什么的,我都没有改哦,所以的话我这边啊我待会儿我改完之后的话。
我再发到群里吧,好吧呃其他的也不多说了,就是也不耽误大家时间了,然后呃最后的话又就是稍微啰嗦了一下好吧,然后的话呃呃还是就是,就是在要下课之前还是再再再再说一句。
就是啊我这边确实就是可能就是我这边咳嗽啊,咳嗽就是我这边讲话的话,一讲话的话就就会就会咳嗽,然后其实我不讲话的话还是不会那个了,就是就嗓子这边的话确实稍微有就是有点难受,还有点问,就是有点小毛病。
然后讲课的时候的话,就是会有这样子的一些呃停顿,或者说呃咳嗽的一个声音,就是还是希望大家就是呃不要介意吧,好吧,就是在说声抱歉吧,呃毕竟这个话是我的问题,就是可能会影响大家的。
就是比如说呃看看看录播的这些同学对吧,就可能会影响大家的这样子的一个体验,好吧,这边的话表示抱歉好吧,希望大家能理解呃,大家听课也辛苦了好吧,就是呃确实我这边唉我自己也觉得,就是我这边就是讲课。
突然就讲着讲着突然就咳一声,确实要我自己,我要我自己去听这样子的一个课,我自己感觉也不是很很很不是会很好是吧,所以的话还是就是说一下,希望大家不要介意好吧,好没有,其他的话,我们下课吧。
就不耽误大家时间了,然后呃祝大家过一个愉快的周末吧,好吧。
