记录内网渗透学习进程--DAY7

CS 之 各种上线方法:stager 都是要下载的

1.EXE 懂的都懂

2.SERVER EXE

 

需要绕过UAC 通过创建一个服务,然后启动服务来执行

sc create "serever name" binpath="SERVER PATH"

sc start "server name"

attrib +h ser.exe 隐藏文件

attrib -h ser.exe 取消文件

 

3.dll文件方式

劫持DLL

export.dll 导出函数

Start dll 使用run(跟着)name.exe 1.dll Start(首字母大写) 让dll注入到这个进程里面

wmic 可以获取进程注入的dll

 

4.powershell
在 window7之后才有

 

 

 

5.bitsadmin命令,可以下载文件

6.PYTHON

需要python环境

7.regsvr32 Regsvr32命令用于注册COM组件,是Windows系统提供的用来向系统注册控件或者卸载控件的命令,以命令行方式运行

 

 

 

 

stageless

不需要下载,自带命令的,所以比较大,而且会引起杀软反应,特征多

1.powershell

使用方式:powershell -f beacon.ps1

powershell -ncp -exec bypass -f beacon.ps1

可以转成exe

 

2.SERVER EXE

生成服务,然后启动服务

 

 

 

bind模式+令牌伪造

 

 

 

有些时候拿下的web服务器开了防火墙,我们又不能关(动静太大),这个时候就要用bind

 

然后设置个监听 HOST PORT随便填

 

攻击包要用这个

 

 

 

 

给内网受害机运行,并且会自动监听4444端口,这个情况下这台机器不能开防火墙

 

 

然后去web服务器连它

 

 就上线了,这里使用的是tcp socket连接

 

 

 

也可以创造一个smb的连接

需求:开放445端口

          关闭防火墙,或者允许445通过

 

 

然后这里用link连接,有的时候连不过去,除非知道账号密码,或者盗取访问令牌(steal token),从进程里获取

make_token (要知道账号密码)

 

连接进去后,可以注入一个payload到进程里,方便再次连入

 

 

流量伪装+心跳间隔修改

Malleable-C2-Profiles脚本

https://github.com/xx0hcd/Malleable-C2-Profiles

使用: 启动CS的第三个参数加上Profile就能用

 

 

 输入个命令

 

 

抓包发现数据包已经被修改

 

posted @ 2021-04-20 06:58  paku  阅读(106)  评论(0编辑  收藏  举报