置顶

安卓内网渗透工具箱,手机渗透工具包

作者:hacker | 分类:破解入侵 | 浏览:143 | 日期:2022年12月07日

目录:

内网渗透- *** 篇

最近参与内网渗透比较多,认知到自己在会话维持上过于依赖web服务,web服务一旦关闭,便失去了唯一的入口点。

本次以远程桌面连接来进行说明,介绍几种常用的连接方式。

本次目标主机ip为:172.16.86.153

使用条件:服务器通外网,拥有自己的公网ip

msf是我进行内网渗透中用的最多的工具,它内置了很多强大的功能,用起来相当方便。

msf的meterpreter内置了端口转发功能,可以把内网的端口转发到本地。

转发目标主机的3389远程桌面服务端口到本地的8888,使用linux中的rdesktop连接本地的8888端口。

msf内置了socks模块,在session但基础上配置路由,调用即可使用,但是速度和稳定性都很差,不做详细介绍。

使用条件:服务器通外网,拥有自己的公网ip

lcx是一个经典的端口转发工具,直接把3389转发到公网的vps上。

通过大马上传lcx.exe,执行系统命令,其中1.1.1.1是vps的公网ip。

因为我公网vps使用的是linux的系统,lcx对应linux的工具为portmap 。

p1为监听的端口,p2为转发到的端口。

成功监听到转发出的3389端口。

直接使用远程桌面服务连接1.1.1.1:33889

基于web服务的socks5隧道的优点是,在内网服务器不通外网的情况下也能正常使用。

常用的工具有:reGeorg,reDuh,Tunna和Proxifier。

本次只介绍reGeorg的具体用法。

选择对应脚本的tunnel上传到服务器。

访问上传文件,显示如下表示成功。

打开Proxifier,更改为脚本指定的端口。

本地电脑成功通过socks5带进了目标主机的内网。(若失败,可能是某些防护检测到了异常流量,可采用reDuh)

本地电脑直接远程连接目标主机的内网ip。

使用条件:目标主机通外网,拥有自己的公网ip

选择对应主机操作系统的执行文件。

目标主机为windows系统,选择上传ew_for_Win.exe文件。

公网vps使用ew_for_linux64文件。

首先在公网vps上执行:

-l为Proxifier连接的端口,-e为目标主机和vps的通信端口。

然后在目标主机中执行:

socks5隧道建立成功,成功把自己的主机带进目标内网。

使用Proxifier,配置ip和连接端口。

连接远程桌面成功。

传送门

使用条件:目标主机通外网,拥有自己的公网ip

首先需要在公网服务器搭建服务端,搭建 *** 参考: 传送门

要注意的是,客户端和服务端的版本号要一致,否则无法正常使用。

对frpc.ini进行配置,为了保证搭建的隧道不对他人恶意利用,加入账户密码进行验证。

上传frpc.exe和frpc.ini到目标服务器上,直接运行frpc.exe(在实战中可能会提示找不到配置文件,需要使用-c参数指定配置文件的路径frpc.exe -c 文件路径)

公网vps主机上运行frps。

隧道建立成功,连接远程桌面。

类似的工具还有:sSocks,Termite等,不需要每种都掌握,有自己用的顺手的就行。

一般在网站服务的web服务关闭后,服务器重启后,大部门后门都会失效,这时需要用到系统服务封装工具。

以NS *** 来进行示例,封装frpc为系统服务,建立持久的socks5隧道。

启动ns *** 图形化界面。

选择想要组册服务的exe应用。

设置服务的名字。直接点击install service,如下表示注册服务成功。

状态设置为启动,重启电脑进行测试,重启后frpc.exe自动运行,成功和frps连接。

本次列举了一些常用的工具,还有很多工具没有列举到,

功能原理都是大同小异,有那么几个用的顺手就好。

安卓手机装Linux系统后内网穿透搭建网站可行吗?稳定吗?费用怎么样?

不可行安卓内网渗透工具箱,费时费力安卓内网渗透工具箱,成本高安卓内网渗透工具箱,手机属于嵌入式设备,系统也是裁剪安卓内网渗透工具箱的,拿来做服务器基本实现不了,根本无法和云服务器比较,实现安卓内网渗透工具箱的时间成本很高,要求很高,所以不建议!

cobalt strike使用跳板进行内网渗透

Pivoting ,在本手册中,指安卓内网渗透工具箱的是「将一个受害机器转为其安卓内网渗透工具箱他攻击和工具的跳板」。Cobalt Strike 的Beacon 提供了多种 pivoting 选项。前提是 Beacon 处于交互模式。交互模式意味着一个 Beacon 每 秒内多次连接到团队服务器。使用 sleep 0 命令来使你的 Beacon 进入交互模式。

通过 [beacon] → Pivoting → SOCKS Server 来在你的团队服务器上设置一个 SOCKS4a *** 服务 器。或者使用 socks 8080 命令来在端口 8080 上设置一个 SOCKS4a *** 服务器(或者任何其他你想 选择的端口)。

所有经过这些 SOCKS 服务器的连接都将被转变为让相关联 Beacon 执行的连接、读写和关闭任务。你 可以通过任何类型的 Beacon 经由 SOCKS 隧道传输(甚至是一个 *** B Beacon)。

Beacon 的 HTTP 数据通道是响应速度最快的 pivoting *** 。如果你想通过 DNS 中继流量,使用DNS TXT 记录的通信模式。

要查看当前已经配置的 SOCKS 服务器,通过 View → Proxy Pivots 。 使用 socks stop 命令来停用 SOCKS *** 服务器。

proxychains 工具将强制外部程序使用你指定的 SOCKS *** 服务器。你可以使用 proxychains 强制第 三方工具经过 Cobalt Strike 的 SOCKS 服务器。要了解有关 proxychains 的更多信息,请访问:

安装proxychains,配置文件修改如下

pre class="2d56-7194-b7c3-e89e cm-s-default" style="color: rgb(89, 89, 89); margin: 0px; padding: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);"--- snippet --- [ProxyList] # add proxy here ... # meanwile # defaults set to "tor" socks4 127.0.0.1 8973/pre

过执行 *** 工具 proxychains,对内网主机 ip 地址为192.168.237.127进行端口探测。执行指令如下所示:

pre class="7194-b7c3-e89e-954d cm-s-default" style="color: rgb(89, 89, 89); margin: 0px; padding: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);" proxychains nmap -sT -Pn 192.168.237.129/pre

然后可以通过 *** 使用其他的安全工具进行下一步的渗透,如果说有些工具是不支持 *** ip的,那么还有 ***

Proxifier:

当使用没有 *** 功能的工具对目标内网进行渗透时,可以使用Proxifier工具能够将程序通过socks *** 对内网进行渗透。详细的使用过程如下所示:

打开Proxifier软件,单击Profile-Proxy Server-add 添加本地主机的 *** 端口。协议选择socks5类型,可以点击check进行测试当前 *** 是否成功。

这样的配置会让当前所有软件走全局的 *** 。可以让一些不支持 *** 功能的软件走 *** 。

首先,用cs新建一个外部的监听:我这里选用外部http链接。

开启msf,使用exploit/multi/handler模块,设置payload为windows/meterpreter/reverse_http,然后show options 查看需要设置的参数。

注意:payload必须是和cs上设置的监听模块一致。

然后在cs的beacon控制台中直接输入

pre class="b7c3-e89e-954d-d405 cm-s-default" style="color: rgb(89, 89, 89); margin: 0px; padding: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);"spawn msf/pre

过了几秒,msf中就会得到会话

这部分是在msf获取到会话之后,把会话上传到CS上。

首先在CS上新建一个内部监听。

然后在msf中进行配置

首先在msf上面查看要上传·会话的id:(我这里是2)

使用这个exp:exploit/windows/local/payload_inject

设置好参数之后,检查参数时候设置完全和正确。

exploit执行

cs上就会上线了

这两天出文章的速度慢了,是因为我一直在持续的开发和优化知识库,现在知识库上线新的功能GitHub索引,地址是: ,不过现在只能是pc端访问,移动端访问样式会乱掉,因为我前端技术实在是渣渣

首页整理了github上最新流行的趋势。下图是中文趋势

下图是全网趋势

如何使用metasploit进行内网渗透详细过程

首先,你要知道metasploit俗称msf。你应该先了解一下里面的exp。要知道通过哪个exp可以对安卓系统的入侵。

内网渗透-常用工具免杀

Mimikatz其实并不只有抓取口令这个功能,它还能够创建票证、票证传递、hash传递、甚至伪造域管理凭证令牌等诸多功能。由于mimikatz的使用说明网上资料很多,这里就不多加介绍了,随着这两年hw行动越来越多,企事业单位也都开始注重内网安全,有预算的会上 *** 的终端安全、企业版杀软或者EDR,就算没有预算的也会装个360全家桶或者主机卫士之类的,这也导致很多时候你的mimikatz可能都没法拷贝过去或者没有加载执行,拿了台服务器却横向移不动就尴尬了。因为这款工具特别出名所以被查杀的机率很大, 我们可以通过 github 上的开源代码对其进行源码免杀从而 bypass 反病毒软件。

Mimikatz 源代码下载

免杀步骤

替换 mimikatz 关键字 shenghuo

mimikatz 下的文件全部改为 shenghu

把项目里所有的文件注释去掉

/_ Benjamin DELPY gentilkiwi benjamin@gentilkiwi.com Licence : _/

打开红色框框内的内容,替换图标文件

出现 无法找到 v140 的生成工具(平台工具集 =“v140”),要选择自己安装的平台工具集

重新生成

生成的程序能够正确运行

成功过360

PrintSpoofer做免杀

printspoofer提权工具目前主流的提权工具之一,360 安全会自动查杀,其他杀毒软件并不会查杀。

源码下载地址:

将PrintSpoofer.cpp 里面的输出帮助文档全部清空

导入图标

重新生成,程序生成成功

成功过360

metasploit 是一款开源的安全漏洞检测工具,同时Metasploit 是免费的工具,因此安全工作人员常用 Metasploit 工具来检测系统的安全性。Metasploit Framework (MSF) 在 2003 年以开放源码方式发布,是可以自由获取的开发框架。 它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试、 shellcode 编写和漏洞研究提供了一个可靠平台。其中攻击载荷模块(Payload) , 在红队中是个香饽饽,使用这个模块生成的后门,不仅支持多种平台,而且 Metasploit 还有编码器模块(Encoders),生成后门前,对其进行编码转换,可以混 淆绕过一部分杀毒软件。

工具 Dev-Cpp 5.11 TDM-GCC 4.9.2 Setup 下载地址

metasploit源码下载:metasploit-loader/master/src/main.c

选择:文件-新建项目-consoleApplication-c 项目

把winsock2.h 移动到windows.h 上 不然编译会出错。

将这四处的数字改为其他数字

设置攻击载荷,执行后成功上线

成功过360

生成python64位的shellcode

添加生成的shellcode

编译成程序

pyinstaller -F test.py —noconsole

此时还要做的就是更改图标,这里介绍一种 ***

首先右击它,选择“添加到压缩文件”

在弹出来的一个“压缩文件名和参数”框中设置压缩文件格式为“ZIP”,压缩方式为“存储”,压缩选项为“创建自解压格式压缩文件”。

随后选择“高级”选项卡。选择了“高级”选项卡以后直接点击“自解压选项”

在设置选项卡中解压后运行对应程序

在模式选项卡中选择解压临时文件夹和全部隐藏

随后再选择“更新”选项卡,在覆盖方式中选择“覆盖所有文件”

最后选择“文本和图标”选项卡,在自定义自解压文件徽标和图标中选择“从文件加载自解压文件图标”,点击“浏览”,找到自己想要加载的图标文件后并打开

然后就点击确定(两次)就可以生成一个新的exe程序了。图标已经改变了,再运行测试一下

上传去目标主机,这里更改了程序名称

在线查杀

是很流行的编程语言,也可以用它来做一个加载器运行cobaltstrike的 shellcode,生成出来的 文件特别的小,可以很好地投递传输。

项目地址 用 vs2017 打开 sln 项目文件

选择 xorkryptor 生成编码器 用 cobalt strike生成 raw 二进制文件

encrypt.bin 就是经过编码后的文件

项目里面存有 Rsources 和 encrypt.bin 文件 事实上项目是没有这个文件夹和文 件所以在当前目录新建文件夹和将生成好的shellcode文件 encrypt.bin 复制到文 件夹里。右键选择编译文件即可。

此时文件正常

重新编译,成功生成后门程序

成功过360

成功上线

内网渗透-远控类软件利用

对渗透中遇到安卓内网渗透工具箱的远控类软件的利用方式整理。

操作系统:windows server 2012

中间件:tomcat

杀软:卫士+杀毒

默认权限:administrator

实战中经常遇到的一款远控软件安卓内网渗透工具箱,用户数量高。

可以通过ID和密码进行无人值守访问。

进程信息:

利用场景:拿到webshell权限安卓内网渗透工具箱,想上线cs安卓内网渗透工具箱,发现主机存在杀软,bypass失败。

通过查看进程信息发现存在Teamviewer。

管理员在线。

利用获取到的密码成功连接到目标主机的桌面。

TeamViewer QuickSupport版

首次运行需要同意协议。

实战使用需要把首次运行同意协议步骤进行绕过,然后上传到目标主机运行,然后抓取密码连接,感兴趣的可以研究下。

利用场景:查看进程发现存在向日葵,寻找配置文件,破解本机验证码,连接向日葵。

进程信息:

向日葵在最近的更新中加强安卓内网渗透工具箱了加密机制,删除了config.ini中的encry_pwd(本机验证码)。

v11.1.2.38529之前的版本,连接信息保存在配置文件中,可进行解密。

向日葵默认配置文件路径:

解密脚本

pip3 install unicorn

利用场景:

1、杀软白名单策略,常规免杀 *** 无法绕过。

2、存在流量设备,常规frp,nps,cs,reGeorg等被ban,无法带入内网。

向日葵首次运行提示是否安装。

需要鼠标点击以绿色版运行

使用bypass *** 绕过,上传SunloginClient.exe到靶机服务器运行。

查看绿色版配置文件

C:\ProgramData\Oray\SunloginClient\config.ini

使用脚本破解encry_pwd

识别码为:165034706

密码为:LlOa4Z

连接成功。

北京金万维科技有限公司开发的一款产品,分为 *** 端和客户端。

可以通过设置连接密码进行无人值守访问。

进程信息:

配置文件默认路径

uniqueid 为连接的id

connect_password= 为设置的连接密码加密hash

random_password= 为明文连接密码

2个密码都可以连接使用

默认安装后未设置连接密码,不支持无人值守访问。

特点:运行过程中动态加载配置文件

利用方式:直接在配置文件中添加连接密码,进行无人值守访问。

1、设置random_password=666666

重新连接,输入设置的密码信息。

连接成功。

2、设置random_password

本地搭建客户端,设置连接密码999999。

查看本地配置文件中加密后的hash为

connect_password=5eec351934af7678a852ade9efc74133

特点:只在开始运行时加载配置文件

无random_password只能通过修改connect_password连接。

利用方式:结束进程,修改配置文件,重新运行。

1、结束进程

2、修改配置文件内容

connect_password为5eec351934af7678a852ade9efc74133(999999)

3、重新启动即可用密码连接。

1、uac

非server服务器运行向日葵需要bypass uac

2、用户不在线的情况,需要密码登录。

这个点导致利用起来比较鸡肋,适用于隧道流量无法绕过等一些极端情况,可以选择免杀读密码/免杀加用户然后登录。

整理了最近遇到的几个内网远控存在利用的点,利用相对鸡肋,适用于某些极端情况下使用。

发表评论

访客 游客 2022-12-07 · 回复该评论
软件走代理。 首先,用cs新建一个外部的监听:我这里选用外部http链接。 开启msf,使用exploit/multi/handler模块,设置payload为

访客 游客 2022-12-07 · 回复该评论
打开红色框框内的内容,替换图标文件 出现 无法找到 v140 的生成工具(平台工具集 =“v140”),要选择自己安装的平台工具集 重新生成 生成的程序能够正确运行 成功过360 PrintSpoofer做免杀 printspoofer

访客 游客 2022-12-07 · 回复该评论
Proxy Pivots 。 使用 socks stop 命令来停用 SOCKS 代理服务器。 proxychains 工具将强制外部程序使用你指定的 SOCKS 代理服务器。你可以使用 proxychains 强制第 三方工具经过 Cobalt Strike 的 S

取消
微信二维码
支付宝二维码